다음을 통해 공유

Windows server 2008 부터는 디폴트로 DoS 공격 방어 레지스트리가 설정 되어 있다고 하는데, 관련 내용을 알고 싶어요.

익명
2024-04-30T01:16:44+00:00

Windows server 2008 부터는 디폴트로 DoS 공격 방어 레지스트리가 설정 되어 있다고 하는데, 관련 내용을 알고 싶습니다.

저희가 위 내용으로 보안 가이드를 받았는데, 2008 이상 부터는 보안 가이드가 필요 없다고 하는 곳도 있고,

해야 한다는 곳도 있어서 정확히 무엇이 정답인지 확인을 좀 하고자 문의 드립니다.

* 가이드 받은 내용 

- SynAttackProtect = REG\_DWORD 0(False) -> 1 이상  

- EnableDeadGWDetect = REG\_DWORD 1(True) -> 0  

- KeepAliveTime = REG\_DWORD 7,200,000(2시간) -> 300,000(5분)  

- NoNameReleaseOnDemand = REG\_DWORD 0(False) -> 1

Windows 2008 이상에서는 위와 같이 설정이 필요 없다는 곳도 있고, 무관 하게 설정 해야 한다는 곳도 있습니다.

물론, SynAttackProtect (Windows 2008 이후 서버 버전 기본 활성화 - 해제 불가)는 확인이 되었는데,

나머지 3가지에 대하여 궁금하여 질문을 드립니다.

Windows Server 네트워킹 네트워크 연결 및 파일 공유

잠긴 질문. 이 질문은 Microsoft 지원 커뮤니티에서 마이그레이션되었습니다. 질문이 도움이 되었는지 여부에 대해 응답할 수는 있지만, 메모나 회신을 추가하거나 질문을 따를 수는 없습니다. 개인 정보를 보호하기 위해, 마이그레이션된 질문에 대한 사용자 프로필은 익명으로 처리됩니다.

댓글 0개

답변 3개

정렬 기준: 가장 유용함
가장 유용함 최신순 등록순
  1. 익명
    2024-04-30T07:24:08+00:00

    이 응답은 자동으로 번역되었습니다. 따라서 문법 오류 또는 이상한 표현이 있을 수 있습니다.

    안녕하세요

    Windows Vista 이상(Vista/2008/Win 7/2008 R2/Windows 8/Windows 2012/Windows 2012 R2)부터 syn 공격 보호 알고리즘이 다음과 같이 변경되었습니다.

    1. SynAttack 보호는 기본적으로 활성화되어 있으며 비활성화할 수 없습니다.

    2. SynAttack 보호는 사용 가능한 CPU 코어 및 메모리 수를 기반으로 임계값(공격이 시작된 것으로 간주되는 시점)을 동적으로 계산하므로 레지스트리, netsh 등을 통해 구성 가능한 매개 변수를 노출하지 않습니다.

    3. TCPIP 드라이버는 CPU 코어 수와 사용 가능한 메모리 양에 따라 공격 상태가 되기 때문에 리소스가 많은 시스템은 리소스가 적은 시스템에 비해 나중에 새 연결 시도를 삭제하기 시작합니다. 이는 시스템에 사용할 수 있는 리소스의 양에 관계없이 시스템이 공격 상태로 이동된 Vista 이전 시스템에서 하드 코딩되었습니다(구성된 레지스트리 설정에 따라). 새로운 알고리즘은 미세 조정의 필요성을 제거하며 TCPIP 스택은 사용 가능한 리소스에 따라 가능한 최상의 값으로 자체 조정됩니다.

    참조:
    https://learn.microsoft.com/en-us/archive/blogs/nettracer/syn-attack-protection-on-windows-vista-windows-2008-windows-7-windows-2008-r2-windows-88-1-windows-2012-and-windows-2012-r2

    이 답변이 도움이 되기를 바랍니다.

    감사합니다

    쥔후이

    댓글 0개
  2. 익명
    2024-05-02T22:50:41+00:00

    답변 감사합니다.

    그런데 SynAttackProtect 부분은 이미 알고 있던 부분입니다. 이 부분은 불필요 합니다.

    제가 알고 싶은건,

    • EnableDeadGWDetect = REG_DWORD 1(True) -> 0
    • KeepAliveTime = REG_DWORD 7,200,000(2시간) -> 300,000(5분)
    • NoNameReleaseOnDemand = REG_DWORD 0(False) -> 1

    Windows 2008 이상에서는 위와 같이 설정이 필요 없다는 곳도 있고, 무관 하게 설정 해야 한다는 곳도 있습니다.

    이 3가지 설정을 해야 하는 건지 하지 말아야 하는 것 인지 입니다.

    다시 한번 확인을 부탁드립니다.

    댓글 0개
  3. 익명
    2024-05-03T08:47:00+00:00

    이 응답은 자동으로 번역되었습니다. 따라서 문법 오류 또는 이상한 표현이 있을 수 있습니다.

    다른 세 가지 설정은 기본적으로 활성화되어 있지 않지만 수정해야 하는지 여부는 특정 요구 사항과 환경에 따라 다릅니다.

    예를 들어 EnableDeadGWDetect는 게이트웨이 디바이스가 실패한 경우를 감지하고 백업 디바이스로 전환하는 데 사용됩니다. 백업 게이트웨이 장치가 없는 경우 이 설정을 사용하도록 설정할 필요가 없습니다.

    마찬가지로 KeepAliveTime은 TCP 연결이 종료되기 전에 유휴 상태로 유지될 수 있는 기간을 결정합니다. 유휴 연결이 많은 경우 리소스를 절약하기 위해 이 값을 줄일 수 있습니다.

    마지막으로 NoNameReleaseOnDemand는 DNS 클라이언트가 유휴 상태일 때 사용되지 않는 DNS 이름을 해제할지 여부를 결정합니다. 캐시에 DNS 이름이 많은 경우 이 설정을 사용하도록 설정하여 리소스를 절약할 수 있습니다.

    도움이 되었기를 바랍니다!

    감사합니다

    준휘

    댓글 0개