Windows Vista, 2008, Windows 7 ve Windows 2008 R2’daki syn attack protection degisiklikleri
Tekrar merhaba,
Bugunku yazimda kisaca Windows client ve server’larda kullanilan syn attack protection algoritmasi ile ilgili degisikliklerden bahsedecegim. Bilindigi gibi syn attack, bir host’un servis disi kalmasi icin kullanilan bir saldiri teknigi (DoS- Denial of Service) ve bu atagi onlemeye yonelik olarak Windows 2000’den bu yana isletim sistemine dahil edilmis bir syn attack protection mekanizmasi var. Bu mekanizma, Windows 2003/SP1 itibariyle de default olarak enable edildi. Syn attack protection mekanizmasinin bu versiyonunda (Windows 2000/Windows 2003), sistemin syn attack karsisinda ne sekilde tepki verecegine dair bazi ayarlamalar yapilabiliyordu. Bu konuyla ilgili olarak daha ayrintili bilgiyi asagidaki makalelerden de bulabilirsiniz:
http://support.microsoft.com/kb/324270 How to harden the TCP/IP stack against denial of service attacks in Windows Server 2003
http://technet.microsoft.com/en-us/library/cc758746(WS.10).aspx Microsoft Windows Server 2003 TCP/IP Implementation Details
Benim bu yazida ozellikle uzerinde durmak istedigim konu yeni nesil syn attack protection algoritmasindaki degisiklikler. Bu degisiklikleri asagidaki maddelerde ozetlemeye calistim: (Asagidaki bilgiler Windows Vista, 2008, Windows 7 ve Windows 2008 R2 sistemler icin gecerlidir)
1) Syn attack protection default olarak enabled durumdadir ve disable edilemez
2) Yeni syn attack protection algoritmasinda threshold degerleri, kullanilabilir bellek miktari, CPU core sayisi gibi kriterler dikkate alinarak dinamik olarak hesaplanmaktadir dolayisiyla herhangi bir sekilde konfigurasyon gerektirmemektedir ve bu yuzden ayarlanabilir herhangi bir registry key, netsh komutu vs yoktur.
3) Yeni syn attack protection algoritmasinda, sistemin atak altında olup olmadigi karari TCB partition seviyesinde belirlenmektedir. Kullanilabilir TCB partition sayisi da CPU core sayisi dikkate alinarak dinamik olarak hesaplanmaktadir. Herhangi bir TCB partition icin dinamik olarak belirlenmis threshold degerlerine ulasilirsa, sistem otomatik olarak atak durumuna gecmekte ve buna uygun sekilde davranmaya baslamaktadir. TCB partitioning, her bir TCP connection’a iliskin bilgilerin tutuldugu TCB yapilarina sistem tarafindan es zamanli erisimi saglamak amaciyla gelistirilmis bir metoddur (ozellikle multi CPU sistemler de performansi artirmak icin) ve esas amac paket gonderim/alım performansini iyilestirmektir.
4) TCPIP driver, atak altinda oldugunun kararini kullanilabilir CPU core sayisi ve bellek miktarini dikkate alarak verdigi icin yeni algoritmaya gore daha fazla resource’u bulunan bir sistem yeni TCP baglantilarini kabul etmeme durumuna daha az resource’u bulunan bir sisteme gore daha gec girecektir. Onceki gerceklestirimde (Windows 2000/2003), sistemin kaynak durumu dikkate alinmiyor sadece konfigure edilen registry degerlerine gore her zaman ayni sekilde karar veriliyordu. Dolayisiyla yeni algoritma, farkli kaynak yapilari bulunan server’lar icin farkli konfigurasyon yapılmasi zorunlulugunu ortadan kaldirmistir.
Tesekkurler,
Alıntı : Technet