По умолчанию Windows 4.0 посылает SYN/ACK-пакет пять раз с интервалами в 3,6,12, 24 и 48 секунд. И еще через 96 секунд разрывает полуоткрытое соединение. То есть с момента получения инициализирующего SYN-пакета до разрыва неоткрытого сеанса в общей сложности проходит 189 секунд. Windows NT и Windows 2000 имеют ряд конфигурационных параметров, способных защитить от SYN-переполнения. Например, ветвь реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipPara- meters позволяет изменять и добавлять следующие ключи: SynAttackProtect (тип REG_DWORD). Эта запись переключает очередь соединений в режим защиты от SYN-атаки. Допустимые значения: «0», «1» и «2». По умолчанию: «0», «1» — защита от SYN-переполнения; «2» — защита от SYN-переполнения + система будет обращаться к драйверу AFD (поддержка Windows Sockets) только в случае полностью установленного соединения (SYN — SYN/ACK — АСК). TcpMaxHalfOpen (тип REG_DWORD). После того как будет превышено значение этого ключа (количество полуоткрытых соединений в очереди), система задействует механизм SynAttackProtect. TCPMaxConnectResponseRetransmissions (тип REG_DWORD). Этот ключ регулирует количество повторных SYN/ACK-посылок. Значение «3» заставляет сервер отвечать с интервалами в 3, 6 и 12 секунд и очищать очередь по истечении 45 секунд. Установка ключа со значением «1» приводит к тому, что сервер отсылает повторный SYN/ACK-пакет через 3 секунды и очищает очередь через 9 секунд после получения SYN. Часть очереди, состоящая из полуоткрытых соединений, в Windows называется Backlog. Параметры backlog задаются в ветви реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAFD Parameters. EnableDynamicBacklog (тип REG_DWORD). Во время SYN-атаки значение должно быть равно единице. Это позволяет динамически расширять очередь полуоткрытых соединений.
Прежде чем воспользоваться механизмами SYN-защиты в среде Windows, убедитесь, что при новых значениях ваши программы продолжают работать должным образом! Некоторые комбинации параметров могут привести к сбоям или даже к появлению уязвимостей в защите.
