windows虚拟内存和SYN攻击
发布日期:2021-09-16 04:36:41 浏览次数:2 分类:技术文章

本文共 2720 字,大约阅读时间需要 9 分钟。

目录


       

       前段时间处理了两个windows的问题,感觉有点意义,记录一下,一个是虚拟机扩容后,C盘可用空间变小,一个是3389端口被少量syn后,mstsc 连接不上windows.

一、虚拟机扩容后,C盘可用空间变小。

这是由于机器内存增加,windows系统自动增大了虚拟内存的体积造成的,有以下两个原因:

1、内存大小和休眠文件大小有直接关系,一般休眠文件等于内存大小    hiberfil.sys

2、加了内存之后,系统自动分配的虚拟内存也会增多,所以C盘空间会大量被占到用。  pagefile.sys

 

重新设置虚拟内存大小即可,方法如下:

1、右击“计算机”,选择“属性”;

2、在弹出的窗口中选择“高级系统设置”,然后点击“性能”这一栏中的“设置...”按钮;

3、在弹出的对话框中选择“高级”选项卡,然后点击“更改..."进行虚拟内存的设置;

4、在弹出的窗口中取消勾选“自动管理所有驱动器的分页文件大小(A)”,然后选择要设置虚拟内存的盘符,勾选“自定义大小”,在设置了合适的虚拟内存大小后点击设置,最后点击确定完成设置操作。

 

上图为腾讯云的设置,我们可以参照。

 

休眠文件关闭: power -h off

调节休眠文件大小:powercfg hibernate size XX

 

二、3389被少量sync攻击后,mstsc连接不上。

用户报障过来说 3389 远程连接不上,立即排查

表现大概就是telnet 3389端口,表现是一会通,一会不通,不通的情况下抓包分析是windows内部reject了这个连接。

1、当时通过抓宿主机上的包,发现有少量的syn包过,然后guest 回了syn+ack后,对端还是只有持续少量的syn包过

2、随即判断可能是这个这个少量的syn包导致,大概一秒会有1到2个sync攻击过来。 然后用户就rdp远程登陆不上了。

3、1/2秒不算高频,不应该的,syn没完成,如果能稳定重现,那可能是windows 防火墙防flood的功能

4、于是把远程连接端口改成其它端口,发现就没有问题,所以判断可能是windows防火墙的防flood的作用。

于是搜索资料如下:

To protect the network against SYN attacks, follow these generalized steps, explained later in this document:

  • Enable SYN attack protection
  • Set SYN protection thresholds
  • Set additional protections
  • Enable SYN Attack Protection

The named value to enable SYN attack protection is located beneath the registry key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters.

Value name: SynAttackProtect

Recommended value: 2

Valid values: 0, 1, 2

Description: Causes TCP to adjust retransmission of SYN-ACKS. When you configure this value the connection responses timeout more quickly in the event of a SYN attack. A SYN attack is triggered when the values of TcpMaxHalfOpen or TcpMaxHalfOpenRetried are exceeded.

Set SYN Protection Thresholds

The following values determine the thresholds for which SYN protection is triggered. All of the keys and values in this section are under the registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters. These keys and values are:

  • Value name: TcpMaxPortsExhausted
  • Recommended value: 5
  • Valid values: 0–65535
  • Description: Specifies the threshold of TCP connection requests that must be exceeded before SYN flood protection is triggered.
  • Value name: TcpMaxHalfOpen
  • Recommended value data: 500
  • Valid values: 100–65535
  • Description: When SynAttackProtect is enabled, this value specifies the threshold of TCP connections in the SYN_RCVD state. When SynAttackProtect is exceeded, SYN flood protection is triggered.
  • Value name: TcpMaxHalfOpenRetried
  • Recommended value data: 400
  • Valid values: 80–65535
  • Description: When SynAttackProtect is enabled, this value specifies the threshold of TCP connections in the SYN_RCVD state for which at least one retransmission has been sent. When SynAttackProtect is exceeded, SYN flood protection is triggered.

参考资料: 

               

转载地址:https://blog.csdn.net/wllabs/article/details/104646940 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!

上一篇:Centos7 内核调试
下一篇:内存Available 是怎么计算的

发表评论

最新留言

初次前来,多多关照!
[***.249.68.14]2022年05月23日 00时10分57秒

关于作者

    喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!

最新文章