XP Service Pack 2 limitiert Anzahl der Netzwerkverbindungen
Durch das Setzen von TCP/IP-Optionen zum "HĂ€rten" des Netzwerkstacks gegen Angriffe laufen auch einige Netzwerkapplikationen langsamer.
Microsoft macht mit Service Pack 2 fĂŒr XP [1] erstmalig Gebrauch von den TCP/IP-Optionen zum "HĂ€rten" des Netzwerkstacks [2] gegen Angriffe. Die Optionen sind in Windows 2000, 2003 und XP standardmĂ€Ăig enthalten und dienen eigentlich zur Abwehr von Denial-of-Service und SYN-Flooding-Attacken [3] gegen Server.
Allerdings ist diese Option bislang nicht vordefiniert, obwohl Windows die Parameter, sofern sie in der Registry angelegt und definiert sind, auswertet. Service Pack 2 setzt nun die Anzahl der maximal möglichen parallelen Verbindungen (TcpNumConnections) herab -- normalerweise sind 16.777.214 Verbindungen erlaubt. Auf welchen Wert der SchlĂŒssel gesetzt wird, ist bislang unbekannt -- der Wert ist in den Windows-Bibliotheken fest vorgegeben. Die Limitierung gilt unabhĂ€ngig davon, ob die Verbindung ein- oder ausgehend ist. Damit will Microsoft die Ausbreitungsgeschwindigkeit von WĂŒrmern einschrĂ€nken, die in der Lage sind, mehrere hundert parallele Verbindungen fĂŒr Attacken aufzubauen.
Nach Berichten in diversen Foren [4] fĂŒhrt die Limitierung aber bei einigen Anwendungen zu LeistungseinbuĂen, beispielsweise bei Peer-to-Peer-Clients fĂŒr Tauschbörsen. In der Folge gehen Downloads unter UmstĂ€nden langsamer vonstatten.
Um die EinschrĂ€nkung wieder aufzuheben, muss der Anwender den SchlĂŒssel in der Registry unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters selbst anlegen und mit einem sinnvollen Wert belegen. Der sollte aber nur so hoch gewĂ€hlt werden, dass keine Applikationen beeinflusst werden. Eine nĂ€here Beschreibung zum Anlegen der SchlĂŒssel gibt Microsoft in einem Knowledge-Base-Artikel [5].
Siehe dazu auch: (dab [6])
- How To: Harden the TCP/IP Stack [7], Knowledgebase-Artikel von Microsoft
- TCP/IP- und NBT-Konfigurationsparameter fĂŒr Windows XP [8], Knowledgebase-Artikel von Microsoft
- DĂ€mme gegen die SYN-Flut [9] auf heise Security
- Vergitterte Fenster [10], Artikel zu neuen Sicherheitsfunktionen in Windows XP SP 2 auf heise Security
URL dieses Artikels:
https://www.heise.de/-101130
Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/Vergitterte-Fenster-Teil-1-270418.html
[2] http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetsec/html/HTHardTCP.asp
[3] https://www.heise.de/hintergrund/Daemme-gegen-die-SYN-Flut-270378.html
[4] http://bink.nu/DesktopModules/ArticleDetail.aspx?ArticleID=2208
[5] http://support.microsoft.com/default.aspx?scid=kb;de-de;314053
[6] mailto:dab@ct.de
[7] http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetsec/html/HTHardTCP.asp
[8] http://support.microsoft.com/default.aspx?scid=kb;de-de;314053
[9] https://www.heise.de/hintergrund/Daemme-gegen-die-SYN-Flut-270378.html
[10] https://www.heise.de/hintergrund/Vergitterte-Fenster-Teil-1-270418.html
Copyright © 2004 Heise Medien