Security
伺服器 2012 R2 TCP 時間戳
我們將很快進行一些滲透測試,並希望清理一些東西。其中之一是 Windows 中的 TCP 時間戳。一個簡單的 NMAP 掃描向我展示了一個實際上非常準確的 TCP 時間戳的猜測。我們執行 Sonicwall 防火牆,技術支持告訴我它無法在防火牆級別刪除時間戳。查看 windows 環境,似乎以下命令應該可以工作:
To set using netsh: netsh int tcp set global timestamps=disabled To set using PowerShell cmdlets: Set-NetTCPSetting -SettingName InternetCustom -Timestamps Disabled
應用並重新啟動伺服器後,NMAP 似乎仍然顯示時間戳。
有沒有人有這方面的運氣?或者我是唯一一個嘗試這個的人:) 似乎不推薦,所以你如何處理這個?
謝謝。
TCP 時間戳用於提高性能並防止延遲數據包擾亂您的數據流。如果您禁用 TCP 時間戳,您應該會遇到更差的性能和更不可靠的連接。無論使用何種方法禁用 TCP 時間戳,情況都是如此。
中間盒對數據包所做的任何修改都可能導致其他問題,因為 TCP 端點不需要考慮這些修改。
TCP 時間戳需要隨時間單調增長。因此,它們必然是可預測的。我沒有看到這種可預測性是一個問題的文件。
在技術上可以改變初始偏移量和增長率,這樣您發送到一個 IP 地址的時間戳就不能用於預測您將發送到另一個 IP 地址的時間戳。
所以我的建議很明確。
- 不要弄亂防火牆上的時間戳。
- 向滲透測試者索取更多資訊,說明為什麼可預測的時間戳會成為問題以及推薦的端點配置。
- 根據需要將配置設置應用到端點。