Aby wykorzystać systemowe rozwiązania ochronne TCP/IP, należy uruchomić panel sterowania i dwukrotnie kliknąć na ikonie Network, celem otwarcia odpowiedniego okna. Następnie kliknąć na etykiecie Protocols i wybrać z listy zainstalowanych protokołów pozycję TCP/IP. W oknie Microsoft TCP/IP Properties wybrać kartę IP Adressed, a następnie wcisnąć znajdujący się na niej przycisk Advanced, co spowoduje otwarcie się okna Advanced IP Adressing. Zaznaczyć pole wyboru Enable Security, znajdujące się w górnej części okna dialogowego, a następnie wcisnąć przycisk Configure. Wyświetli się okno TCP/IP Security To nowe narzędzie można śmiało określić mianem „zapory sieciowej dla ubogich”. Umożliwia relatywnie obszerne filtrowanie wywołań portów i protokołów, co skutecznie utrudnia próby włamanie się do sieci.
Konfigurowanie ochrony TCP/IP wybranego komputera, należy zacząć od wyboru właściwego adaptera sieciowego. Jeśli komputer jest wyposażony w więcej niż jedną kartę sieciową, to pomyłka może spowodować zablokowanie dostępu dla użytkowników z domen upoważnionych. Dla każdego protokołu możemy wybrać jedną z dwóch podstawowych opcji: Permit All lub Permit Only (zezwolenie dla wszystkich lub dla wybranych) Permit All – umożliwia komunikację za pośrednictwem określonego protokołu poprzez wszystkie porty serwera. Permit Only – umożliwia wybór portów, które będą akceptowały połączenie i przesyłały pakiety do serwera.
Wyłączenie niepotrzebnych portów jest silnym i ważnym sposobem zabezpieczania sieci. Po pierwsze, uniemożliwia hakerom zdobywanie informacji o systemie za pośrednictwem niektórych usług (przypomnijmy sobie „życzliwość” Telnetu). Po drugie, zapobiega wykorzystaniu zbędnych portów do ataku o nazwie SYN-Flood (zalanie potokiem pytań SYN), należącego do grupy „odmowa-usługi” (denial-of-service).
Agresja polega na przesłaniu do wybranego komputera, wywołania sieciowego o nazwie SYN, ze zmyślonym zwrotnym adresem IP, (technika znana jako oszustwo IP). Haker przesyła możliwie najwięcej wezwań, próbując zablokować maksymalną ilość zasobów atakowanej maszyny. Ta odbiera żądanie, wyznacza zasoby do obsługi nowego połączenia i odwzajemnia próbę kontaktu wezwaniem SYN-ACK.
Ponieważ sygnał SYN-ACK jest wysyłany pod nie istniejący adres, więc pozostaje bez odpowiedzi. Zaatakowany komputer kontynuuje próby odzyskania łączności. Microsoft Windows NT (zarówno 3.5, jak i 4.0) ponawia wezwanie SYN_ACK pięć razy (przy oryginalnych ustawieniach systemu). Okres oczekiwania na odpowiedź po pierwszej retransmisji sygnału wynosi 3 sekundy, po każdej kolejnej jest podwajany, zatem po piątej wynosi 48
sekund. Jeśli maszyna nie otrzyma odpowiedzi, to czeka kolejne 96 sekund, zanim zwolni zasoby czekające na transmisję. łączny czas blokowania zasobów wynosi 189 sekund. Do diagnozy ataku SYN-Flood można wykorzystać informacje o statusie połączeń. Wpisując w linii komend polecenie netstat -n -p -tcp, otrzymamy listę wszystkich trwających sesji komunikacyjnych swojego komputera. Jeśli wiele z nich jest w stanie SYN_RECEIVED, można przypuszczać, że staliśmy się obiektem agresji. Z dwóch wiadomości, dobra polega na tym, że haker stosujący ten typ ataku nie ma dostępu do systemu. Zła informacja, to ograniczona liczba połączeń, która mogą pozostawać w stanie SYN_RECEIVED. Jeśli limit zaatakowanego portu komputera jest wykorzystany, zazwyczaj wszystkie następne wezwania są ignorowane do czasu zwolnienia alokowanych zasobów.
Aby jak najlepiej chronić swój system, należy pozostawić aktywność jedynie tych portów, które są niezbędne do działania potrzebnych nam usług i aplikacji. Zazwyczaj powinniśmy wyłączyć wszystkie porty UDP o numerach mniejszych od 900, z wyjątkiem specyficznych, a koniecznych dla nas usług (na przykład FTP). W szczególności protokołu UPD nie powinny obsługiwać porty echo (7) oraz chargen (19), które są ulubionym celem ataku SYN-Flood.
Innym powszechnie znanym zagrożeniem jest działająca w systemie Windows komenda nbstat. Polecenie ujawnia ważne dane o systemie, takie jak nazwa domeny, czy nazwę serwera NetBIOS. Jeszcze gorzej, że owe informacje są udostępniane również użytkownikom korzystającym z anonimowego konta IIS (o ile oczywiście usługa IIS jest dostępna). Na szczęście, stosunkowo łatwo można odseparować świat zewnętrzny od usługi Nbstat. Wystarczy odłączyć porty 137 i 138 UDP oraz port 139 TCP na routerze lub zaporze sieciowej. Komenda jest wtedy całkowicie operatywna w sieci chronionej i niedostępna z zewnątrz. Jeśli komuś jeszcze mało problemów, to informujemy o kolejnej luce, tym razem w realizowanej przez Windows usłudze RPC. Użytkownik wykorzystując
Telnet poprzez port 135 może wprowadzić 10 losowych znaków i rozłączyć się, co w stu procentach zawiesi działanie CPU. Przeładowanie systemu rozwiązuje problem, ale jest to dość kosztowny sposób. Znane jest również zastosowanie tego samego chwytu do ogłupienia usług korzystających z dwu innych portów, mianowicie 53 oraz 1031.
Jeśli serwer DNS jest uruchomiony z portu 53, atak zawiesza go i konieczne jest ponowne uruchomienie systemu. Podobnie reaguje IIS napadnięty z portu 1031.