服务器2012 R2 TCP时间戳

Question

我们将在短期内执行一些渗透测试，并希望清理一些事情。其中之一是Windows中的TCP时间戳。一个简单的NMAP扫描显示了对TCP时间戳的猜测，它实际上是相当准确的。我们运行Sonicwall防火墙，技术支持告诉我，它无法在防火墙级别删除时间戳。在windows环境中，以下命令似乎可以工作：

To set using netsh:

netsh int tcp set global timestamps=disabled

To set using PowerShell cmdlets:

Set-NetTCPSetting -SettingName InternetCustom -Timestamps Disabled

在应用和服务器重新启动之后，NMAP似乎仍然显示时间戳。

有人在这件事上运气好吗？或者我是唯一一个尝试这样做的人:)它似乎不被推荐，那么你是如何处理这个的呢？

谢谢。

Answer 1

TCP时间戳用于提高性能以及防止延迟数据包破坏您的数据流。如果禁用TCP时间戳，则应期望性能更差，连接更不可靠。无论用于禁用TCP时间戳的方法如何，情况都是如此。

中间盒对数据包所做的任何修改都可能导致额外的问题，因为TCP端点不需要考虑这些修改。

TCP时间戳需要随时间单调增长。因此，它们必然是可预测的。我没有看到任何关于这种可预测性的文件是一个问题。

从技术上讲，可以改变初始偏移量和增长率，以便无法使用发送到一个IP地址的时间戳来预测发送到另一个IP地址的时间戳。

所以我的建议很明确。

• 不要在防火墙上乱搞时间戳。
• 请求来自戊酯的附加信息，说明为什么可预测的时间戳会成为一个问题，并建议对端点进行配置。
• 根据需要将配置设置应用于端点。