欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Windows服務器應對高并發(fā)和DDOS攻擊的配置方法

 更新時間:2015年01月30日 10:29:15   投稿:junjie  
這篇文章主要介紹了Windows服務器應對高并發(fā)和DDOS攻擊的配置方法,本文講解了應對高并發(fā)請求、應對DDOS攻擊的多種配置方法,需要的朋友可以參考下

windows系統(tǒng)本身就有很多機制可以用來提高性能和安全,其中有不少可以用來應對高并發(fā)請求和DDOS攻擊的情況。

通過以下配置可以改善windows服務器性能:

一、應對高并發(fā)請求:

1、TCP連接延遲等待時間 TcpTimedWaitDelay:

這是設定TCP/IP 可釋放已關(guān)閉連接并重用其資源前,必須經(jīng)過的時間。關(guān)閉和釋放之間的此時間間隔通稱 TIME_WAIT狀態(tài)或兩倍最大段生命周期(2MSL)狀態(tài)。在此時間內(nèi),重新打開到客戶機和服務器的連接的成本少于建立新連接。減少此條目的值允許 TCP/IP更快地釋放已關(guān)閉的連接,為新連接提供更多資源。如果運行的應用程序需要快速釋放和創(chuàng)建新連接,而且由于 TIME_WAIT中存在很多連接,導致低吞吐量,則調(diào)整此參數(shù)。缺省值240秒,最小30秒,最大300秒,建議設為30秒。

復制代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"TcpTimedWaitDelay"=dword:0000001e

2、最大TCP使用端口 MaxUserPort:

TCP客戶端和服務器連接時,客戶端必須分配一個動態(tài)端口,默認情況下這個動態(tài)端口的分配范圍為 1024-5000,也就是說默認情況下,客戶端最多可以同時發(fā)起3977個Socket連接。通過修改調(diào)整這個動態(tài)端口的范圍,可以提高系統(tǒng)的數(shù)據(jù)吞吐率

復制代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"MaxUserPort"=dword:000ffffe

3、保持連接時間 KeepAliveTime:

Windows默認情況下不發(fā)送保持活動數(shù)據(jù)包,但某些TCP包中可能請求保持活動的數(shù)據(jù)包。保持連接可以被攻擊者利用建立大量的連接造成服務器拒絕服務。降低這個參數(shù)值有助于系統(tǒng)更快速地斷開非活動會話。

復制代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"KeepAliveTime"=dword:000493e0

4、TCP數(shù)據(jù)最大重發(fā)次數(shù) TcpMaxDataRetransmissions

此參數(shù)控制TCP在連接異常中止前數(shù)據(jù)段重新傳輸?shù)拇螖?shù)。如果這個限定次數(shù)內(nèi),計算機沒有收到任何確認消息,連接將會被終止。

復制代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"TcpMaxDataRetransmissions"=dword:00000003

5、TCP連接最大重發(fā)次數(shù) TcpMaxConnectResponseRetransmissions
此參數(shù)設定SYN-ACK等待時間,可以用來提高系統(tǒng)的網(wǎng)絡性能。缺省時間為3,消耗時間為45秒;項值為2,消耗時間為21秒;項值為1,消耗時間為9秒;項值為0,表示不等待,消耗時間為3秒

復制代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"TcpMaxConnectResponseRetransmissions"=dword:00000002

二、應對DDOS攻擊:(包括以上設置)

1、SYN攻擊防護 SynAttackProtect:

為防范SYN攻擊,Windows NT系統(tǒng)的TCP/IP協(xié)議棧內(nèi)嵌了SynAttackProtect機制。SynAttackProtect機制是通過關(guān)閉某些socket選項,增加額外的連接指示和減少超時時間,使系統(tǒng)能處理更多的SYN連接,以達到防范SYN攻擊的目的。

復制代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"SynAttackProtect"=dword:00000002

2、無效網(wǎng)關(guān)檢測功能 EnableDeadGWDetect:

當服務器設置了多個網(wǎng)關(guān),在網(wǎng)絡不通暢的時候系統(tǒng)會嘗試連接第二個網(wǎng)關(guān)。允許自動探測失效網(wǎng)關(guān)可導致 DoS,關(guān)閉它可以抵御SNMP攻擊,優(yōu)化網(wǎng)絡。

復制代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnableDeadGWDetect"=dword:00000000

3、ICMP重定向功能 EnableICMPRedirect:

是否響應ICMP重定向報文。ICMP重定向報文有可能被用以攻擊,所以系統(tǒng)應該拒絕接受此類報文,用以抵御ICMP攻擊。

復制代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnableICMPRedirect"=dword:00000000

4、IP源路由限制 DisableIPSourceRouting:

是否禁用IP源路由包,禁用可以提高IP源路由保護級別,用以防范數(shù)據(jù)包欺騙

復制代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"DisableIPSourceRouting"=dword:00000002

5、路由發(fā)現(xiàn)功能 PerformRouterDiscovery:

ICMP路由通告報文可以被用來增加路由表紀錄,可能導致DOS攻擊,所以禁止路由發(fā)現(xiàn)。

復制代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"PerformRouterDiscovery"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces]
"PerformRouterDiscovery"=dword:00000000

6、服務器名響應功能 NoNameReleaseOnDemand

允許計算機忽略除來自 Windows服務器以外的 NetBIOS名稱發(fā)布請求。當攻擊者發(fā)出查詢服務器NetBIOS名的請求時,可以使服務器禁止響應。

復制代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"NoNameReleaseOnDemand"=dword:00000001

7、Internet組管理協(xié)議級別 IGMPLevel

用于控制系統(tǒng)在多大程度上支持IP組播和參與Internet組管理協(xié)議。缺省值為2,支持發(fā)送和接收組播數(shù)據(jù);項值為1表示只支持發(fā)送組播數(shù)據(jù);項值為0表示不支持組播功能。

復制代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"IGMPLevel"=dword:00000000

8、匿名訪問限制 RestrictAnonymous

用于禁止匿名訪問查看用戶列表和安全權(quán)限。匿名訪問可以使連接者與目標主機建立一條空連接而無需用戶名和密碼,利用這個空連接,連接者可以得到用戶列表。有了用戶列表,就可以窮舉猜測密碼。

復制代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001

相關(guān)文章

最新評論