设为首页收藏本站

站长之家.源码之家.wap站长之家.wap源码之家

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
热搜: 域名 空间 程序
查看: 4336|回复: 1

Windows服务器应对高并发和DDOS攻击的配置方法

[复制链接]

37

主题

44

帖子

153

积分

注册会员

Rank: 2

积分
153
发表于 2015-2-6 13:57:28 来自手机 | 显示全部楼层 |阅读模式
windows系统本身就有很多机制可以用来提高性能和安全,其中有不少可以用来应对高并发请求和DDOS攻击的情况。



通过以下配置可以改善windows服务器性能:



一、应对高并发请求:



1、TCP连接延迟等待时间 TcpTimedWaitDelay:



这是设定TCP/IP 可释放已关闭连接并重用其资源前,必须经过的时间。关闭和释放之间的此时间间隔通称 TIME_WAIT状态或两倍最大段生命周期(2MSL)状态。在此时间内,重新打开到客户机和服务器的连接的成本少于建立新连接。减少此条目的值允许 TCP/IP更快地释放已关闭的连接,为新连接提供更多资源。如果运行的应用程序需要快速释放和创建新连接,而且由于 TIME_WAIT中存在很多连接,导致低吞吐量,则调整此参数。缺省值240秒,最小30秒,最大300秒,建议设为30秒。





[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]

"TcpTimedWaitDelay"=dword:0000001e



2、最大TCP使用端口 MaxUserPort:



TCP客户端和服务器连接时,客户端必须分配一个动态端口,默认情况下这个动态端口的分配范围为 1024-5000,也就是说默认情况下,客户端最多可以同时发起3977个Socket连接。通过修改调整这个动态端口的范围,可以提高系统的数据吞吐率





[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]

"MaxUserPort"=dword:000ffffe



3、保持连接时间 KeepAliveTime:



Windows默认情况下不发送保持活动数据包,但某些TCP包中可能请求保持活动的数据包。保持连接可以被攻击者利用建立大量的连接造成服务器拒绝服务。降低这个参数值有助于系统更快速地断开非活动会话。





[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]

"KeepAliveTime"=dword:000493e0



4、TCP数据最大重发次数 TcpMaxDataRetransmissions



此参数控制TCP在连接异常中止前数据段重新传输的次数。如果这个限定次数内,计算机没有收到任何确认消息,连接将会被终止。



[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]

"TcpMaxDataRetransmissions"=dword:00000003



5、TCP连接最大重发次数 TcpMaxConnectResponseRetransmissions

此参数设定SYN-ACK等待时间,可以用来提高系统的网络性能。缺省时间为3,消耗时间为45秒;项值为2,消耗时间为21秒;项值为1,消耗时间为9秒;项值为0,表示不等待,消耗时间为3秒



[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]

"TcpMaxConnectResponseRetransmissions"=dword:00000002



二、应对DDOS攻击:(包括以上设置)



1、SYN攻击防护 SynAttackProtect:



为防范SYN攻击,Windows NT系统的TCP/IP协议栈内嵌了SynAttackProtect机制。SynAttackProtect机制是通过关闭某些socket选项,增加额外的连接指示和减少超时时间,使系统能处理更多的SYN连接,以达到防范SYN攻击的目的。



[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]

"SynAttackProtect"=dword:00000002



2、无效网关检测功能 EnableDeadGWDetect:



当服务器设置了多个网关,在网络不通畅的时候系统会尝试连接第二个网关。允许自动探测失效网关可导致 DoS,关闭它可以抵御SNMP攻击,优化网络。



[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]

"EnableDeadGWDetect"=dword:00000000



3、ICMP重定向功能 EnableICMPRedirect:



是否响应ICMP重定向报文。ICMP重定向报文有可能被用以攻击,所以系统应该拒绝接受此类报文,用以抵御ICMP攻击。



[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]

"EnableICMPRedirect"=dword:00000000



4、IP源路由限制 DisableIPSourceRouting:



是否禁用IP源路由包,禁用可以提高IP源路由保护级别,用以防范数据包欺骗



[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]

"DisableIPSourceRouting"=dword:00000002

5、路由发现功能 PerformRouterDiscovery:



ICMP路由通告报文可以被用来增加路由表纪录,可能导致DOS攻击,所以禁止路由发现。



[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]

"PerformRouterDiscovery"=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces]

"PerformRouterDiscovery"=dword:00000000



6、服务器名响应功能 NoNameReleaseOnDemand



允许计算机忽略除来自 Windows服务器以外的 NetBIOS名称发布请求。当攻击者发出查询服务器NetBIOS名的请求时,可以使服务器禁止响应。



[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]

"NoNameReleaseOnDemand"=dword:00000001



7、Internet组管理协议级别 IGMPLevel



用于控制系统在多大程度上支持IP组播和参与Internet组管理协议。缺省值为2,支持发送和接收组播数据;项值为1表示只支持发送组播数据;项值为0表示不支持组播功能。



[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]

"IGMPLevel"=dword:00000000



8、匿名访问限制 RestrictAnonymous



用于禁止匿名访问查看用户列表和安全权限。匿名访问可以使连接者与目标主机建立一条空连接而无需用户名和密码,利用这个空连接,连接者可以得到用户列表。有了用户列表,就可以穷举猜测密码。



[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]

"restrictanonymous"=dword:00000001

0

主题

2

帖子

8

积分

新手上路

Rank: 1

积分
8
发表于 2017-4-12 16:58:44 | 显示全部楼层
谢谢你啊,好帖子不顶不行













幼儿教育读后感
拍亲子照的姿势室内
劳务用工合同范本
两性生活技巧
五个月宝宝喂养
小沢优名番号列表封面
新生儿生长发育对照表
菅野亚梨沙番号列表封面
飞鸟伊央磁力链接
宝宝育儿
幼儿园后勤工作计划
漆屋真帆磁力链接
中川美香磁力链接
警花王梦溪bt种子图
孕前基础检查
幼儿教育论文范文4000
酒井法子不雅视频
亲子游戏大全
松冈千菜番号列表封面
濑亚美莉迅雷种子
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

友情提示: 没有图片帖子!

申请友链 |Archiver | 站长之家讨论论坛

© 2012-2020 站长之家备案号:( 浙ICP备14006854号 ) GMT+8, 2020-8-7 00:20 , Processed in 0.477967 second(s), 44 queries . Powered by kuhack.net X3.2    

禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.如遇版权问题,请及时联系点击这里给我发消息

今天是: | 本站已经安全运行: //这个地方可以改颜色

低部图片

返回顶部