資料出處 :http://www.alan888.com/Discuz/viewthread.php?tid=37111&highlight=DOS 防範DDOS攻擊的一點小方法 防範DDOS攻擊並不一定非要用防火牆。 針對目前各大傳奇私服站長受到盛大或者某些卑鄙小人的無恥行為,我特地整理了防止DDOS的攻擊資料! 絕對可以防止針對傳奇埠,或者WEB的大流量的DDOS承受大約40萬個包的攻擊量 設置保護80.7000.7100.7200等你的傳奇埠的。 然後按下面整理的註冊表修改或者添加下面的數值。 請注意,以下的安全設置均通過註冊表進行修改,該設置的性能取決於伺服器的配置,尤其是CPU的處理能力。如按照如下進行安全設置,採用雙路至強2.4G的伺服器配置,經過測試,可承受大約1萬個包的攻擊量。 接下來你就可以高枕無憂了。 一部份DDOS我們可以通過DOS命令netstat -an|more或者網路綜合分析軟體:sniff等查到相關攻擊手法、如攻擊某個主要埠、或者對方主要來自哪個埠、對方IP等。這樣我們可以利用w2k自帶的遠端存取與路由或者IP策略等本身自帶的工具解決掉這些攻擊。做為無法利用這些查到相關資料的我們也可以嘗試一下通過對伺服器進行安全設置來防範DDOS攻擊。 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] '關閉無效閘道的檢查。當伺服器設置了多個閘道,這樣在網路不通暢的時候系統會嘗試連接 '第二個閘道,通過關閉它可以優化網路。 "EnableDeadGWDetect"=dword:00000000 '禁止回應ICMP重定向報文。此類報文有可能用以攻擊,所以系統應該拒絕接受ICMP重定向報文。 "EnableICMPRedirects"=dword:00000000 '不允許釋放NETBIOS名。當攻擊者發出查詢伺服器NETBIOS名的請求時,可以使伺服器禁止回應。 '注意系統必須安裝SP2以上 "NonameReleaseOnDemand"=dword:00000001 '發送驗證保持活動資料包。該選項決定TCP間隔多少時間來確定當前連接還處於連接狀態, '不設該值,則系統每隔2小時對TCP是否有閒置連接進行檢查,這裏設置時間為5分鐘。 "KeepAliveTime"=dword:000493e0 '禁止進行最大包長度路徑檢測。該項值為1時,將自動檢測出可以傳輸的資料包的大小, '可以用來提高傳輸效率,如出現故障或安全起見,設項值為0,表示使用固定MTU值576bytes。 "EnablePMTUDiscovery"=dword:00000000 '啟動syn攻擊保護。缺省項值為0,表示不開啟攻擊保護,項值為1和2表示啟動syn攻擊保護,設成2之後 '安全級別更高,對何種狀況下認為是攻擊,則需要根據下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 '設定的條件來觸發啟動了。這裏需要注意的是,NT4.0必須設為1,設為2後在某種特殊資料包下會導致系統重啟。 "SynAttackProtect"=dword:00000002 '同時允許打開的半連接數量。所謂半連接,表示未完整建立的TCP會話,用netstat命令可以看到呈SYN_RCVD狀態 '的就是。這裏使用微軟建議值,伺服器設為100,高級伺服器設為500。建議可以設稍微小一點。 "TcpMaxHalfOpen"=dword:00000064 '判斷是否存在攻擊的觸發點。這裏使用微軟建議值,伺服器為80,高級伺服器為400。 "TcpMaxHalfOpenRetried"=dword:00000050 '設置等待SYN-ACK時間。缺省項值為3,缺省這一過程消耗時間45秒。項值為2,消耗時間為21秒。 '項值為1,消耗時間為9秒。最低可以設為0,表示不等待,消耗時間為3秒。這個值可以根據遭受攻擊規模修改。 '微軟站點安全推薦為2。 "TcpMaxConnectResponseRetransmissions"=dword:00000001 '設置TCP重傳單個資料段的次數。缺省項值為5,缺省這一過程消耗時間240秒。微軟站點安全推薦為3。 "TcpMaxDataRetransmissions"=dword:00000003 '設置syn攻擊保護的臨界點。當可用的backlog變為0時,此參數用於控制syn攻擊保護的開啟,微軟站點安全推薦為5。 "TCPMaxPortsExhausted"=dword:00000005 '禁止IP源路由。缺省項值為1,表示不轉發源路由包,項值設為0,表示全部轉發,設置為2,表示丟棄所有接受的 '源路由包,微軟站點安全推薦為2。 "DisableIPSourceRouting"=dword:0000002 '限制處於TIME_WAIT狀態的最長時間。缺省為240秒,最低為30秒,最高為300秒。建議設為30秒。 "TcpTimedWaitDelay"=dword:0000001e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters] '增大NetBT的連接塊增加幅度。缺省為3,範圍1-20,數值越大在連接越多時提升性能。每個連接塊消耗87個位元組。 "BacklogIncrement"=dword:00000003 '最大NetBT的連接快的數目。範圍1-40000,這裏設置為1000,數值越大在連接越多時允許更多連接。 "MaxConnBackLog"=dword:000003e8 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Afd\Parameters] '配置啟動動態Backlog。對於網路繁忙或者易遭受SYN攻擊的系統,建議設置為1,表示允許動態Backlog。 "EnableDynamicBacklog"=dword:00000001 '配置最小動態Backlog。默認項值為0,表示動態Backlog分配的自由連接的最小數目。當自由連接數目 '低於此數目時,將自動的分配自由連接。預設值為0,對於網路繁忙或者易遭受SYN攻擊的系統,建議設置為20。 "MinimumDynamicBacklog"=dword:00000014 '最大動態Backlog。表示定義最大"准"連接的數目,主要看記憶體大小,理論每32M記憶體最大可以 '增加5000個,這裏設為20000。 "MaximumDynamicBacklog"=dword:00002e20 '每次增加的自由連接資料。默認項值為5,表示定義每次增加的自由連接數目。對於網路繁忙或者易遭受SYN攻擊 '的系統,建議設置為10。 "DynamicBacklogGrowthDelta"=dword:0000000a 以下部分需要根據實際情況手動修改 '------------------------------------------------------------------------------------------------- '[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] '啟用網卡上的安全過濾 '"EnableSecurityFilters"=dword:00000001 ' '同時打開的TCP連接數,這裏可以根據情況進行控制。 '"TcpNumConnections"= ' '該參數控制 TCP 報頭表的大小限制。在有大量 RAM 的機器上,增加該設置可以提高 SYN 攻擊期間的回應性能。 '"TcpMaxSendFree"= ' '[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{自己的網卡介面}] '禁止路由發現功能。ICMP路由通告報文可以被用來增加路由表紀錄,可以導致攻擊,所以禁止路由發現。 "PerformRouterDiscovery "=dword:00000000