windows服务器的DDOS防护，

抵御 SYN 攻击 SYN 攻击利用了 TCP/IP 链接创建机制中的安全漏洞。要实施 SYN 洪水攻击，攻击者会使用程序发送大量 TCP SYN 请求来填满服务器上的挂起链接队列。这会禁止其余用户创建网络链接。 要保护网络抵御 SYN 攻击，请按照下面这些通用步骤操做（这些步骤将在本文档的稍后部分进行说明）： • 启用 SYN 攻击保护 • 设置 SYN 保护阈值 • 设置其余保护 启用 SYN 攻击保护 启用 SYN 攻击保护的命名值位于此注册表项的下面：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。 值名称： SynAttackProtect 建议值： 2 有效值： 0 – 2 说明：使 TCP 调整 SYN-ACK 的重传。配置此值后，在遇到 SYN 攻击时，对链接超时的响应将更快速。在超过 TcpMaxHalfOpen 或TcpMaxHalfOpenRetried 的值后，将触发 SYN 攻击保护。 设置 SYN 保护阈值 下列值肯定触发 SYN 保护的阈值。这一部分中的全部注册表项和值都位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 的下面。这些注册表项和值是： • 值名称： TcpMaxPortsExhausted 建议值： 5 有效值： 0 – 65535 说明：指定触发 SYN 洪水攻击保护所必须超过的 TCP 链接请求数的阈值。 • 值名称： TcpMaxHalfOpen 建议的数值数据： 500 有效值： 100 – 65535 说明：在启用 SynAttackProtect 后，该值指定处于 SYN_RCVD 状态的 TCP 链接数的阈值。在超过 SynAttackProtect 后，将触发 SYN 洪水攻击保护。 • 值名称： TcpMaxHalfOpenRetried 建议的数值数据： 400 有效值： 80 – 65535 说明：在启用 SynAttackProtect 后，该值指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 链接数的阈值。在超过SynAttackProtect 后，将触发 SYN 洪水攻击保护。 设置其余保护 这一部分中的全部注册表项和值都位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 的下面。这些注册表项和值是： • 值名称： TcpMaxConnectResponseRetransmissions  建议的数值数据： 2 有效值： 0 – 255 说明：控制在响应一次 SYN 请求以后、在取消重传尝试以前 SYN-ACK 的重传次数。 • 值名称： TcpMaxDataRetransmissions 建议的数值数据： 2 有效值： 0 – 65535 说明：指定在终止链接以前 TCP 重传一个数据段（不是链接请求段）的次数。 • 值名称： EnablePMTUDiscovery 建议的数值数据： 0 有效值： 0, 1 说明：将该值设置为 1（默认值）可强制 TCP 查找在通向远程主机的路径上的最大传输单元或最大数据包大小。攻击者可能将数据包强制分段，这会使堆栈不堪重负。对于不是来自本地子网的主机的链接，将该值指定为 0 可将最大传输单元强制设为 576 字节。 • 值名称： KeepAliveTime 建议的数值数据： 300000 有效值： 80 – 4294967295 说明：指定 TCP 尝试经过发送持续存活的数据包来验证空闲链接是否仍然未被触动的频率。 • 值名称： NoNameReleaseOnDemand 建议的数值数据： 1 有效值： 0, 1 说明：指定计算机在收到名称发布请求时是否发布其 NetBIOS 名称。 使用表 1 中汇总的值可得到最大程度的保护。 表 1：建议值 值名称 值 (REG_DWORD) SynAttackProtect 2 TcpMaxPortsExhausted 1 TcpMaxHalfOpen 500 TcpMaxHalfOpenRetried 400 TcpMaxConnectResponseRetransmissions 2 TcpMaxDataRetransmissions 2 EnablePMTUDiscovery 0 KeepAliveTime 300000（5 分钟） NoNameReleaseOnDemand 1   返回页首 抵御 ICMP 攻击 这一部分的命名值都位于注册表项 HKLM\System\CurrentControlSet\Services\AFD\Parameters 的下面 值： EnableICMPRedirect 建议的数值数据： 0 有效值：0（禁用），1（启用） 说明：经过将此注册表值修改成 0，可以在收到 ICMP 重定向数据包时禁止建立高成本的主机路由。 使用表 2 中汇总的值能够得到最大程度的保护： 表 2：建议值 值名称 值 (REG_DWORD) EnableICMPRedirect 0   返回页首 抵御 SNMP 攻击 这一部分的命名值位于注册表项 HKLM\System\CurrentControlSet\Services\Tcpip\Parameters 的下面。 值： EnableDeadGWDetect 建议的数值数据： 0 有效值：0（禁用），1（启用） 说明：禁止攻击者强制切换到备用网关 使用表 3 中汇总的值能够得到最大程度的保护： 表 3：建议值 值名称 值 (REG_DWORD) EnableDeadGWDetect 0   返回页首 AFD.SYS 保护 下面的注册表项指定内核模式驱动程序 Afd.sys 的参数。Afd.sys 用于支持 Windows Sockets 应用程序。这一部分的全部注册表项和值都位于注册表项 HKLM\System\CurrentControlSet\Services\AFD\Parameters 的下面。这些注册表项和值是： • 值 EnableDynamicBacklog 建议的数值数据： 1 有效值：0（禁用），1（启用） 说明：指定 AFD.SYS 功能，以有效处理大量的 SYN_RCVD 链接。有关详细信息，请参阅“Internet Server Unavailable Because of Malicious SYN Attacks”，网址为 http://support.microsoft.com/default.aspx?scid=kb;en-us;142641（英文）。 • 值名称： MinimumDynamicBacklog 建议的数值数据： 20 有效值： 0 – 4294967295 说明：指定在侦听的终结点上所容许的最小空闲链接数。若是空闲链接的数目低于该值，线程将被排队，以建立更多的空闲链接 • 值名称：MaximumDynamicBacklog 建议的数值数据： 20000 有效值： 0 – 4294967295 说明：指定空闲链接以及处于 SYN_RCVD 状态的链接的最大总数。 • 值名称： DynamicBacklogGrowthDelta 建议的数值数据： 10 有效值： 0 – 4294967295 默认状况下是否出现：否 说明：指定在须要增长链接时将要建立的空闲链接数。 使用表 4 中汇总的值能够得到最大程度的保护。 表 4：建议值 值名称 值 (REG_DWORD) EnableDynamicBacklog 1 MinimumDynamicBacklog 20 MaximumDynamicBacklog 20000 DynamicBacklogGrowthDelta 10   返回页首 其余保护 这一部分的全部注册表项和值都位于注册表项 HKLM\System\CurrentControlSet\Services\Tcpip\Parameters 的下面。 保护屏蔽的网络细节 网络地址转换 (NAT) 用于将网络与传入链接屏蔽开来。攻击者可能规避此屏蔽，以便使用 IP 源路由来肯定网络拓扑。 值： DisableIPSourceRouting 建议的数值数据： 1 有效值：0（转发全部数据包），1（不转发源路由数据包），2（丢弃全部传入的源路由数据包）。 说明：禁用 IP 源路由，后者容许发送者确认数据报在网络中应采用的路由。 避免接受数据包片断 处理数据包片断能够是高成本的。虽然拒绝服务不多来自外围网络内，但此设置能防止处理数据包片断。 值： EnableFragmentChecking 建议的数值数据： 1 有效值：0（禁用），1（启用） 说明：禁止 IP 堆栈接受数据包片断。 切勿转发去往多台主机的数据包 多播数据包可能被多台主机响应，从而致使响应淹没网络。 值： EnableMulticastForwarding  建议的数值数据： 0 有效范围：0 (false)，1 (true) 说明：路由服务使用此参数来控制是否转发 IP 多播。此参数由路由和远程访问服务建立。 只有防火墙能够在网络间转发数据包 多主机服务器切勿在它所链接的网络之间转发数据包。明显的例外是防火墙。 值： IPEnableRouter 建议的数值数据： 0 有效范围：0 (false)，1 (true) 说明：将此参数设置为 1 (true) 会使系统在它所链接的网络之间路由 IP 数据包。 屏蔽网络拓扑结构细节 可使用 ICMP 数据包请求主机的子网掩码。只泄漏此信息是无害的；可是，能够利用多台主机的响应来了解内部网络的状况。 值： EnableAddrMaskReply 建议的数值数据： 0 有效范围：0 (false)，1 (true) 说明：此参数控制计算机是否响应 ICMP 地址屏蔽请求。 使用表 5 中汇总的值能够得到最大程度的保护。 表 5：建议值 值名称 值 (REG_DWORD) DisableIPSourceRouting 1 EnableFragmentChecking 1 EnableMulticastForwarding 0 IPEnableRouter 0 EnableAddrMaskReply 0