抵抗DDOS攻击修改注册表增强系统

防范DDos攻击并不一定非要用防火墙。一部份DDOS我们可以通过DOS命令netstat -an　more或者网络综合分析软件：sniff等查到相关攻击手法、如攻击某个主要端口、或者对方主要来自哪个端口、对方IP等。这样我们可以利用w2k自带的远程访问与路由或者IP策略等本身自带的工具解决掉这些攻击。做为无法利用这些查到相关数据的我们也可以尝试一下通过对服务器进行安全设置来防范DDOS攻击。如果通过对服务器设置不能有效解决，那么就可以考虑购买抗DDOS防火墙了。其实从操作系统角度来说，本身就藏有很多的功能，只是很多是需要我们慢慢的去挖掘的。这里我给大家简单介绍一下如何在Win2000环境下通过修改注册表，增强系统的抗DoS能力。请注意，以下的安全设置均通过注册表进行修改，该设置的性能取决于服务器的配置，尤其是CPU的处理能力。如按照如下进行安全设置，采用双路至强2.4G的服务器配置，经过测试，可承受大约1万个包的攻击量。
[HKEY_LOCAL_MacHINESYSTEMCurrentControlSetServicesTcpipParameters]
关闭无效网关的检查。当服务器设置了多个网关，这样在网络不通畅的时候系统会尝试连接
第二个网关，通过关闭它可以优化网络。
"EnableDeadGWDetect"=dWord:00000000
禁止响应ICMP重定向报文。此类报文有可能用以攻击，所以系统应该拒绝接受ICMP重定向报文。
"EnableICMPRedirects"=dword:00000000
不允许释放NETBIOS名。当攻击者发出查询服务器NETBIOS名的请求时，可以使服务器禁止响应。
注意系统必须安装SP2以上
"NonameReleaseOnDemand"=dword:00000001
发送验证保持活动数据包。该选项决定TCP间隔多少时间来确定当前连接还处于连接状态，不设该值，则系统每隔2小时对TCP是否有闲置连接进行检查，这里设置时间为5分钟。
"KeepAliveTime"=dword:000493e0
禁止进行最大包长度路径检测。该项值为1时，将自动检测出可以传输的数据包的大小，可以用来提高传输效率，如出现故障或安全起见，设项值为0，表示使用固定MTU值576bytes 。
"EnablePMTUDiscovery"=dword:00000000
启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后
安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和cpMaxHalfOpenRetrIEd值设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值，服务器设为100，高级服务器设为500 。建议可以设稍微小一点。
"TcpMaxHalfOpen"=dword:00000064
判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400 。
"TcpMaxHalfOpenRetried"=dword:00000050
设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。BBS.bitsCN.com网管论坛
项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。
【抵抗DDOS攻击修改注册表增强系统】微软站点安全推荐为2 。
设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3 。
"TcpMaxDataRetransmissions"=dword:00000003
设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5 。
"TCPMaxPortsExhausted"=dword:00000005
禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的
源路由包，微软站点安全推荐为2 。
"DisableIPSourceRouting"=dword:0000002
限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。
"TcpTimedWaitDelay"=dword:0000001e
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters]
增大NetBT的连接块增加幅度。缺省为3，范围1-20，数值越大在连接越多时提升性能。每个连接块消耗87个字节。
"BacklogIncrement"=dword:00000003
最大NetBT的连接快的数目。范围1-40000，这里设置为1000，数值越大在连接越多时允许更多连接。
"MaxConnBackLog"=dword:000003e8
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAfdParameters]
配置激活动态Backlog 。对于网络繁忙或者易遭受SYN攻击的系统，建议设置为1，表示允许动态cklog 。
"EnableDynamicBacklog"=dword:00000001
配置最小动态Backlog 。默认项值为0，表示动态Backlog分配的自由连接的最小数目。当自由连接数目
低于此数目时，将自动的分配自由连接。默认值为0，对于网络繁忙或者易遭受SYN攻击的系统，建议设置为20 。
"MinimumDynamicBacklog"=dword:00000014
最大动态Backlog 。表示定义最大"准"连接的数目，主要看内存大小，理论每32M内存最大可以
增加5000个，这里设为20000 。BBS.bitsCN.com网管论坛
"MaximumDynamicBacklog"=dword:00002e20
每次增加的自由连接数据。默认项值为5，表示定义每次增加的自由连接数目。对于网络繁忙或者易遭受SYN攻击的系统，建议设置为10 。
"DynamicBacklogGrowthDelta"=dword:0000000a
以下部分需要根据实际情况手动修改
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]
启用网卡上的安全过滤
"EnableSecurityFilters"=dword:00000001同时打开的TCP连接数，这里可以根据情况进行控制。
"TcpNumConnections"=该参数控制 TCP 报头表的大小限制。在有大量 RAM 的机器上，增加该设置可以提高 SYN 攻击期间的响应性能。
"TcpMaxSendFree"[HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
ServicesTcpipParametersInterfaces]
禁止路由发现功能。ICMP路由通告报文可以被用来增加路由表纪录，可以导致攻击，所以禁止路由发现。
软件总是在不停地更新换代，供应商们总是希望大家在他们发布新版本时都立即进行升级，但这么做并不是必要的，毕竟，这些程序已经陪伴了我们多年，占据了日常生活的一席之地。那么如何充分挖掘这些软件的潜力呢？我们组织了一系列鲜为人知的技巧，遵照这些小技巧，你日常使用的应用程序，例如Office、IE、Firefox等，都能够发挥更大的作用、变得更为迅速强大，且更简单易用。这些技巧中所述的操作都是免费或者花费低廉的，但它们却能够在你的日常工作中发挥作用。
在世界没有变得更安全一些之前，一个像诺顿防病毒软件这样的工具还是任何计算机用户所不可或缺的。以下的技巧就是帮助你加固你的诺顿防护之墙的小法宝。
一、提速你的杀毒软件
当你在互联网中用到流音频媒体或是其它大的文件时，请不要运行磁盘扫描；在运行任何会频繁读取硬盘的程序时，也不要运行它。如果你有牢靠的防火墙，并及时对它更新的话，那么当你不会接触到互联网或是其它网络工具（包括电子邮件）时，你就可以禁用NAV的自动保护功能，因为这个“自动保护功能绝对会对你的性能造成不利的影响。
你只需要确保，在每次打开下载的文件前以及病毒库更新后对病毒进行扫描就可以了。如果诺顿的实时更新运行起来太过缓慢，那么你可以跳过赛门铁克的病毒库下载页面，直接在其中选择其最新的安全补丁以及病毒库即可。
二、整合你的杀毒软件和防火墙
如果你在你已经受ZoneAlarm防火墙保护的系统上安装诺顿杀毒软件的话，NAV则会提示你将ZoneAlarm卸载。请不要理睬它，直接点击“下一步按钮，诺顿的安装丝毫不会受到这个的影响。当你的计算机重新启动时，你就会发现ZoneAlarm防火墙已经被禁用。
要搞定这两个病毒扫描程序其实非常简单，在NAV中，选择“选项>诺顿杀毒软件，将所有的构选框通通去除，禁用NAV，接着重新启动计算机。这时会弹出一条信息，询问你是否要启用ZoneAlarm病毒扫描。如果这条提示没有出现的话，你可以双击系统托盘中的ZoneAlarm图标，手动地将它的杀毒和反间谍软件功能开启。在将之前的步骤反操作一次，你就可以同时获得诺顿杀毒软件中的功能了。
三、将你不需要的东西关闭
如果你仅仅是使用基于Web的电子邮件，例如仅通过浏览器访问Gmail或Yahoo邮箱，而不使用OutLook、Foxmail等电子邮件客户端的话，你就可以放心地将诺顿杀毒的自动邮件保护功能关闭：点击“选项>诺顿杀毒软件，在左边窗格中选中“电子邮件，将“扫描发送与接收的电子邮件一项的钩选去除即可。
四、让“自动保护功能开启
当你安装一个新游戏或应用程序持，赛门铁克会推荐你保持诺顿的自动保护功能激活。他们公司认为诺顿需要在软件安装的整个过程中的保持运行状态。从一些不知名站点所下载的程序可能隐藏有恶意软件，甚至有时一些知名厂商的软件压缩包中也可能偶然地藏有病毒。
五、保持消息畅通
你应该对最新的病毒威胁都有所耳闻。你可以查看赛门铁克安全响应中心（Symantec Security Response）的页面，那是一个“一站式的页面，你在此就能够了解到最新的病毒威胁，得知你常用软件中最新发现的漏洞（例如Excel、Windows Media Player甚至是Windows本身），找到最新的病毒查杀工具，知晓关于病毒的一些谣言，掌握赛门铁克发出ThreatCon警报。
另一个消息灵通丰富的网站则是TaskList.org，它标榜自己是能够帮助你判断你的计算机是否感染间谍软件、广告软件或病毒的终极资源。的确，它并没有在说笑。

抵抗DDOS攻击 修改注册表增强系统

抵抗DDOS攻击修改注册表增强系统