Windows伺服器應對高並發和DDOS攻擊的配置方法_win伺服器

windows系統本身就有很多機制可以用來提高效能和安全，其中有不少可以用來應對高並發請求和DDOS攻擊的情況。

通過以下配置可以改善windows伺服器效能：

一、應對高並發請求：

1、TCP串連延遲等待時間 TcpTimedWaitDelay：

這是設定TCP/IP 可釋放已關閉串連並重用其資源前，必須經過的時間。關閉和釋放之間的此時間間隔通稱 TIME_WAIT狀態或兩倍最大段生命週期（2MSL）狀態。在此時間內，重新開啟到客戶機和伺服器的串連的成本少於建立新串連。減少此條目的值允許 TCP/IP更快地釋放已關閉的串連，為新串連提供更多資源。如果啟動並執行應用程式需要快速釋放和建立新串連，而且由於 TIME_WAIT中存在很多串連，導致低輸送量，則調整此參數。預設值240秒，最小30秒，最大300秒，建議設為30秒。

複製代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"TcpTimedWaitDelay"=dword:0000001e

2、最大TCP使用連接埠 MaxUserPort：

TCP用戶端和伺服器串連時，用戶端必須分配一個動態連接埠，預設情況下這個動態連接埠的分配範圍為 1024-5000，也就是說預設情況下，用戶端最多可以同時發起3977個Socket串連。通過修改調整這個動態連接埠的範圍，可以提高系統的資料吞吐率

複製代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"MaxUserPort"=dword:000ffffe

3、保持連線時間 KeepAliveTime：

Windows預設情況下不發送保持活動資料包，但某些TCP包中可能請求保持活動的資料包。保持串連可以被攻擊者利用建立大量的串連造成伺服器拒絕服務。降低這個參數值有助於系統更快速地斷開非活動會話。

複製代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"KeepAliveTime"=dword:000493e0

4、TCP資料最大重發次數 TcpMaxDataRetransmissions

此參數控制TCP在串連異常中止前資料區段重新傳輸的次數。如果這個限定次數內，電腦沒有收到任何確認訊息，串連將會被終止。

複製代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"TcpMaxDataRetransmissions"=dword:00000003

5、TCP串連最大重發次數 TcpMaxConnectResponseRetransmissions
此參數設定SYN-ACK等待時間，可以用來提高系統的網路效能。預設時間為3，消耗時間為45秒；項值為2，消耗時間為21秒；項值為1，消耗時間為9秒；項值為0，表示不等待，消耗時間為3秒

複製代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"TcpMaxConnectResponseRetransmissions"=dword:00000002

二、應對DDOS攻擊：（包括以上設定）

1、SYN攻擊防護 SynAttackProtect：

為防範SYN攻擊，Windows NT系統的TCP/IP協議棧內嵌了SynAttackProtect機制。SynAttackProtect機制是通過關閉某些socket選項，增加額外的串連指示和減少逾時時間，使系統能處理更多的SYN串連，以達到防範SYN攻擊的目的。

複製代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"SynAttackProtect"=dword:00000002

2、無效網關檢測功能 EnableDeadGWDetect：

當伺服器設定了多個網關，在網路不通暢的時候系統會嘗試串連第二個網關。允許自動探測失效網關可導致 DoS，關閉它可以抵禦SNMP攻擊，最佳化網路。

複製代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnableDeadGWDetect"=dword:00000000

3、ICMP重新導向功能 EnableICMPRedirect：

是否響應ICMP重新導向報文。ICMP重新導向報文有可能被用以攻擊，所以系統應該拒絕接受此類報文，用以抵禦ICMP攻擊。

複製代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnableICMPRedirect"=dword:00000000

4、IP源路由限制 DisableIPSourceRouting：

是否禁用IP源路由包，禁用可以提高IP源路由保護層級，用以防範資料包欺騙

複製代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"DisableIPSourceRouting"=dword:00000002

5、路由發現功能 PerformRouterDiscovery：

ICMP路由通告報文可以被用來增加路由表紀錄，可能導致DOS攻擊，所以禁止路由發現。

複製代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"PerformRouterDiscovery"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces]
"PerformRouterDiscovery"=dword:00000000

6、伺服器名響應功能 NoNameReleaseOnDemand

允許電腦忽略除來自 Windows伺服器以外的 NetBIOS名稱發布請求。當攻擊者發出查詢服務器NetBIOS名的請求時，可以使伺服器禁止響應。

複製代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"NoNameReleaseOnDemand"=dword:00000001

7、Internet組管理協議層級 IGMPLevel

用於控制系統在多大程度上支援IP組播和參與Internet組管理協議。預設值為2，支援傳送接收群組播資料；項值為1表示只支援發送組播資料；項值為0表示不支援組播功能。

複製代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"IGMPLevel"=dword:00000000

8、匿名訪問限制 RestrictAnonymous

用于禁止匿名訪問查看使用者列表和安全許可權。匿名訪問可以使串連者與目標主機建立一條空串連而無需使用者名稱和密碼，利用這個空串連，串連者可以得到使用者列表。有了使用者列表，就可以窮舉猜測密碼。

複製代碼 代碼如下:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001