很多站长听到DDOS攻击都非常害怕,不知道该如何防御。其实windows系统本身就有很多机制可以用来提高性能和安全,其中有不少可以用来应对高并发请求和DDOs攻击的情况。今天就来给大家分享一下,通过以下配置可以改善windows服务器性能:
1、SYN攻击防护 SynAttackProtect:
为防范SYN攻击,Windows NT系统的TCP/IP协议栈内嵌了SynAttackProtect机制。SynAttackProtect机制是通过关闭某些socket选项,增加额外的连接指示和减少超时时间,使系统能处理更多的SYN连接,以达到防范SYN攻击的目的。
2、无效网关检测功能 EnableDeadGWDetect:
当服务器设置了多个网关,在网络不通畅的时候系统会尝试连接第二个网关。允许自动探测失效网关可导致 DoS,关闭它可以抵御SNMP攻击,优化网络。
3、ICMP重定向功能 EnableICMPRedirect:
是否响应ICMP重定向报文。ICMP重定向报文有可能被用以攻击,所以系统应该拒绝接受此类报文,用以抵御ICMP攻击。
4、IP源路由限制 DisableIPSourceRouting:
是否禁用IP源路由包,禁用可以提高IP源路由保护级别,用以防范数据包欺骗
5、路由发现功能 PerformRouterDiscovery:
ICMP路由通告报文可以被用来增加路由表纪录,可能导致DOS攻击,所以禁止路由发现。
6、服务器名响应功能 NoNameReleaseOnDemand
允许计算机忽略除来自 Windows服务器以外的 NetBIOS名称发布请求。当攻击者发出查询服务器NetBIOS名的请求时,可以使服务器禁止响应。
7、Internet组管理协议级别 IGMPLevel
用于控制系统在多大程度上支持IP组播和参与Internet组管理协议。缺省值为2,支持发送和接收组播数据;项值为1表示只支持发送组播数据;项值为0表示不支持组播功能。
8、匿名访问限制 RestrictAnonymous
用于禁止匿名访问查看用户列表和安全权限。匿名访问可以使连接者与目标主机建立一条空连接而无需用户名和密码,利用这个空连接,连接者可以得到用户列表。有了用户列表,就可以穷举猜测密码。
上面这些方法对于小流量攻击可以起到一定的防御效果,(仅供参考)但是面对大流量的DDOS攻击还是无能为力的。