windows服务器的DDOS防御,

最新推荐文章于 2022-09-18 07:44:56 发布
最新推荐文章于 2022-09-18 07:44:56 发布
阅读量640 收藏 2
点赞数 1
文章标签: 操作系统 网络
原文链接:http://www.cnblogs.com/tietazhan/p/6112966.html
版权

抵御 SYN 攻击

SYN 攻击利用了 TCP/IP 连接建立机制中的安全漏洞。要实施 SYN 洪水攻击,攻击者会使用程序发送大量 TCP SYN 请求来填满服务器上的挂起连接队列。这会禁止其他用户建立网络连接。

要保护网络抵御 SYN 攻击,请按照下面这些通用步骤操作(这些步骤将在本文档的稍后部分进行说明):

启用 SYN 攻击保护

设置 SYN 保护阈值

设置其他保护

启用 SYN 攻击保护

启用 SYN 攻击保护的命名值位于此注册表项的下面:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

值名称: SynAttackProtect

建议值: 2

有效值: 0 – 2

说明:使 TCP 调整 SYN-ACK 的重传。配置此值后,在遇到 SYN 攻击时,对连接超时的响应将更快速。在超过 TcpMaxHalfOpen 或TcpMaxHalfOpenRetried 的值后,将触发 SYN 攻击保护。

设置 SYN 保护阈值

下列值确定触发 SYN 保护的阈值。这一部分中的所有注册表项和值都位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 的下面。这些注册表项和值是:

值名称: TcpMaxPortsExhausted
建议值: 5
有效值: 0 – 65535
说明:指定触发 SYN 洪水攻击保护所必须超过的 TCP 连接请求数的阈值。

值名称: TcpMaxHalfOpen
建议的数值数据: 500
有效值: 100 – 65535
说明:在启用 SynAttackProtect 后,该值指定处于 SYN_RCVD 状态的 TCP 连接数的阈值。在超过 SynAttackProtect 后,将触发 SYN 洪水攻击保护。

值名称: TcpMaxHalfOpenRetried
建议的数值数据: 400
有效值: 80 – 65535
说明:在启用 SynAttackProtect 后,该值指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值。在超过SynAttackProtect 后,将触发 SYN 洪水攻击保护。

设置其他保护

这一部分中的所有注册表项和值都位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 的下面。这些注册表项和值是:

值名称: TcpMaxConnectResponseRetransmissions 
建议的数值数据: 2
有效值: 0 – 255
说明:控制在响应一次 SYN 请求之后、在取消重传尝试之前 SYN-ACK 的重传次数。

值名称: TcpMaxDataRetransmissions
建议的数值数据: 2
有效值: 0 – 65535
说明:指定在终止连接之前 TCP 重传一个数据段(不是连接请求段)的次数。

值名称: EnablePMTUDiscovery
建议的数值数据: 0
有效值: 0, 1
说明:将该值设置为 1(默认值)可强制 TCP 查找在通向远程主机的路径上的最大传输单元或最大数据包大小。攻击者可能将数据包强制分段,这会使堆栈不堪重负。对于不是来自本地子网的主机的连接,将该值指定为 0 可将最大传输单元强制设为 576 字节。

值名称: KeepAliveTime
建议的数值数据: 300000
有效值: 80 – 4294967295
说明:指定 TCP 尝试通过发送持续存活的数据包来验证空闲连接是否仍然未被触动的频率。

值名称: NoNameReleaseOnDemand
建议的数值数据: 1
有效值: 0, 1
说明:指定计算机在收到名称发布请求时是否发布其 NetBIOS 名称。

使用表 1 中汇总的值可获得最大程度的保护。

表 1:建议值

值名称值 (REG_DWORD)

SynAttackProtect

2

TcpMaxPortsExhausted

1

TcpMaxHalfOpen

500

TcpMaxHalfOpenRetried

400

TcpMaxConnectResponseRetransmissions

2

TcpMaxDataRetransmissions

2

EnablePMTUDiscovery

0

KeepAliveTime

300000(5 分钟)

NoNameReleaseOnDemand

1

 

抵御 ICMP 攻击

这一部分的命名值都位于注册表项 HKLM\System\CurrentControlSet\Services\AFD\Parameters 的下面

: EnableICMPRedirect
建议的数值数据: 0
有效值:0(禁用),1(启用)
说明:通过将此注册表值修改为 0,能够在收到 ICMP 重定向数据包时禁止创建高成本的主机路由。

使用表 2 中汇总的值可以获得最大程度的保护:

表 2:建议值

值名称值 (REG_DWORD)

EnableICMPRedirect

0

 

抵御 SNMP 攻击

这一部分的命名值位于注册表项 HKLM\System\CurrentControlSet\Services\Tcpip\Parameters 的下面。

: EnableDeadGWDetect
建议的数值数据: 0
有效值:0(禁用),1(启用)
说明:禁止攻击者强制切换到备用网关

使用表 3 中汇总的值可以获得最大程度的保护:

表 3:建议值

值名称值 (REG_DWORD)

EnableDeadGWDetect

0

 

AFD.SYS 保护

下面的注册表项指定内核模式驱动程序 Afd.sys 的参数。Afd.sys 用于支持 Windows Sockets 应用程序。这一部分的所有注册表项和值都位于注册表项 HKLM\System\CurrentControlSet\Services\AFD\Parameters 的下面。这些注册表项和值是:

值 EnableDynamicBacklog
建议的数值数据: 1
有效值:0(禁用),1(启用)
说明:指定 AFD.SYS 功能,以有效处理大量的 SYN_RCVD 连接。有关详细信息,请参阅“Internet Server Unavailable Because of Malicious SYN Attacks”,网址为 http://support.microsoft.com/default.aspx?scid=kb;en-us;142641(英文)。

值名称: MinimumDynamicBacklog
建议的数值数据: 20
有效值: 0 – 4294967295
说明:指定在侦听的终结点上所允许的最小空闲连接数。如果空闲连接的数目低于该值,线程将被排队,以创建更多的空闲连接

值名称:MaximumDynamicBacklog
建议的数值数据: 20000
有效值: 0 – 4294967295
说明:指定空闲连接以及处于 SYN_RCVD 状态的连接的最大总数。

值名称: DynamicBacklogGrowthDelta
建议的数值数据: 10
有效值: 0 – 4294967295
默认情况下是否出现:否
说明:指定在需要增加连接时将要创建的空闲连接数。

使用表 4 中汇总的值可以获得最大程度的保护。

表 4:建议值

值名称值 (REG_DWORD)

EnableDynamicBacklog

1

MinimumDynamicBacklog

20

MaximumDynamicBacklog

20000

DynamicBacklogGrowthDelta

10

 

其他保护

这一部分的所有注册表项和值都位于注册表项 HKLM\System\CurrentControlSet\Services\Tcpip\Parameters 的下面。

保护屏蔽的网络细节

网络地址转换 (NAT) 用于将网络与传入连接屏蔽开来。攻击者可能规避此屏蔽,以便使用 IP 源路由来确定网络拓扑。

: DisableIPSourceRouting
建议的数值数据: 1
有效值:0(转发所有数据包),1(不转发源路由数据包),2(丢弃所有传入的源路由数据包)。
说明:禁用 IP 源路由,后者允许发送者确认数据报在网络中应采用的路由。

避免接受数据包片段

处理数据包片段可以是高成本的。虽然拒绝服务很少来自外围网络内,但此设置能防止处理数据包片段。

: EnableFragmentChecking
建议的数值数据: 1
有效值:0(禁用),1(启用)
说明:禁止 IP 堆栈接受数据包片段。

切勿转发去往多台主机的数据包

多播数据包可能被多台主机响应,从而导致响应淹没网络。

: EnableMulticastForwarding 
建议的数值数据: 0
有效范围:0 (false),1 (true)
说明:路由服务使用此参数来控制是否转发 IP 多播。此参数由路由和远程访问服务创建。

只有防火墙可以在网络间转发数据包

多主机服务器切勿在它所连接的网络之间转发数据包。明显的例外是防火墙。

: IPEnableRouter
建议的数值数据: 0
有效范围:0 (false),1 (true)
说明:将此参数设置为 1 (true) 会使系统在它所连接的网络之间路由 IP 数据包。

屏蔽网络拓扑结构细节

可以使用 ICMP 数据包请求主机的子网掩码。只泄漏此信息是无害的;但是,可以利用多台主机的响应来了解内部网络的情况。

: EnableAddrMaskReply
建议的数值数据: 0
有效范围:0 (false),1 (true)
说明:此参数控制计算机是否响应 ICMP 地址屏蔽请求。

使用表 5 中汇总的值可以获得最大程度的保护。

表 5:建议值

值名称值 (REG_DWORD)

DisableIPSourceRouting

1

EnableFragmentChecking

1

EnableMulticastForwarding

0

IPEnableRouter

0

EnableAddrMaskReply

0

 

转载于:https://www.cnblogs.com/tietazhan/p/6112966.html

weixin_30484739
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows Server 2019 DDOS攻击处理
a1063325836的专栏
02-02 1227
最近由于二级域名使用URL转发的需要在Server端开放了一个端口,突然某天服务器死机。 查看IIS的日志,发现大量的国外ip恶意访问该端口,日志文件暴涨。 在尝试网Windows防火墙、IIS的IP地域限制无法满足我的需求之后,选择使用IP安全策略拦截恶意访问的IP。 开启Windows防火墙的拦截会使URL的重写失效,阿里转发被拦截(动态IP)。 IIS的IP地域限制只能限制恶意IP的访问(返回404),并不能处理宽带被恶意占用的问题。 使用IP安全策略拦截恶意访问的IP段,可以完美的拦截这些
CC攻击 DDOS攻击和SYN攻击以及防御
LI0001295728的博客
06-16 1257
CC攻击主要攻击网站页面的,CC攻击的原理就是攻击者控制一些虚拟IP不停地发大量数据包给对方服务器造成服务器资源耗尽 DDOS攻击有称为洪水攻击,DDOS攻击原理就是攻击者对网络资源发送过量数据,导致服务器无法正常运行 SYN攻击又称为小包攻击,SYN攻击的原理就是SYN它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源 防御方式: 防御CC攻击可以通过多种方法,禁止网站代理访问,尽量将网站做成静态页面,限制连接数量,修改最大超时时间等 防御DDOS攻击可以通过...
windows预防ddos设置
12-06
windows 针对ddos 优化设置文件 ,直接合并注册表即可
如何防御DOS和DDOS攻击
guodaoying的博客
07-16 6817
1.DOS DOS攻击是最早出现的,它的攻击方法说白了就是单挑,是比谁的机器性能好、速度快。举个这样的攻击 例子,假如你的机器每秒能够发送10个攻击用的数据包,而被你攻击的机器(性能、网络带宽都是顶尖的) 每秒能够接受并处理100攻击数据包,那样的话,你的攻击就什么用处都没有了,而且非常有死机的可能。 要知道,你若是发送这种1VS1的攻击,你的机器的CPU占用率是90%以上的,你的机器要是
Windows如何拒绝用户Ping【防止ddos攻击】
好幸运
08-27 365
https://jingyan.baidu.com/article/ab69b270bc8d292ca7189f1f.html
基于全局网络PCA的DDoS攻击检测方法 (2012年)
05-18
随着网络规模的不断扩充,对于DDoS攻击的集中式检测方法已经无法满足实时性和准确性等要求。针对大规模网络中的DDoS攻击行为,提出了一种基于全局PCA的分布式拒绝服务攻击检测方法(WPCAD)。该方法由传统的OD矩阵得出各节点的ODin矩阵,各分布式处理单元通过PCA分析到达该节点的多路OD流之间的相关性,利用DDoS攻击流引起流量之间相关性突变的特性来完成检测。该方法采用分布式处理的方式,降低了检测数据所消耗的带宽,并满足了检测的实时性。实验结果表明该方法具有更好的检测效果。
ddos防御 wamp apache 32位操作系统
02-07
DDoS防御网络安全领域的重要话题,特别是在Web服务器的运行环境中,如WAMP(Windows、Apache、MySQL、PHP)系统。WAMP是Windows平台上的一个开源软件套装,常用于搭建本地开发环境。Apache作为WAMP中的Web服务器,...
防御DDOS注册表.rar
07-16
DDoS(Distributed Denial of Service)攻击是网络攻防中的常见问题,它通过大量恶意流量淹没目标服务器...在实际操作中,还应结合其他网络安全措施,如网络监控、日志分析以及专业安全服务,构建全面的DDoS防御体系。
ddos专防工具 apache wamp
02-07
这是一个开源的DDoS防御模块,能够检测并阻止异常的HTTP请求,以防止服务器被过度利用。 mod_evasive的运作机制主要包括两个关键部分:请求速率限制和IP封锁。当服务器接收到过于频繁的请求时,mod_evasive会启动...
天鹰ddos防火墙487旗舰版
04-12
【V4.87 Build20120402.1 更新说明】-- 2012年04月02日 ...天鹰抗DDoS防火墙对付DDoS工具 XDOS、HGOD、SYNKILLER、CC、GZDOS、PKDOS、JDOS、KKDOS、SUPERDDOS、FATBOY、SYNKFW、DDOSBINGDUN等数十种
基于服务器DDos系统
09-20
在构建基于服务器DDoS防御系统时,Winpcap可用于实时监控网络流量,检测异常流量模式,如突然增加的UDP数据包数量,从而尽早发现潜在的DDoS攻击。 3. **拒绝服务(DoS)攻击**:DoS攻击是通过向目标服务器发送...
一个注册表键值HKLM/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters, SearchList项,容易被忽视的设置错误。
编程岁月
04-20 5425
<br /> <br />大家知道,下面命令可以设置Windows的默认域名列表。<br />REG ADD //server009/HKLM/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters /v SearchList /d "abc.com,bcd.com,cde.com,edf.com" /f<br /> <br />它的作用是,比如你要Ping一台server - 全名: blog.edf.com.<br />通常我们用:Ping blog.edf
windows服务器的基线安全(等保要求)
weixin_45574151的博客
03-01 3780
windows服务器的基线安全(等保要求参考 ) 下图是扫描出来的需要做基线的选项 加固建议都已经贴出来了,按照这个参考可以合格,有部分需要人工现场核实确认,这个要根据具体需求操作。 1、防火墙TCP\IP筛选配置 1.进入“控制面板”->“网络连接”->“本地连接”; 2.进入“Internet协议(TCP/IP)->属性”->“高级->TCP/IP设置”; 3.在“选项”的属性中启用网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。 2、
windows服务器应对高并发和DDOS攻击
ithome
08-02 580
windows系统本身就有很多机制可以用来提高性能和安全,其中有不少可以用来应对高并发请求和DDOS攻击的情况。 通过以下配置可以改善windows服务器性能: 一、应对高并发请求: 1、TCP连接延迟等待时间TcpTimedWaitDelay: 这是设定TCP/IP可释放已关闭连接并重用其资源前,必须经过的时间。关闭和释放之间的此时间间隔通称TIME_WAIT状态或两倍最大段生命周期(2...
Windows服务器如何配置应对DDOS攻击?
LuHai3005151872的博客
08-14 1318
很多站长听到DDOS攻击都非常害怕,不知道该如何防御。其实windows系统本身就有很多机制可以用来提高性能和安全,其中有不少可以用来应对高并发请求和DDOs攻击的情况。今天就来给大家分享一下,通过以下配置可以改善windows服务器性能: 1、SYN攻击防护 SynAttackProtect: 为防范SYN攻击,Windows NT系统的TCP/IP协议栈内嵌了SynAttackProtect机制。SynAttackProtect机制是通过关闭某些socket选项,增加额外的连接指示和减少超时时间,使系
服务器DDoS 攻击的几种方法策略分享
littlesmallless的博客
09-18 1575
这是决定性的一点,因为数据的带宽的直接决定了你防御的能力,DDoS攻击是采用通过阻塞你的带宽来攻击你的服务器,只要保证了足够的带宽,理论上你的云服务器是无敌的,但是这只是理论,通过带宽的升级,来保证你电脑阻挡DDoS攻击的时间更长,你也能更快的做出相应的反应。之中漏洞,是能够保证云服务安全的最基本的措施,不管是操作系统还是其中的相关软件,都要进行关注,一旦遇到了漏洞之后要迅速的打好补丁进行修补,并且及时的更新操作系统,增强操作系统本身的安全性。,使用代理服务器进行浏览,网页不会记住你的。
windows修改注册表防止ddos攻击
notedd的专栏
11-28 605
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] '关闭无效网关的检查。当服务器设置了多个网关,这样在网络不通畅的时候系统会尝试连接 '第二个网关,通过关闭它可以优化网络。 "EnableDeadGWDetect"=dword:00000000 '禁止响应ICMP重定向报文。此类报文有可能...
Windows Server 2012 开放防火墙端口号
热门推荐
方小块的博客
04-26 2万+
安装完phpstudy后,绑定域名和空间发现只能本地访问,外网无法访问发现是端口被防火墙阻挡了进入控制面板高级设置添加入站规则选择端口
NTP服务被利用做流量攻击以及检测预防手段
收集盒 Book box
10-30 8187
被攻击服务器相关配置: ip: eth0: 172.28.9.2 eth1: 192.168.0.2 eth3: 外网IP 某一天发现这台WEB服务器流量一直很高。 开始一直以为是WEB服务的流量很高,根本没往NTP服务那方面想。 因为我设置NTP服务的时候就有考虑到安全问题。 检测过程: #dstat -N eth3 可以发现发送流量非常大。 后面还用了
windows服务器如何防范cc攻击
最新发布
06-08
2. 使用 DDoS 防护软件:你可以使用 DDoS 防护软件,如 Cloudflare,来保护你的 Windows 服务器免受 CC 攻击。这些软件可以监视流量并自动封锁来自恶意 IP 地址的请求。 3. 更新服务器软件:请确保你的服务器软件和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值