服务器安全　妙招儿防范拒绝服务攻击

3、增加SYN缓存法

上面提到的BAN IP法虽然可以有效的防止DOS与DDOS的攻击但由于使用了屏蔽IP功能，自然会误将某些正常访问的IP也过滤掉。所以在遇到小型攻击时不建议大家使用上面介绍的BAN IP法。我们可以通过修改SYN缓存的方法防御小型DOS与DDOS的攻击。该方法在笔者所在公司收效显著。

修改SY缓存大小是通过注册表的相关键值完成的。我们将为各位读者介绍在WINDOWS2003和2000中的修改方法。

(1）Windows2003下拒绝访问攻击的防范

第一步：“开始->运行->输入regedit”进入注册表编辑器。

第二步：找到

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

小提示：该参数可使TCP调整SYN-ACKS的重新传输。将SynAttackProtect设置为1时，如果系统检测到存在SYN攻击，连接响应的超时时间将更短。

第三步：将

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnableDeadGWDetect

第四步：将

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnablePMTUDiscovery

第五步：将

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

(2）Windows2000下拒绝访问攻击的防范

在Windows2000下拒绝访问攻击的防范方法和2003基本相似，只是在设置数值上有些区别。我们做下简单介绍。

第一步：将SynAttackProtect设置为2。

第二步：将EnableDeadGWDetect设置为0。

第三步：将EnablePMTUDiscovery设置为0。

第四步：将KeepAliveTime设置为300000。

第五步：将NoNameReleaseOnDemand设置为1。

总结

经过上面介绍的察觉攻击法，BAN IP法和最后的修改注册表法可以有效的防范DOS与DDOS的攻击。不过由于DDOS攻击的特点，实际上没有一台服务器能够彻底防范它，即使安装了专业的防范DDOS的硬件防火墙也不能百分之百的避免损失。今天介绍的几个方法只是免费的防范手段，实际中能起到一定的效果。