3、增加SYN緩存法

上面提到的BAN IP法雖然可以有效的防止DOS與DDOS的攻擊但由于使用了屏蔽IP功能，自然會(huì)誤將某些正常訪問(wèn)的IP也過(guò)濾掉。所以在遇到小型攻擊時(shí)不建議大家使用上面介紹的BAN IP法。我們可以通過(guò)修改SYN緩存的方法防御小型DOS與DDOS的攻擊。該方法在筆者所在公司收效顯著。

修改SY緩存大小是通過(guò)注冊(cè)表的相關(guān)鍵值完成的。我們將為各位讀者介紹在WINDOWS2003和2000中的修改方法。

（1）Windows2003下拒絕訪問(wèn)攻擊的防范

第一步："開(kāi)始->運(yùn)行->輸入regedit"進(jìn)入注冊(cè)表編輯器。

第二步：找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices在其下的有個(gè)SynAttackProtect鍵值。默認(rèn)為0將其修改為1可更有效地防御SYN攻擊。

小提示：該參數(shù)可使TCP調(diào)整SYN-ACKS的重新傳輸。將SynAttackProtect設(shè)置為1時(shí)，如果系統(tǒng)檢測(cè)到存在SYN攻擊，連接響應(yīng)的超時(shí)時(shí)間將更短。

第三步：將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下EnableDeadGWDetect鍵值，將其修改為0。該設(shè)置將禁止SYN攻擊服務(wù)器后強(qiáng)迫服務(wù)器修改網(wǎng)關(guān)從而使服務(wù)暫停。

第四步：將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下EnablePMTUDiscovery鍵值，將其修改為0。這樣可以限定攻擊者的MTU大小，降低服務(wù)器總體負(fù)荷。

第五步：將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下的KeepAliveTime設(shè)置為300,000，將NoNameReleaseOnDemand設(shè)置為1。

（2）Windows2000下拒絕訪問(wèn)攻擊的防范

在Windows2000下拒絕訪問(wèn)攻擊的防范方法和2003基本相似，只是在設(shè)置數(shù)值上有些區(qū)別。我們做下簡(jiǎn)單介紹。

第一步：將SynAttackProtect設(shè)置為2。

第二步：將EnableDeadGWDetect設(shè)置為0。

第三步：將EnablePMTUDiscovery設(shè)置為0。

第四步：將KeepAliveTime設(shè)置為300000。

第五步：將NoNameReleaseOnDemand設(shè)置為1。

總結(jié)

經(jīng)過(guò)上面介紹的察覺(jué)攻擊法，BAN IP法和最后的修改注冊(cè)表法可以有效的防范DOS與DDOS的攻擊。不過(guò)由于DDOS攻擊的特點(diǎn)，實(shí)際上沒(méi)有一臺(tái)服務(wù)器能夠徹底防范它，即使安裝了專(zhuān)業(yè)的防范DDOS的硬件防火墻也不能百分之百的避免損失。今天介紹的幾個(gè)方法只是免費(fèi)的防范手段，實(shí)際中能起到一定的效果。

多易