AI摘要:文章介绍了如何通过调整Windows注册表中的一些参数来增强IIS对SYN Flood攻击的防御能力。通过修改注册表中的一些数值,如启用SYN攻击保护、设置允许打开的半连接数量、判断攻击触发点、设置等待SYN-ACK时间等,可以提高IIS对SYN Flood攻击的抵御能力。其中,还提到了一些微软站点的安全推荐数值,以及针对IP源路由和处于TIME_WAIT状态的限制措施。
Powered by 部落Bot.

增強IIS防禦SYN Flood的能力
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]

啟動syn攻擊保護。缺省項值為0,表示不開啟攻擊保護,項值為1和2表示啟動syn攻擊保護,設成2之後

安全級別更高,對何種狀況下認為是攻擊,則需要根據下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值

設定的條件來觸發啟動了。這裏需要注意的是,NT4.0必須設為1,設為2後在某種特殊資料包下會導致系統重啟。

SynAttackProtect=dword00000002

同時允許打開的半連接數量。所謂半連接,表示未完整建立的TCP會話,用netstat命令可以看到呈SYN_RCVD狀態

的就是。這裏使用微軟建議值,伺服器設為100,高級伺服器設為500。建議可以設稍微小一點。

TcpMaxHalfOpen=dword00000064

判斷是否存在攻擊的觸發點。這裏使用微軟建議值,伺服器為80,高級伺服器為400。

TcpMaxHalfOpenRetried=dword00000050

設置等待SYN-ACK時間。缺省項值為3,缺省這一過程消耗時間45秒。項值為2,消耗時間為21秒。

項值為1,消耗時間為9秒。最低可以設為0,表示不等待,消耗時間為3秒。這個值可以根據遭受攻擊規模修改。

微軟站點安全推薦為2。

TcpMaxConnectResponseRetransmissions=dword00000001

設置TCP重傳單個資料段的次數。缺省項值為5,缺省這一過程消耗時間240秒。微軟站點安全推薦為3。

TcpMaxDataRetransmissions=dword00000003

設置syn攻擊保護的臨界點。當可用的backlog變為0時,此參數用於控制syn攻擊保護的開啟,微軟站點安全推薦為5。

TCPMaxPortsExhausted=dword00000005

禁止IP源路由。缺省項值為1,表示不轉發源路由包,項值設為0,表示全部轉發,設置為2,表示丟棄所有接受的

源路由包,微軟站點安全推薦為2。

DisableIPSourceRouting=dword0000002

限制處於TIME_WAIT狀態的最長時間。缺省為240秒,最低為30秒,最高為300秒。建議設為30秒。
TcpTimedWaitDelay=dword0000001e