一位高手整理的IIS FAQ

2021-04-07 00:49:53 字數 1399 閱讀 2536

7.如何增強iis防禦syn flood的能力?

windows registry editor version 5.00

[hkey_local_machine/system/currentcontrolset/services/tcpip/parameters]

'啟動syn攻擊保護。預設項值為0,表示不開啟攻擊保護,項值為1和2表示啟動syn攻擊保護,設成2之後

'安全級別更高,對何種狀況下認為是攻擊,則需要根據下面的tcpmaxhalfopen和tcpmaxhalfopenretried值

'設定的條件來觸發啟動了。這裡需要注意的是,nt4.0必須設為1,設為2後在某種特殊資料報下會導致系統重啟。

"synattackprotect"=dword:00000002

'同時允許開啟的半連線數量。所謂半連線,表示未完整建立的tcp會話,用netstat命令可以看到呈syn_rcvd狀態

'的就是。這裡使用微軟建議值,伺服器設為100,高階伺服器設為500。建議可以設稍微小一點。

"tcpmaxhalfopen"=dword:00000064

'判斷是否存在攻擊的觸發點。這裡使用微軟建議值,伺服器為80,高階伺服器為400。

"tcpmaxhalfopenretried"=dword:00000050

'設定等待syn-ack時間。預設項值為3,預設這一過程消耗時間45秒。項值為2,消耗時間為21秒。

'項值為1,消耗時間為9秒。最低可以設為0,表示不等待,消耗時間為3秒。這個值可以根據遭受攻擊規模修改。

'微軟站點安全推薦為2。

"tcpmaxconnectresponseretran**issions"=dword:00000001

'設定tcp重傳單個資料段的次數。預設項值為5,預設這一過程消耗時間240秒。微軟站點安全推薦為3。

"tcpmaxdataretran**issions"=dword:00000003

'設定syn攻擊保護的臨界點。當可用的backlog變為0時,此引數用於控制syn攻擊保護的開啟,微軟站點安全推薦為5。

"tcpmaxport***hausted"=dword:00000005

'禁止ip源路由。預設項值為1,表示不**源路由包,項值設為0,表示全部**,設定為2,表示丟棄所有接受的

'源路由包,微軟站點安全推薦為2。

"disableipsourcerouting"=dword:0000002

'限制處於time_wait狀態的最長時間。預設為240秒,最低為30秒,最高為300秒。建議設為30秒。

"tcptimedwaitdelay"=dword:0000001e

一位高手整理的IIS FAQ

一位高手整理的iis faq 7.如何增強iis防禦syn flood的能力?windows registry editor version 5.00 hkey local machine system currentcontrolset services tcpip parameters 啟動sy...

一位高手整理的IIS FAQ

真的是高手 強 頂 1.如何讓asp指令碼以system許可權執行?修改你asp指令碼所對應的虛擬目錄,把 應用程式保護 修改為 低 2.如何防止asp木馬?基於filesystemobject元件的asp木馬 cacls systemroot system32 scrrun.dll e d gue...

ASP 一位高手整理的IIS FAQ

7.如何增強iis防禦syn flood的能力?windows registry editor version 5.00 hkey local machine system currentcontrolset services tcpip parameters 啟動syn攻擊保護。預設項值為0,表示...