`
cwqcwk1
  • 浏览: 86816 次
文章分类
社区版块
存档分类
最新评论

windows服务器应对高并发和DDOS攻击

 
阅读更多

windows系统本身就有很多机制可以用来提高性能和安全,其中有不少可以用来应对高并发请求和DDOS攻击的情况。

通过以下配置可以改善windows服务器性能:

一、应对高并发请求:

1TCP连接延迟等待时间TcpTimedWaitDelay

这是设定TCP/IP可释放已关闭连接并重用其资源前,必须经过的时间。关闭和释放之间的此时间间隔通称TIME_WAIT状态或两倍最大段生命周期(2MSL)状态。在此时间内,重新打开到客户机和服务器的连接的成本少于建立新连接。减少此条目的值允许TCP/IP更快地释放已关闭的连接,为新连接提供更多资源。如果运行的应用程序需要快速释放和创建新连接,而且由于TIME_WAIT中存在很多连接,导致低吞吐量,则调整此参数。缺省值240秒,最小30秒,最大300秒,建议设为30秒。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"TcpTimedWaitDelay"=dword:0000001e

2、最大TCP使用端口MaxUserPort:

TCP客户端和服务器连接时,客户端必须分配一个动态端口,默认情况下这个动态端口的分配范围为1024-5000,也就是说默认情况下,客户端最多可以同时发起3977Socket连接。通过修改调整这个动态端口的范围,可以提高系统的数据吞吐率

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"MaxUserPort"=dword:0000fffe

3、保持连接时间KeepAliveTime:

Windows默认情况下不发送保持活动数据包,但某些TCP包中可能请求保持活动的数据包。保持连接可以被攻击者利用建立大量的连接造成服务器拒绝服务。降低这个参数值有助于系统更快速地断开非活动会话。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"KeepAliveTime"=dword:000493e0

4、TCP数据最大重发次数TcpMaxDataRetransmissions

此参数控制TCP在连接异常中止前数据段重新传输的次数。如果这个限定次数内,计算机没有收到任何确认消息,连接将会被终止。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"TcpMaxDataRetransmissions"=dword:00000003
5、TCP连接最大重发次数TcpMaxConnectResponseRetransmissions

此参数设定SYN-ACK等待时间,可以用来提高系统的网络性能。缺省时间为3,消耗时间为45秒;项值为2,消耗时间为21秒;项值为1,消耗时间为9秒;项值为0,表示不等待,消耗时间为3秒

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"TcpMaxConnectResponseRetransmissions"=dword:00000002

二、应对DDOS攻击:(包括以上设置)

1、SYN攻击防护SynAttackProtect:

为防范SYN攻击,Windows NT系统的TCP/IP协议栈内嵌了SynAttackProtect机制。SynAttackProtect机制是通过关闭某些socket选项,增加额外的连接指示和减少超时时间,使系统能处理更多的SYN连接,以达到防范SYN攻击的目的。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"SynAttackProtect"=dword:00000002

2、无效网关检测功能EnableDeadGWDetect:

当服务器设置了多个网关,在网络不通畅的时候系统会尝试连接第二个网关。允许自动探测失效网关可导致DoS,关闭它可以抵御SNMP攻击,优化网络。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnableDeadGWDetect"=dword:00000000

3、ICMP重定向功能EnableICMPRedirect:

是否响应ICMP重定向报文。ICMP重定向报文有可能被用以攻击,所以系统应该拒绝接受此类报文,用以抵御ICMP攻击。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnableICMPRedirect"=dword:00000000

4、IP源路由限制DisableIPSourceRouting:

是否禁用IP源路由包,禁用可以提高IP源路由保护级别,用以防范数据包欺骗

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"DisableIPSourceRouting"=dword:00000002

5、路由发现功能PerformRouterDiscovery:

ICMP路由通告报文可以被用来增加路由表纪录,可能导致DOS攻击,所以禁止路由发现。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"PerformRouterDiscovery"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces]
"PerformRouterDiscovery"=dword:00000000

6、服务器名响应功能NoNameReleaseOnDemand

允许计算机忽略除来自Windows服务器以外的NetBIOS名称发布请求。当攻击者发出查询服务器NetBIOS名的请求时,可以使服务器禁止响应。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"NoNameReleaseOnDemand"=dword:00000001

7、Internet组管理协议级别 IGMPLevel

用于控制系统在多大程度上支持IP组播和参与Internet组管理协议。缺省值为2,支持发送和接收组播数据;项值为1表示只支持发送组播数据;项值为0表示不支持组播功能。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"IGMPLevel"=dword:00000000

8、匿名访问限制 RestrictAnonymous

用于禁止匿名访问查看用户列表和安全权限。匿名访问可以使连接者与目标主机建立一条空连接而无需用户名和密码,利用这个空连接,连接者可以得到用户列表。有了用户列表,就可以穷举猜测密码。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001

参考文章:

1、http://technet.microsoft.com/library/dd349797(v=ws.10).aspx
2、http://technet.microsoft.com/library/cc708591(v=WS.10).aspx
3、http://technet.microsoft.com/library/cc163074.aspx
4、http://technet.microsoft.com/library/cc940037.aspx
5、http://www.isi.edu/touch/pubs/infocomm99/infocomm99-web
6、http://support.microsoft.com/default.aspx?scid=kb;EN-US;q120642

分享到:
评论

相关推荐

    Windows服务器应对高并发和DDOS攻击的配置方法

    主要介绍了Windows服务器应对高并发和DDOS攻击的配置方法,本文讲解了应对高并发请求、应对DDOS攻击的多种配置方法,需要的朋友可以参考下

    2003 系统使用安全策略防止phpddos发包

    PHPDDoS攻击通常利用恶意脚本或者被黑的网站,通过大量的HTTP请求来瘫痪目标服务器,导致正常用户无法访问。针对这个问题,Windows 2003系统作为一款广泛使用的服务器操作系统,也需要采取有效的安全策略来防范...

    计算机网络课程设计服务器构建方案

    当单一服务器无法满足高并发需求时,可采用负载均衡技术分散流量,如Nginx的负载均衡模块。更进一步,可以构建服务器集群,提高系统的可用性和可靠性。 八、监控与日志管理 监控服务器性能和状态是运维工作的重要...

    高性能服务器网络层代码

    使用IOCP,开发者可以创建一个或多个工作线程,由系统自动分配I/O操作,使得服务器能够更好地应对高并发的网络请求。 在C++编程中,实现高性能服务器通常涉及以下关键点: 1. **套接字编程**:使用socket API进行...

    C++网络视频传输服务器端程序

    服务器可能需要监控和调整以应对高并发访问,确保服务质量。 **安全性** 在传输敏感的视频数据时,网络安全是不可忽视的。服务器可能需要使用SSL/TLS协议进行加密传输,防止数据被窃取。此外,服务器还需要防止DDoS...

    web服务器选择与方案!

    1. 性能:服务器应具备处理高并发请求的能力,以应对繁忙的网站流量。这涉及到CPU、内存和硬盘I/O的性能。 2. 可扩展性:随着业务增长,服务器应能够轻松地添加硬件资源或进行水平扩展,例如通过负载均衡技术分发...

    集群式游戏服务器架构方案设计开发 .doc

    3. 水平扩展:当单个服务器无法应对高负载时,可以通过增加服务器数量(集群)进行水平扩展,通常配合负载均衡器分配请求,以达到压力分散。 4. 高可用性设计:通过冗余备份、故障转移、分布式一致性协议等手段,...

    tcp 连接数设置,以及查看电脑的连接数

    了解和调整TCP连接数对于优化服务器性能、应对高并发访问和防止DDoS攻击至关重要。然而,增加连接数并不总是解决方案,因为过多的并发连接可能会消耗大量的内存和CPU资源,导致性能下降。因此,合理设定和优化TCP...

    负载均衡系统

    8. **安全性**:在处理网络流量时,负载均衡器也需要考虑安全问题,例如防止DDoS攻击,实施SSL/TLS加密,以及应用级的安全策略。 通过学习和分析这个源码,开发者不仅可以深入了解负载均衡的工作原理,还能提升在...

    APACHE COOKBOOK中文版

    5. **安全性**:探讨如何保护Apache服务器免受常见的网络攻击和安全威胁,包括SSL/TLS的使用、访问控制、防止DDoS攻击等。 6. **高级配置**:介绍高级配置技术,如URL重写、反向代理、负载均衡等。 7. **模块开发*...

    微软Web压力测试工具(Microsoft Web.rar

    3. **安全评估**:测试Web应用在遭受DDoS攻击时的应对能力。 4. **持续集成与持续交付**:集成到CI/CD流程中,每次代码变更后自动进行压力测试,确保质量。 ### 使用步骤 1. **下载安装**:首先需要下载微软Web...

    大规模网站架构技术原理透析

    1. 公开性:由于面向公众开放,网站需要应对恶意攻击和数据安全问题,因此安全架构设计至关重要。 2. 高并发访问:网站必须具备处理大规模并发访问的能力,否则可能因流量过大而导致系统崩溃。 3. 用户体验:快速...

    vc网络高级编程 vc网络高级编程

    7. **网络安全**:包括加密、身份验证、防止攻击等方面的知识,如SSL/TLS协议的使用,防止DDoS攻击的策略等。 8. **网络服务的实现**:如HTTP、FTP服务器的开发,需要理解这些协议的工作流程,并能够用VC++实现相关...

    udpserver1.zip

    - **安全考虑**:UDP服务器可能存在安全风险,如DDoS攻击、数据篡改等。因此,需要考虑使用防火墙、数据加密、访问控制等措施来保护服务器。 要深入了解这个UDP服务器的工作原理,你可以通过以下步骤: 1. 打开"run...

    局域网聊天系统

    8. **安全性**:除了加密通信,局域网聊天系统还需要考虑防止DDoS攻击、SQL注入等网络安全问题,确保系统稳定运行。 9. **可扩展性**:随着用户数量的增长,系统需要具备良好的扩展性,能通过增加硬件资源或优化...

    实战nginx-全

    5. **限速与限流**:使用`limit_rate`和`limit_conn`限制客户端的请求速率和连接数,防止DDoS攻击。 ### 四、Nginx模块开发 1. **模块结构**:理解Nginx模块的基本组成,如handler、filter、access和log等。 2. **...

    对战平台服务端+客户端

    服务端需要具备高可用性和高性能,以应对大量并发用户的需求。主要技术点包括: 1. **网络编程**:服务端需要处理TCP/IP协议,保证数据的可靠传输。使用Socket编程来建立和管理客户端的连接,实现数据的收发。 2. ...

    kbengine-1.3.10.zip

    - **安全性**:考虑如何防止未授权访问、DDoS攻击等安全威胁。 - **扩展性**:随着游戏用户增长,可能需要考虑如何扩展服务器架构以应对更大规模的并发。 - **性能监控**:定期分析服务器性能,优化内存占用和CPU...

    mod_qos:Apache Web Server的服务质量模块-开源

    mod_qos的核心功能在于动态调整服务器对不同请求的处理优先级,以应对高负载情况。它能够识别和分类不同类型的HTTP请求,如静态内容、动态内容、流媒体等,然后根据预设的策略给予不同优先级。此外,mod_qos还可以...

Global site tag (gtag.js) - Google Analytics