Windows服務器(qì)如(rú)何配置應對(duì)DDOS攻擊？

很(hěn)多(duō)站(zhàn)長(cháng)★♥"™聽(tīng)到(dào)DDoS攻擊都(dōu)非常害怕，不(bù)知(zhī)道(dào)該如(rú)何防禦。€‍其實windows系統本身(shēn)就(jiù)有(yǒu)很(hěn)多<♦✘(duō)機(jī)制(zhì)可(kě)以用(yòn®☆g)來(lái)提高(gāo)性能(néng)和(hé)安∏☆₽全，其中有(yǒu)不(bù)少(shǎo)可(kě)以用( ←§♠yòng)來(lái)應對(duì)高(gāo)并發請(qǐng)求和(hé)€←DDoS攻擊的(de)情況。今天墨者安全就(jiù)來(lái)給大(dà)家(jiā↕♥)分(fēn)享一(yī)下(xià)，通(tōng)過以下(xià)配置π©可(kě)以改善windows服務器(qì)性能(néng)₩≈：

1、SYN攻擊防護 SynAttackProtect：

為(wèi)防範SYN攻擊，Windows NT系統的(de)TCP/IP協 §✘§議(yì)棧內(nèi)嵌了(le)SynAttac↓∏kProtect機(jī)制(zhì)。SynAttackProtect€•₹機(jī)制(zhì)是(shì)通(tōng)過關€±♠<閉某些(xiē)socket選項，增加額外(™<$wài)的(de)連接指示和(hé)減少(shǎo)超時(shí)時(₩ §shí)間(jiān)，使系統能(néng)處理(lπ  λǐ)更多(duō)的(de)SYN連接，×βπ以達到(dào)防範SYN攻擊的(de)目的(de)。

2、無效網關檢測功能(néng) Enabl∞φeDeadGWDetect：

當服務器(qì)設置了(le)多(duō)個(gè)網關，在網絡不₽'(bù)通(tōng)暢的(de)時(shελí)候系統會(huì)嘗試連接第二個(gè)網關。允®∑許自(zì)動探測失效網關可(kě)導緻 DoS，關閉↓₽±≤它可(kě)以抵禦SNMP攻擊，優化(huà)網絡。

3、ICMP重定向功能(néng) EnableICMPRe ≥β✘direct：

是(shì)否響應ICMP重定向報(bào)文(≥$wén)。ICMP重定向報(bào)文(wén)有(yǒu)可(kě)能(né≠§λng)被用(yòng)以攻擊，所以系統應該拒絕' β>接受此類報(bào)文(wén)，用(yòng)以抵禦Iβ☆✔"CMP攻擊。

4、IP源路(lù)由限制(zhì) Disa↔→bleIPSourceRouting：

是(shì)否禁用(yòng)IP源路(lù)由包，≈↕↕禁用(yòng)可(kě)以提高(gāo)IP>∞源路(lù)由保護級别，用(yòng)以防範數(s'↑hù)據包欺騙

5、路(lù)由發現(xiàn)功能(néng) ≠∏PerformRouterDiscovery：

ICMP路(lù)由通(tōng)告報(bào)文≠≤¥(wén)可(kě)以被用(yòng)來(lái)增加路(lù)由表紀錄<★¥"，可(kě)能(néng)導緻DOS攻擊，所以禁止路(£‍•lù)由發現(xiàn)。

6、服務器(qì)名響應功能(néng) NoNa™★§meReleaseOnDemand

允許計(jì)算(suàn)機(jī)忽略除來(lái)自σ↓(zì) Windows服務器(qì)以外(wàiπσ↔∏)的(de) NetBIOS名稱發布請(qǐng)求∑σ¶。當攻擊者發出查詢服務器(qì)NetBIOS✘¶ α名的(de)請(qǐng)求時(shí)，可(kě)以使服₩β£✘務器(qì)禁止響應。

7、Internet組管理(lǐ)協議(yì)級别 IGMPLevel÷÷

用(yòng)于控制(zhì)系統在多(du♦$≥§ō)大(dà)程度上(shàng)支持IP組播和(hé)參與©≤Internet組管理(lǐ)協議(yì)。缺省值為(€<α£wèi)2，支持發送和(hé)接收組播數(shù)據∏ ；項值為(wèi)1表示隻支持發送組播數(shù)據；項值為(wèi♥&$±)0表示不(bù)支持組播功能(néng)。

8、匿名訪問(wèn)限制(zhì) RestrictAnonymous

用(yòng)于禁止匿名訪問(wèn)查看(kàn)用(yòng)戶列表和("↔hé)安全權限。匿名訪問(wèn)可(kě) ←σφ以使連接者與目标主機(jī)建立一(yī)條空(kōng)連接而₹♠© 無需用(yòng)戶名和(hé)密碼，利用"↕(yòng)這(zhè)個(gè)空(kōng)連接，連接者可(k×↑₽ě)以得(de)到(dào)用(yòng)戶列表 ♦♥&。有(yǒu)了(le)用(yòng)戶列表←$，就(jiù)可(kě)以窮舉猜測密碼。

上(shàng)面這(zhè)些(xiē)方法對(duì↔≈σ®)于小(xiǎo)流量攻擊可(kě)以起到(dào)一(yī≈ΩΩ)定的(de)防禦效果，但(dàn)是(shì)面對(duì)大(dà)λ☆ £流量的(de)DDOS攻擊還(hái)是(shì₹∏)無能(néng)為(wèi)力的(de)。公司企業(y✔™è)為(wèi)了(le)保障服務器(qì)安全，可(kě)以接入墨者安全高(Ωφ≥gāo)防服務器(qì)，墨者安全高(gāo)防承受防禦流量↑<γ£超1000G，通(tōng)過指紋識别技(jì)術(shΩ∞♦ù)進行(xíng)流量清洗。發起DDoS攻擊也(yě)是(shì)需要(yà∑₹o)成本的(de)，需要(yào)大(dà)量的(de)肉雞等，國(guó "π)內(nèi)DDOS攻擊一(yī)般最多(duō)幾十到(dào)幾百G左右≠&≠λ，所以1000G的(de)防禦流量等級是(shì)完全≠↕↓♥可(kě)以保證安全了(le)。