您的位置: 新闻资讯 > 行业动态 > 正文

为了防御DDoS攻击,该如何配置Windows服务器?

来源:无敌防护 2019-12-24 16:10:16

想必大家对于DDOS攻击都非常害怕,认为无法防御。其实windows系统本身就有很多机制可以用来提高性能和安全,其中有不少可以用来应对高并发请求和DDOS攻击的情况。今天小墨给大家分享一下,通过以下配置可以提升windows服务器性能:

1、SYN攻击防护 SynAttackProtect:

为防范SYN攻击,Windows NT系统的TCP/IP协议栈内嵌了SynAttackProtect机制。SynAttackProtect机制是通过关闭某些socket选项,增加额外的连接指示和减少超时时间,使系统能处理更多的SYN连接,以达到防范SYN攻击的目的。

2、无效网关检测功能 EnableDeadGWDetect:

当服务器设置了多个网关,在网络不通畅的时候系统会尝试连接第二个网关。允许自动探测失效网关可导致 DoS,关闭它可以抵御SNMP攻击,优化网络。

3、ICMP重定向功能 EnableICMPRedirect:

是否响应ICMP重定向报文。ICMP重定向报文有可能被用以攻击,所以系统应该拒绝接受此类报文,用以抵御ICMP攻击。

4、IP源路由限制 DisableIPSourceRouting:

是否禁用IP源路由包,禁用可以提高IP源路由保护级别,用以防范数据包欺骗。

5、路由发现功能 PerformRouterDiscovery:

ICMP路由通告报文可以被用来增加路由表纪录,可能导致DOS攻击,所以禁止路由发现。

6、服务器名响应功能 NoNameReleaseOnDemand

允许计算机忽略除来自 Windows服务器以外的 NetBIOS名称发布请求。当攻击者发出查询服务器NetBIOS名的请求时,可以使服务器禁止响应。

7、Internet组管理协议级别 IGMPLevel

用于控制系统在多大程度上支持IP组播和参与Internet组管理协议。缺省值为2,支持发送和接收组播数据;项值为1表示只支持发送组播数据;项值为0表示不支持组播功能。

8、匿名访问限制 RestrictAnonymous

用于禁止匿名访问查看用户列表和安全权限。匿名访问可以使连接者与目标主机建立一条空连接而无需用户名和密码,利用这个空连接,连接者可以得到用户列表。有了用户列表,就可以穷举猜测密码。

上面这些方法对于小流量攻击可以起到一定的防御效果,但是面对大流量的DDOS攻击还是无能为力的。为了保障服务器不被DDoS攻击,建议接入专业高防服务,如墨者盾高防, 能防御流量超1000G,通过指纹识别技术进行流量清洗。发起DDoS攻击也是需要成本的,需要大量的肉鸡等,国内DDOS攻击一般最多几十到几百G左右,所以1000G的防御流量等级是完全可以保证安全了。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务,全网第一款指纹识别技术防火墙,自研的WAF指纹识别架构,提供任意CC和DDOS攻击防御。

热门文章

X

7x24 小时

免费客服热线

400-0797-119