服务器注册表的决斗之九阳真经篇[下]

    本期我们继续介绍“服务器注册表决斗之九阳真经”的下半部分内容（上半部分请点击这里查看）。这四个方法是提高服务器安全的高级手段，所以对于有一定水平的网络管理员来说务必掌握。

    第五招儿：防DDOS也用注册表

    对于网管员管理的服务器来说，受到DDOS攻击是最大的危害。在没有硬件设备为服务器保驾护航的情况下，网络管理员只能尽自己所能将危害降低到最小。这时注册表就可以出来帮忙了。本篇文章为你介绍的就是用注册表防DDOS的方法——增加SYN缓存法。

    修改SYN缓存大小是通过注册表的相关键值完成的，在WINDOWS2003和2000中的修改方法略有不同，我们分别介绍。

    （1）WIN2003下拒绝访问攻击的防范：

    第一步：“开始->运行->输入regedit”进入注册表编辑器。
    第二步：找到HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services，在其下的有个SynAttackProtect键值。默认为0将其修改为1可更有效地防御SYN攻击。

    小提示：该参数可使TCP调整SYN-ACKS的重新传输。将SynAttackProtect设置为1时，如果系统检测到存在SYN攻击，连接响应的超时时间将更短。

    第三步：将HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services下EnableDeadGWDetect键值，将其修改为0。该设置将禁止SYN攻击服务器后强迫服务器修改网关从而使服务暂停。

    第四步：将HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services下EnablePMTUDiscovery键值，将其修改为0。这样可以限定攻击者的MTU大小，降低服务器总体负荷。

    第五步：将HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services下KeepAliveTime设置为300,000。将NoNameReleaseOnDemand
设置为1。

    （2）WIN2000下拒绝访问攻击的防范：

    在WIN2000下拒绝访问攻击的防范方法和2003基本相似，只是在设置数值上有些区别。我们做录虻ソ樯堋?BR>    第一步：将SynAttackProtect设置为2。
    第二步：将EnableDeadGWDetect设置为0。
    第三步：将EnablePMTUDiscovery设置为0。
    第四步：将KeepAliveTime设置为300000。
    第五步：将NoNameReleaseOnDemand设置为1。