如何有效的抵抗DDOS的方法介绍
ddos的损害我这里就不说了,咱们可以经过批改注册表来减小ddos对咱们的损伤。
1)设置生计时刻
hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters
defaultttl reg_dword 0-0xff(0-255 十进制,默许值128)
阐明:指定传出ip数据包中设置的默许生计时刻(ttl)值.ttl决议了ip数据包在抵达方针前在网络中生计的最大时刻.它实际上约束了ip数据包在丢掉前答应经过的路由器数量.有时运用此数值来勘探长途主机操作体系.我主张设置为1,由于这里是icmp数据包的寸活时刻。越小对方用 ping ddos你的话,通常1m带宽的话就必须要100台以上的肉鸡来完结。不批改20几台就可以搞定
2)避免icmp重定向报文的进犯
hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters
enableicmpredirects reg_dword 0x0(默许值为0x1)
阐明:该参数操控windows 2000能否会改动其路由表以呼应网络设备(如路由器)发送给它的icmp重定向音讯,有时会被运用来干坏事.win2000中默许值为1,表明呼应icmp重定向报文.
3)制止呼应icmp路由布告报文
hkey_local_machinesystemcurrentcontrolsetservicestcpipparametersinter
facesinterface
performrouterdiscovery reg_dword 0x0(默许值为0x2)
阐明:“icmp路由布告”功用可形成他人计算机的网络衔接反常,数据被偷听,计算机被用于流量进犯等严重后果.此问题曾招致校园网某些局域网大面积,长时刻的网络反常.因而主张封闭呼应icmp路由布告报文.win2000中默许值为2,表明当dhcp发送路由器发现选项时启用.
4)避免syn洪水进犯
hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters
synattackprotect reg_dword 0x2(默许值为0x0)
阐明:syn进犯维护包罗削减syn-ack从头传输次数,以削减分配资源所保存的时刻.路由缓存项资源分配推迟,直到树立衔接停止.若是synattackprotect=2,则afd的衔接指示一向推迟到三路握手完结停止.注重,仅在tcpmaxhalfopen和tcpmaxhalfopenretried设置超出规模时,维护机制才会采纳办法.
5) 制止c$、d$一类的缺省同享
hkey_local_machinesystemcurrentcontrolsetserviceslanmanserverparameters
autoshareserver、reg_dword、0x0
6) 制止admin$缺省同享
hkey_local_machinesystemcurrentcontrolsetserviceslanmanserverparameters
autosharewks、reg_dword、0x0
7) 约束ipc$缺省同享
hkey_local_machinesystemcurrentcontrolsetcontrollsa
restrictanonymous reg_dword 0x0 缺省
0x1 匿名用户无法罗列本机用户列表
0x2 匿名用户无法衔接本机ipc$同享
阐明:不主张运用2,不然可能会形成你的一些效劳无法发动,如sql server
8)不支持igmp协议
hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters
igmplevel reg_dword 0x0(默许值为0x2)
阐明:记住win9x下有个bug,就是用可以用igmp使他人蓝屏,批改注册表可以批改这个bug.win2000尽管没这个bug了,但igmp并不是必要的,因而照样可以去掉.改成0后用route print将看不到那个厌烦的224.0.0.0项了.
9)设置arp缓存老化时刻设置
hkey_local_machinesystemcurrentcontrolsetservices:tcpipparameters
arpcachelife reg_dword 0-0xffffffff(秒数,默许值为120秒)
arpcacheminreferencedlife reg_dword 0-0xffffffff(秒数,默许值为600)
阐明:若是arpcachelife大于或等于arpcacheminreferencedlife,则引证或未引证的arp缓存项在arpcachelife秒后到期.若是arpcachelife小于arpcacheminreferencedlife,未引证项在arpcachelife秒后到期,而引证项在arpcacheminreferencedlife秒后到期.每次将出站数据包发送到项的ip地址时,就会引证arp缓存中的项。
10)制止死网关监测技能
hkey_local_machinesystemcurrentcontrolsetservices:tcpipparameters
enabledeadgwdetect reg_dword 0x0(默许值为ox1)
阐明:若是你设置了多个网关,那么你的机器在处置多个衔接有艰难时,就会主动改用备份网关.有时候这并不是一项好主意,主张制止死网关监测.
11)不支持路由功用
hkey_local_machinesystemcurrentcontrolsetservices:tcpipparameters
ipenablerouter reg_dword 0x0(默许值为0x0)
阐明:把值设置为0x1可以使win2000具有路由功用,由此带来不必要的问题.
12)做nat时扩大变换的对外端口最大值
hkey_local_machinesystemcurrentcontrolsetservices:tcpipparameters
maxuserport reg_dword 5000-65534(十进制)(默许值0x1388--十进制为5000)
阐明:当应用程序从体系恳求可用的用户端口数时,该参数操控所运用的最大端口数.正常情况下,短期端口的分配数量为1024-5000.将该参数设置到有用规模以外时,就会运用最接近的有用数值(5000或65534).运用nat时主张把值扩大点.
13)批改mac地址
hkey_local_machinesystemcurrentcontrolsetcontrolclass
找到右窗口的阐明为"网卡"的目录,
比方说是{4d36e972-e325-11ce-bfc1-08002be10318}
打开之,在其下的0000,0001,0002...的分支中找到"driverdesc"的键值为你网卡的阐明,比方说"driverdesc"的值为"intel 82559 fast ethernet lan on motherboard"然后在右窗口新建一字符串值,姓名为"networkaddress",内容为你想要的mac值,比方说是"004040404040"然后重起计算机,ipconfig /all看看. 最终在加上个blackice放火墙,应该可以反抗通常的ddos
上一篇: metasploit利用IE漏洞XSS挂马拿内网主机
下一篇: c# 排序之堆排序