windows系統(tǒng)本身就有很多機(jī)制可以用來(lái)提高性能和安全�����,其中有不少可以用來(lái)應(yīng)對(duì)高并發(fā)請(qǐng)求和DDOS攻擊的情況。
通過(guò)以下配置可以改善windows服務(wù)器性能:
一����、應(yīng)對(duì)高并發(fā)請(qǐng)求:
1�����、TCP連接延遲等待時(shí)間 TcpTimedWaitDelay:
這是設(shè)定TCP/IP 可釋放已關(guān)閉連接并重用其資源前,必須經(jīng)過(guò)的時(shí)間�����。關(guān)閉和釋放之間的此時(shí)間間隔通稱 TIME_WAIT狀態(tài)或兩倍最大段生命周期(2MSL)狀態(tài)����。在此時(shí)間內(nèi)�����,重新打開(kāi)到客戶機(jī)和服務(wù)器的連接的成本少于建立新連接���。減少此條目的值允許 TCP/IP更快地釋放已關(guān)閉的連接��,為新連接提供更多資源�。如果運(yùn)行的應(yīng)用程序需要快速釋放和創(chuàng)建新連接���,而且由于 TIME_WAIT中存在很多連接����,導(dǎo)致低吞吐量���,則調(diào)整此參數(shù)�。缺省值240秒����,最小30秒,最大300秒,建議設(shè)為30秒。
復(fù)制代碼 代碼如下:
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
"TcpTimedWaitDelay"=dword:0000001e
2�、最大TCP使用端口 MaxUserPort:
TCP客戶端和服務(wù)器連接時(shí)�����,客戶端必須分配一個(gè)動(dòng)態(tài)端口,默認(rèn)情況下這個(gè)動(dòng)態(tài)端口的分配范圍為 1024-5000�����,也就是說(shuō)默認(rèn)情況下���,客戶端最多可以同時(shí)發(fā)起3977個(gè)Socket連接����。通過(guò)修改調(diào)整這個(gè)動(dòng)態(tài)端口的范圍,可以提高系統(tǒng)的數(shù)據(jù)吞吐率
復(fù)制代碼 代碼如下:
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
"MaxUserPort"=dword:000ffffe
3�����、保持連接時(shí)間 KeepAliveTime:
Windows默認(rèn)情況下不發(fā)送保持活動(dòng)數(shù)據(jù)包�,但某些TCP包中可能請(qǐng)求保持活動(dòng)的數(shù)據(jù)包。保持連接可以被攻擊者利用建立大量的連接造成服務(wù)器拒絕服務(wù)�����。降低這個(gè)參數(shù)值有助于系統(tǒng)更快速地?cái)嚅_(kāi)非活動(dòng)會(huì)話����。
復(fù)制代碼 代碼如下:
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
"KeepAliveTime"=dword:000493e0
4、TCP數(shù)據(jù)最大重發(fā)次數(shù) TcpMaxDataRetransmissions
此參數(shù)控制TCP在連接異常中止前數(shù)據(jù)段重新傳輸?shù)拇螖?shù)。如果這個(gè)限定次數(shù)內(nèi),計(jì)算機(jī)沒(méi)有收到任何確認(rèn)消息,連接將會(huì)被終止�。
復(fù)制代碼 代碼如下:
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
"TcpMaxDataRetransmissions"=dword:00000003
5���、TCP連接最大重發(fā)次數(shù) TcpMaxConnectResponseRetransmissions
此參數(shù)設(shè)定SYN-ACK等待時(shí)間����,可以用來(lái)提高系統(tǒng)的網(wǎng)絡(luò)性能�。缺省時(shí)間為3,消耗時(shí)間為45秒����;項(xiàng)值為2,消耗時(shí)間為21秒;項(xiàng)值為1,消耗時(shí)間為9秒��;項(xiàng)值為0���,表示不等待����,消耗時(shí)間為3秒
復(fù)制代碼 代碼如下:
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
"TcpMaxConnectResponseRetransmissions"=dword:00000002
二、應(yīng)對(duì)DDOS攻擊:(包括以上設(shè)置)
1、SYN攻擊防護(hù) SynAttackProtect:
為防范SYN攻擊�����,Windows NT系統(tǒng)的TCP/IP協(xié)議棧內(nèi)嵌了SynAttackProtect機(jī)制�����。SynAttackProtect機(jī)制是通過(guò)關(guān)閉某些socket選項(xiàng)�����,增加額外的連接指示和減少超時(shí)時(shí)間,使系統(tǒng)能處理更多的SYN連接��,以達(dá)到防范SYN攻擊的目的��。
復(fù)制代碼 代碼如下:
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
"SynAttackProtect"=dword:00000002
2����、無(wú)效網(wǎng)關(guān)檢測(cè)功能 EnableDeadGWDetect:
當(dāng)服務(wù)器設(shè)置了多個(gè)網(wǎng)關(guān)��,在網(wǎng)絡(luò)不通暢的時(shí)候系統(tǒng)會(huì)嘗試連接第二個(gè)網(wǎng)關(guān)���。允許自動(dòng)探測(cè)失效網(wǎng)關(guān)可導(dǎo)致 DoS�����,關(guān)閉它可以抵御SNMP攻擊,優(yōu)化網(wǎng)絡(luò)���。
