3、增加SYN緩存法

上面提到的BAN IP法雖然可以有效的防止DOS與DDOS的攻擊但由于使用了屏蔽IP功能，自然會誤將某些正常訪問的IP也過濾掉。所以在遇到小型攻擊時不建議大家使用上面介紹的BAN IP法。我們可以通過修改SYN緩存的方法防御小型DOS與DDOS的攻擊。該方法在筆者所在公司收效顯著。

修改SY緩存大小是通過注冊表的相關鍵值完成的。我們將為各位讀者介紹在WINDOWS2003和2000中的修改方法。

（1）Windows2003下拒絕訪問攻擊的防范

第一步："開始->運行->輸入regedit"進入注冊表編輯器。

第二步：找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices在其下的有個SynAttackProtect鍵值。默認為0將其修改為1可更有效地防御SYN攻擊。

小提示：該參數(shù)可使TCP調(diào)整SYN-ACKS的重新傳輸。將SynAttackProtect設置為1時，如果系統(tǒng)檢測到存在SYN攻擊，連接響應的超時時間將更短。

第三步：將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下EnableDeadGWDetect鍵值，將其修改為0。該設置將禁止SYN攻擊服務器后強迫服務器修改網(wǎng)關從而使服務暫停。

第四步：將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下EnablePMTUDiscovery鍵值，將其修改為0。這樣可以限定攻擊者的MTU大小，降低服務器總體負荷。

第五步：將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下的KeepAliveTime設置為300,000，將NoNameReleaseOnDemand設置為1。

（2）Windows2000下拒絕訪問攻擊的防范

在Windows2000下拒絕訪問攻擊的防范方法和2003基本相似，只是在設置數(shù)值上有些區(qū)別。我們做下簡單介紹。

第一步：將SynAttackProtect設置為2。

第二步：將EnableDeadGWDetect設置為0。

第三步：將EnablePMTUDiscovery設置為0。

第四步：將KeepAliveTime設置為300000。

第五步：將NoNameReleaseOnDemand設置為1。

總結(jié)

經(jīng)過上面介紹的察覺攻擊法，BAN IP法和最后的修改注冊表法可以有效的防范DOS與DDOS的攻擊。不過由于DDOS攻擊的特點，實際上沒有一臺服務器能夠徹底防范它，即使安裝了專業(yè)的防范DDOS的硬件防火墻也不能百分之百的避免損失。今天介紹的幾個方法只是免費的防范手段，實際中能起到一定的效果。

多易