查看: 21|回复: 0
如何防御DDoS的八大方法详解
发表于 6&天前
&&&介绍单子拿提成！！！
DDoS防御的八大方法详解
对于遭受DDOS攻击的情况是让人很尴尬的，如果我们有良好的DDoS防御方法，那么很多问题就将迎刃而解，我们来看看我们有哪些常用的有效地方法来做好DDoS防御呢。
对于DDoS防御的理解：
对付DDOS是一个系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90%的DDOS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDOS攻击。
DDoS防御的方法：
1、采用高性能的网络设备
首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。
2、尽量避免NAT的使用
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此技术会较大降低网络通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间，但有些时候必须使用NAT，那就没有好办法了。
3、充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在1000M的主干上了。但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚。
4、升级主机服务器硬件
在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，服务器的配置至少应该为：P4 2.4G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存，若有志强双CPU的话就用它吧，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，别只贪IDE价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用3COM或Intel等名牌的，若是Realtek的还是用在自己的PC上吧。
5、把网站做成静态页面
大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现，看看吧！新浪、搜狐、网易等门户网站主要都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的，此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网站的80%属于恶意行为。
6、增强操作系统的TCP/IP栈
Win2000和Win2003作为服务器操作系统，本身就具备一定的抵抗DDOS攻击的能力，只是默认状态下没有开启而已，若开启的话可抵挡约10000个SYN攻击包，若没有开启则仅能抵御数百个，具体怎么开启，自己去看微软的文章吧！《强化 TCP/IP 堆栈安全》。
也许有的人会问，那我用的是Linux和FreeBSD怎么办？很简单，按照这篇文章去做吧！《SYN Cookies》。
7、安装专业抗DDOS防火墙
8、其他防御措施
以上几条对抗DDOS建议，适合绝大多数拥有自己主机的用户，但假如采取以上措施后仍然不能解决DDOS问题，就有些麻烦了，可能需要更多投资，增加服务器数量并采用DNS轮巡或负载均衡技术，甚至需要购买七层交换机设备，从而使得抗DDOS攻击能力成倍提高，只要投资足够深入。
乐乐网络专业制造高防独立服务器抵御一切
学建站、学推广、学赚钱，上56站长论坛就够了！个性签名请到个人资料里面修改……
逛了这许久，何不进去瞧瞧？
&下次自动登录
用其他账号登录：
网络营销1000人脉群
王宝臣旗下网站 推56论坛 站长论坛 SEO论坛 网络营销论坛 新手站长论坛 网络推广论坛 站长社区 站长网
Powered by Discuz! X3.2 Licensed
& Comsenz Inc.Others（12）
请参阅以获得《改进 Web 应用程序安全性：威胁和对策》的起点和完整的概述。
摘要： 您可以在 Windows 注册表中配置各种 TCP/IP 参数，以便防止网络级拒绝服务的攻击，包括 SYN 洪水攻击、ICMP 攻击和 SNMP 攻击。您可以将注册表项配置为：
当检测到攻击时，启用 SYN 洪水保护。
设置用于确定攻击构成要素的阈值。
该方法文档为管理员展示了必须配置的注册表项和注册表值，以防止受到基于网络的拒绝服务攻击。
注 这些设置会修改 TCP/IP 在服务器上的工作方式。Web 服务器的特性将决定要触发拒绝服务对策的最佳阈值。有些值可能对您的客户端连接的限制非常严格。在部署到产品服务器之前，请先测试本文档的建议。
TCP/IP 是一种本质上不安全的协议。但是，Windows 2000 实现可以使您配置其操作以防止网络的拒绝服务攻击。默认情况下，本文中所涉及的一些项和值可能并不存在。在这些情况下，请创建该项、值或值数据。
有关 Windows 2000 的注册表所控制的 TCP/IP 网络设置的详细信息，请参阅白皮书“Microsoft Windows 2000 TCP/IP Implementation Details”，位于 。
防止 SYN 攻击
SYN 攻击利用 TCP/IP 连接建立机制中的安全漏洞。要发动 SYN 洪水攻击，攻击者要使用程序来发送大量的 TCP SYN 请求来填充服务器上挂起的连接队列。这将导致其他用户无法建立网络连接。
要防止网络受到 SYN 攻击，请遵循下列通用的步骤，这些步骤稍后将于本文档中进行解释：
启用 SYN 攻击保护
设置 SYN 保护阈值
设置其他保护
启用 SYN 攻击保护
启用 SYN 攻击保护的命名值位于下面的注册表项中： HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services.
值名称：SynAttackProtect
建议值： 2
有效值： 0 － 2
说明： 引起 TCP 调整 SYN-ACKS 的重新传输。如果您配置这个值，当发生 SYN 攻击时，连接响应的超时速度会比较快。当超出 TcpMaxHalfOpen 或 TcpMaxHalfOpenRetried 的值时，便会触发 SYN 攻击。
设置 SYN 保护阈值
下列值确定要触发的 SYN 保护的阈值。本部分中的所有项和值都位于注册表项 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services 中。这些项和值如下所示：
值名称：TcpMaxPortsExhausted
建议值： 5
有效值： 0-65535
说明： 指定 TCP 连接请求的阈值，必须超过该阈值才会触发 SYN 洪水保护。
值名称：TcpMaxHalfOpen
建议值数据： 500
有效值： 100-65535
说明： 启用 SynAttackProtect 时，该值会指定在 SYN_RCVD 状态下的 TCP 连接的阈值。超过 SynAttackProtect 时，便会触发 SYN 洪水保护。
值名称：TcpMaxHalfOpenRetried
建议值数据： 400
有效值： 80-65535
说明： 启用 SynAttackProtect 时，该值指定在 SYN_RCVD 状态下的 TCP 连接的阈值，其中至少已经进行了一次重新传输。超过 SynAttackProtect 时，便会触发 SYN 洪水保护。
设置其他的保护
本部分中的所有项和值都位于注册表项 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services 中。这些项和值如下所示：
值名称：TcpMaxConnectResponseRetransmissions
建议值数据： 2
有效值： 0-255
说明： 对取消尝试响应 SYN 请求之前要重新传输 SYN-ACK 的次数进行控制+。
值名称：TcpMaxDataRetransmissions
建议值数据： 2
有效值： 0-65535
说明： 指定 TCP 在中止连接前，要重新传输单独数据片断（而并非连接请求片断）的次数。
值名称：EnablePMTUDiscovery
建议值数据： 0
有效值： 0, 1
说明： 将该值设置为 1（默认值）时，便会强制 TCP 在到远程主机的路径上找到最大传输单位或最大数据包大小。攻击者可能会强制数据包分割，造成堆栈负荷过重。将该值设置为 0 会强制不是本地子网的主机连接都使用 576 字节的 MTU。
值名称：KeepAliveTime
建议值数据： 300000
有效值： 80-
说明： 通过发送保持活动数据包，指定 TCP 尝试验证闲置连接是否仍然原封不动的频率。
值名称：NoNameReleaseOnDemand
建议值数据： 1
有效值： 0, 1
说明： 当计算机接收到名称释放请求时，指定不要释放计算机的 NetBIOS 名称。
请使用表 1 中总结的值来建立最大保护。
SynAttackProtect
TcpMaxPortsExhausted
TcpMaxHalfOpen
TcpMaxHalfOpenRetried
TcpMaxConnectResponseRetransmissions
TcpMaxDataRetransmissions
EnablePMTUDiscovery
KeepAliveTime
NoNameReleaseOnDemand
防止 ICMP 攻击
本部分中指定的值位于注册表项HKLM/System/CurrentControlSet/Services/AFD/Parameters 下
值：EnableICMPRedirect
建议值数据： 0
有效值： 0（禁用）、1（启用）
说明： 将该注册表值修改为 0 可以防止接收到 ICMP 重定向数据包时，创建代价高昂的主机路由。
请使用表 2 中总结的值来建立最大保护。
EnableICMPRedirect
防止 SNMP 攻击
本部分中指定的值位于注册表项HKLM/System/CurrentControlSet/Services/Tcpip/Parameters 下。
值：EnableDeadGWDetect
建议值数据： 0
有效值： 0（禁用）、1（启用）
说明： 防止攻击者强制切换到次要网关
请使用表 3 中总结的值来建立最大保护。
EnableDeadGWDetect
AFD.SYS 保护
下列项指定内核模式驱动程序 Afd.sys 的参数。Afd.sys 用于支持 Windows 套接字应用程序。本部分中的所有项和值都位于注册表项 HKLM/System/CurrentControlSet/Services/AFD/Parameters 中。这些项和值如下所示：
值：EnableDynamicBacklog
建议值数据： 1
有效值： 0（禁用）、1（启用）
说明： 指定 AFD.SYS 功能来有效抵御大量的 SYN_RCVD 连接。有关详细信息，请参阅“Internet Server Unavailable Because of Malicious SYN Attacks”，位于 。
值名称：MinimumDynamicBacklog
建议值数据： 20
有效值： 0-
说明： 指定侦听终结点上允许的可用连接的最小数量。如果可用连接的数目低于该值，线程便会排入队列以创建其他的可用连接。
值名称： MaximumDynamicBacklog
建议值数据： 20000
有效值： 0-
说明： 指定可用连接再加上 SYN_RCVD 状态中的连接的总数的最大值。
值名称：DynamicBacklogGrowthDelta
建议值数据： 10
有效值： 0-
默认为存在： No
说明： 指定需要其他连接时将创建的可用连接数量。
请使用表 4 中所总结的值来建立最大保护。
EnableDynamicBacklog
MinimumDynamicBacklog
MaximumDynamicBacklog
DynamicBacklogGrowthDelta
本部分中的所有项和值都位于注册表项 HKLM/System/CurrentControlSet/Services/Tcpip/Parameters 中。
保护筛选的网络详细信息
网络地址转换 (NAT) 用于筛选来自传入连接的网络。攻击者可以使用 IP 源路由来避开该筛选以确定网络拓扑。
值：DisableIPSourceRouting
建议值数据： 1
有效值： 0（转发所有数据包）、1（不转发源路由的数据包）、2（丢弃所有传入源路由的数据包）。
说明： 禁用 IP 源路由，发送方可以利用 IP 源路由来确定数据包通过网络时应该采用的路由。
避免接收分段的数据包
处理分段数据包的代价可能很高。虽然拒绝服务极少来自周边网络的内部，但是该设置可以防止分段数据包的处理。
值：EnableFragmentChecking
建议值数据： 1
有效值： 0（禁用）、1（启用）
说明： 防止 IP 堆栈接受分段的数据包。
不转发送往多主机的数据包
多主机可能会响应多播数据包，进而造成在网络中广泛传播的响应。
值：EnableMulticastForwarding
建议值数据： 0
有效范围： 0 (false)、1 (true)
说明： 路由服务使用这个参数来控制是否要转发 IP 多播。该参数是由路由和远程访问服务创建的。
只有防火墙在网络间转发数据包
多主服务器不能在所连接的各个网络间转发数据包。防火墙是明显的例外。
值：IPEnableRouter
建议值数据： 0
有效范围： 0 (false)、1 (true)
说明： 将该参数设置为 1 (true) 可使系统在所连接的各个网络间路由 IP 数据包。
掩码网络拓扑详细信息
使用 ICMP 数据包可以请求主机的子网掩码。公开该信息本身并无大碍；但是，多主机的响应可能会被用于构建内部网络的信息。
值：EnableAddrMaskReply
建议值数据： 0
有效范围： 0 (false)、1 (true)
说明： 该参数控制计算机是否响应 ICMP 地址掩码请求。
请使用表 5 中总结的值来建立最大保护。
DisableIPSourceRouting
EnableFragmentChecking
EnableMulticastForwarding
IPEnableRouter
EnableAddrMaskReply
测试这些值的更改时，请根据您在生产中预期使用的网络卷来进行测试。这些设置会修改被认为是正常的阈值，而且偏离经过测试的默认值。如果各个客户端的连接速度差异很大，那么有些设置可能过于狭隘而无法稳定地支持客户端。
有关 TCP/IP 的其他详细信息，请参考下列资源：
有关强化 TCP/IP 堆栈的详细信息，请参阅 Microsoft 知识库文章 20;How To:Harden the TCP/IP Stack Against Denial of Service Attacks in Windows ;。
有关 Windows 2000 TCP/IP 实现的详细信息，请参阅 Lee Davies 的“Windows 2000 TCP/IP Protocols and Services”（Microsoft Press 书籍）。
有关 Windows 2000 TCP/IP 实现的详细信息，请参阅 TechNet 网站上的“Microsoft Windows 2000 TCP/IP Implementation Details”，位于 。
&&相关文章推荐
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：295170次
积分：4901
积分：4901
排名：第5365名
原创：194篇
转载：15篇
(1)(1)(1)(2)(5)(5)(9)(14)(9)(26)(3)(12)(13)(2)(4)(8)(10)(11)(9)(64)如何强化 TCP/IP 堆栈
MSDN Library
如何强化 TCP/IP 堆栈
发布日期 : 09/02/2004 |
更新日期 : 09/02/2004
改进 Web 应用程序安全性：威胁和对策
J.D. Meier、Alex Mackman、Michael Dunner、Srinath Vasireddy、Ray Escamilla 和 Anandha Murukan Microsoft Corporation 请参阅以获得《改进 Web 应用程序安全性：威胁和对策》的起点和完整的概述。
摘要： 您可以在 Windows 注册表中配置各种 TCP/IP 参数，以便防止网络级拒绝服务的攻击，包括 SYN 洪水攻击、ICMP 攻击和 SNMP 攻击。您可以将注册表项配置为：
当检测到攻击时，启用 SYN 洪水保护。
设置用于确定攻击构成要素的阈值。
该方法文档为管理员展示了必须配置的注册表项和注册表值，以防止受到基于网络的拒绝服务攻击。
注 这些设置会修改 TCP/IP 在服务器上的工作方式。Web 服务器的特性将决定要触发拒绝服务对策的最佳阈值。有些值可能对您的客户端连接的限制非常严格。在部署到产品服务器之前，请先测试本文档的建议。 本页内容
预备知识 TCP/IP 是一种本质上不安全的协议。但是，Windows 2000 实现可以使您配置其操作以防止网络的拒绝服务攻击。默认情况下，本文中所涉及的一些项和值可能并不存在。在这些情况下，请创建该项、值或值数据。
有关 Windows 2000 的注册表所控制的 TCP/IP 网络设置的详细信息，请参阅白皮书“Microsoft Windows 2000 TCP/IP Implementation Details”，位于 。
防止 SYN 攻击 SYN 攻击利用 TCP/IP 连接建立机制中的安全漏洞。要发动 SYN 洪水攻击，攻击者要使用程序来发送大量的 TCP SYN 请求来填充服务器上挂起的连接队列。这将导致其他用户无法建立网络连接。 要防止网络受到 SYN 攻击，请遵循下列通用的步骤，这些步骤稍后将于本文档中进行解释：
启用 SYN 攻击保护
设置 SYN 保护阈值
设置其他保护
启用 SYN 攻击保护 启用 SYN 攻击保护的命名值位于下面的注册表项中： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
值名称： SynAttackProtect
建议值： 2
有效值： 0 － 2
说明： 引起 TCP 调整 SYN-ACKS 的重新传输。如果您配置这个值，当发生 SYN 攻击时，连接响应的超时速度会比较快。当超出 TcpMaxHalfOpen 或 TcpMaxHalfOpenRetried 的值时，便会触发 SYN 攻击。 设置 SYN 保护阈值 下列值确定要触发的 SYN 保护的阈值。本部分中的所有项和值都位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 中。这些项和值如下所示：
值名称： TcpMaxPortsExhausted
建议值： 5
有效值： 0-65535
说明： 指定 TCP 连接请求的阈值，必须超过该阈值才会触发 SYN 洪水保护。
值名称： TcpMaxHalfOpen
建议值数据： 500
有效值： 100-65535
说明： 启用 SynAttackProtect 时，该值会指定在 SYN_RCVD 状态下的 TCP 连接的阈值。超过 SynAttackProtect 时，便会触发 SYN 洪水保护。
值名称： TcpMaxHalfOpenRetried
建议值数据： 400
有效值： 80-65535
说明： 启用 SynAttackProtect 时，该值指定在 SYN_RCVD 状态下的 TCP 连接的阈值，其中至少已经进行了一次重新传输。超过 SynAttackProtect 时，便会触发 SYN 洪水保护。
设置其他的保护 本部分中的所有项和值都位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 中。这些项和值如下所示：
值名称： TcpMaxConnectResponseRetransmissions
建议值数据： 2
有效值： 0-255
说明： 对取消尝试响应 SYN 请求之前要重新传输 SYN-ACK 的次数进行控制+。
值名称： TcpMaxDataRetransmissions
建议值数据： 2
有效值： 0-65535
说明： 指定 TCP 在中止连接前，要重新传输单独数据片断（而并非连接请求片断）的次数。
值名称： EnablePMTUDiscovery
建议值数据： 0
有效值： 0, 1
说明： 将该值设置为 1（默认值）时，便会强制 TCP 在到远程主机的路径上找到最大传输单位或最大数据包大小。攻击者可能会强制数据包分割，造成堆栈负荷过重。将该值设置为 0 会强制不是本地子网的主机连接都使用 576 字节的 MTU。
值名称： KeepAliveTime
建议值数据： 300000
有效值： 80-
说明： 通过发送保持活动数据包，指定 TCP 尝试验证闲置连接是否仍然原封不动的频率。
值名称： NoNameReleaseOnDemand
建议值数据： 1
有效值： 0, 1
说明： 当计算机接收到名称释放请求时，指定不要释放计算机的 NetBIOS 名称。
请使用表 1 中总结的值来建立最大保护。
表 1 建议值
值 (REG_DWORD)
SynAttackProtect
TcpMaxPortsExhausted
TcpMaxHalfOpen
TcpMaxHalfOpenRetried
TcpMaxConnectResponseRetransmissions
TcpMaxDataRetransmissions
EnablePMTUDiscovery
KeepAliveTime
NoNameReleaseOnDemand
防止 ICMP 攻击 本部分中指定的值位于注册表项HKLM\System\CurrentControlSet\Services\AFD\Parameters 下
值： EnableICMPRedirect
建议值数据： 0
有效值： 0（禁用）、1（启用）
说明： 将该注册表值修改为 0 可以防止接收到 ICMP 重定向数据包时，创建代价高昂的主机路由。 请使用表 2 中总结的值来建立最大保护。
表 2 建议值
值 (REG_DWORD)
EnableICMPRedirect
防止 SNMP 攻击 本部分中指定的值位于注册表项HKLM\System\CurrentControlSet\Services\Tcpip\Parameters 下。
值： EnableDeadGWDetect
建议值数据： 0
有效值： 0（禁用）、1（启用）
说明： 防止攻击者强制切换到次要网关 请使用表 3 中总结的值来建立最大保护。
表 3 建议值
值 (REG_DWORD)
EnableDeadGWDetect
AFD.SYS 保护 下列项指定内核模式驱动程序 Afd.sys 的参数。Afd.sys 用于支持 Windows 套接字应用程序。本部分中的所有项和值都位于注册表项 HKLM\System\CurrentControlSet\Services\AFD\Parameters 中。这些项和值如下所示：
值： EnableDynamicBacklog
建议值数据： 1
有效值： 0（禁用）、1（启用）
说明： 指定 AFD.SYS 功能来有效抵御大量的 SYN_RCVD 连接。有关详细信息，请参阅“Internet Server Unavailable Because of Malicious SYN Attacks”，位于 。
值名称： MinimumDynamicBacklog
建议值数据： 20
有效值： 0-
说明： 指定侦听终结点上允许的可用连接的最小数量。如果可用连接的数目低于该值，线程便会排入队列以创建其他的可用连接。
值名称： MaximumDynamicBacklog
建议值数据： 20000
有效值： 0-
说明： 指定可用连接再加上 SYN_RCVD 状态中的连接的总数的最大值。
值名称： DynamicBacklogGrowthDelta
建议值数据： 10
有效值： 0-
默认为存在： No
说明： 指定需要其他连接时将创建的可用连接数量。
请使用表 4 中所总结的值来建立最大保护。
表 4 建议值
值 (REG_DWORD)
EnableDynamicBacklog
MinimumDynamicBacklog
MaximumDynamicBacklog
DynamicBacklogGrowthDelta
其他保护 本部分中的所有项和值都位于注册表项 HKLM\System\CurrentControlSet\Services\Tcpip\Parameters 中。
保护筛选的网络详细信息
网络地址转换 (NAT) 用于筛选来自传入连接的网络。攻击者可以使用 IP 源路由来避开该筛选以确定网络拓扑。
值： DisableIPSourceRouting
建议值数据： 1
有效值： 0（转发所有数据包）、1（不转发源路由的数据包）、2（丢弃所有传入源路由的数据包）。
说明： 禁用 IP 源路由，发送方可以利用 IP 源路由来确定数据包通过网络时应该采用的路由。
避免接收分段的数据包
处理分段数据包的代价可能很高。虽然拒绝服务极少来自周边网络的内部，但是该设置可以防止分段数据包的处理。
值： EnableFragmentChecking
建议值数据： 1
有效值： 0（禁用）、1（启用）
说明： 防止 IP 堆栈接受分段的数据包。
不转发送往多主机的数据包
多主机可能会响应多播数据包，进而造成在网络中广泛传播的响应。
值： EnableMulticastForwarding
建议值数据： 0
有效范围： 0 (false)、1 (true)
说明： 路由服务使用这个参数来控制是否要转发 IP 多播。该参数是由路由和远程访问服务创建的。
只有防火墙在网络间转发数据包
多主服务器不能在所连接的各个网络间转发数据包。防火墙是明显的例外。
值： IPEnableRouter
建议值数据： 0
有效范围： 0 (false)、1 (true)
说明： 将该参数设置为 1 (true) 可使系统在所连接的各个网络间路由 IP 数据包。
掩码网络拓扑详细信息
使用 ICMP 数据包可以请求主机的子网掩码。公开该信息本身并无大碍；但是，多主机的响应可能会被用于构建内部网络的信息。
值： EnableAddrMaskReply
建议值数据： 0
有效范围： 0 (false)、1 (true)
说明： 该参数控制计算机是否响应 ICMP 地址掩码请求。 请使用表 5 中总结的值来建立最大保护。
表 5 建议值
值 (REG_DWORD)
DisableIPSourceRouting
EnableFragmentChecking
EnableMulticastForwarding
IPEnableRouter
EnableAddrMaskReply
缺陷 测试这些值的更改时，请根据您在生产中预期使用的网络卷来进行测试。这些设置会修改被认为是正常的阈值，而且偏离经过测试的默认值。如果各个客户端的连接速度差异很大，那么有些设置可能过于狭隘而无法稳定地支持客户端。
其他资源 有关 TCP/IP 的其他详细信息，请参考下列资源：
有关强化 TCP/IP 堆栈的详细信息，请参阅 Microsoft 知识库文章 315669“How To:Harden the TCP/IP Stack Against Denial of Service Attacks in Windows 2000”。
有关 Windows 2000 TCP/IP 实现的详细信息，请参阅 Lee Davies 的“Windows 2000 TCP/IP Protocols and Services”（Microsoft Press 书籍）。
有关 Windows 2000 TCP/IP 实现的详细信息，请参阅 TechNet 网站上的“Microsoft Windows 2000 TCP/IP Implementation Details”，位于 。
此页面有帮助吗？
更多反馈？
1500 个剩余字符
我们非常感谢您的反馈。君，已阅读到文档的结尾了呢~~
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
如何：强化 TCP IP 堆栈安全
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口