DDOS的损害我这里就不说了,咱们可以经过批改注册表来减小DDOS
对咱们的损伤。
1)设置生计时刻HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默许值128)
阐明:指定传出IP数据包中设置的默许生计时刻(TTL)值.TTL决议了IP数据包在抵达方针前在网络中生计的最大时刻.它实际上约束了IP数据包在丢掉前答应经过的路由器数量.有时运用此数值来勘探长途主机操作体系.我主张设置为1,由于这里是ICMP数据包的寸活时刻。越小对方用 PING DDOS你的话,通常1M带宽的话就必须要100台以上的肉鸡来完结。不批改20几台就可以搞定
2)避免ICMP重定向报文的进犯HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
EnableICMPRedirects REG_DWORD 0x0(默许值为0x1)
阐明:该参数操控Windows2000能否会改动其路由表以呼应网络设备(如路由器)发送给它的ICMP重定向音讯,有时会被运用来干坏事.Win2000中默许值为1,表明呼应ICMP重定向报文.
3)制止呼应ICMP路由布告报文HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInter
facesinterface
PerformRouterDiscovery REG_DWORD 0x0(默许值为0x2)
阐明:“ICMP路由布告”功用可形成他人计算机的网络衔接反常,数据被偷听,计算机被用于流量进犯等严重后果.此问题曾招致校园网某些局域网大面积,长时刻的网络反常.因而主张封闭呼应ICMP路由布告报文.Win2000中默许值为2,表明当DHCP发送路由器发现选项时启用.
4)避免SYN洪水进犯HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
SynAttackProtect REG_DWORD 0x2(默许值为0x0)
阐明:SYN进犯维护包罗削减SYN-ACK从头传输次数,以削减分配资源所保存的时刻.路由缓存项资源分配推迟,直到树立衔接停止.若是synattackprotect=2,则AFD的衔接指示一向推迟到三路握手完结停止.注重,仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出规模时,维护机制才会采纳办法.
5) 制止C$、D$一类的缺省同享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters
AutoShareServer、REG_DWORD、0x0
6) 制止ADMIN$缺省同享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters
AutoShareWks、REG_DWORD、0x0
7) 约束IPC$缺省同享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用户无法罗列本机用户列表
0x2 匿名用户无法衔接本机IPC$同享
阐明:不主张运用2,不然可能会形成你的一些效劳无法发动,如SQL Server
8)不支持IGMP协议HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
IGMPLevel REG_DWORD 0x0(默许值为0x2)
阐明:记住Win9x下有个bug,就是用可以用IGMP使他人蓝屏,批改注册表可以批改这个bug.Win2000尽管没这个bug了,但IGMP并不是必要的,因而照样可以去掉.改成0后用route print将看不到那个厌烦的224.0.0.0项了.
9)设置arp缓存老化时刻设置HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters
Arp“的目录,
比方说是{4D36E972-E325-11CE-BFC1-08002BE10318}
打开之,在其下的0000,0001,0002…的分支中找到”DriverDesc”的键值为你网卡的阐明,比方说”DriverDesc”的值为” Intel 82559 Fast Ethernet LAN on Motherboard”然后在右窗口新建一字符串值,姓名为”Networkaddress”,内容为你想要的MAC值,比方说是”004040404040″然后重起计算机,ipconfig /all看看. 最终在加上个BLACKICE放火墙,应该可以反抗通常的DDOS
