修改注册表提高Win2000抗拒绝服务攻击能力(2)

禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的源路由包，微软站点安全推荐为2。
"DisableIPSourceRouting"=dword:0000002

限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。
"TcpTimedWaitDelay"=dword:0000001e


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
增大NetBT的连接块增加幅度。缺省为3，范围1-20，数值越大在连接越多时提升性能。每个连接块消耗87个字节。
"BacklogIncrement"=dword:00000003

最大NetBT的连接快的数目。范围1-40000，这里设置为1000，数值越大在连接越多时允许更多连接。
"MaxConnBackLog"=dword:000003e8


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Afd\Parameters]
配置激活动态Backlog。对于网络繁忙或者易遭受SYN攻击的系统，建议设置为1，表示允许动态Backlog。
"EnableDynamicBacklog"=dword:00000001

配置最小动态Backlog。默认项值为0，表示动态Backlog分配的自由连接的最小数目。当自由连接数目低于此数目时，将自动的分配自由连接。默认值为0，对于网络繁忙或者易遭受SYN攻击的系统，建议设置为20。
"MinimumDynamicBacklog"=dword:00000014

最大动态Backlog。表示定义最大"准"连接的数目，主要看内存大小，理论每32M内存最大可以增加5000个，这里设为20000。
"MaximumDynamicBacklog"=dword:00002e20

每次增加的自由连接数据。默认项值为5，表示定义每次增加的自由连接数目。对于网络繁忙或者易遭受SYN攻击的系统，建议设置为10。
"DynamicBacklogGrowthDelta"=dword:0000000a
　

以下部分需要根据实际情况手动修改

----------------------------------------------------------------------------------------
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
启用网卡上的安全过滤
"EnableSecurityFilters"=dword:00000001

同时打开的TCP连接数，这里可以根据情况进行控制。
"TcpNumConnections"=

该参数控制 TCP 报头表的大小限制。在有大量 RAM 的机器上，增加该设置可以提高 SYN 攻击期间的响应性能。
"TcpMaxSendFree"=

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{自己的网卡接口}]
禁止路由发现功能。ICMP路由通告报文可以被用来增加路由表纪录，可以导致攻击，所以禁止路由发现。
"PerformRouterDiscovery "=dword:00000000
----------------------------------------------------------------------------------------

写到这里，我自己都有一点晕乎乎的了。呵呵。

从提高系统安全级别对抗DoS的角度来说，上面所做的修改注册表还仅仅是其中一个很小的部分。

我还将继续整理一些资料和大家分享。当然如果大家发现文章里面存在什么错误或者有更好的一些配置方法也一定要告诉我哦。