55e354b44dd6e303f64c1bf0ac20bb28.jpg
 
在我的經驗中,其實 Windows Server 算是滿強悍的,無論是在效能或是安全性上。當然,主要的原因還是管理者需要夠了解底層,以及勤勞的上 hotfix。
 
曾 經遇過 Windows Server 被 DDoS,這個問題其實很複雜,不過如果只是一般的 DDoS,包括使用 ICMP flood、syn flood、UDP flood、TCP Connection attach 等,其實 Windows 本身就可以擋掉大部分。
 
不過當流量,或是 source ip 多到一個程度的時候,還是得靠百萬元等級的硬體防火牆來擋了!
 
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters]
"DynamicBacklogGrowthDelta"=dword:0000000a
"MaximumDynamicBacklog"=dword:00004e20
"MinimumDynamicBacklog"=dword:00000014
"EnableICMPRedirect"=dword:00000000
"EnableDynamicBacklog"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
"SynAttackProtect"=dword:00000001
"TcpMaxPortsExhausted"=dword:00000005
"TcpMaxHalfOpen"=dword:000001f4
"TcpMaxHalfOpenRetried"=dword:00000190
"TcpMaxConnectResponseRetransmissions"=dword:00000002
"TcpMaxDataRetransmissions"=dword:00000002
"EnablePMTUDiscovery"=dword:00000000
"KeepAliveTime"=dword:000493e0
"NoNameReleaseOnDemand"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"DisableIPSourceRouting"=dword:00000001
"EnableFragmentChecking"=dword:00000001
"EnableMulticastForwarding"=dword:00000000
"IPEnableRouter"=dword:00000000
"EnableDeadGWDetect"=dword:00000000
"EnableAddrMaskReply"=dword:00000000
 
以上的設定為直接修改註冊檔的內容,也可以直接下載 REG ( AvoidDDOS.reg ) 檔案,下載後,點擊兩下就可以了!
 
Facebook 討論區載入中...