修改系統注冊表防止SYN洪水攻擊

SYN攻擊屬於DOS攻擊的一種，它利用TCP協議缺陷，通過發送大量的半連接請求，耗費CPU和內存資源。SYN攻擊除了能影響主機外，還可以危害路由器、防火牆等網絡系統，事實上SYN攻擊並不管目標是什麼系統，只要這些系統打開TCP服務就可以實施。從上圖可看到，服務器接收到連接請求（syn=j），將此信息加入未連接隊列，並發送請求包給客戶（syn=k,ack=j 1），此時進入SYN_RECV狀態。當服務器未收到客戶端的確認包時，重發請求包，一直到超時，才將此條目從未連接隊列刪除。配合IP欺騙，SYN攻擊能達到很好的效果，通常，，客戶端在短時間內偽造大量不存在的IP地址，向服務器不斷地發送syn包，服務器回復確認包，並等待客戶的確認，由於源地址是不存在的，服務器需要不斷的重發直至超時，這些偽造的SYN包將長時間占用未連接隊列，正常的SYN請求被丟棄，目標系統運行緩慢，嚴重者引起網絡堵塞甚至系統癱瘓。

為防范SYN攻擊，win2000系統的tcp/ip協議棧內嵌了SynAttackProtect機制，Win2003系統也采用此機制。SynAttackProtect機制是通過關閉某些socket選項，增加額外的連接指示和減少超時時間，使系統能處理更多的SYN連接，以達到防范SYN攻擊的目的。默認情況下，Win2000操作系統並不支持SynAttackProtect保護機制，需要在注冊表以下位置增加SynAttackProtect鍵值：HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

當SynAttackProtect值（如無特別說明，本文提到的注冊表鍵值都為十六進制）為0或不設置時，系統不受SynAttackProtect保護。

當SynAttackProtect值為2時，系統通過減少重傳次數和延遲未連接時路由緩沖項（route cache entry）防范SYN攻擊。

修改注冊表，防止SYN攻擊

一、單擊“開始”——“運行”輸入“regedit”，單擊“確定”按鈕，打開注冊表。

二、找到注冊表位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為SynAttackProtect。

點擊查看大圖

三、點擊右鍵修改 SynAttackProtec t鍵值的屬性。

三、在彈出的“編輯DWORD值”對話框數值數據欄中輸入“2”

四、單擊“確定”，繼續在注冊表中添加下列鍵值，防范SYN洪水攻擊。

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0