我们应该知道,平时,系统是不启用SynAttackProtect机制的,仅在检测到SYN攻击时,才启用,并调整tcp/ip协议栈。那么系统是如何检测SYN攻击发生的呢?事实上,系统根据TcpMaxHalfOpen,TcpMaxHalfOpenRetried和TcpMaxPortsExhausted三个参数判断是否遭受SYN攻击。
TcpMaxHalfOpen表示能同时处理的最大半连接数(也即服务器处于SYN_RECV阶段),如果超过此值,系统认为正处于SYN攻击中。Win2000 server默认值为100,Win2000 Advanced server为500。
TcpMaxHalfOpenRetried定义了保存在backlog队列且重传过的半连接数(即服务器处于SYN_RECV阶段,并且对于一些连接,若发送了SYN-ACK后没有响应使得服务器重发SYN-ACK),如果超过此值,系统自动启动SynAttackProtect机制。Win2000 server默认值为80,Win2000 Advanced server为400。
TcpMaxPortsExhausted 是指系统拒绝的SYN请求包的数量(也即服务器处于LISTEN阶段,个人认为是与socket中的listen第二个参数backlog一样的意思,也即等待连接队列的长度),默认是5。
如果想调整以上参数的默认值,可以在注册表里修改(位置与SynAttackProtect相同)
tcp/ip协议栈的调整可能会引起某些功能的受限,管理员应该在进行充分了解和测试的前提下进行此项工作
推荐阅读
- 火狐|火狐回应 Firefox 无法访问网页:服务器更新触发 bug,现已解决
- 攻击|服务器被攻击了多久恢复?服务器被攻击了怎么处理?
- exch微软 Exchange 服务器出现 2022 年日期 Bug,暂时无法处理邮件
- 修复|微软发布 Exchange 服务器“2022 版千年虫”问题官方修复程序
- 网络攻防|沃尔沃服务器遭勒索攻击研发信息被盗;360网络攻防靶场获数字城市优秀解决方案奖
- dns服务器|DNS污染攻击的危险及预防方法
- 腾讯服务器|宗庆后质疑腾讯服务器在美国?马化腾问非所答,杨元庆帮忙解围
- 沙利文|网络攻击者无需密码就能访问网络服务器!中国程序员发现“近年来最大计算机漏洞”
- log4j|立即修补您的 Minecraft 服务器以避免巨大的 Java 漏洞
- 淘宝|淘宝回应服务器崩了 网友质疑是不是原来关了不少服务器