通州北大青鳥指導：Ddos硬件防范

通州北大青鳥學術部提供：很多企業網絡管理人員會感到Ddos太可怕了，想要防御根本無從下手，因為這些數據包傳遞的IP地址不是一個，而是成千上萬個，如果單一的憑手工進行IP地址的數據包丟棄，那肯定是無法達到效果的。于是想到了硬件防范方法。(通州北大青鳥)

目前通常的硬件防DDOS都從理論上能達到抗ddos的目的，其原理大多數都是對數據包采用核心算法，精確算出數據包的危害性，有效防止連接耗盡，主動清除服務器上的殘余連接。不過當企業網絡受到大于自身網絡寬數倍的網絡數據包請求時，硬件防Ddos也顯得心有余而力不足了。(通州北大青鳥)

在硬件防ddos問題上企業可以根據自身所購買的防Ddos產品手冊操作進行即可，這里不在占用篇幅。

企業2003服務器防Ddos設置
作為企業服務器，一般的策略肯定要比網內的用戶機器嚴格的多。但是雖然多，如果不進行專業的抗ddos配置，那么當Ddos來襲時，也將束手無策。下面以2003系統為例進行講解。
由于ddos攻擊占用SYN緩存，因此可以從這上面著手對注冊表進行如下修改，即能達到防御Ddos的目的。其步驟如下：

一：“開始->運行->輸入regedit”進入注冊表編輯器。

二：找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，在其下的有個SynAttackProtect鍵值。默認為0將其修改為1。

三、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnableDeadGWDetect鍵值，將其修改為0。該設置將禁止SYN攻擊服務器后強迫服務器修改網關從而使服務暫停。

四、找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的鍵值EnablePMTUDiscovery，將其修改為0。這樣可以限定攻擊者的MTU大小，降低服務器總體負荷。

五：將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下KeepAliveTime設置為300,000。將NoNameReleaseOnDemand設置為1。(通州北大青鳥)

利用硬件配合軟件的方式進行了防DDOS相關設置后，通過進行以上注冊表的修改，調整了SYN-ACKS的重新傳輸的問題，并且將ddos攻擊數據包響應時間縮短，企業服務器從整體上提高了防御力。但是這只是緩兵之際，并不能從根本上瓦解Ddos攻擊，因此要想從源頭上解決此事，還有很多工作要做。