Windows Vista, Windows 2008以上系統會針對syn flood攻擊對TCP/IP棧進行智能調優,無須額外配置。雖然如此我還是根據業務量配了值,也不知會不會生效。
參考官方論壇一測試大佬的帖子
原優化記錄,只針對2008以下系統有效。
SynAttackProtect配置
https://security.pconline.com.cn/0811/1481843_3.html
當SynAttackProtect 值為2時(Microsoft推薦使用此值),系統不僅使用backlog隊列,還使用附加的半連接指示,以此來處理更多的SYN連接,使用此鍵值時, tcp/ip的TCPInitialRTT、window size和可滑動窗囗將被禁止。
平時,系統是不啟用SynAttackProtect機制的,僅在檢測到SYN攻擊時,才啟用,並調整tcp/ip協議棧。那么系統是如何檢測SYN攻擊發生的呢?事實上,系統根據TcpMaxHalfOpen,TcpMaxHalfOpenRetried 和TcpMaxPortsExhausted三個參數判斷是否遭受SYN攻擊。
TcpMaxHalfOpen 表示能同時處理的最大半連接數,如果超過此值,系統認為正處於SYN攻擊中。Win2000 server默認值為100,Win2000 Advanced server為500。
TcpMaxHalfOpenRetried定義了保存在backlog隊列且重傳過的半連接數,如果超過此值,系統自動啟動 SynAttackProtect機制。Win2000 server默認值為80,Win2000 Advanced server為400。
TcpMaxPortsExhausted 是指系統拒絕的SYN請求包的數量,默認是5
官方論壇討論
利用netstat檢查
netstat -n -p TCP | find /i "syn"
利用netsh抓包
netsh trace start capture=yes provider=Microsoft-Windows-TCPIP level=0x05 tracefile=TCPIP.etl
抓包分析
https://blog.csdn.net/scugxl/article/details/75000180
SynAttackProtect保護(挨打)機制
https://www.jianshu.com/p/65371757889a