修改Win2k注册表抵抗拒绝服务

从正确看待Dos和DDoS开始

相信大家对这两个词都不会陌生，没错，拒绝服务攻击和分布式拒绝服务攻击。

所谓拒绝服务，是指在特定的攻击发生后，被攻击的对象不能及时提供应有的服务。比如网站服务(HTTP服务)不能提供，电子邮件服务器(SMTP，POP3)不能提供收发信件的功能。基本上，阻断服务攻击通常使用大量的网络数据包来瘫痪对方的网络和主机，使正常用户无法得到主机的及时服务。

分布式拒绝服务(DDOS)简单来说就是用远远超过目标处理能力的海量数据包消耗可用系统和网络带宽，导致网络服务瘫痪。

也许和媒体的过度关注有关。DoS攻击，尤其是DDoS攻击，似乎一夜之间流行开来，大大小小的网络管理员都异常兴奋地大喊“我被DDoS了！”，脸上仿佛写着无与伦比的荣耀和自豪。

其实我们身边真正意义上的DDoS并不多。毕竟发动一次DDoS攻击需要大量的资源，但真正的攻击却不断发生。大部分都是普通的拒绝服务攻击。普通的攻击，如何防护，也成了很多网络管理员最头疼的问题，于是四处打听，结果往往都是一样，“买我们的硬件防火墙”。

硬件包括专门的防拒绝服务攻击产品确实不错，但是基础价格很贵。虽然效果不错，但是从投资和投资保障的角度来看，有点过分。

其实从操作系统的角度来说，本身就有很多功能，只是很多需要我们慢慢去探索。在这里，我给大家简单介绍一下如何在Win2000环境下修改注册表，增强系统的抗DoS能力。

详细信息:

Windows注册表编辑器5.00版

[HKEY _本地_机器\系统\当前控制集\服务\ Tcpip \参数]

关闭对无效网关的检查。当服务器设置了多个网关时，系统会在网络不畅时尝试连接第二个网关，关闭它可以优化网络。

" EnableDeadGWDetect " = dWord:00000000

抑制对ICMP重定向消息的响应。此类消息可能被用于攻击，因此系统应该拒绝接受ICMP重定向消息。

" EnableICMPRedirects " = dword:00000000

不允许发布NETBIOS名称。当攻击者请求查询服务器的NETBIOS名称时，可以阻止服务器做出响应。

请注意，系统必须安装SP2或更高版本。

" nonameleaseondemand " = dword:00000001

验证是否发送了保活数据包。此选项确定TCP之间的时间间隔，以确定当前连接是否仍处于连接状态。如果未设置该值，系统将每2小时检查一次TCP是否有空闲连接。这里，设定时间是5分钟。

" KeepAliveTime"=dword:000493e0

禁止数据包长度路径检测。当该项的值为1时，将自动检测可以传输的数据包的大小，这可以用来提高传输效率。在失败或安全的情况下，该项的值被设置为0，这意味着使用576字节的固定MTU值。

" EnablePMTUDiscovery " = dword:00000000