windows系統(tǒng)本身就有很多機(jī)制可以用來(lái)提高性能和安全，其中有不少可以用來(lái)應(yīng)對(duì)高并發(fā)請(qǐng)求和DDOS攻擊的情況。

通過(guò)以下配置可以改善windows服務(wù)器性能：

一、應(yīng)對(duì)高并發(fā)請(qǐng)求：

1、TCP連接延遲等待時(shí)間 TcpTimedWaitDelay：

這是設(shè)定TCP/IP 可釋放已關(guān)閉連接并重用其資源前，必須經(jīng)過(guò)的時(shí)間。關(guān)閉和釋放之間的此時(shí)間間隔通稱 TIME_WAIT狀態(tài)或兩倍最大段生命周期（2MSL）狀態(tài)。在此時(shí)間內(nèi)，重新打開(kāi)到客戶機(jī)和服務(wù)器的連接的成本少于建立新連接。減少此條目的值允許 TCP/IP更快地釋放已關(guān)閉的連接，為新連接提供更多資源。如果運(yùn)行的應(yīng)用程序需要快速釋放和創(chuàng)建新連接，而且由于 TIME_WAIT中存在很多連接，導(dǎo)致低吞吐量，則調(diào)整此參數(shù)。缺省值240秒，最小30秒，最大300秒，建議設(shè)為30秒。

 

 

2、最大TCP使用端口 MaxUserPort：

TCP客戶端和服務(wù)器連接時(shí)，客戶端必須分配一個(gè)動(dòng)態(tài)端口，默認(rèn)情況下這個(gè)動(dòng)態(tài)端口的分配范圍為 1024-5000，也就是說(shuō)默認(rèn)情況下，客戶端最多可以同時(shí)發(fā)起3977個(gè)Socket連接。通過(guò)修改調(diào)整這個(gè)動(dòng)態(tài)端口的范圍，可以提高系統(tǒng)的數(shù)據(jù)吞吐率

 

3、保持連接時(shí)間 KeepAliveTime：

Windows默認(rèn)情況下不發(fā)送保持活動(dòng)數(shù)據(jù)包，但某些TCP包中可能請(qǐng)求保持活動(dòng)的數(shù)據(jù)包。保持連接可以被攻擊者利用建立大量的連接造成服務(wù)器拒絕服務(wù)。降低這個(gè)參數(shù)值有助于系統(tǒng)更快速地?cái)嚅_(kāi)非活動(dòng)會(huì)話。

 

 

4、TCP數(shù)據(jù)最大重發(fā)次數(shù) TcpMaxDataRetransmissions

此參數(shù)控制TCP在連接異常中止前數(shù)據(jù)段重新傳輸?shù)拇螖?shù)。如果這個(gè)限定次數(shù)內(nèi)，計(jì)算機(jī)沒(méi)有收到任何確認(rèn)消息，連接將會(huì)被終止。

 

 

5、TCP連接最大重發(fā)次數(shù) TcpMaxConnectResponseRetransmissions
此參數(shù)設(shè)定SYN-ACK等待時(shí)間，可以用來(lái)提高系統(tǒng)的網(wǎng)絡(luò)性能。缺省時(shí)間為3，消耗時(shí)間為45秒；項(xiàng)值為2，消耗時(shí)間為21秒；項(xiàng)值為1，消耗時(shí)間為9秒；項(xiàng)值為0，表示不等待，消耗時(shí)間為3秒

 

二、應(yīng)對(duì)DDOS攻擊：（包括以上設(shè)置）

1、SYN攻擊防護(hù) SynAttackProtect：

為防范SYN攻擊，Windows NT系統(tǒng)的TCP/IP協(xié)議棧內(nèi)嵌了SynAttackProtect機(jī)制。SynAttackProtect機(jī)制是通過(guò)關(guān)閉某些socket選項(xiàng)，增加額外的連接指示和減少超時(shí)時(shí)間，使系統(tǒng)能處理更多的SYN連接，以達(dá)到防范SYN攻擊的目的。

 

 

2、無(wú)效網(wǎng)關(guān)檢測(cè)功能 EnableDeadGWDetect：

當(dāng)服務(wù)器設(shè)置了多個(gè)網(wǎng)關(guān)，在網(wǎng)絡(luò)不通暢的時(shí)候系統(tǒng)會(huì)嘗試連接第二個(gè)網(wǎng)關(guān)。允許自動(dòng)探測(cè)失效網(wǎng)關(guān)可導(dǎo)致 DoS，關(guān)閉它可以抵御SNMP攻擊，優(yōu)化網(wǎng)絡(luò)。

 

 

3、ICMP重定向功能 EnableICMPRedirect：

是否響應(yīng)ICMP重定向報(bào)文。ICMP重定向報(bào)文有可能被用以攻擊，所以系統(tǒng)應(yīng)該拒絕接受此類報(bào)文，用以抵御ICMP攻擊。

 

 

4、IP源路由限制 DisableIPSourceRouting：

是否禁用IP源路由包，禁用可以提高IP源路由保護(hù)級(jí)別，用以防范數(shù)據(jù)包欺騙

 

5、路由發(fā)現(xiàn)功能 PerformRouterDiscovery：

ICMP路由通告報(bào)文可以被用來(lái)增加路由表紀(jì)錄，可能導(dǎo)致DOS攻擊，所以禁止路由發(fā)現(xiàn)。

 

6、服務(wù)器名響應(yīng)功能 NoNameReleaseOnDemand

允許計(jì)算機(jī)忽略除來(lái)自 Windows服務(wù)器以外的 NetBIOS名稱發(fā)布請(qǐng)求。當(dāng)攻擊者發(fā)出查詢服務(wù)器NetBIOS名的請(qǐng)求時(shí)，可以使服務(wù)器禁止響應(yīng)。

 

7、Internet組管理協(xié)議級(jí)別 IGMPLevel

用于控制系統(tǒng)在多大程度上支持IP組播和參與Internet組管理協(xié)議。缺省值為2，支持發(fā)送和接收組播數(shù)據(jù)；項(xiàng)值為1表示只支持發(fā)送組播數(shù)據(jù)；項(xiàng)值為0表示不支持組播功能。

 

8、匿名訪問(wèn)限制 RestrictAnonymous

用于禁止匿名訪問(wèn)查看用戶列表和安全權(quán)限。匿名訪問(wèn)可以使連接者與目標(biāo)主機(jī)建立一條空連接而無(wú)需用戶名和密碼，利用這個(gè)空連接，連接者可以得到用戶列表。有了用戶列表，就可以窮舉猜測(cè)密碼。