3、增加SYN缓存法

上面提到的BAN IP法虽然可以有效的防止DOS与DDOS的攻击但由于使用了屏蔽IP功能，自然会误将某些正常访问的IP也过滤掉。所以在遇到小型攻击时不建议大家使用上面介绍的BAN IP法。我们可以通过修改SYN缓存的方法防御小型DOS与DDOS的攻击。该方法在笔者所在公司收效显著。

修改SY缓存大小是通过注册表的相关键值完成的。我们将为各位读者介绍在WINDOWS2003和2000中的修改方法。

（1）WIN2003下拒绝访问攻击的防范：

第一步：“开始->运行->输入regedit”进入注册表编辑器。

第二步：找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices，在其下的有个SynAttackProtect键值。默认为0将其修改为1可更有效地防御SYN攻击。

小提示：该参数可使TCP调整SYN-ACKS的重新传输。将SynAttackProtect设置为1时，如果系统检测到存在SYN攻击，连接响应的超时时间将更短。

第三步：将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下EnableDeadGWDetect键值，将其修改为0。该设置将禁止SYN攻击服务器后强迫服务器修改网关从而使服务暂停。

第四步：将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下EnablePMTUDiscovery键值，将其修改为0。这样可以限定攻击者的MTU大小，降低服务器总体负荷。

第五步：将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下KeepAliveTime设置为300,000。将NoNameReleaseOnDemand

设置为1。

（2）WIN2000下拒绝访问攻击的防范：

在WIN2000下拒绝访问攻击的防范方法和2003基本相似，只是在设置数值上有些区别。我们做下简单介绍。

第一步：将SynAttackProtect设置为2。

第二步：将EnableDeadGWDetect设置为0。

第三步：将EnablePMTUDiscovery设置为0。

第四步：将KeepAliveTime设置为300000。

第五步：将NoNameReleaseOnDemand设置为1。

总结：经过上面介绍的察觉攻击法，BAN IP法和最后的修改注册表法可以有效的防范DOS与DDOS的攻击。不过由于DDOS攻击的特点，实际上没有一台服务器能够彻底防范它，即使安装了专业的防范DDOS的硬件防火墙也不能百分之百的避免损失。今天介绍的几个方法只是免费的防范手段，实际中能起到一定的效果。