windows系統(tǒng)本身就有很多機制可以用來提高性能和安全，其中有不少可以用來應(yīng)對高并發(fā)請求和DDOS攻擊的情況。

通過以下配置可以改善windows服務(wù)器性能：

一、應(yīng)對高并發(fā)請求：

1、TCP連接延遲等待時間 TcpTimedWaitDelay：

這是設(shè)定TCP/IP 可釋放已關(guān)閉連接并重用其資源前，必須經(jīng)過的時間。關(guān)閉和釋放之間的此時間間隔通稱 TIME_WAIT狀態(tài)或兩倍最大段生命周期（2MSL）狀態(tài)。在此時間內(nèi)，重新打開到客戶機和服務(wù)器的連接的成本少于建立新連接。減少此條目的值允許 TCP/IP更快地釋放已關(guān)閉的連接，為新連接提供更多資源。如果運行的應(yīng)用程序需要快速釋放和創(chuàng)建新連接，而且由于 TIME_WAIT中存在很多連接，導(dǎo)致低吞吐量，則調(diào)整此參數(shù)。缺省值240秒，最小30秒，最大300秒，建議設(shè)為30秒。

2、最大TCP使用端口 MaxUserPort：

TCP客戶端和服務(wù)器連接時，客戶端必須分配一個動態(tài)端口，默認(rèn)情況下這個動態(tài)端口的分配范圍為 1024-5000，也就是說默認(rèn)情況下，客戶端最多可以同時發(fā)起3977個Socket連接。通過修改調(diào)整這個動態(tài)端口的范圍，可以提高系統(tǒng)的數(shù)據(jù)吞吐率

3、保持連接時間 KeepAliveTime：

Windows默認(rèn)情況下不發(fā)送保持活動數(shù)據(jù)包，但某些TCP包中可能請求保持活動的數(shù)據(jù)包。保持連接可以被攻擊者利用建立大量的連接造成服務(wù)器拒絕服務(wù)。降低這個參數(shù)值有助于系統(tǒng)更快速地斷開非活動會話。

4、TCP數(shù)據(jù)最大重發(fā)次數(shù) TcpMaxDataRetransmissions

此參數(shù)控制TCP在連接異常中止前數(shù)據(jù)段重新傳輸?shù)拇螖?shù)。如果這個限定次數(shù)內(nèi)，計算機沒有收到任何確認(rèn)消息，連接將會被終止。

5、TCP連接最大重發(fā)次數(shù) TcpMaxConnectResponseRetransmissions
此參數(shù)設(shè)定SYN-ACK等待時間，可以用來提高系統(tǒng)的網(wǎng)絡(luò)性能。缺省時間為3，消耗時間為45秒；項值為2，消耗時間為21秒；項值為1，消耗時間為9秒；項值為0，表示不等待，消耗時間為3秒

二、應(yīng)對DDOS攻擊：（包括以上設(shè)置）

1、SYN攻擊防護(hù) SynAttackProtect：

為防范SYN攻擊，Windows NT系統(tǒng)的TCP/IP協(xié)議棧內(nèi)嵌了SynAttackProtect機制。SynAttackProtect機制是通過關(guān)閉某些socket選項，增加額外的連接指示和減少超時時間，使系統(tǒng)能處理更多的SYN連接，以達(dá)到防范SYN攻擊的目的。

2、無效網(wǎng)關(guān)檢測功能 EnableDeadGWDetect：

當(dāng)服務(wù)器設(shè)置了多個網(wǎng)關(guān)，在網(wǎng)絡(luò)不通暢的時候系統(tǒng)會嘗試連接第二個網(wǎng)關(guān)。允許自動探測失效網(wǎng)關(guān)可導(dǎo)致 DoS，關(guān)閉它可以抵御SNMP攻擊，優(yōu)化網(wǎng)絡(luò)。

3、ICMP重定向功能 EnableICMPRedirect：

是否響應(yīng)ICMP重定向報文。ICMP重定向報文有可能被用以攻擊，所以系統(tǒng)應(yīng)該拒絕接受此類報文，用以抵御ICMP攻擊。

4、IP源路由限制 DisableIPSourceRouting：

是否禁用IP源路由包，禁用可以提高IP源路由保護(hù)級別，用以防范數(shù)據(jù)包欺騙

5、路由發(fā)現(xiàn)功能 PerformRouterDiscovery：

ICMP路由通告報文可以被用來增加路由表紀(jì)錄，可能導(dǎo)致DOS攻擊，所以禁止路由發(fā)現(xiàn)。

6、服務(wù)器名響應(yīng)功能 NoNameReleaseOnDemand

允許計算機忽略除來自 Windows服務(wù)器以外的 NetBIOS名稱發(fā)布請求。當(dāng)攻擊者發(fā)出查詢服務(wù)器NetBIOS名的請求時，可以使服務(wù)器禁止響應(yīng)。

7、Internet組管理協(xié)議級別 IGMPLevel

用于控制系統(tǒng)在多大程度上支持IP組播和參與Internet組管理協(xié)議。缺省值為2，支持發(fā)送和接收組播數(shù)據(jù)；項值為1表示只支持發(fā)送組播數(shù)據(jù)；項值為0表示不支持組播功能。

8、匿名訪問限制 RestrictAnonymous

用于禁止匿名訪問查看用戶列表和安全權(quán)限。匿名訪問可以使連接者與目標(biāo)主機建立一條空連接而無需用戶名和密碼，利用這個空連接，連接者可以得到用戶列表。有了用戶列表，就可以窮舉猜測密碼。