3、增加SYN缓存法

　　上面提到的BAN IP法虽然可以有效的防止DOS与DDOS的攻击但由于使用了屏蔽IP功能，自然会误将某些正常访问的IP也过滤掉。所以在遇到小型攻击时不建议大家使用上面介绍的BAN IP法。我们可以通过修改SYN缓存的方法防御小型DOS与DDOS的攻击。该方法在笔者所在公司收效显著。

　　修改SY缓存大小是通过注册表的相关键值完成的。我们将为各位读者介绍在WINDOWS2003和2000中的修改方法。

　　(1)WIN2003下拒绝访问攻击的防范:

　　第一步:“开始->运行->输入regedit”进入注册表编辑器。

　　第二步:找到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services，在其下的有个SynAttackProtect键值。默认为0将其修改为1可更有效地防御SYN攻击。

　　小提示:该参数可使TCP调整SYN-ACKS的重新传输。将SynAttackProtect设置为1时，如果系统检测到存在SYN攻击，连接响应的超时时间将更短。

　　第三步:将HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services下EnableDeadGWDetect键值，将其修改为0。该设置将禁止SYN攻击服务器后强迫服务器修改网关从而使服务暂停。

　　第四步:将HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services下EnablePMTUDiscovery键值，将其修改为0。这样可以限定攻击者的MTU大小，降低服务器总体负荷。

　　第五步:将HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services下KeepAliveTime设置为300,000。将NoNameReleaseOnDemand
　　设置为1。

　　(2)WIN2000下拒绝访问攻击的防范:

　　在WIN2000下拒绝访问攻击的防范方法和2003基本相似，只是在设置数值上有些区别。我们做下简单介绍。

　　第一步:将SynAttackProtect设置为2。
　　第二步:将EnableDeadGWDetect设置为0。
　　第三步:将EnablePMTUDiscovery设置为0。
　　第四步:将KeepAliveTime设置为300000。
　　第五步:将NoNameReleaseOnDemand设置为1。

　　总结:经过上面介绍的察觉攻击法，BAN IP法和最后的修改注册表法可以有效的防范DOS与DDOS的攻击。不过由于DDOS攻击的特点，实际上没有一台服务器能够彻底防范它，即使安装了专业的防范DDOS的硬件防火墙也不能百分之百的避免损失。今天介绍的几个方法只是免费的防范手段，实际中能起到一定的效果。