加固 TCP/IP 堆栈的 TCP/IP 注册表值

警告：如果使用注册表编辑器或其他方法错误地修改了注册表，则可能导致严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。
以下列表说明了与 TCP/IP 相关的注册表值，您可以在直接连接到 Internet 的计算机上配置这些值，以加固 TCP/IP 堆栈。除非特别指出，否则所有这些值均应在以下注册表项下创建：

注意：除非特别指出，否则所有值均为十六进制。

• 数值名称：SynAttackProtect
  项：Tcpip\Parameters
  数值类型：REG_DWORD
  有效范围：0，1
  默认值：0
  
  该注册表值可使传输控制协议 (TCP) 调整 SYN-ACKS 的重新传输。配置该值后，如果出现 SYN 攻击（拒绝服务攻击的一种），连接响应超时时间将更短。
  
  下列参数可与该注册表值一起使用：
  • 0（默认值）：无 SYN 攻击防护
  • 1：将 SynAttackProtect 设置为 1 可更有效地抵御 SYN 攻击。该参数可使 TCP 调整 SYN-ACKS 的重新传输。将 SynAttackProtect 设置为 1 时，如果系统检测到存在 SYN 攻击，连接响应的超时时间将更短。Windows 使用以下值确定是否存在攻击：
    • TcpMaxPortsExhausted
    • TCPMaxHalfOpen
    • TCPMaxHalfOpenRetried
  
  注意：在 Windows Server 2003 Service Pack 1 中，SynAttackProtect 注册表项的默认值为 1。
  
• 数值名称：EnableDeadGWDetect
  项：Tcpip\Parameters
  数值类型：REG_DWORD
  有效范围：0，1（False，True）
  默认值：1（True）
  
  下表说明了可以在该注册表值中使用的参数：
  • 1：将 EnableDeadGWDetect 设置为 1 时，将允许 TCP 执行失效网关检测。启用失效网关检测时，如果多个连接出现困难，TCP 可能会要求 Internet 协议 (IP) 切换到备份网关。可以在“TCP/IP 配置”对话框（“控制面板”中的“网络”工具中）的“高级”部分中定义备份网关。
  • 0：Microsoft 建议您将 EnableDeadGWDetect 值设置为 0。如果不将该值设置为 0，攻击可能会强制服务器切换网关，而切换到的新网关可能并不是您打算使用的网关。
• 数值名称：EnablePMTUDiscovery
  项：Tcpip\Parameters
  数值类型：REG_DWORD
  有效范围：0，1（False，True）
  默认值：1（True）
  
  下表说明了可以在该注册表值中使用的参数：
  • 1：将 EnablePMTUDiscovery 设置为 1 时，TCP 将尝试发现经由远程主机的路径传输的最大传输单位 (MTU) 或最大数据包大小。通过发现路径的 MTU 并将 TCP 段限制到这一大小，TCP 可以沿着连接具有不同 MTU 的网络的路径删除路由器上的碎片。碎片会对 TCP 的吞吐量产生不利影响。
  • 0：Microsoft 建议将 EnablePMTUDiscovery 设置为 0。如果这样做，576 字节的 MTU 将应用于本地子网中所有非主机的连接。如果不将该值设置为 0，攻击者可能会强制 MTU 值变得非常小，从而导致堆栈的负荷过大。
    
    重要说明：将 EnablePMTUDiscovery 设置为 0 将对 TCP/IP 性能和吞吐量产生负面影响。尽管 Microsoft 建议使用该设置，也不应使用它，除非您完全清楚这种性能损失。
• 数值名称：KeepAliveTime
  项：Tcpip\Parameters
  数值类型：REG_DWORD - 时间（以毫秒为单位）
  有效范围：1-0xFFFFFFFF
  默认值：7,200,000（两个小时）
  
  该值控制 TCP 通过发送“保持活动”的数据包来验证空闲连接仍然完好无损的频率。如果仍能连接到远程计算机，该计算机就会对“保持活动”的数据包作出应答。默认情况下，不发送“保持活动”的数据包。可以使用程序在连接上配置该值。建议将该值设置为 300,000（5 分钟）。
• 数值名称：NoNameReleaseOnDemand
  项：Netbt\Parameters
  数值类型：REG_DWORD
  有效范围：0，1（False，True）
  默认值：0（False）
  
  该值确定计算机在收到名称释放请求时是否释放其 NetBIOS 名称。添加该值的目的是让管理员能够保护计算机免受恶意的名称释放攻击。Microsoft 建议您将 NoNameReleaseOnDemand 值设置为 1。

这篇文章中的信息适用于:

• Microsoft Windows Server 2003 Datacenter Edition
• Microsoft Windows Server 2003 Enterprise Edition
• Microsoft Windows Server 2003 Standard Edition
• Microsoft Windows Server 2003 Web Edition
• Microsoft Windows Server 2003, 64-Bit Datacenter Edition
• Microsoft Windows Server 2003, Enterprise x64 Edition
• Microsoft Windows Small Business Server 2003 Standard Edition
• Microsoft Windows Small Business Server 2003 Premium Edition

在CMD中执行

netsh interface portproxy add v6tov4 listenport=监听端口 connectport=连接端口

如

netsh interface portproxy add v6tov4 listenport=999 connectport=999

很多用户都使用迅雷下载资源，由于迅雷将采用多线程多连接来访问服务器，所以当通过迅雷从FTP服务器上下载时，他对服务器的负载和资源占用是巨大的， 如果我们不在服务器上进行任何限制基本上几个用户采用迅雷到同一个服务器上进行下载，这个服务器也就无法再为其他人提供FTP服务了。那么我们又该如何设置禁止迅雷对FTP服务器的危害呢？最近笔者发现了这么个小工具，通过他我们可以有效的禁止迅雷工具对FTP的连接，并且还可以针对使用迅雷的用户进行封IP处理，从而让我们的FTP服务器能够为更多人服务，让服务器资源合理利用。

二、安装FTP服务器防雷插件:

理论上讲迅雷不仅占用客户端全部网络带宽用于下载，还会开启多线程连接FTP服务器获取最大的下载带宽，所以基本上用户使用迅雷下载资源对服务器资源占用是垄断型的，经过笔者测试当开启迅雷连接FTP服务器时服务器自身CPU负载马上大幅度提高。（如图2）
 

本文介绍的方法是从插件入手来解决迅 雷下载高负荷的问题，通过在目前主流的FTP搭建工具serv-u或Gene6的插件文件夹中添加防范迅雷下载插件来阻挠使用迅雷下载工具连接FTP服务 器客户端的访问。该插件适用于Serv-U 4.1及以上版本，Gene6 ftp3.7及以上版本。由于笔者使用的是Gene6 FTP建立工具，所以本文也主要以Gene6为例介绍防范方法。


小提示： 如果你使用的是Serv-u软件建立FTP的话可以按照以下步骤完成插件安装工作，首先将将AntiXunlei.dll放入Serv-U目录中，打开 Serv-U目录中的ServUDaemon.ini进行修改，在ServUDaemon.ini文件增加[EXTERNAL]这一行，接下来在 [EXTERNAL]行的下一行添加一行，输入EventHookDLL1=AntiXunlei.dll，最后重新启动Serv-U服务即可。插件安装 完毕以后，如果没有出现任何错误，那么你的FTP服务器就可以识别并阻止迅雷的请求了。


插件名称: FTP禁止使用迅雷下载（）

版本： 反迅雷插件 v1.1 自动封IP

第一步：将“FTP禁止使用迅雷下载”插件下载并解压缩，将里面的DLL插件antixunlei.dll复制到Gene6安装目录下的plugins子目录，这个目录中存放的都是插件程序。（如图3）



 

第二步：重新启动服务器或者通过services.msc进入服务管理界面在Gene6 ftp server名字上点鼠标右键选择“重新启动”。（如图４）


 

第三步：插件安装完毕以后，如果没有出现任何错误，那么你的FTP服务器就可以识别并阻止迅雷的请求了。  至此我们就完成了防雷插件的安装，整个过程非常简单。

 

三、防雷插件实际效果：

下面我们来看看防雷插件的具体应用效果。
第一步：重新启动Gene6服务后我们再次用迅雷访问该服务器，下载对应的资源。（如图5）

 

第二步：由于我们的FTP服务器上在Gene6中添加了防雷插件，所以在用迅雷连接FTP服务器进行下载时我们会看到下载失败，原因是“未知错误”，而 从提示信息中可以看出当用户要列出目录下文件时由于反迅雷插件的顺利工作提示有“530的错误”，从而从根本上禁止了迅雷工具的恶意连接。（如图6）


 

第三步：当然通过此方法虽然让迅雷连接呈现了“530错误”，但是由于迅雷软件的自身特性，他还会反复尝试连接的，每次连接依然会消耗服务器的资源，所 以我们要针对相关参数进行设置让使用迅雷的客户端列于服务器封IP的列表中，我们打开Gene6管理端，查看“域设置”的属性，在左边找到“安全- >选项”，在右边的IP选项下的“拦截已禁止的IP”前打上对勾。（如图7）


 

第四步：经过修改后我们再次用迅雷连接FTP服务器下载资源时出现的错误就有所区别了，在等待欢迎信息后直接出现“发生错误，等待5秒后重新尝试”，这是明显的IP被BAN封锁的提示。（如图8）


 

第五步：我们返回到Gene6的管理界面，在“日志和报告”->“默认”处也能够看到提示信息中有“ruanzheng,will bedisconnected:ip is banned”的字眼，这说明当前使用该帐号的用户IP地址已经被封禁止登录。（如图9）

 

至此我们就完成了在Gene6FTP服务器上禁止用户使用迅雷下载工具恶意下载的功能，我们的FTP服务器可以为更多的用户提供更有效的服务了。当然这个插件的机理是通过分析迅雷下载时的请求特征进行屏蔽，所以说即使迅雷默认是采用单线程下载也一样会被此插件屏蔽。当然如果日后迅雷新版本针对此特征码进行了修改，我们的插件也无法奏效，而对于一些下载高手来说也了解自定义下载软件的特征码，那么此插件对于这些人来说也无法起作用，不过对于大部分用户来说恐怕会自己修改特征码的少之又少。

四、巧设置让FTP服务器FXP如飞：

当然除了针对FTP服务器进行防雷处理外，很多时候我们的企业内部不只有一台服务器，当我们有多台服务器时经常会遇到数据同步的问题，希望让这些FTP服务器上的数据保持一致，然而很多用户在对企业内部多台FTP服务器进行FXP传输时却总是遇到这样或那样的问题。实际上这些都是设置上出错造成的，我们以Gene6为例进行介绍。
要想让Gene6建立的FTP服务能够顺利的执行FXP传输，我们要对其参数进行设置，具体操作是打开GENE6的管理控制台，在里面找到要设置的 FTP域其下的某用户，打开该用户属性，在左边找到“用户->高级”选项，这里我们会看到针对FXP服务器到服务器的设置，只有我们将对应的服务器 对传方向打上对勾，该用户才能够顺利使用FXP功能。例如我们要将服务器A上的数据FXP到服务器B上，那么就要在服务器A上用户给予“容许外出的服务器 对传”权限，而在服务器B上用户给予“容许引入的服务器对传”。（如图10）



 

开启了FXP权限并设置对传输方向后我们才能够顺利的在两台FTP服务器上进行FXP传输，保证多台服务器的数据同步，也避免了用户利用自己硬盘做中转站点的麻烦。

总结：FTP服务器的管理需要我们在日常工作中去积累经验，很多功能都可以通过诸如插件程序的方式来获得，平时多积累网络管理知识，多逛逛专业工具讨论论坛，往往可以在第一时间发现功能强大好用的插件来增强自己的服务器，当然如果自身功力深厚的话我们还可以尝试自己开发相关插件让服务器老老实实的为自己服务。

解决方案：在微软的设置中，Ctrl+Alt+Del总对本地桌面有效，如果想在远程桌面中调出任务管理器，则需要按下Ctrl+ Shift+Esc代替，另外也可以通过Ctrl+Alt+End调出Windows安全对话框，然后再点“任务管理器”。另外还有一种方法，就是在远程桌面的“开始”－“运行”中输入“taskmgr”，这个命令会直接呼出远程桌面的任务管理器，算是一种变通的办法。

但找不到信号，解决方法是确保你有安装相应版本的联想笔记本电源管理程序，然后按FN+F5 调出无线和蓝牙的开启菜单 点击 开启 即可。