V systémech Windows XP SP2 a Windows Vista mnoho uživatelů hledalo tcpip.sys patched hack nebo auto patcher, který odemyká limit TCP/IP napůl otevřeného simultánního připojení bez horní hranice. U webového serveru, který je vystaven internetu, může být pravdou opak, kde může být potřeba omezit a omezit maximální počet TCP příchozích připojení k webovému serveru, která jsou v daném okamžiku povolena.
Omezení maximálního počtu příchozích webových připojení TCP k webovému serveru je užitečné k prevenci nebo ještě lépe k zastavení útoků DDoS (Distributed Denial of Service) nebo DoS (Denial of Service). Útoky DDoS mohou spotřebovat obrovské množství systémových prostředků a zatížení procesoru, zpomalit dobu zobrazování webové stránky nebo dobu odezvy legitimním návštěvníkům. A v horším případě se útok může zablokovat a zcela svrhnout webový server, i když máte dedikovaný server s dvoujádrovým čtyřjádrovým CPU s několika GB paměti.
Chcete-li zabránit útokům odmítnutí služby a reagovat na ně, jinak než pomocí firewallu nebo SYN cookies, je také možné omezit počet TCP spojení, která může server přijmout za sekundu. Tento koncept lze uplatnit i tehdy, když je webová stránka překopána, klopýtnuta nebo frankována, což v krátkém čase přivede velké množství diváků. Toto řešení však zamýšlí pouze zajistit, aby server „přežil“, a nikoli zcela sražen velkým množstvím připojení. A omezení se bude vztahovat i na platné lidské návštěvníky webových stránek hostovaných na serveru, pokud omezení narazí na hranici svých možností a aktivně zakáže nová připojení.
Administrátor může použít iptables k nastavení maximálního povoleného limitu počtu TCP spojení se serverem za sekundu. Chcete-li nakonfigurovat limit, přihlaste se jako uživatel root do prostředí Shell a zadejte následující příkazy, nahrazující
iptables -t nat -N syn-flood iptables -t nat -A syn-flood -m limit –limit <n>/s –limit-burst <m> -j RETURN iptables -t nat -A syn-flood -j DROP iptables -t nat -A PREROUTING -i $EXT_IFACE -d $DEST_IP -p tcp –syn -j syn-flood
Výše uvedené příkazy omezí maximální počet TCP spojení, která se mohou připojit k webovému serveru na n připojení za sekundu, po m spojení byla navázána. Počet připojení, která můžete nastavit, není pevně stanoven. Pokud je server výkonný, je možné zvýšit hodnoty, aby bylo možné zpracovat a přijmout více připojení, aby se snížilo množství přerušení připojení. Zkuste a nastavte nejlepší hodnoty pro váš server.