Di Windows XP SP2 dan Windows Vista, banyak pengguna telah mencari tcpip.sys patched hack atau auto patcher yang membuka batas koneksi simultan TCP/IP setengah terbuka hingga tidak ada batas atas. Di server web yang terbuka ke Internet, sebaliknya mungkin benar, di mana mungkin ada kebutuhan untuk membatasi dan membatasi jumlah maksimum koneksi masuk TCP ke server web yang diizinkan pada satu waktu.
Membatasi koneksi web TCP masuk maksimum ke server web berguna untuk mencegah atau lebih baik lagi, menghentikan serangan DDoS (Distributed Denial of Service) atau DoS (Denial of Service). Serangan DDoS dapat menghabiskan banyak sekali sumber daya sistem dan beban CPU, memperlambat waktu penyajian halaman web atau waktu respons kepada pengunjung yang sah. Dan dalam kasus yang lebih buruk, serangan tersebut dapat membuat server web hang dan down sepenuhnya, bahkan jika Anda memiliki server khusus CPU quad-core ganda dengan memori beberapa GB.
Untuk mencegah dan menanggapi serangan Denial of Service, selain menggunakan firewall atau cookie SYN, Anda juga dapat membatasi jumlah koneksi TCP yang dapat diterima server per detik. Konsep ini juga dapat diterapkan ketika sebuah halaman web digali, tersandung atau digaruk yang mendatangkan banyak penonton dalam rentang waktu yang singkat. Namun, solusi ini hanya dimaksudkan untuk membuat server 'bertahan' dan tidak sepenuhnya dilumpuhkan oleh sejumlah besar koneksi. Dan pembatasan akan berlaku pada pengunjung manusia yang sah ke situs web yang dihosting di server juga jika batasan tersebut mencapai batasnya dan secara aktif menolak koneksi baru.
Administrator dapat menggunakan iptables untuk menetapkan batas maksimum jumlah koneksi TCP ke server per detik yang dapat diterima. Untuk mengonfigurasi batas, login sebagai root ke shell dan jalankan perintah berikut, menggantikan
iptables -t nat -N syn-flood iptables -t nat -A syn-flood -m limit –limit <n>/s –limit-burst <m> -j RETURN iptables -t nat -A syn-flood -j DROP iptables -t nat -A PREROUTING -i $EXT_IFACE -d $DEST_IP -p tcp –syn -j syn-flood
Perintah di atas akan membatasi jumlah maksimum koneksi TCP yang dapat terhubung ke server web ke n koneksi per detik, setelah m koneksi telah ditetapkan. Tidak ada angka pasti untuk jumlah koneksi yang dapat Anda atur. Jika server kuat, dimungkinkan untuk meningkatkan nilai untuk menangani dan menerima lebih banyak koneksi untuk mengurangi koneksi yang terputus. Coba dan tetapkan nilai terbaik untuk server Anda.