半開連接數

半開連接數限制充其量僅會在連接時引入一點時延（從幾毫秒到幾百毫秒）而已。而數據交互是在已經建立的TCP連接上傳輸的，傳輸速率與半開連接數量無關。更何況P2P協議本身還有排隊、請求數據等，這些機制引入的時延都遠遠大於半開連接限制所帶來的時延（例如，你連接了數百個對端，但是傳輸數據的卻只有其中的幾十個而已，其中大部分都處於等待或閒置狀態）。因此，半開連接數限制對上傳、下載速率幾乎沒有影響。

因為每一個半開連接都會使系統（包括路由器、防火牆、操作系統等）引入額外的開銷，過多的半開連接數只會導致系統資源緊張、不穩定甚至崩潰，卻不能帶來傳輸速率在實質上的提高。例如，在P2P網絡中，一個黑客可以通過散佈虛假資源信息，引導大量客户端在短時間內試圖與某個被攻擊者建立連接，如果半開連接數設置過大，將導致系統崩潰（路由器梗死、防火牆癱瘓或者操作系統崩潰等）。還有其它很多DDoS攻擊手段。限制TCP半開連接數，可以有效地防止DDoS攻擊。

TCP半開連接是指發送了TCP連接請求,等待對方應答的狀態,此時連接並沒有完全建立起來,雙方還無法進行通信交互的狀態,此時就稱為半連接。由於一個完整的TCP連接需要經過三次握手才能完成,這裏把三次握手之前的連接都稱之為半連接。

為了便於理解,我們把一次完整的TCP連接比作汽車通過一座大橋,在通過大橋之前的行程都稱之為TCP半開連接。TCP半開連接數就是大橋的車道,由於這個這個半連接數量如果設置過大,不僅耗費大量系統資源,而且還可能會遭受很多DDoS攻擊。因此,出於安全考慮,默認XP SP2(包括SP3)只允許同時存在10個TCP半開連接,也就是説這個大橋只有10個車道,破解就是通過修改tcpip.sys,拓寬這個大橋,使之擁有更多的車道,也就是增加TCP半開連接數。這樣如果同時需要過橋的汽車較多,過橋等待的時間就更短了(注意:不是在橋上通行花費時間,是等待上橋的時間),破解半開連接數的意義也僅此而已。

不過並非大橋越寬越好,大橋寬度要和實際車流量匹配,比如,只要設計50車道就足夠車流順暢通過,設計成100車道就是浪費了。一般來説,在2M、4M寬帶條件下,TCP半開連接數只要設置為256左右即可。

需要注意的是，根據微軟發佈的windows7 sp1 旗艦版版本的使用情況以及微軟之前發佈的信息，windows7或許取消了半開連接數的限定。