half-connection是为了防止半连接攻击而设定的,详情如下：

 

通讯的双方建立TCP连接，需要经过所谓的三次握手。如果只进行了一次或者两次，而没有成功进行第三次，则TCP连接建立就会失败这就是所谓的half-conneciton（半连接，即未完成建立的连接）.

 

第一次或第二次进行握手的时候，Windows的TCPIP协议栈将会为将要建立的连接分配资源.

 

攻击者制造大量伪造的源IP，对目标机器发送大量的第一次和第二次握手信号（连接请求），而从不发出第三次连接请求（应答），这样就会使目标机器的TCPIP协议栈分配大量的资源给这些实际上永远不会建立的连接。从而造成TCPIP协议栈资源耗尽，使正常的、非攻击连接请求不能得到响应，无法建立连接。这就是著名的half-connectionattack。典型的DOS攻击的一种。

 

Windows2003此处限制的是同时存在的half-connection不能超过10个，而一旦TCP的三次握手成功，连接建立，则此成功建立的连接就不在half-connection计算之列。

 

所以，完全没有必要进行修改half-connection连接数，除非你的网站流量太大，在1秒内有超过10个连接建立的请求但没有完全建立,而XP的10个连接数限制是真正的同时存在的TCPIP连接数（已经经过三次握手，完成建立的连接）不得超过10个。如果已经存在10个有效建立的连接，则第11个应用程序的连接建立请求根本就不会被XP的TCPIP协议栈发出,所以，从根本上来说，本来就完全是两回事.