17站長網(wǎng) › 首頁 ›網(wǎng)站› 服務(wù)器 › 查看內(nèi)容

IIS如防御小規(guī)模DDOS攻擊

2022-10-21 13:58| 查看: 1250 |來源: 互聯(lián)網(wǎng)

最近幾天公司官網(wǎng)和業(yè)務(wù)系統(tǒng)的注冊頁面頻繁遭遇DDOS攻擊，導(dǎo)致IIS應(yīng)用程序池CPU占用率100%，訪問網(wǎng)站出現(xiàn)503錯誤。下面總結(jié)一下應(yīng)對措施。  一、啟用IIS ...

最近幾天公司官網(wǎng)和業(yè)務(wù)系統(tǒng)的注冊頁面頻繁遭遇DDOS攻擊，導(dǎo)致IIS應(yīng)用程序池CPU占用率100%，訪問網(wǎng)站出現(xiàn)503錯誤。下面總結(jié)一下應(yīng)對措施。

一、啟用IIS的CPU監(jiān)視功能

對于低頻率的DDOS可以采取這種方法。w3wp.exe是應(yīng)用程序池的關(guān)聯(lián)進程，當(dāng)WEB訪問量大時，w3wp.exe會占用大量的系統(tǒng)資源。在DDOS攻擊下，很明顯的現(xiàn)象就是w3wp.exe占用CPU達到100%，網(wǎng)站拒絕訪問，這個時候遠程登錄服務(wù)器都很困難。針對這種情況，做如下優(yōu)化：

1、為IIS中的每個網(wǎng)站設(shè)置單獨的應(yīng)用程序池。

2、為每個應(yīng)用程序池設(shè)置CPU監(jiān)視功能：當(dāng)w3wp.exe的CPU超過50%或更高時，自動殺死w3wp.exe進程，監(jiān)視頻率為1分鐘。只要有訪問請求進來，w3wp.exe便會重新啟動，不影響用戶訪問。

二、流量清洗

當(dāng)黑客發(fā)現(xiàn)低層次的DDOS已經(jīng)不起作用時，便會加大攻擊力度。一開始我們官網(wǎng)的平均并發(fā)數(shù)只有幾千，后來加大到了平均1萬6千個并發(fā)，最高7萬個并發(fā)，這樣上面的CPU監(jiān)視功能就沒有效果了，因為w3wp.exe重啟后，會在極短時間內(nèi)CPU重新達到100%。

當(dāng)時監(jiān)控到的并發(fā)連接數(shù)：

CPU使用率和流量（帶寬上限10M）：

幸運的是官網(wǎng)域名剛好在阿里云上做好了備案，我們遷移到阿里云上后，利用云盾的DDOS防護功能便會清洗掉大部分異常流量，CPU立馬正常，官網(wǎng)滿血復(fù)活了。

這里貼一下云服務(wù)器的參數(shù)：

配置： CPU2核、內(nèi)存4GB 
鏡像： Windows Server 2008 R2 標(biāo)準(zhǔn)版 SP1 64位中文版 
存儲： 1塊普通云盤（100GB） 
網(wǎng)絡(luò)： 帶寬10Mbps（經(jīng)典網(wǎng)絡(luò)）

參數(shù)配置不高，但是能抵御高強度的DDOS攻擊，這得益于阿里強大的技術(shù)實力，偷偷做個廣告，嘿嘿。

三、Nginx反向代理

但是黑客還經(jīng)常攻擊我們業(yè)務(wù)系統(tǒng)的注冊頁面，這次就沒有這么幸運了，因為業(yè)務(wù)系統(tǒng)是在我們實體機房，這就要靠我們自己了。

所以我們采取了前端Nginx反向代理、后端雙IIS做負(fù)載均衡，利用Nginx強大的性能和HttpLimitReqModul模塊限制某時間段內(nèi)同一ip訪問次數(shù)。Nginx的優(yōu)化這里不提，下面只貼出相關(guān)配置：

首先在nginx.conf的http配置段里增加如下內(nèi)容：

map $http_x_forwarded_for $clientRealIp { 
  "" $remote_addr; 
  ~^(?P
[0-9\.]+),?.*$ $firstAddr; 
  } 
  # 訪問受限制后返回599 
  limit_req_status 599; 
  # 定義一個名為allips的limit_req_zone用來存儲session，大小是100M內(nèi)存， 
  # 以$clientRealIp 為key,限制平均每秒的請求為100個， 
  limit_req_zone $clientRealIp zone=allips:100m rate=100r/s;

這里限制了同一IP每秒的請求數(shù)不超過100個，否則多余的請求會直接返回599錯誤。限制頻率要根據(jù)實際情況進行配置，配置過低會影響正常的訪問，出現(xiàn)頁面顯示不全等問題。

然后編輯/etc/nginx/conf.d/upstream.conf：

server { 
 listen    1334; 
 server_name _; 
 
 # 添加如下一行 
 limit_req zone=allips burst=5 nodelay; 
 
 location / { 
  # 反向代理 
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 
  proxy_pass http://wskh_IIS; 
 } 
  
 # 開啟stub_status模塊監(jiān)控 
 location /nginx_status{ 
  stub_status on; 
  access_log off; 
  allow 127.0.0.1; 
  # 允許內(nèi)網(wǎng)某IP查看nginx status 
  allow 192.168.1.100; 
  deny all; 
 } 
} 
 
# 后端web服務(wù)器 
upstream wskh_IIS { 
 server 192.168.1.39:1334; 
 server 192.168.1.40:1334; 
 ip_hash; 
}

好了，簡單配置完成。

下面貼一個統(tǒng)計Nginx訪問日志access.log里IP請求頻率的小腳本：

#!/bin/bash 
# 
# Filename:  count_req.sh 
# Revision:  1.0 
# Author:   Qicheng 
# Website:   http://qicheng0211.blog.51cto.com 
# Description: 統(tǒng)計Nginx日志里IP訪問頻率 
 
NGINXLOG="./access.log"
start_time=$(head -n1 "$NGINXLOG" | grep -o " \[.*\] ") 
stop_time=$(tail -n1 "$NGINXLOG" | grep -o " \[.*\] ") 
echo -e "start:\t\e[92m$start_time\033[0m"
echo -e "stop:\t\e[92m$stop_time\033[0m"
echo '所有的請求TOP50-->>'
# 所有的請求 
cat "$NGINXLOG" | awk '{++S[$1]} END {for(a in S) print S[a],"\t", a}' | sort -rn -k1 | head -n 50 
echo '--------------------------------------------------'
echo '成功的請求TOP50-->>'
# 成功的請求 
grep ' 200 ' "$NGINXLOG" | awk '{++S[$1]} END {for(a in S) print S[a],"\t", a}' | sort -rn -k1 | head -n 50

把腳本放到和access.log同一目錄下執(zhí)行即可。部分輸出如下：

過濾出這些攻擊源IP后，加到iptables里：

iptables -I INPUT -s {ip} -j DROP;

本文最后更新于 2022-10-21 13:58，某些文章具有時效性，若有錯誤或已失效，請在網(wǎng)站留言或聯(lián)系站長：17tui@17tui.com

·END·

站長網(wǎng)微信號：w17tui，關(guān)注站長、創(chuàng)業(yè)、關(guān)注互聯(lián)網(wǎng)人 - 互聯(lián)網(wǎng)創(chuàng)業(yè)者營銷服務(wù)中心

免責(zé)聲明：本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集，旨在傳播知識，文章和圖片版權(quán)歸原作者及原出處所有，僅供學(xué)習(xí)與參考，請勿用于商業(yè)用途，如果損害了您的權(quán)利，請聯(lián)系我們及時修正或刪除。謝謝！

下一篇：Windows 2012 r2系統(tǒng)上安裝IIS 8.0的方法上一篇：解決windows和linux系統(tǒng)端口被占用問題

17站長網(wǎng)微信二維碼

始終以前瞻性的眼光聚焦站長、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域，為您提供最新最全的互聯(lián)網(wǎng)資訊，幫助站長轉(zhuǎn)型升級，為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營銷服務(wù)，與站長一起進步！讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨！

掃一掃，關(guān)注站長網(wǎng)微信

精品免费在线观看-精品欧美-精品欧美成人bd高清在线观看-精品欧美高清不卡在线-精品欧美日韩一区二区

IIS如防御小規(guī)模DDOS攻擊

大家都在看

相關(guān)分類

熱門排行

最近更新