IIS防御小规模DDOS攻击实例(反向代理)_win服务器

    最近几天公司官网和业务系统的注册页面频繁遭遇DDOS攻击,导致IIS应用程序池CPU占用率100%,访问网站出现503错误。下面总结一下应对措施。

    一、启用IIS的CPU监视功能

    对于低频率的DDOS可以采取这种方法。w3wp.exe是应用程序池的关联进程,当WEB访问量大时,w3wp.exe会占用大量的系统资源。在DDOS攻击下,很明显的现象就是w3wp.exe占用CPU达到100%,网站拒绝访问,这个时候远程登录服务器都很困难。针对这种情况,做如下优化:

    1、为IIS中的每个网站设置单独的应用程序池。

    2、为每个应用程序池设置CPU监视功能:当w3wp.exe的CPU超过50%或更高时,自动杀死w3wp.exe进程,监视频率为1分钟。只要有访问请求进来,w3wp.exe便会重新启动,不影响用户访问。

    

二、流量清洗

    当黑客发现低层次的DDOS已经不起作用时,便会加大攻击力度。一开始我们官网的平均并发数只有几千,后来加大到了平均1万6千个并发,最高7万个并发,这样上面的CPU监视功能就没有效果了,因为w3wp.exe重启后,会在极短时间内CPU重新达到100%。

    当时监控到的并发连接数:

    CPU使用率和流量(带宽上限10M):

    幸运的是官网域名刚好在阿里云上做好了备案,我们迁移到阿里云上后,利用云盾的DDOS防护功能便会清洗掉大部分异常流量,CPU立马正常,官网满血复活了。

    这里贴一下云服务器的参数:

  配置: CPU2核、内存4GB
  镜像: Windows Server 2008 R2 标准版 SP1 64位中文版
  存储: 1块普通云盘(100GB)
  网络: 带宽10Mbps(经典网络)

    参数配置不高,但是能抵御高强度的DDOS攻击,这得益于阿里强大的技术实力,偷偷做个广告,嘿嘿。

    三、Nginx反向代理

    但是黑客还经常攻击我们业务系统的注册页面,这次就没有这么幸运了,因为业务系统是在我们实体机房,这就要靠我们自己了。

    所以我们采取了前端Nginx反向代理、后端双IIS做负载均衡,利用Nginx强大的性能和HttpLimitReqModul模块限制某时间段内同一ip访问次数。Nginx的优化这里不提,下面只贴出相关配置:

    首先在nginx.conf的http配置段里增加如下内容:

map $http_x_forwarded_for $clientRealIp {
  "" $remote_addr;
  ~^(?P<firstAddr>[0-9\.]+),?.*$ $firstAddr;
  }
  # 访问受限制后返回599
  limit_req_status 599;
  # 定义一个名为allips的limit_req_zone用来存储session,大小是100M内存,
  # 以$clientRealIp 为key,限制平均每秒的请求为100个,
  limit_req_zone $clientRealIp zone=allips:100m rate=100r/s;

    这里限制了同一IP每秒的请求数不超过100个,否则多余的请求会直接返回599错误。限制频率要根据实际情况进行配置,配置过低会影响正常的访问,出现页面显示不全等问题。

    然后编辑/etc/nginx/conf.d/upstream.conf:

server {
 listen    1334;
 server_name _; 

 # 添加如下一行
 limit_req zone=allips burst=5 nodelay; 

 location / {
  # 反向代理
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  proxy_pass http://wskh_IIS;
 } 

 # 开启stub_status模块监控
 location /nginx_status{
  stub_status on;
  access_log off;
  allow 127.0.0.1;
  # 允许内网某IP查看nginx status
  allow 192.168.1.100;
  deny all;
 }
} 

# 后端web服务器
upstream wskh_IIS {
 server 192.168.1.39:1334;
 server 192.168.1.40:1334;
 ip_hash;
}

    好了,简单配置完成。

    下面贴一个统计Nginx访问日志access.log里IP请求频率的小脚本:

#!/bin/bash
#
# Filename:  count_req.sh
# Revision:  1.0
# Author:   Qicheng
# Website:   http://qicheng0211.blog.51cto.com
# Description: 统计Nginx日志里IP访问频率 

NGINXLOG="./access.log"
start_time=$(head -n1 "$NGINXLOG" | grep -o " \[.*\] ")
stop_time=$(tail -n1 "$NGINXLOG" | grep -o " \[.*\] ")
echo -e "start:\t\e[92m$start_time\033[0m"
echo -e "stop:\t\e[92m$stop_time\033[0m"
echo '所有的请求TOP50-->>'
# 所有的请求
cat "$NGINXLOG" | awk '{++S[$1]} END {for(a in S) print S[a],"\t", a}' | sort -rn -k1 | head -n 50
echo '--------------------------------------------------'
echo '成功的请求TOP50-->>'
# 成功的请求
grep ' 200 ' "$NGINXLOG" | awk '{++S[$1]} END {for(a in S) print S[a],"\t", a}' | sort -rn -k1 | head -n 50

    把脚本放到和access.log同一目录下执行即可。部分输出如下:

    

    过滤出这些攻击源IP后,加到iptables里:

iptables -I INPUT -s {ip} -j DROP;

本文出自 “启程的Linux博客” 博客,谢绝转载!

以上是小编为您精心准备的的内容,在的博客、问答、公众号、人物、课程等栏目也有的相关内容,欢迎继续使用右上角搜索按钮进行搜索IIS防御
服务器防御ddos、ddos 攻击防御、ddos云防御、ddos防御方法、ddos防御,以便于您获取更多的相关知识。

时间: 2024-11-09 00:20:30

IIS防御小规模DDOS攻击实例(反向代理)_win服务器的相关文章

linux 防御小规模DDOS攻击配置方法

防御原理 DDoS deflate的原理是通过netstat命令找出 发出过量连接的单个IP,并使用iptables防火墙将这些IP进行拒绝.由于iptables防火墙拒绝IP的连接远比从Apache层面上来得高效,因此iptables便成了运行在Apache前端的"过滤器".同样的,DDoS deflate也可以设置采用APF(高级防火墙)进行IP阻止. 如何确定DDOS攻击? 执行: Shell netstat -ntu | awk '{print $5}' | cut -d: -

Windows服务器应对高并发和DDOS攻击的配置方法_win服务器

windows系统本身就有很多机制可以用来提高性能和安全,其中有不少可以用来应对高并发请求和DDOS攻击的情况. 通过以下配置可以改善windows服务器性能: 一.应对高并发请求: 1.TCP连接延迟等待时间 TcpTimedWaitDelay: 这是设定TCP/IP 可释放已关闭连接并重用其资源前,必须经过的时间.关闭和释放之间的此时间间隔通称 TIME_WAIT状态或两倍最大段生命周期(2MSL)状态.在此时间内,重新打开到客户机和服务器的连接的成本少于建立新连接.减少此条目的值允许 TC

对DDoS攻击实例之SYN Flood攻击的详细内容讲述

 此文章主要介绍的是DDoS攻击实例  SYN Flood攻击,我们大家都知道SYN-Flood是目前使用最广泛的DDoS攻击手段,早先的DoS的手段在向分布式这一阶段发展的时候也经历了千军万马过独木桥的过程. SYN-Flood的攻击效果最好,应该是众黑客不约而同选择它的原因吧.那么我们一起来看看SYN-Flood的详细情况. SYN-Flood是目前最流行的DDoS攻击手段,早先的DoS的手段在向分布式这一阶段发展的时候也经历了浪里淘沙的过程.SYN-Flood的攻击效果最好,应该是众黑客不

kangle反向代理FTP服务器

使用kangle有一段时间,感觉kangle还是非常强大的.我们今天就来介绍一下,如果通过kangle反向代理FTP服务器.在此说明kangle目前不支持FTP反向代理功能,此文章中介绍的反向代理FTP服务器其实是利用"曲线救国"的方式来实现的,主要还是利用kangle的HTTP反向代理功能. 既然要将反向代理FTP服务器,那肯定要在内网中的一台服务器上已经安装并设置好了FTP的相关权限. 在此我使用的是Wing FTP这款软件,为什么要使用这款软件呢?各位可以看看我前几天写的那篇文章

理解web服务器和数据库的负载均衡以及反向代理_服务器其它

但是若该网站平均每秒的请求是200多次,那么问题就来了:这已经是最好的web服务器了,我该怎么办?同样的情景也适用于数据库.要解决这种问题,就需要了解"负载均衡"的原理了. web服务器如何做负载均衡 为web服务器做负载均衡适用的的较多的方式是DNS重定向和反向代理,其他的方式原理也是很类似. 我们多次ping一下百度,会发现回复的IP会有所不同,例如第一次的结果为: 复制代码 代码如下: 正在 Ping baidu.com [220.181.111.86] 具有 32 字节的数据:

IIS&amp;amp;Apache 攻击记录分析篇_win服务器

在这里,我为大家介绍一下两种常见的网页服务器中最重要的记录文件,分析服务器遭到攻击后,黑客在记录文件中会留下什么记录.目前最常见的网页服务器有两种:Apache和微软的Internet Information Server(简称IIS),这两种服务器都有一般版本和SSL认证版本.本文将使用和现实黑客的攻击手段类似的攻击方法去测试服务器并分析相关文件,有条件的朋友可在自己的机器上测试. IIS的预设记录文件地址在C:\winnt\system32\logfiles\w3svc1目录下,文件名是当天

IIS 上传文件大小配置步骤(默认200K)_win服务器

今天部落就和大家一起探讨一下如何设置IIS使默认上传文件大小大约200K. 其实我们只需要在服务器端对IIS进行一些修改即可突破这个200K的限制,方法如下: 第一步:直接编辑配置数据库设为允许 在IIS中右键"本地计算机"选择"属性",钩选"允许直接编辑配置数据库". 第二步:关闭"IIS Admin Service"服务 依次打开"控制面板--管理工具--服务"或者(通过 运行--输入services.

win2008里IIS安装以及IIS7简单设置教程[图文]_win服务器

windows2008里面的IIS它默认安装好IIS服务后,集成了两种IIS,一种是IIS6.0,这个版本是以前2003上使用的,还有一种就是目前的新产品IIS7.0(当然了,你在安装IIS服务的时候,可以勾选是否安装IIS6.0以及是否安装FTP服务),它与前边的版本相前的话,好处是做的更加智能,功能也更强大,并且在安装完后,它的功能都是以模块化的形式展现出来的,让人感觉起来是更简单了,其实就我个人感觉,它变的更复杂了 2.还有一个就是它的FTP,在2008上面默认是没有最新版FTP安装的,如

IIS日志报Connections_Refused问题的解决方法_win服务器

文件位置:C:\WINDOWS\system32\LogFiles\HTTPERR\httperr1.log 一.问题描述 以前一直正常的ASP网站今天出现了打不开的情况,网站是部署在IIS下的.通过查找IIS的日志文件"Httperr.log"信息,显示"Connections_Refused" 二.解决方案 在网上搜索了相关资料,默认情况下,如果可用的非分页缓冲池内存不足 20MB,IIS 6.0 中的 HTTP 服务停止接受连接,所以有以下两种方案供选择 1.