如同运行在本地的IIS服务一样,您可以通过IP限制功能拒绝某些特定IP地址的攻击请求。您也可以配置动态IP限制功能,自动拒绝疑似攻击。IP限制模块和动态IP限制模块都是IIS本身自有的功能。建议您阅读下面的文档来更好的了解这两个模块。
Using Dynamic IP Restrictions
http://www.iis.net/learn/manage/configuring-security/using-dynamic-ip-restrictions

IP Address and Domain Restrictions
http://technet.microsoft.com/en-us/library/hh831785.aspx

动态IP地址模块具有下面的功能:

  • 根据并发请求数阻止IP地址 – 如果一个HTTP客户端超过允许的并发请求数,该客户端的IP地址被暂时封锁。
  • 基于一段时间的请求数封锁IP地址 – 如果一个HTTP客户端在指定时间内发送给了超过允许的请求,该客户端的IP地址被暂时封锁。
  • 白名单功能
  • 丰富的拒绝操作选择 – 该模块可以返回HTTP 403, HTTP 404或者只是终止HTTP连接,不返回任何响应。
  • 支持使用代理服务器,支持IPv6。

下面是一个动态IP限制模块的场景配置。它定义了拒绝服务的动作和两个拒绝访问的条件。当条件满足时,拒绝服务的动作被执行。下面的例子中定义了两个条件,当任意一个条件满足时,定义的动作都会被执行(中断请求,AbortRequest,直接断开TCP连接)。
1. 单个用户同时超过10个请求在执行,则第11个请求会被拒绝。
2. 当某个用户在20秒内发送了超过50个请求,则该用户的后续请求会被拒绝直到请求强度低于50个请求/20秒。

<?xml version=”1.0″ encoding=”utf-8″ ?>

<configuration>

<system.webServer>

<security>

<dynamicIpSecurity denyAction=”AbortRequest” enableProxyMode=”false”>

<denyByConcurrentRequests enabled=”true” maxConcurrentRequests=”10″ />

<denyByRequestRate enabled=”true”

maxRequests=”50″ requestIntervalInMilliseconds=”20000″ />

</dynamicIpSecurity>

</security>

</system.webServer>

</configuration>

 

Leave a comment

电子邮件地址不会被公开。 必填项已用*标注