黑帽联盟

 找回密码
 会员注册
查看: 1344|回复: 0
打印 上一主题 下一主题

[系统安全] IIS防御小规模DDOS攻击实例(反向代理)

[复制链接]

148

主题

9

听众

337

积分

版主

Rank: 7Rank: 7Rank: 7

  • TA的每日心情
    擦汗
    2018-6-6 11:33
  • 签到天数: 348 天

    [LV.8]以坛为家I

       最近几天公司官网和业务系统的注册页面频繁遭遇DDOS攻击,导致IIS应用程序池CPU占用率100%,访问网站出现503错误。下面总结一下应对措施。

        一、启用IIS的CPU监视功能
        对于低频率的DDOS可以采取这种方法。w3wp.exe是应用程序池的关联进程,当WEB访问量大时,w3wp.exe会占用大量的系统资源。在DDOS攻击下,很明显的现象就是w3wp.exe占用CPU达到100%,网站拒绝访问,这个时候远程登录服务器都很困难。针对这种情况,做如下优化:
        1、为IIS中的每个网站设置单独的应用程序池。
        2、为每个应用程序池设置CPU监视功能:当w3wp.exe的CPU超过50%或更高时,自动杀死w3wp.exe进程,监视频率为1分钟。只要有访问请求进来,w3wp.exe便会重新启动,不影响用户访问。
        1.png

    二、流量清洗
        当黑客发现低层次的DDOS已经不起作用时,便会加大攻击力度。一开始我们官网的平均并发数只有几千,后来加大到了平均1万6千个并发,最高7万个并发,这样上面的CPU监视功能就没有效果了,因为w3wp.exe重启后,会在极短时间内CPU重新达到100%。
        当时监控到的并发连接数:
    2.png
        CPU使用率和流量(带宽上限10M):
    3.png
        幸运的是官网域名刚好在阿里云上做好了备案,我们迁移到阿里云上后,利用云盾的DDOS防护功能便会清洗掉大部分异常流量,CPU立马正常,官网满血复活了。
    4.png

    这里贴一下云服务器的参数:
    配置: CPU2核、内存4GB
    镜像: Windows Server 2008 R2 标准版 SP1 64位中文版
    存储: 1块普通云盘(100GB)
    网络: 带宽10Mbps(经典网络)

        参数配置不高,但是能抵御高强度的DDOS攻击

        三、Nginx反向代理
        但是黑客还经常攻击我们业务系统的注册页面,这次就没有这么幸运了,因为业务系统是在我们实体机房,这就要靠我们自己了。
        所以我们采取了前端Nginx反向代理、后端双IIS做负载均衡,利用Nginx强大的性能和HttpLimitReqModul模块限制某时间段内同一ip访问次数。Nginx的优化这里不提,下面只贴出相关配置:
        首先在nginx.conf的http配置段里增加如下内容:
    1. map $http_x_forwarded_for $clientRealIp {
    2.   "" $remote_addr;
    3.   ~^(?P<firstAddr>[0-9\.]+),?.*$ $firstAddr;
    4.   }
    5.   # 访问受限制后返回599
    6.   limit_req_status 599;
    7.   # 定义一个名为allips的limit_req_zone用来存储session,大小是100M内存,
    8.   # 以$clientRealIp 为key,限制平均每秒的请求为100个,
    9.   limit_req_zone $clientRealIp zone=allips:100m rate=100r/s;
    复制代码
        这里限制了同一IP每秒的请求数不超过100个,否则多余的请求会直接返回599错误。限制频率要根据实际情况进行配置,配置过低会影响正常的访问,出现页面显示不全等问题。
        然后编辑/etc/nginx/conf.d/upstream.conf:
    1. server {
    2. listen    1334;
    3. server_name _;
    4.   
    5. # 添加如下一行
    6. limit_req zone=allips burst=5 nodelay;
    7.   
    8. location / {
    9.   # 反向代理
    10.   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    11.   proxy_pass http://wskh_IIS;
    12. }
    13.    
    14. # 开启stub_status模块监控
    15. location /nginx_status{
    16.   stub_status on;
    17.   access_log off;
    18.   allow 127.0.0.1;
    19.   # 允许内网某IP查看nginx status
    20.   allow 192.168.1.100;
    21.   deny all;
    22. }
    23. }
    24.   
    25. # 后端web服务器
    26. upstream wskh_IIS {
    27. server 192.168.1.39:1334;
    28. server 192.168.1.40:1334;
    29. ip_hash;
    30. }
    复制代码
    好了,简单配置完成。
        下面贴一个统计Nginx访问日志access.log里IP请求频率的小脚本:
    1. #!/bin/bash
    2. #
    3. # Filename:  count_req.sh
    4. # Revision:  1.0
    5. # Author:   HeiMao
    6. # Website:   https://bbs.cnblackhat.com
    7. # Description: 统计Nginx日志里IP访问频率
    8.   
    9. NGINXLOG="./access.log"
    10. start_time=$(head -n1 "$NGINXLOG" | grep -o " \[.*\] ")
    11. stop_time=$(tail -n1 "$NGINXLOG" | grep -o " \[.*\] ")
    12. echo -e "start:\t\e[92m$start_time\033[0m"
    13. echo -e "stop:\t\e[92m$stop_time\033[0m"
    14. echo '所有的请求TOP50-->>'
    15. # 所有的请求
    16. cat "$NGINXLOG" | awk '{++S[$1]} END {for(a in S) print S[a],"\t", a}' | sort -rn -k1 | head -n 50
    17. echo '--------------------------------------------------'
    18. echo '成功的请求TOP50-->>'
    19. # 成功的请求
    20. grep ' 200 ' "$NGINXLOG" | awk '{++S[$1]} END {for(a in S) print S[a],"\t", a}' | sort -rn -k1 | head -n 50
    复制代码
        把脚本放到和access.log同一目录下执行即可。部分输出如下:
        5.png
        过滤出这些攻击源IP后,加到iptables里:
    iptables -I INPUT -s {ip} -j DROP;

    帖子永久地址: 

    黑帽联盟 - 论坛版权1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关
    2、本站所有主题由该帖子作者发表,该帖子作者与黑帽联盟享有帖子相关版权
    3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和黑帽联盟的同意
    4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
    5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
    6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
    7、黑帽联盟管理员和版主有权不事先通知发贴者而删除本文

    相关帖子

    您需要登录后才可以回帖 登录 | 会员注册

    发布主题 !fastreply! 收藏帖子 返回列表 搜索
    回顶部