Ta članek je zrcalni članek strojnega prevajanja, kliknite tukaj za skok na izvirni članek.

Architect_Programmer_Code Kmetijska mreža»Arhitekt Druge tehnologije Varen napad in obramba IIS obramba pred manjšimi DDOS napadi
Pogled: 12614|Odgovoriti: 0

[Varnostni vodič] IIS obramba pred manjšimi DDOS napadi

[Kopiraj povezavo]
Objavljeno na 27. 07. 2016 19:16:26 | | | |

V zadnjih dneh je bila registracijska stran uradne spletne strani podjetja in poslovnega sistema pogosto napadena s strani DDOS, kar je povzročilo 100 % porabo procesorja v aplikacijskem bazenu IIS in napake 503 pri dostopu do spletne strani. Spodaj je povzetek protiukrepov.

    1. Omogočiti funkcijo nadzora procesorja v IIS

    Ta pristop je mogoče uporabiti za nizkofrekvenčne DDOS. w3wp.exe je povezan proces aplikacijskega bazena, in ko je WEB promet velik, w3wp.exe porabi veliko sistemskih virov. Pri DDOS napadih je očiten pojav, da w3wp.exe zaseda 100 % procesorja, spletna stran pa je zavrnjena, kar otežuje oddaljeno prijavo na strežnik. Za to situacijo se izvedejo naslednje optimizacije:

    1. Vzpostavite ločen nabor aplikacij za vsako spletno stran v IIS.

    2. Nastavite funkcijo nadzora procesorja za vsak aplikacijski bazen: Ko procesor w3wp.exe preseže 50 % ali več, se proces samodejno ustavi w3wp.exe, frekvenca nadzora pa je 1 minuta. Kadarkoli pride zahteva za dostop, se w3wp.exe ponovno zažene, ne da bi to vplivalo na uporabniški dostop.

   

2. Čiščenje s pretokom

    Ko hekerji ugotovijo, da nizkonivojski DDOS ne deluje več, okrepijo svoje napade. Na začetku je bilo povprečno število sočasnosti na naši uradni spletni strani le nekaj tisoč, kasneje pa se je povečalo na povprečno 16.000 sočasnosti, z največ 70.000 sočasnostmi, tako da bi bila zgoraj omenjena funkcija nadzora procesorja neučinkovita, saj bo po ponovnem zagonu w3wp.exe procesor v zelo kratkem času ponovno dosegel 100 %.

    Število sočasnih povezav, ki so bile takrat spremljane:

    Uporaba procesorja in promet (omejitev pasovne širine 10M):

    Na srečo je uradna domena spletne strani registrirana na Alibaba Cloud, in po migraciji na Alibaba Cloud bo večina nenavadnega prometa odpravljena z uporabo funkcije zaščite pred DDOS v Cloud Shieldu, procesor bo takoj normalen, uradna spletna stran pa bo ponovno vzpostavljena s polno krvjo.

    Opomba: Osnovni prag brezplačne DDoS zaščite Alibaba Cloud je 5Gbps, in če je napadalni promet višji od te vrednosti, bo promet blokiran in storitev ne bo dostopna.

    Tukaj so parametri oblačnega strežnika:






Prejšnji:Kako omogočiti modul CC Attack Protection na IIS
Naslednji:Microsoft open source framework orchard vadnica za namestitev

Sorodne objave
Disclaimer:
Vsa programska oprema, programski materiali ali članki, ki jih izdaja Code Farmer Network, so namenjeni zgolj učnim in raziskovalnim namenom; Zgornja vsebina ne sme biti uporabljena v komercialne ali nezakonite namene, sicer uporabniki nosijo vse posledice. Informacije na tej strani prihajajo z interneta, spori glede avtorskih pravic pa nimajo nobene zveze s to stranjo. Zgornjo vsebino morate popolnoma izbrisati z računalnika v 24 urah po prenosu. Če vam je program všeč, podprite pristno programsko opremo, kupite registracijo in pridobite boljše pristne storitve. Če pride do kakršne koli kršitve, nas prosimo kontaktirajte po elektronski pošti.
Mail To:help@itsvse.com