IIS8 动态IP限制功能最佳设置

博主:jhchinajhchina 2023-06-24 383 0条评论
摘要: IIS8新增了一个动态IP限制功能,可以限制同一IP的连接数和访问频率。IIS7则可以安装官方模块Dynamic IP Restrictions实现相同功能。IIS8启用方法1....

IIS8新增了一个动态IP限制功能,可以限制同一IP的连接数和访问频率。IIS7则可以安装官方模块Dynamic IP Restrictions实现相同功能。

IIS8启用方法

1. 默认情况下,IIS 8.0是没有安装“IP和域限制”模块的,我们需要到“服务器管理器”中单独安装下。

IIS8 动态IP限制功能最佳设置

2. 在IIS8点击相应站点,找到IP地址和域限制,双击进入。

3. 在右边栏点击“编辑动态限制设置”,会弹出相应设置对话框。

4. 设置同一IP连接数和请求频率,可以根据网站具体情况调整相关参数。

IIS8 动态IP限制功能最佳设置


IIS7安装方法

IIS7默认没有此功能,不过安装官方模块Dynamic IP Restrictions后可以实现相同功能,模块地址在这里,使用方法如下

1、在官网下载对应系统版本的模块,并双击安装,

32位版本/64位版本下载地址:

https://n802.com/file/349707-456205848

http://www.369pan.com/file-29227.html

2、重启iis界面管理器,之后,点击需要设定的网站,可以看到下图所示。

IIS8 动态IP限制功能最佳设置

3、双击模块Dynamic IP Restrictions,进入相应设置,可以根据网站实际情况调整。

IIS8 动态IP限制功能最佳设置


因此,我在腾讯云服务站点中打开了这一功能,以尝试减少蜘蛛和机器人攻击我们的荒谬次数。

有没有人有过这些设置的经验?

根据并发请求数拒绝IP地址:最大并发请求数?

根据一段时间内的请求数拒绝IP地址:最大请求数?时间段(毫秒)?

寻找合理设置的实验方法

我最近一直在试验这些设置,以决定我们的生产站点的值。

我们确定了单个(请求繁重的)页面产生的最大请求数,并将其乘以2.5,得到随时间推移的最大请求数。对于时间值,我选择了200ms。

手动测试表明,这些设置适用于“正常”使用。当我们在浏览器中的5个或更多选项卡中同时重新加载页面时,我们设法获得了一些403禁止。

你必须记住的一件事是,你的网站的许多用户可能坐在同一个代理服务器后面,因此动态IP限制只将这些用户视为一个用户。由于200ms的窗口相当短,我预计这不会成为问题,同时在某种程度上仍然可以阻止攻击性的DoS攻击。

此外,我们不限制同时连接的数量。在这里几乎不可能找到一个合理的数字,因为不同客户端的数量可能是无限的。

请注意,请求单个页面(取请求最多的页面)与获取有用的设置高度相关。例如,如果您的首页的页面加载产生10个请求到您的服务器,这些请求将在非常短的时间跨度内到来,因此您的限制必须有更高的阈值。

使用这些设置,到目前为止,我们相当满意。