web服务器引起的怪异事情

狗剩

网站服务器托管在上海移动机房，机器环境为win2003+iis6.0，放了三四个网站，php跟aspx都有，最近几个月出现只要访问任意的网站，速度超慢，然后就连接超时没反应了，这个时候假如开着远程连接，也会提示失去会话连接断开。
检查过CPU跟内存占用，都不是很高，机房说他们网络是没有问题的。也曾逐一挨个停止点某个网站排查，问题如故。前几天换了apache，还是不行，最后重装了系统，可还是老样子。系统日志，iis日志，都没有发现任何异样的问题，求助各位，帮忙给支招！谢谢！
1，换了一块网卡，问题依旧
2，发现只要开着iis，点击任意网站，不出两三个动态的页面，就会失去反映
3，查毒，重装系统，问题依旧如故。

拿httpwatch看，是有些http请求回应的太慢，但是没法判断出是网络问题还是系统问题。

lyt81624

需要你检查下80端口的连接数， netstat -an 查看是否有同一ip连接到你的机器上，如果有可以很明确的告诉你，那就是DDOS攻击了。
> netstat -an
出现如下
　　TCP 192.168.1.3:80 192.168.1.6:2205 SYN_RECEIVED 4
　　TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4
　　TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4
　　TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4
    TCP 192.168.1.3:80 192.168.1.6: 2205 SYN_RECEIVED 4 ……


2、查看系统日志
   Web日志一般在C:\WINDOWS\system32\LogFiles\HTTPERR目录下，该目录下用类似httperr1.log的日志文件，这个文件就是记录Web访问错误的记录。管理员可以依据日志时间属性选择相应的日志打开进行分析是否Web被CC攻击了。默认情况下，Web日志记录的项并不是很多，我们可以通过IIS进行设置，让Web日志记录更多的项以便进行安全分析。其操作步骤是：

　　“开始→管理工具”打开“Internet信息服务器”，展开左侧的项定位到到相应的Web站点，然后右键点击选择“属性”打开站点属性窗口，在“网站”选项卡下点击“属性”按钮，在“日志记录属性”窗口的“高级”选项卡下可以勾选相应的“扩展属性”，以便让Web日志进行记录。比如其中的“发送的字节数”、“接收的字节数”、“所用时间”这三项默认是没有选中的，但在记录判断CC攻击中是非常有用的，可以勾选。另外，如果你对安全的要求比较高，可以在“常规”选项卡下对“新日志计划”进行设置，让其“每小时”或者“每一天”进行记录。为了便于日后进行分析时好确定时间可以勾选“文件命名和创建使用当地时间”。


解决办法

  1、更改Web端口

　　一般情况下Web服务器通过80端口对外提供服务，因此攻击者实施攻击就以默认的80端口进行攻击，所以，我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器，定位到相应站点，打开站点“属性”面板，在“网站标识”下有个TCP端口默认为80，我们修改为其他的端口就可以了。

   2、IIS屏蔽IP

　　我们通过命令或在查看日志发现了CC攻击的源IP，就可以在IIS中设置屏蔽该IP对Web站点的访问，从而达到防范IIS攻击的目的。在相应站点的“属性”面板中，点击“目录安全性”选项卡，点击“IP地址和域名现在”下的“编辑”按钮打开设置对话框。在此窗口中我们可以设置“授权访问”也就是“白名单”，也可以设置“拒绝访问”即“黑名单”。比如我们可以将攻击者的IP添加到“拒绝访问”列表中，就屏蔽了该IP对于Web的访问。

     3、取消域名绑定

　　一般cc攻击都是针对网站的域名进行攻击，比如我们的网站域名是“www.abc.com”，那么攻击者就在攻击工具中设定攻击对象为该域名然后实施攻击。
对于这样的攻击我们的措施是在IIS上取消这个域名的绑定，让CC攻击失去目标。具体操作步骤是：打开“IIS管理器”定位到具体站点右键“属性”打开该站点的属性面板，点击IP地址右侧的“高级”按钮，选择该域名项进行编辑，将“主机头值”删除或者改为其它的值(域名)。

    经过模拟测试，取消域名绑定后Web服务器的CPU马上恢复正常状态，通过IP进行访问连接一切正常。但是不足之处也很明显，取消或者更改域名对于别人的访问带来了不变，另外，对于针对IP的CC攻击它是无效的，就算更换域名攻击者发现之后，他也会对新域名实施攻击。
   
     如有问题可以联系我的QQ  361696552       http://shop73031578.taobao.com/