IIS防御小规模DDOS攻击实例

小渣渣

最近几天公司官网和业务系统的注册页面频繁遭遇DDOS攻击，导致IIS应用程序池CPU占用率100%，访问网站出现503错误。下面总结一下应对措施。

    一、启用IIS的CPU监视功能

    对于低频率的DDOS可以采取这种方法。w3wp.exe是应用程序池的关联进程，当WEB访问量大时，w3wp.exe会占用大量的系统资源。在DDOS攻击下，很明显的现象就是w3wp.exe占用CPU达到100%，网站拒绝访问，这个时候远程登录服务器都很困难。针对这种情况，做如下优化：

    1、为IIS中的每个网站设置单独的应用程序池。

    2、为每个应用程序池设置CPU监视功能：当w3wp.exe的CPU超过50%或更高时，自动杀死w3wp.exe进程，监视频率为1分钟。只要有访问请求进来，w3wp.exe便会重新启动，不影响用户访问。

   

二、流量清洗

    当黑客发现低层次的DDOS已经不起作用时，便会加大攻击力度。一开始我们官网的平均并发数只有几千，后来加大到了平均1万6千个并发，最高7万个并发，这样上面的CPU监视功能就没有效果了，因为w3wp.exe重启后，会在极短时间内CPU重新达到100%。

    当时监控到的并发连接数：

    CPU使用率和流量（带宽上限10M）：

    幸运的是官网域名刚好在阿里云上做好了备案，我们迁移到阿里云上后，利用云盾的DDOS防护功能便会清洗掉大部分异常流量，CPU立马正常，官网满血复活了。

    注：阿里云免费的DDoS基础防护阈值是5Gbps，如果攻击流量高于这个值，则会被黑洞，业务就不能访问了。

    这里贴一下云服务器的参数：