动态IP限制策略

Question

今天早上，我们的一个网站遭到了一个正在寻找漏洞的机器人的攻击。使用了相同的 IP 地址。然而，BOT 平均每分钟仅发出 12-16 个页面请求。不同的页面被命中，这些页面有 20-40 个由图像、css、js 等组成的静态资源。

有了这些知识，在 IIS7.5 上启用动态 IP 限制的好策略是什么？我可以看到我可以启用“仅记录模式”，但我不完全确定如何最好地查看日志文件来解决这个问题。

我不想做的是锁定我的用户但中止对 BOT 的请求。

Answer 1

我们最近尝试为我们较大的站点之一设置动态 IP 限制模块，这并不容易。阅读对原始问题的评论，当我看到“不要浪费你的时间。 ”时，我不得不笑得很开心。这大部分是真的。

不过，我仍然会给出一些提示，你必须注意什么：

• 您可能必须将页面调用与静态资产调用分开，即将后者移动到它们自己的域中，以将您设置的限制应用于页面加载而不是静态资产。
• 您需要仔细定义和测试您的请求拒绝标准 - 是 10 req / 1s 还​​是 50 req / 10s？12 req / 60 sec 很可能不是一个好的拒绝标准，因为它可能会影响很多合法用户。
• 使用“仅记录模式”复选框会将伪拒绝请求记录到 IIS 日志中，但状态代码为 200，子状态代码为 502（因此请确保您正在记录该请求）。此外，高级日志记录模块不会正确记录这些请求，因此如果您想使用动态 IP 限制并希望随时了解被拒绝的请求，请不要使用它。
• 您必须不断查看您的日志，并且最终可能不得不将一些外部代理的 IP 地址列入白名单，以便将其背后的用户正确地视为单独的用户而不是单个用户（使用代理的 IP）。
• 在达到您的请求限制后，您不能在一段时间内惩罚客户 - 一旦他们再次限制他们的请求通过。

我们在一个多月前开始尝试这个模块，但仍然没有关闭“仅记录模式”，因为有太多感觉或工作不正常......