问题:
最近有客户网站群系统,在站群服务重启后,网站可以访问,等待1分钟,网站访问不了,查看此时80端口的tcp的连接数为2000-3000。通过查看基本为177.185.189.93,由于这个IP在频繁访问,基本可以断定是恶意攻击。IP来源是巴西。
解决方案:
由于客户网络层没有防火墙, 通过修改apache/conf/httpd.conf配置文件限制此IP访问站群下的网站,效果不明显。
客户的操作系统为windows server 2003,查阅资料可通过操作系统自带的本地安全策略来实现禁止此IP访问到站群服务器。
步骤1:打开“控制面板→管理工具→本地安全策略”,然后右击“IP安全策略,在本地机器”选“管理IP筛选器和IP筛选器操作”,取消选中“使用添加向导”,在管理IP筛选器和IP筛选器操作,列表中添加一个新的过滤规则,名称输入“拒绝访问”,然后按添加,在源地址选“一个特定的IP地址”在IP地址中填入177.185.189.93,目标地址选我的IP地址,协议类型为“任意”,去掉“镜像。与原地址和目标地址正常相反的数据包相匹配.”前面的对勾,设置完毕。
步骤2:在“管理筛选器操作”,取消选中“使用添加向导”,添加,在常规中输入名字“阻止”,安全措施为“阻止”。确定。
步骤3:点击“IP安全策略,在本地机器”,选择“创建IP安全策略-下一步-输入名称为“拒绝177.185.189.93访问”,取消选中“激活默认相应规则”,完成,在弹出来的“拒绝访问 属性”窗口中,在IP筛选器列表中选择“决绝访问”,在筛选期操作中选择“阻止”,确定,然后右击“拒绝177.185.189.93访问”并启用。
通过以上设置此时80端口的tcp的链接数保持在200左右,网站访问正常。
参考链接:
http://jingyan.baidu.com/album/e73e26c0ec203824adb6a715.html?picindex=1
