星外飞客

使用wsrm和webcavalier保护iis的安全 

适合人群：Windows系统管理员、Web程序员、有网络安全知识和服务器管理经验者 

注意：本文完全基于理论编写，未经过实际测试，只提供一种解决方案的理论指导 
（基于理论编写指的是WSRM与WebCavalier之间的组合使用，并非指WSRM或WebCavalier未经过测试） 

引言： 
我首先鄙视一下那些黑客工具的使用者和编写者，你们的才华都用哪去了？！年纪轻轻的整点有用的行不？整天瞎搞破坏，中国人自己整不出来点啥好东西就会瞎搞破坏，你们来到世界上有什么用？！记住，破坏比创造容易的多！ 

前言： 
CC攻击的前身是DDOS攻击（分布式拒绝攻击），但CC攻击的威力要比DDOS攻击大的多，而且发动一场CC攻击很容易，只需要一台计算机，就可以使网站在1分钟内出现Service Unavailable。有人可能会问了：防火墙不能抵御CC攻击吗，市面上很多硬件防火墙不都宣称自己可以抵抗CC攻击？我简单说一下，CC攻击是对TCP/IP协议层中应用层的攻击，而不是对TCP/UDP层或IP层的攻击，是向服务器的应用软件（比如IIS）发起一个正常的请求（比如HTTP请求），这个HTTP请求和其它普通用户发起的请求是完全一样的，不带有任何攻击性质。但是，这个HTTP请求所请求的资源应该是代价相对较高的，比如一个LIKE搜索、数据库写入操作、无索引读取操作等。CC攻击同时操作几十个肉鸡发起几百个甚至上千个这样的请求，这样，服务器的80端口（Web服务器）就被立刻阻塞了。因此，想依靠普通的硬件防火墙过滤数据包？那是扯淡。防御CC攻击的方法，一是从代码级别点点滴滴做起，当然了，这对程序员是一场噩梦，另一个方法就是在应用层筑起一道屏障，限制资源的分配，也就是本文接下来要介绍的 

 
正文：

Part1 - 安装与配置WSRM 
WSRM是Windows 2003的增强组件，可以分配各个应用程序所使用的CPU资源和内存资源。WSRM只能安装在Windows2003企业版和数据中心版上 
为什么要扼杀应用程序对资源的使用？因为对CC攻击的防范是工作在应用层的（与IIS一样），如果IIS占用了全部的CPU时间，那么任何应用层的防火墙都等于零，所以，我们要为IIS限制CPU资源，一旦服务器遭受CC攻击后，不会导致其他应用程序无法运行 

1. 从http://www.microsoft.com/downloads/details.aspx?FamilyID=848306ef-f57e-4b3f-984d-50e9bca44383&DisplayLang=zh-cn下载WSRM安装包 

2. 下载下来的是iso文件，可以刻录到光盘上或用winrar解压后直接安装 

 

3. 运行WSRM控制台（开始-管理工具-Windows System Resource Manager） 

 

4. 右键点击Resource Allocation Policies，选择New Resource Allocation Policy 

 

5. 在Policy name中输入：WebServer，然后点击Add 

 

6. 在Process matching criteria下拉列表中选择New 

 

7. 在Criteria name中输入：IIS，然后点击Add 

 

8. 在CL中直接输入：*w3wp.exe.*DefaultAppPool.* ，然后点击两次OK 

 

9. 为IIS分配CPU资源，这里填写80% ，点击OK 

 

10. 再次点击Add 

 

11. 在Criteria name中输入：WebCavalier，然后点击Add，再点击Select 

 

12. 选中WebCavalier，点击三次OK 

 

13. 为WebCavalier分配CPU资源，这里填写15% ，点击两次OK，回到主界面 

 

14. 右键点击WebServer策略，选择Set as Managing Policy 

 

15. 右键点击Windows System Resource Manager，选择Start Managing 

 

至此，WSRM的安装与配置就完成了，注意一定要空出5%的CPU资源，这部分CPU是给UI使用的 

Part2 - 设置IIS日志记录 
1. 确定需要保护的站点，这里我们以默认站点为例，修改IIS的设置，首先打开IIS MMC 

 

2. 右键点击默认站点，选择【属性】 

 

3. 选中启用W3C日志记录，然后点击右边的【属性】，并切换到【高级】选项卡 

 

4. 默认的选中项不要改，注意选中最后一项 - 引用站点，然后点击两次【确定】，关闭MMC 

Part3 - 安装与配置WebCavalier 
WebCavalier是一款基于日志分析的防火墙，它工作在TCP/IP协议中的应用层 
WebCavalier有一套独特的算法，可以分析出CC攻击行为、SQL注入行为、恶意刷新行为、暴力登录尝试行为、网站内容抓取行为等针对Web服务器应用层的攻击或不良动作，并把这些IP地址直接封印在TCP/IP协议中的IP层 

1. 从http://www.onlinedown.net/soft/62329.htm下载WebCavalier的最新版本（需要Framework 2.0） 

 

2. 安装完成后，运行配置管理器（开始-WebCavalier-配置管理器） 

 

3. 点击【授权】选项卡 

 

4. 点击免费注册新帐号，并填写基本信息，完成注册后会收到一封包含用户名和密码的电子邮件 

 

5. 在【授权】选项卡中填入相应的用户名和密码，点击【保存用户】，然后点击【重启服务】 

 

6. 切换到【本地站点】选项卡，选择要保护的站点，然后点击【保存设置】，再点击【重启服务】 
（注意：个人版能选择1个站点，标准版3个站点，专业版10个站点） 

 

Part4 - 监视WebCavalier 
WebCavalier在系统中对应的服务名称是WebCavalier，可以使用服务MMC管理WebCavalier 
WebCavalier配置管理器提供了三种方式监视WebCavalier的工作状态，分别是：屏蔽IP列表、攻击日志和监视计数器

 

点击【监视】选项卡，可以看到当前被保护的站点 
左边的数字表示每秒钟服务器接收的GET请求数，GET请求是最常见的请求 
中间的图像同样表示GET请求量，但需要注意的是，如果它呈现红色，表示该网站实际未受到保护，原因可能是服务器网络连接中断，或未通过授权认证（帐号过期） 
 
【日志】选项卡记录了从安装WebCavalier到现在拦截的IP、被攻击网站名称和发生时间

【阻止IP列表】选项卡显示了当前阻挡的IP地址，可以解除对某个IP地址的阻挡