用于 IIS 7.0 及更高版本的動(dòng)態(tài) IP 限制 (DIPR) 模塊提供針對(duì) Web 服務(wù)器和網(wǎng)站上拒絕服務(wù)和暴力攻擊的保護(hù)。 為提供此保護(hù)，該模塊會(huì)暫時(shí)阻止并發(fā)請(qǐng)求數(shù)異常高或短時(shí)間內(nèi)發(fā)出大量請(qǐng)求的 HTTP 客戶端的 IP 地址。

動(dòng)態(tài) IP 限制模塊包括以下關(guān)鍵功能：

• 基于并發(fā)請(qǐng)求數(shù)阻止 IP 地址 - 如果 HTTP 客戶端的并發(fā)請(qǐng)求數(shù)超過(guò)允許的量，會(huì)暫時(shí)阻止該客戶端的 IP 地址。

• 基于一段時(shí)間內(nèi)的請(qǐng)求數(shù)阻止 IP 地址 - 如果 HTTP 客戶端發(fā)出的請(qǐng)求數(shù)超過(guò)指定時(shí)間間隔內(nèi)發(fā)出的數(shù)量，會(huì)暫時(shí)阻止該客戶端的 IP 地址。

• 不阻止的 IP 地址允許列表 - 可添加無(wú)論配置如何都不受模塊阻止的客戶端的 IP 地址的列表。

• 各種拒絕操作 - 可指定要返回到 IP 地址受阻止的 HTTP 客戶端的響應(yīng)。 模塊可返回狀態(tài)代碼 403 和 404，或直接終止 HTTP 連接而不返回任何響應(yīng)。

• 對(duì)代理后方的 Web 服務(wù)器的支持 - 如果 Web 服務(wù)器位于代理后方，可將模塊配置為使用 X-Forwarded-For 標(biāo)頭中的客戶端 IP 地址。

• IPv6 - 該模塊提供對(duì) IPv6 地址的完全支持。

可以嘗試以下方法來(lái)安裝動(dòng)態(tài) IP 限制：

在“選擇角色服務(wù)”屏幕中，導(dǎo)航到 Web 服務(wù)器（IIS） > Web 服務(wù)器 > 安全性。 選中“IP 和域限制”復(fù)選框，然后單擊“下一步”繼續(xù)。

在IIS8點(diǎn)擊相應(yīng)站點(diǎn)，找到IP地址和域限制，雙擊進(jìn)入。

在右邊欄點(diǎn)擊“編輯動(dòng)態(tài)限制設(shè)置”，會(huì)彈出相應(yīng)設(shè)置對(duì)話框。

設(shè)置同一IP連接數(shù)和請(qǐng)求頻率，可以根據(jù)網(wǎng)站具體情況調(diào)整相關(guān)參數(shù)。

基于一段時(shí)間內(nèi)的請(qǐng)求數(shù)阻止 IP 地址

使用此選項(xiàng)時(shí)，服務(wù)器會(huì)拒絕任何在一段時(shí)間內(nèi)發(fā)出的請(qǐng)求數(shù)超過(guò)可配置數(shù)量的 HTTP 客戶端 IP 地址的請(qǐng)求。 這些 IP 地址會(huì)一直受阻止，直到其一段時(shí)間內(nèi)的請(qǐng)求數(shù)低于配置的限額。

若要測(cè)試此功能，可使用 IIS 管理器或執(zhí)行 appcmd 命令將“最大請(qǐng)求數(shù)”設(shè)置為 5、將“時(shí)間段”設(shè)置為 5000：

%WINDIR%\system32\inetsrv\appcmd.exe set config -section:system.webServer/security/dynamicIpSecurity /denyByRequestRate.enabled:"True" /denyByRequestRate.maxRequests:"5" /denyByRequestRate.requestIntervalInMilliseconds:"5000" /commit:apphost

打開(kāi) Web 瀏覽器，請(qǐng)求 http://localhost/welcome.png，然后點(diǎn)擊 F5 以持續(xù)刷新頁(yè)面。 隨即會(huì)在 5 秒內(nèi)生成 5 個(gè)以上的請(qǐng)求，結(jié)果是服務(wù)器以“403 - 禁止”狀態(tài)代碼響應(yīng)：

如果再等待 5 秒，所有之前的請(qǐng)求均已執(zhí)行，這時(shí)發(fā)出請(qǐng)求就會(huì)成功。

注意：

在實(shí)際情況中為 Web 應(yīng)用程序配置一段時(shí)間內(nèi)允許的請(qǐng)求數(shù)時(shí)，請(qǐng)完整細(xì)致地測(cè)試所選限制，以確保不阻止符合條件的 HTTP 客戶端。 這對(duì)于具有支持 AJAX 的網(wǎng)頁(yè)并提供媒體內(nèi)容的豐富 Internet 應(yīng)用程序尤為重要。