在\LogFiles\HTTPERR的日志中發(fā)現(xiàn)了大量Timer_MinBytesPerSecond，Timer_ConnectionIdle錯(cuò)誤，
根據(jù)網(wǎng)上的介紹，做了如下更改：

1) 從 IIS 管理器右鍵單擊 本地計(jì)算機(jī) 選擇 屬性。勾選允許直接編輯配置數(shù)據(jù)庫(kù)。
2) 在記事本中打開(kāi) C:\Windows\system32\inetsrv\MetaBase.xml 文件，
搜索MinFileBytesPerSec，將 MinFileBytesPerSec 設(shè)置從 240 更改為 0。
搜索ConnectionTimeout，將 ConnectionTimeout 設(shè)置從 120 更改為 600。
MinFileBytesPerSec如果不在C:\Windows\system32\inetsrv\MetaBase.xml 文件 就是在C:\Windows\system32\inetsrv\MBSchema.xml 文件
3）重新啟動(dòng) IIS 。


在修改MBSchema尤其注意，停止IIS進(jìn)程，第一步修改
MetaBase
•在“IIsComputer”節(jié)點(diǎn)中，將 EnableEditWhileRunning 的值從 0 (FALSE) 更改為 1 (TRUE)。所做更改應(yīng)如下所示：

<IIsComputer Location ="/LM"

EnableEditWhileRunning="1"

EnableHistory="1"

MaxBandwidth="4294967295"

MaxHistoryFiles="10">


•將所做更改保存到 MetaBase.xml 文件中。
然后才能修改MBSchema文件。。。

-------------------------------另一種見(jiàn)解

前些天發(fā)現(xiàn)自己的網(wǎng)站無(wú)法訪(fǎng)問(wèn)，詢(xún)問(wèn)機(jī)房這邊，說(shuō)是機(jī)器最近常死機(jī)，我就把網(wǎng)站遷移到一個(gè)朋友的主機(jī)上， 結(jié)果沒(méi)過(guò)幾天機(jī)器又掛了，問(wèn)朋友的機(jī)房那邊說(shuō)是硬件防火墻被攻擊了而死掉了，詳細(xì)情況不知?？磥?lái)不是硬件問(wèn)題，多半是被SYN FLOOD或者CC攻擊了。恰好原來(lái)的機(jī)房說(shuō)最近購(gòu)買(mǎi)了新的防火墻，我又放了回去。

既然不是硬件問(wèn)題而可能是攻擊，我就開(kāi)始檢查IIS log了，發(fā)現(xiàn) IIS 里面很多Timer_ConnectionIdle和Timer_MinBytesPerSecond的錯(cuò)誤，到網(wǎng)絡(luò)上google了一下，常見(jiàn)說(shuō)法是說(shuō)錯(cuò)誤是因?yàn)镮IS的設(shè)置不當(dāng)引起的，是因?yàn)檫B接超時(shí)時(shí)間設(shè)置太小，解決方法是設(shè)置連接超時(shí)為600秒，把MinFileBytesPerSec的設(shè)置從240修改到0（相當(dāng)于關(guān)掉該設(shè)置)。覺(jué)得這些解決方法都有問(wèn)題，假如車(chē)輛防盜警報(bào)經(jīng)常響，正確的解決方法是看看有誰(shuí)常來(lái)打你車(chē)子的主意，或者把車(chē)子放在更安全的地方，而絕對(duì)不是關(guān)掉警報(bào)。

因?yàn)镠TTP服務(wù)需要占用TCP連接，而TCP連接時(shí)是需要占用系統(tǒng)資源的，而且IIS為每個(gè)連接也需要分配相應(yīng)的資源。目前的主機(jī)能夠處理上萬(wàn)的連接就可以說(shuō)是軟硬件設(shè)計(jì)都很不錯(cuò)了(可以參見(jiàn)C10K )。假如惡意人員通過(guò)一臺(tái)或者多臺(tái)機(jī)器發(fā)起大量的連接，而不請(qǐng)求內(nèi)容(這樣不需要消耗多少攻擊機(jī)器的帶寬)，就可以大量消耗服務(wù)器資源而達(dá)到拒絕服務(wù)的目的。

所以 IIS 需要關(guān)閉長(zhǎng)時(shí)間非活動(dòng)的連接，這個(gè)就是Timer_ConnectionIdle 的錯(cuò)誤由來(lái)。

既然盾牌改進(jìn)了，當(dāng)然矛也要發(fā)展一下，攻擊者可以給服務(wù)器故意緩慢的發(fā)送和接收內(nèi)容而消耗服務(wù)器的資源，這樣可以避免服務(wù)器對(duì)于Timer_ConnectionIdle 的保護(hù)，相應(yīng)的IIS的防范就是 MinFileBytesPerSec 設(shè)置，MinFileBytesPerSec 屬性通過(guò)以最小的數(shù)據(jù)量保持連接，來(lái)禁止惡意的或軟件工作不正常的客戶(hù)端消耗資源。如果吞吐量低于 MinFileBytesPerSec 設(shè)置的值，則終止連接。LOG里面就會(huì)顯示Timer_MinBytesPerSecond錯(cuò)誤（一些Timer_MinBytesPerSecond錯(cuò)誤是因?yàn)?windows 2003 的http.sys錯(cuò)誤引起的，解決方式是打上最新 ServicePack ： http://support.microsoft.com/kb/919797 http://support.microsoft.com/kb/919797/en-us ）

所以說(shuō)這些設(shè)置都是用來(lái)保護(hù)IIS服務(wù)器的，可以一定程度上抵御一些惡意的行為消耗服務(wù)器的資源，所以我反而將IIS連接超時(shí)從原來(lái)的600秒改到了30秒

不過(guò)經(jīng)過(guò)我們解決問(wèn)題發(fā)現(xiàn)時(shí)因?yàn)榫W(wǎng)站所在的應(yīng)用程序池中請(qǐng)求隊(duì)列限制，限制在1000，根據(jù)自己的網(wǎng)站流量，果斷設(shè)置為 5000-10000就解決了，默認(rèn)的1000確實(shí)有點(diǎn)少了

最新評(píng)論