用于 IIS 7.0 及更高版本的動態(tài) IP 限制 (DIPR) 模塊提供針對 Web 服務(wù)器和網(wǎng)站上拒絕服務(wù)和暴力攻擊的保護(hù)。 為提供此保護(hù)，該模塊會暫時(shí)阻止并發(fā)請求數(shù)異常高或短時(shí)間內(nèi)發(fā)出大量請求的 HTTP 客戶端的 IP 地址。

動態(tài) IP 限制模塊包括以下關(guān)鍵功能：

• 基于并發(fā)請求數(shù)阻止 IP 地址 - 如果 HTTP 客戶端的并發(fā)請求數(shù)超過允許的量，會暫時(shí)阻止該客戶端的 IP 地址。

• 基于一段時(shí)間內(nèi)的請求數(shù)阻止 IP 地址 - 如果 HTTP 客戶端發(fā)出的請求數(shù)超過指定時(shí)間間隔內(nèi)發(fā)出的數(shù)量，會暫時(shí)阻止該客戶端的 IP 地址。

• 不阻止的 IP 地址允許列表 - 可添加無論配置如何都不受模塊阻止的客戶端的 IP 地址的列表。

• 各種拒絕操作 - 可指定要返回到 IP 地址受阻止的 HTTP 客戶端的響應(yīng)。 模塊可返回狀態(tài)代碼 403 和 404，或直接終止 HTTP 連接而不返回任何響應(yīng)。

• 對代理后方的 Web 服務(wù)器的支持 - 如果 Web 服務(wù)器位于代理后方，可將模塊配置為使用 X-Forwarded-For 標(biāo)頭中的客戶端 IP 地址。

• IPv6 - 該模塊提供對 IPv6 地址的完全支持。

可以嘗試以下方法來安裝動態(tài) IP 限制：

在“選擇角色服務(wù)”屏幕中，導(dǎo)航到 Web 服務(wù)器（IIS） > Web 服務(wù)器 > 安全性。 選中“IP 和域限制”復(fù)選框，然后單擊“下一步”繼續(xù)。

在IIS8點(diǎn)擊相應(yīng)站點(diǎn)，找到IP地址和域限制，雙擊進(jìn)入。

在右邊欄點(diǎn)擊“編輯動態(tài)限制設(shè)置”，會彈出相應(yīng)設(shè)置對話框。

設(shè)置同一IP連接數(shù)和請求頻率，可以根據(jù)網(wǎng)站具體情況調(diào)整相關(guān)參數(shù)。

基于一段時(shí)間內(nèi)的請求數(shù)阻止 IP 地址

使用此選項(xiàng)時(shí)，服務(wù)器會拒絕任何在一段時(shí)間內(nèi)發(fā)出的請求數(shù)超過可配置數(shù)量的 HTTP 客戶端 IP 地址的請求。 這些 IP 地址會一直受阻止，直到其一段時(shí)間內(nèi)的請求數(shù)低于配置的限額。

若要測試此功能，可使用 IIS 管理器或執(zhí)行 appcmd 命令將“最大請求數(shù)”設(shè)置為 5、將“時(shí)間段”設(shè)置為 5000：

%WINDIR%\system32\inetsrv\appcmd.exe set config -section:system.webServer/security/dynamicIpSecurity /denyByRequestRate.enabled:"True" /denyByRequestRate.maxRequests:"5" /denyByRequestRate.requestIntervalInMilliseconds:"5000" /commit:apphost

打開 Web 瀏覽器，請求 http://localhost/welcome.png，然后點(diǎn)擊 F5 以持續(xù)刷新頁面。 隨即會在 5 秒內(nèi)生成 5 個(gè)以上的請求，結(jié)果是服務(wù)器以“403 - 禁止”狀態(tài)代碼響應(yīng)：

如果再等待 5 秒，所有之前的請求均已執(zhí)行，這時(shí)發(fā)出請求就會成功。

注意：

在實(shí)際情況中為 Web 應(yīng)用程序配置一段時(shí)間內(nèi)允許的請求數(shù)時(shí)，請完整細(xì)致地測試所選限制，以確保不阻止符合條件的 HTTP 客戶端。 這對于具有支持 AJAX 的網(wǎng)頁并提供媒體內(nèi)容的豐富 Internet 應(yīng)用程序尤為重要。