none
Win2003系统的IIS服务的w3wp.exe使用UDP的80端口发送大量的数据包,寻求帮助 RRS feed

  • 问题

  • 环境介绍:

    1. 系统是:Windows 2003 Enterprise Edit + SP2

    2. 作为Web服务器:安装 IIS6,同时支持asp + asp.net 1.1  + asp.net 2.0 + php 4.4.2

    3. 服务器安装瑞星防火墙、杀毒软件和 360 安全卫士。

    4. 服务器主要用作Web服务器,为外部提供WEB访问服务。

    5. 服务器现在500多个站点在运行

     

    故障现象:

    1. 可以确定的是:该服务器曾经作为肉鸡,发出DDOS流量散乱攻击互联网其他机器

    2. 可以确定的是:该服务器发出DDOS流量的进程是w3wp.exe

    3. 可以确定的是:该服务器发出的DDOS流量类型为 UDP 协议,目的端口是 80

    4. 可以确定的是:该服务器w3wp.exe 发出的DDOS流量高达 80Mbps/sec, 而网卡仅是100M连接。

    5. 因为DDOS流量不定期的向外发送,没有找到病毒根源。 我变相的使用Windows自带的组策略,将源地址为自己,目的地址为any,协议为udp,端口为80的流量都阻止。这种办法仅仅是暂时不让流量本机网 卡发出去,但是Windows系统内部还是在不断的产生流量。

    6. 当我开启IIS服务后,从互联网任何一台机器ping 该Web服务器,丢包率高达20%,当我关闭IIS服务后,还是从互联网任何一台机器ping 该web服务器,丢包率几乎为0%。

    7. 曾经尝试在 IIS信息管理器 -> web服务扩展 ->  把ASP.NET v1.1.4322 和 ASP.NET v2.0.50727都禁止后,重启IIS服务,丢包率还是几乎高达20%。

    8. 虽然ping该服务器的丢包率高达20%,但是该服务器的CPU利用率 30% 左右,内存占用800M 左右,远远没有达到系统的物理资源瓶颈。

    9. 需要说明的是:丢包率高达20%,不论是外部ping 该服务器,或者该服务器主动ping 网关,都是一样的丢包率。

     

    需要帮助:

    1. 在不重做系统的前提下,有什么办法可以解决IIS发出DDOS攻击流量的问题?

    2. 或者有什么办法可以继续详细故障定位,是IIS服务的哪个功能有问题? 负责Php解析的程序文件问题?还是负责asp解析的程序文件有问题? 还是负责ASP.NET解析程序文件的问题?

    3. 因为IIS里有很多网站,能否定位是哪个网站导致IIS有问题?


    outlook-future
    2011年6月15日 0:29

答案

  • 什么服务器啊 500多个站点在运行。。。

    既然你确定是iis出来的,那么就有一个简单的办法:

    开启iis服务,将所有站点停止,这个时候应该没有任何程序运行在iis内,检查网络流量是否正常,如果不正常,说明你的判断是错误的。

    如果没有流量,逐个(500个)启动网站,启动一个检查一下流量变化,直到找到启动后立即出现流量变化的网站,那个就是你要干掉的,将这个禁用,继续检查(防止有多个网站有问题),直到检查完毕。

     

    ps,总结一下,这类问题如果的确是网站出现的,说明在配置上还是不科学,正确的办法是为每个网站配置一个应用程序池,不过你比较多可以10个配一个。这样出问题,可以很快定位那个应用程序池有问题(就是你看到的w3wp进程)。

     


    family as water
    2011年6月15日 2:03