旁门解决IIS拒绝服务问题

来源：互联网发布：上古卷轴5美男捏脸数据编辑：程序博客网时间：2024/05/01 05:26

前些天单位服务器被黑客攻击, 估计是那个将要出师的黑客,把单位服务器作为把子练习了.

现象为每天早上来的时候网站都无法打开,服务器一切正常,只是打开网页时长时间等待后显示无法打开.

用natstat看网络有一大堆的CLOSE_WAIT和ESTABLISHED连接，可以显示好几页。如下：
TCP 192.168.1.40:80 61.135.219.6:48208 CLOSE_WAIT
TCP 192.168.1.40:80 61.135.219.6:49903 CLOSE_WAIT
TCP 192.168.1.40:80 61.164.178.118:10268 ESTABLISHED
TCP 192.168.1.40:80 61.164.178.118:51398 ESTABLISHED
TCP 192.168.1.40:80 61.164.178.118:51677 ESTABLISHED
TCP 192.168.1.40:80 66.249.66.164:32827 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:32832 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:33115 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:33685 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:34081 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:34210 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:35109 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:35216 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:35356 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:36192 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:36290 ESTABLISHED
TCP 192.168.1.40:80 66.249.66.164:36877 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:36969 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:37001 CLOSE_WAIT
TCP 192.168.1.40:80 66.249.66.164:37030 CLOSE_WAIT
上面是部分内容。
在日志中可以看出应该发生在凌晨1-3点间。
重起IIS后问题解决。

连着三天都是相同的问题，我在此也发贴问解决方法，无理想回贴，所以只好自己想法解决了，因为对安全知识了解不足，根本就不清楚这是什么原因造成的，所以也就从正路上无从着手。

即然重起IIS可以解决问题，我就想从这个方面入手，解决它。

思路是写一程序，定时（一分钟）打开本服务器的一个页面，如果5秒钟内打不开，或打开了一个错误的页面，程序将当时的网络联接状态记录下来，并重起IIS。

这是程序下载地下：http://www.jyah.cn/reserv.rar

使用方法：解压后双击reserv.exe文件（程序需要VB库支持），在打开的网址一和网址二中输入你的服务器网站的二个页面（二个的目的是发现有些时候网页已打不开了，但因为你打开的仍是先前的网页，它会虚假显示打开的），注意输入的网址正确，否则，程序会以为打不开而不时地重起。点击“开始”，程序会自动转入后台运行。

如果程序重起了服务器，它会记录下一个LOG文件，并且会记录一个以时间为文件名的txt文件，记录下当时的网络netstat -an的内容。