摘要：# 当你的IIS服务器被CC攻击，先别急着花钱买高防，试试这个自带的神器 我见过不少中小企业的运维，服务器一被CC攻击就慌了神，第一反应就是“赶紧买高防”、“上个WAF”。其实吧，很多时候问题就出在**你守着金山要饭吃**——IIS服务器自带的一个功能，…

当你的IIS服务器被CC攻击，先别急着花钱买高防，试试这个自带的神器

我见过不少中小企业的运维，服务器一被CC攻击就慌了神，第一反应就是“赶紧买高防”、“上个WAF”。其实吧，很多时候问题就出在你守着金山要饭吃——IIS服务器自带的一个功能，配置好了能挡掉80%的初级CC攻击。

今天要聊的，就是这个藏在IIS里的“动态IP限制模块”。说白了，它就是给服务器装了个“门卫”，能自动识别那些频繁敲门（请求）的IP，然后直接拉黑名单。

一、先搞清楚，你的服务器是不是真被CC了？

很多人一看到服务器卡顿、网站打开慢，就以为是CC攻击。其实也可能是你程序写得烂，或者服务器配置太低了。

真正的CC攻击长这样：

• 网站突然变慢，但服务器CPU和内存占用并不高（因为攻击的是IIS的连接数）
• 查看IIS日志，会发现大量IP在短时间内疯狂请求同一个页面（尤其是登录页、搜索页）
• 用netstat -an命令一看，一堆ESTABLISHED状态的连接，而且来源IP很分散

如果符合这些特征，那基本没跑了。这时候你先别急着加钱升级配置——攻击者就等着你这么做呢，他们巴不得你多花冤枉钱。

二、动态IP限制模块：IIS自带的“智能门卫”

这个模块其实2010年就出了，但很多人不知道，或者知道了也不会配。它的工作原理特别简单：

想象一下小区门禁：

• 正常人回家：刷卡→进门→回家
• 可疑人员：在门口转悠→连续刷无效卡→触发警报→保安过来询问→再刷就禁止进入

动态IP限制就是那个“保安”。它会监控每个IP的请求行为，一旦发现异常（比如1秒内请求同一个页面10次），就自动把这个IP暂时拉黑。

最实用的两个功能：

1. 基于请求频率的限制：比如设置“10秒内超过20次请求就拒绝”
2. 基于并发连接数的限制：比如“同一个IP最多允许5个同时连接”

很多所谓的高防IP，底层逻辑跟这个差不多，只是人家规则库更全、节点更多而已。对于不是特别猛烈的攻击，这个自带模块完全够用。

三、手把手配置：别被官方文档吓到了

微软的官方文档写得那叫一个“严谨”（其实就是啰嗦），我简化一下，你跟着做就行。

第一步：先确认你有没有这个模块

打开IIS管理器→点击服务器名称→看中间主区域的“IIS”区域里，有没有“动态IP限制”这个图标。

没有？去微软官网下载“IIS动态IP限制模块”安装，也就几分钟的事。

第二步：配置全局规则（这是关键！）

很多教程让你直接去网站里配置，那是错的。必须先配全局，再配具体网站，否则规则不生效。

1. 在服务器级别（就是最顶层那个服务器名称）打开“动态IP限制”

2. 右边操作栏点“编辑动态限制设置”

   这里有几个参数你得理解：

   • 拒绝IP地址：勾上，不然光记录不拦截
   • 请求间隔(毫秒)：我一般设200，意思是同一个IP两次请求至少间隔0.2秒
   • 最大请求数：这个值要根据你网站实际情况算

   怎么算？举个例子： 你网站首页大小1MB，用户正常浏览，点开首页→看几秒→点内页。假设一个用户正常访问，10秒内会请求5-8个页面（包括图片、CSS等）。

   那么你可以设：10秒内最大请求数=30（留点余量）

   如果一个IP在10秒内请求超过30次，那肯定不是正常人——要么是爬虫，要么是攻击。

3. 关键设置：阻止持续时间 我建议设3600（1小时）。别设太短，否则攻击者停几分钟又来；也别设永久，万一误伤正常用户呢？

第三步：给具体网站加规则

全局规则是粗筛，网站规则是细筛。

比如你的登录页/login.aspx特别容易被攻击，那就单独给它加规则：

• 请求间隔设500毫秒（让登录慢点，正常用户不在乎多等0.5秒）
• 5秒内最大请求数设3次（谁5秒内登录3次？肯定是暴力破解）
• 勾选“记录IP的域名”（有些攻击者用不同域名但同一IP攻击）

第四步：测试！一定要测试！

配置完了别以为就完事了。我见过太多人配完规则，把自己也拦在外面的。

测试方法：

1. 用手机开4G/5G网络访问你网站（和办公室网络不同IP）
2. 快速刷新页面10次以上
3. 看是不是被拒绝了
4. 同时看IIS日志，有没有记录拒绝的IP

如果正常访问没问题，快速刷新被拒，那就成功了。

四、几个“坑”和“偏方”

坑1：云服务器上的特殊配置

如果你用的是阿里云、腾讯云的服务器，注意他们的安全组规则可能会影响。有时候IIS拦截了，但安全组没放行相关日志端口，导致你看不到记录。

解决办法： 在云控制台的安全组里，添加一条入站规则，允许IIS服务器的IP访问所有端口（仅限测试时，生产环境要收紧）。

坑2：CDN后的真实IP获取

如果你用了CDN，所有请求都来自CDN的IP，动态IP限制就废了。

偏方解决办法：

1. 在IIS里安装“真实IP获取模块”（各CDN厂商都有提供）
2. 或者，在代码层面获取X-Forwarded-For头里的真实IP，然后自己写逻辑拦截（这个比较麻烦，但更灵活）

坑3：误伤搜索引擎

百度、谷歌的爬虫请求频率比正常人高，可能被误伤。

解决办法： 把搜索引擎的IP段加入白名单。百度蜘蛛的IP段是公开的，去百度站长平台找。

五、什么时候这个模块就不够用了？

说实话，这个模块防防小打小闹的CC攻击还行，真要遇到专业的DDoS攻击，还是得靠高防。

几个信号说明你需要升级了：

1. 攻击IP来自几百个不同的C段（动态IP限制对分布式攻击效果有限）
2. 攻击流量超过你服务器带宽（这是流量攻击，得靠高防IP清洗）
3. 攻击持续好几天，而且攻击方式一直在变（说明是人工在操作，不是脚本）

但据我观察，80%的中小企业遇到的所谓“CC攻击”，其实都是些脚本小子在用现成工具扫漏洞。这种程度的攻击，动态IP限制模块+正确的配置，完全能扛住。

最后说句大实话

网络安全这东西，很多时候不是技术问题，是心态问题。

有些人总觉得“免费的肯定不行”，非得花几万块钱买个月费上万的高防才安心。其实吧，很多所谓的高防方案，PPT做得猛如虎，真遇到大规模攻击时，该挂还是挂——因为攻击者永远比防御者多一步。

先把免费的、自带的功能用明白，把基础打好。真遇到搞不定的攻击了，再花钱买服务也不迟。

至少，你能跟老板说：“咱们服务器被攻击了，但我已经用自带的防护挡了一波，现在需要升级方案。”——这比你直接说“老板，咱们被打了，快打钱”要有说服力得多。

行了，配置去吧。遇到问题，评论区见。