二、URLScan Tool――过滤非法URL访问

仔细观察IIS的漏洞，我们几乎可以得出这样一个结论，所有利用这些漏洞实现对网站攻击的手段均是构造特殊的URL来访问网站，一般有以下几种类型的URL可以利用漏洞：

１、特别长的URL，比如红色代码攻击网站的URL就是这样：

GET/defaultidaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd%u7801%u
9090%u6858%ucbd%u7801%u9090%u6858%ucbd%u7801%u9090%u9090%u8190%u
00c%u000%u8b00%u51b%u5ff%u0078%u0000%u00=a 00；

２、特殊字符或者字符串的URL，比如在URL后面加$DATA可以看到网页（ASP）源代码；

３、URL中含有可执行文件名，最常见的就是有cmdexe；

既然这些攻击利用特殊的URL来实现，所以，微软提供了这款专门过滤非法URL的安全工具，可以达到御敌于国门之外的效果，这款工具有以下特点和功能：

１、基本功能：过滤非法URL请求；

２、设定规则，辨别那些URL请求是合法的；这样，就可以针对本网站来制定专门的URL请求规则；同时，当有新的漏洞出现时，可以更改这个规则，达到防御新漏洞的效果；

３、程序提供一套URL请求规则，这个规则包含已经发现的漏洞利用特征，帮助管理员设置规则；

（一）、软件的下载与安装

URLScan可以在微软的网站上下载，地址如下：

http//downloadmicrosoftcom/downl-US/UrlScanexe

和一般软件一样安装，但是，此软件不能选择安装路径，安装完成以后，我们可以在System/InetSvr/URLScan目录下找到以下文件：

urlscandll：动态连接库文件；
urlscaninf：安装信息文件；
urlscantxt：软件说明文件；
urlscanini：软件配置文件，这个文件很只要，因为对URLScan的所有配置，均有这个文件来完成。

（二）、软件的配置

软件的配置由urlscanini文件来完成，在配置此文件以前，我们需要了解一些基本知识。

１、urlscan配置文件的构造形式

        urlscan配置文件必须遵从以下规则：

（1）此文件名必须为urlscanini；

（）配置文件必须和urlscandll在同一目录；

（）配置文件必须是标准ini文件结构，也就是由节，串和值组成；