Как да активирате модула CC Attack Protection на IIS

Т.нар. CC атака е често срещана интернет атака, при която хакери използват прокси сървъри, за да генерират голям брой маскирани IP адреси и постоянно да имат достъп до определен уебсайт, което води до изчерпване на процесора, едновременните връзки и други ресурси, докато други обикновени посетители не могат да разглеждат интернет. Подобно на DDOS атаките, CC атаките идват от голям брой фалшиви IP адреси, а формата им е да се изпратят голям брой пакети до целевия уебсайт, така че да не можем точно да получим IP адреса на източника на атаката. Освен ако атакуващите IP сегменти на другата страна не са само няколко, така че тези IP сегменти могат да бъдат блокирани директно в IIS, версиите IIS 6.0 и по-нови имат функцията да блокират отделни IP адреси или определен IP сегмент, но IIS 6.0/7.0 все още не може да обработва голям брой нередовни IP адреси, докато не излезе IIS 8.0.

IIS 8.0 добавя три нови функции към модула за IP Restriction:

1. Динамичните IP ограничения могат автоматично да блокират IP адресите въз основа на броя на едновременните заявки или броя на заявките за определен период от време.

2. Традиционните ограничения за IP адреси ще върнат грешка 403.6 (т.е. забранено състояние), а новата версия на IIS може също директно да прекрати заявката, или да върне неразрешено или неоткрито.

3. Поддържане на прокси режим, тоест освен блокиране на IP адреса на директни атаки, може да блокира и истинските мозъци зад атаките, извършвани от прокси сървъри.

По подразбиране, IIS 8.0 няма инсталиран модул "IP and Domain Restrictions", трябва да го инсталираме отделно в "Server Manager".

След това отваряме IIS, кликваме на уебсайта, който искате да зададете, и след това върху иконата на модула "IP адрес и домейн ограничения", като основният интерфейс се показва по следния начин.

В дясната лента за операции има 4 елемента, които трябва да знаем.

1. Добавете позволени записи, тоест добавете IP адресите, които са разрешени за достъп. Когато настроим достъпа на друг клиент на "Откаже", само тези IP адреси имат достъп.

2. Добавете отказ за влизане, тоест добавете IP адреса, който отказва достъп. Когато зададем достъпа на друг клиент на "Allow", само тези IP адреси не могат да бъдат достъпени.

3. Редактирайте настройките на функциите, където можете да зададете правата за достъп на други клиенти (анонимни потребители), дали да активирате режим на прокси и типа операция за отхвърляне.

(1) Правата за достъп по подразбиране на неопределени клиенти са позволени, ако искате този уебсайт да бъде достъпван само от конкретни хора, трябва да го настроите на "отказа" тук, а след това да добавите конкретен IP адрес в "Add Allowed Entry".

(2) Активирайте ограниченията върху домейн имената, тоест, освен IP адресите, можете да зададете достъп и до конкретни домейн имена. Трябва да се отбележи, че този процес ще изразходва определено количество системни ресурси, за да се разреши домейна в IP адрес, затова не проверявайте този елемент, освен ако не е конкретен случай.

(3) Активирайте прокси режим, IIS ще открие x-forwarded-for информацията в началото на страницата, с изключение на IP адреса на клиента; ако двете данни са несъвместими, клиентът обикновено използва VPN или други прокси инструменти за достъп, като скрива истинската си идентичност. Подобно на ограниченията за домейн имена, тази функция също изразходва системни ресурси.

(4) Има четири типа операции за отхвърляне, по подразбиране е забранено (връща 403 код), а можете да изберете и други типове, като неоторизирани (връща 401), не е намерен (връща 404) и прекъснат (прекъсва HTTP връзката).

4. Редактирай настройките за динамични ограничения

Това е уникалното оръжие за защита срещу CC атаки! Можете да изберете да ограничите според броя на едновременните заявки или да ограничите според броя на заявките във времето. Когато даден уебсайт бъде атакуван от CC, можем директно да проверим тези два елемента, първо да използваме препоръчаните от IIS параметрите на числото, да наблюдаваме ефекта на защитата и след това допълнително да го настроим. Имайте предвид, че ако отметнете "Enable log only mode", се записват само логовете, които са готови за отхвърляне, а не реално блокирани, което е подходящо за експериментиране и отстраняване на грешки.

Въпреки че все още няма перфектно решение за защита срещу CC атаки, функцията за динамично ограничаване на IP адреси, добавена в IIS 8.0, може да се каже, че е близо до дъното и много лесна за управление. За да постигнем най-добрия защитен ефект без да се засяга нормалния достъп на потребителите, трябва многократно да експериментираме с горните настройки, за да постигнем баланс между защита срещу атаки и нормално сърфиране.