Jak povolit modul CC Attack Protection na IIS

Takzvaný CC útok je běžný internetový útok, při kterém hackeři používají proxy servery k generování velkého množství maskovaných IP adres a neustále přistupují na určitou webovou stránku, což způsobuje vyčerpání CPU, současných připojení a dalších zdrojů webu, zatímco ostatní běžní návštěvníci nemohou web prohlížet. Stejně jako DDOS útoky, i CC útoky pocházejí z velkého množství falešných IP adres a formou útoku je odesílání velkého množství paketů na cílovou webovou stránku, takže nemůžeme přesně získat IP adresu zdroje útoku. Pokud není útočných IP segmentů druhé strany jen málo, takže tyto IP segmenty lze blokovat přímo na IIS, mají verze IIS 6.0 a pozdější funkci blokování jednotlivých IP nebo určitých IP segmentů, ale IIS 6.0/7.0 stále nemohou zpracovat velké množství nepravidelných IP adres, dokud nevyjde IIS 8.0.

IIS 8.0 přidává tři nové funkce do modulu IP Restriction:

1. Dynamická omezení IP mohou automaticky blokovat IP adresy na základě počtu současných požadavků nebo počtu požadavků během časového období.

2. Tradiční omezení IP adres vrátí chybu 403.6 (tj. zakázaný stav) a nová verze IIS může také přímo zrušit požadavek, nebo vrátit neautorizovaný či nenalezený.

3. Podpora proxy režimu, tedy kromě blokování IP přímých útoků může také blokovat skutečné mozky útoků prováděných proxy servery.

Ve výchozím nastavení IIS 8.0 nemá nainstalovaný modul "IP a doménová omezení", musíme jej nainstalovat zvlášť v "Správce serveru".

Poté otevřeme IIS, klikneme na web, který chcete nastavit, a poté klikneme na ikonu modulu "IP adresa a doménová omezení", hlavní rozhraní se zobrazí následovně.

V pravém operačním panelu jsou 4 položky, které musíme znát.

1. Přidejte povolené položky, tedy přidejte IP adresy, ke kterým je povoleno přistupovat. Když nastavíme přístup jiných klientů na "Odmítnout", přístup mohou mít pouze tyto IP adresy.

2. Přidat položku pro zamítnutí, tedy přidat IP adresu, která přístup odepře. Když nastavíme přístup jiných klientů na "Povolit", přístup pouze k těmto IP adresám nelze přistupovat.

3. Upravte nastavení funkcí, kde můžete nastavit přístupová práva ostatních klientů (anonymních uživatelů), zda povolit proxy režim a typ operace odmítnutí.

(1) Výchozí přístupová práva nespecifikovaných klientů jsou povolena, pokud chcete, aby tuto stránku navštěvovali pouze konkrétní lidé, musíte ji zde upravit na "zakázat" a poté přidat konkrétní IP adresu v "Přidat povolený vstup".

(2) Povolit omezení doménových jmen, tedy kromě IP adres můžete také nastavit přístup ke konkrétním doménovým jménům. Je třeba poznamenat, že tento proces spotřebuje určité množství systémových zdrojů při přenesení doménového jména na IP adresu, proto tuto položku nekontrolujte, pokud nejde o specifický případ.

(3) Zapněte proxy režim, IIS detekuje informace přeposílané x-forward-for v hlavě stránky kromě IP adresy klienta; pokud jsou tyto dvě informace nekonzistentní, klient obvykle používá VPN nebo jiné proxy nástroje k přístupu, čímž skryje svou pravou identitu. Stejně jako omezení doménových jmen, i tato funkce spotřebovává systémové zdroje.

(4) Existují čtyři typy operací odmítnutí, výchozí je zakázáno (vrací kód 403) a můžete také zvolit jiné typy, například neautorizované (vrátí 401), nenalezeno (vrátí 404) a přerušené (zastaví HTTP připojení).

4. Upravit nastavení dynamických omezení

Tohle je unikátní zbraň na ochranu proti útokům CC! Můžete omezit podle počtu současných požadavků, nebo podle počtu požadavků v čase. Když je web napaden CC, můžeme přímo zkontrolovat tyto dvě položky, nejprve použít číselné parametry doporučené IIS, pozorovat ochranný efekt a poté dále dolaďovat. Všimněte si, že pokud zaškrtnete "Povolit pouze režim logování", zaznamenávají se pouze logy připravené k odmítnutí, nikoli skutečně blokované, což je vhodné pro experimentování a ladění.

Ačkoliv stále neexistuje dokonalé řešení ochrany proti CC útokům, dynamická funkce omezení IP adres přidaná v IIS 8.0 je téměř na dně a velmi snadno ovladatelná. Abychom dosáhli nejlepšího ochranného efektu bez ovlivnění běžného uživatelského přístupu, musíme opakovaně experimentovat s výše uvedenými nastaveními, abychom dosáhli rovnováhy mezi ochranou proti útokům a běžným prohlížením.