Sådan aktiverer du CC Attack Protection-modulet på IIS

Det såkaldte CC-angreb er et almindeligt internetangreb, hvor hackere bruger proxyservere til at generere et stort antal skjulte IP-adresser og konstant tilgå et bestemt websted, hvilket får webstedets CPU, samtidige forbindelser og andre ressourcer til at blive udtømt, mens andre almindelige besøgende ikke kan surfe på nettet. Ligesom DDOS-angreb kommer CC-angreb fra et stort antal falske IP-adresser, og angrebsformen er at sende et stort antal pakker til målwebsitet, så vi kan ikke nøjagtigt få fat i IP-adressen til angrebets kilde. Medmindre den anden parts angrebs-IP-segmenter kun er få, så disse IP-segmenter kan blokeres direkte på IIS, har IIS 6.0 og senere versioner funktionen at blokere individuelle IP'er eller et bestemt IP-segment, men IIS 6.0/7.0 kan stadig ikke håndtere et stort antal uregelmæssige IP-adresser, før IIS 8.0 udkommer.

IIS 8.0 tilføjer tre nye funktioner til IP Restriction modulet:

1. Dynamiske IP-begrænsninger kan automatisk blokere IP-adresser baseret på antallet af samtidige forespørgsler eller antallet af anmodninger over en periode.

2. Traditionelle IP-adressebegrænsninger vil returnere en 403.6-fejl (dvs. en forbudt tilstand), og den nye version af IIS kan også direkte afbryde anmodningen eller returnere uautoriseret eller ikke fundet.

3. Understøtte proxy-tilstand, det vil sige, at den ud over at blokere IP-adressen på direkte angreb også kan blokere de virkelige bagmænd bag angrebene udført af proxy-servere.

Som standard har IIS 8.0 ikke modulet "IP and Domain Restrictions" installeret, vi skal installere det separat i "Server Manager".

Dernæst åbner vi IIS, klikker på den hjemmeside, du vil sætte, og klikker derefter på modulikonet "IP-adresse og domænebegrænsninger", hovedgrænsefladen vises som følger.

I den rigtige operationslinje er der 4 punkter, vi skal vide.

1. Tilføj tilladte poster, det vil sige tilføj de IP-adresser, der må tilgås. Når vi sætter adgang til andre klienter til "Afvist", kan kun disse IP-adresser få adgang.

2. Tilføj en nægte adgang, det vil sige tilføje den IP-adresse, der nægter adgang. Når vi sætter adgang til andre klienter til "Tillad", kan kun disse IP-adresser ikke tilgås.

3. Rediger funktionsindstillingerne, hvor du kan indstille adgangsrettigheder for andre klienter (anonyme brugere), om proxy-tilstand skal aktiveres, og typen af afvisningsoperation.

(1) Standardadgangsrettighederne for uspecificerede klienter er tilladt; hvis du kun ønsker, at denne hjemmeside skal tilgås af bestemte personer, skal du justere den til at "afvise" her og derefter tilføje en specifik IP-adresse i "Tilføj tilladt adgang".

(2) Aktiver domænenavnsbegrænsninger, det vil sige, ud over IP-adresser kan du også indstille adgang til specifikke domænenavne. Det skal bemærkes, at denne proces vil bruge en vis mængde systemressourcer for at omsætte domænenavnet til en IP-adresse, så kontroller ikke dette punkt, medmindre det er et specifikt tilfælde.

(3) Aktiver proxy-tilstand, IIS vil opdage x-forwarded-for-informationen i sidens forhoved, undtagen klientens IP-adresse; hvis de to oplysninger er inkonsistente, bruger klienten generelt VPN eller andre proxy-værktøjer til adgang, hvilket skjuler dens sande identitet. Ligesom domænenavnsbegrænsninger forbruger denne funktion også systemressourcer.

(4) Der findes fire typer afvisningsoperationer, standarden er forbudt (returnerer 403-kode), og du kan også vælge andre typer, såsom uautoriseret (returnerer 401), ikke fundet (returnerer 404) og afbrudt (stopper HTTP-forbindelse).

4. Rediger indstillingerne for dynamisk begrænsning

Dette er det unikke våben til at beskytte mod CC-angreb! Du kan vælge at begrænse baseret på antallet af samtidige forespørgsler, eller du kan vælge at begrænse ud fra antallet af forespørgsler over tid. Når en hjemmeside bliver angrebet af CC, kan vi direkte tjekke disse to elementer, først bruge de talparametre, som IIS anbefaler, observere beskyttelseseffekten og derefter finjustere yderligere. Bemærk, at hvis du markerer "Aktiver kun logningstilstand", bliver kun logs, der er klar til at blive afvist, logget og ikke faktisk blokeret, hvilket er velegnet til eksperimentering og fejlfinding.

Selvom der stadig ikke findes en perfekt løsning til at beskytte mod CC-angreb, kan den dynamiske IP-adressebegrænsningsfunktion, der er tilføjet i IIS 8.0, siges at være tæt på bunden og meget nem at betjene. For at opnå den bedste beskyttelseseffekt uden at påvirke normal brugeradgang, skal vi gentagne gange eksperimentere med ovenstående indstillinger for at opnå en balance mellem beskyttelse mod angreb og normal browsing.