|
Η λεγόμενη επίθεση CC είναι μια συνηθισμένη επίθεση στο Διαδίκτυο κατά την οποία οι χάκερ χρησιμοποιούν διακομιστές μεσολάβησης για να δημιουργήσουν μεγάλο αριθμό συγκαλυμμένων διευθύνσεων IP και να έχουν συνεχή πρόσβαση σε έναν συγκεκριμένο ιστότοπο, προκαλώντας εξάντληση της CPU του ιστότοπου, των ταυτόχρονων συνδέσεων και άλλων πόρων, ενώ άλλοι κανονικοί επισκέπτες δεν μπορούν να περιηγηθούν στον Ιστό. Όπως και οι επιθέσεις DDOS, οι επιθέσεις CC προέρχονται από μεγάλο αριθμό ψεύτικων διευθύνσεων IP και η μορφή των επιθέσεων είναι η αποστολή μεγάλου αριθμού πακέτων στον ιστότοπο-στόχο, επομένως δεν μπορούμε να λάβουμε με ακρίβεια τη διεύθυνση IP της πηγής της επίθεσης. Εκτός εάν τα τμήματα IP επίθεσης του άλλου μέρους είναι μόνο λίγα, έτσι ώστε αυτά τα τμήματα IP να μπορούν να αποκλειστούν απευθείας στις υπηρεσίες IIS, οι υπηρεσίες IIS 6.0 και νεότερες εκδόσεις έχουν τη λειτουργία αποκλεισμού μεμονωμένων διευθύνσεων IP ή ενός συγκεκριμένου τμήματος IP, αλλά οι υπηρεσίες IIS 6.0/7.0 εξακολουθούν να μην μπορούν να χειριστούν μεγάλο αριθμό μη τυπικών διευθύνσεων IP μέχρι να κυκλοφορήσει η υπηρεσία IIS 8.0. Οι υπηρεσίες IIS 8.0 προσθέτουν τρεις νέες δυνατότητες στη λειτουργική μονάδα περιορισμού IP: 1. Οι δυναμικοί περιορισμοί IP μπορούν να αποκλείσουν αυτόματα τις διευθύνσεις IP με βάση τον αριθμό των ταυτόχρονων αιτημάτων ή τον αριθμό των αιτημάτων για μια χρονική περίοδο. 2. Οι παραδοσιακοί περιορισμοί διευθύνσεων IP θα επιστρέψουν ένα σφάλμα 403.6 (δηλαδή, απαγορευμένη κατάσταση) και η νέα έκδοση των υπηρεσιών IIS μπορεί επίσης να ματαιώσει απευθείας το αίτημα ή να επιστρέψει μη εξουσιοδοτημένη ή μη ευρεθείσα. 3. Υποστήριξη λειτουργίας διακομιστή μεσολάβησης, δηλαδή, εκτός από τον αποκλεισμό της IP των άμεσων επιθέσεων, μπορεί επίσης να αποκλείσει τους πραγματικούς εγκεφάλους πίσω από τις επιθέσεις που πραγματοποιούνται από διακομιστές μεσολάβησης. Από προεπιλογή, το IIS 8.0 δεν έχει εγκατεστημένη τη λειτουργική μονάδα "IP and Domain Restrictions", πρέπει να την εγκαταστήσουμε ξεχωριστά στη "Διαχείριση διακομιστή". Στη συνέχεια, ανοίγουμε τις υπηρεσίες IIS, κάνουμε κλικ στον ιστότοπο που θέλετε να ορίσετε και, στη συνέχεια, κάντε κλικ στο εικονίδιο της μονάδας "Διεύθυνση IP και περιορισμοί τομέα", η κύρια διεπαφή εμφανίζεται ως εξής.
Στη σωστή γραμμή λειτουργίας, υπάρχουν 4 στοιχεία που πρέπει να γνωρίζουμε. 1. Προσθέστε επιτρεπόμενες καταχωρήσεις, δηλαδή προσθέστε τις διευθύνσεις IP στις οποίες επιτρέπεται η πρόσβαση. Όταν ορίζουμε την πρόσβαση άλλων πελατών σε "Απόρριψη", μόνο αυτές οι διευθύνσεις IP μπορούν να έχουν πρόσβαση. 2. Προσθέστε μια καταχώρηση άρνησης, δηλαδή προσθέστε τη διεύθυνση IP που αρνείται την πρόσβαση. Όταν ορίζουμε την πρόσβαση άλλων πελατών σε "Να επιτρέπεται", δεν είναι δυνατή η πρόσβαση μόνο σε αυτές τις διευθύνσεις IP. 3. Επεξεργαστείτε τις ρυθμίσεις λειτουργίας, όπου μπορείτε να ορίσετε τα δικαιώματα πρόσβασης άλλων πελατών (ανώνυμοι χρήστες), εάν θα ενεργοποιήσετε τη λειτουργία διακομιστή μεσολάβησης και τον τύπο της λειτουργίας απόρριψης. (1) Επιτρέπονται τα προεπιλεγμένα δικαιώματα πρόσβασης απροσδιόριστων πελατών, εάν θέλετε να έχουν πρόσβαση σε αυτόν τον ιστότοπο μόνο συγκεκριμένα άτομα, πρέπει να τον προσαρμόσετε σε "άρνηση" εδώ και, στη συνέχεια, να προσθέσετε μια συγκεκριμένη διεύθυνση IP στην "Προσθήκη επιτρεπόμενης εισόδου". (2) Ενεργοποιήστε τους περιορισμούς ονομάτων τομέα, δηλαδή, εκτός από τις διευθύνσεις IP, μπορείτε επίσης να ορίσετε πρόσβαση σε συγκεκριμένα ονόματα τομέα. Θα πρέπει να σημειωθεί ότι αυτή η διαδικασία θα καταναλώσει ένα ορισμένο ποσό πόρων συστήματος για την επίλυση του ονόματος τομέα σε μια διεύθυνση IP, επομένως μην ελέγχετε αυτό το στοιχείο εκτός εάν πρόκειται για συγκεκριμένη περίπτωση. (3) Ενεργοποιήστε τη λειτουργία διακομιστή μεσολάβησης, οι υπηρεσίες IIS θα εντοπίσουν τις πληροφορίες x-forwarded-for στην κεφαλίδα της σελίδας εκτός από τη διεύθυνση IP του πελάτη, εάν οι δύο πληροφορίες είναι ασυνεπείς, τότε ο πελάτης χρησιμοποιεί γενικά VPN ή άλλα εργαλεία διακομιστή μεσολάβησης για πρόσβαση, αποκρύπτοντας την πραγματική του ταυτότητα. Όπως και οι περιορισμοί ονομάτων τομέα, αυτή η δυνατότητα καταναλώνει επίσης πόρους συστήματος. (4) Υπάρχουν τέσσερις τύποι λειτουργιών απόρριψης, η προεπιλογή απαγορεύεται (επιστρέφει κωδικό 403) και μπορείτε επίσης να επιλέξετε άλλους τύπους, όπως μη εξουσιοδοτημένη (επιστρέφει 401), μη βρέθηκε (επιστρέφει 404) και ματαιώθηκε (σταματά τη σύνδεση HTTP). 4. Επεξεργαστείτε τις ρυθμίσεις δυναμικού περιορισμού Αυτό είναι το μοναδικό όπλο για προστασία από επιθέσεις CC! Μπορείτε να επιλέξετε να περιορίσετε με βάση τον αριθμό των ταυτόχρονων αιτημάτων ή μπορείτε να επιλέξετε να περιορίσετε με βάση τον αριθμό των αιτημάτων με την πάροδο του χρόνου. Όταν ένας ιστότοπος δέχεται επίθεση από CC, μπορούμε να ελέγξουμε απευθείας αυτά τα δύο στοιχεία, να χρησιμοποιήσουμε πρώτα τις παραμέτρους αριθμού που προτείνει οι υπηρεσίες IIS, να παρατηρήσουμε το αποτέλεσμα προστασίας και, στη συνέχεια, να βελτιώσουμε περαιτέρω. Σημειώστε ότι εάν επιλέξετε "Ενεργοποίηση λειτουργίας μόνο καταγραφής", καταγράφονται μόνο τα αρχεία καταγραφής που είναι έτοιμα για απόρριψη και δεν αποκλείονται στην πραγματικότητα, κάτι που είναι κατάλληλο για πειραματισμό και εντοπισμό σφαλμάτων.
Αν και δεν υπάρχει ακόμα τέλεια λύση για την προστασία από επιθέσεις CC, η δυναμική λειτουργία περιορισμού διεύθυνσης IP που προστέθηκε στο IIS 8.0 μπορούμε να πούμε ότι είναι κοντά στο κάτω μέρος και πολύ εύκολη στη χρήση. Για να επιτύχουμε το καλύτερο αποτέλεσμα προστασίας χωρίς να επηρεάσουμε την κανονική πρόσβαση του χρήστη, πρέπει να πειραματιστούμε επανειλημμένα με τις παραπάνω ρυθμίσεις για να επιτύχουμε μια ισορροπία μεταξύ της προστασίας από επιθέσεις και της κανονικής περιήγησης.
| 
Δημοσιεύτηκε στις 27/7/2016 7:02:05 μ.μ.
|
|
|
|
