Cómo habilitar el módulo de Protección contra Ataques de CC en IIS

El llamado ataque CC es un ataque común en Internet en el que los hackers utilizan servidores proxy para generar un gran número de direcciones IP disfrazadas y acceder constantemente a un sitio web determinado, lo que provoca que la CPU, las conexiones simultáneas y otros recursos del sitio web se agoten, mientras que otros visitantes normales no pueden navegar por la web. Al igual que los ataques DDOS, los ataques CC provienen de un gran número de direcciones IP falsas, y la forma de los ataques consiste en enviar un gran número de paquetes al sitio objetivo objetivo, por lo que no podemos obtener con precisión la dirección IP de la fuente del ataque. A menos que los segmentos IP de ataque de la otra parte sean solo unos pocos, de modo que estos segmentos puedan bloquearse directamente en IIS, IIS 6.0 y versiones posteriores tienen la función de bloquear IPs individuales o un segmento IP concreto, pero IIS 6.0/7.0 sigue sin poder manejar un gran número de direcciones IP irregulares hasta que salga IIS 8.0.

IIS 8.0 añade tres nuevas características al módulo de Restricción de IP:

1. Las restricciones de IP dinámicas pueden bloquear automáticamente las direcciones IP en función del número de solicitudes concurrentes o del número de solicitudes a lo largo de un periodo de tiempo.

2. Las restricciones tradicionales de dirección IP devolverán un error 403.6 (es decir, estado prohibido), y la nueva versión de IIS también puede abortar directamente la solicitud, o devolver no autorizada o no encontrar.

3. Soporte en modo proxy, es decir, además de bloquear la IP de ataques directos, también puede bloquear a los verdaderos cerebros detrás de los ataques realizados por servidores proxy.

Por defecto, IIS 8.0 no tiene instalado el módulo "IP and Domain Restrictions", necesitamos instalarlo por separado en el "Server Manager".

A continuación, abrimos IIS, hacemos clic en la web que quieres configurar y después en el icono del módulo "Restricciones de dirección IP y dominio", y la interfaz principal se muestra de la siguiente manera.

En la barra de operación derecha, hay 4 elementos que necesitamos saber.

1. Añadir entradas permitidas, es decir, añadir las direcciones IP a las que se puede acceder. Cuando configuramos el acceso a otros clientes en "Negar", solo estas direcciones IP pueden acceder.

2. Añadir una entrada de denegación, es decir, añadir la dirección IP que niega el acceso. Cuando configuramos el acceso de otros clientes en "Permitir", solo no se puede acceder a estas direcciones IP.

3. Editar la configuración de la función, donde puedes establecer los derechos de acceso de otros clientes (usuarios anónimos), si activar el modo proxy y el tipo de operación de rechazo.

(1) Se permiten los derechos de acceso predeterminados de los clientes no especificados; si solo quieres que este sitio web sea accedido por personas específicas, debes ajustarlo para que "denegar" aquí y luego añadir una dirección IP específica en "Añadir Entrada Permitida".

(2) Activar restricciones de nombres de dominio, es decir, además de las direcciones IP, también puedes establecer acceso a nombres de dominio específicos. Cabe señalar que este proceso consumirá cierta cantidad de recursos del sistema para resolver el nombre de dominio en una dirección IP, así que no compruebes este elemento a menos que sea un caso específico.

(3) Activa el modo proxy, IIS detectará la información reenviada por x en el encabezado de la página excepto la dirección IP del cliente; si ambas informaciones son inconsistentes, el cliente generalmente utiliza VPN u otras herramientas proxy para acceder, ocultando su verdadera identidad. Al igual que las restricciones de nombres de dominio, esta función también consume recursos del sistema.

(4) Existen cuatro tipos de operaciones de rechazo: el predeterminado está prohibido (devuelve código 403), y también puedes elegir otros tipos, como no autorizado (devuelve 401), no encontrado (devuelve 404) y abortado (detiene la conexión HTTP).

4. Editar la configuración de restricción dinámica

¡Esta es el arma única para protegerse de los ataques de control de masas! Puedes elegir limitar según el número de solicitudes concurrentes, o puedes elegir limitar según el número de solicitudes a lo largo del tiempo. Cuando un sitio web es atacado por CC, podemos comprobar directamente estos dos elementos: primero usar los parámetros numéricos recomendados por IIS, observar el efecto de protección y luego afinar más. Ten en cuenta que si marcas "Activar modo solo de registro", solo se registran los logs listos para ser rechazados y no se bloquean realmente, lo cual es adecuado para experimentación y depuración.

Aunque todavía no existe una solución perfecta para proteger contra ataques CC, la función dinámica de restricción de direcciones IP añadida en IIS 8.0 puede considerarse cercana a la base y muy fácil de operar. Para lograr el mejor efecto de protección sin afectar al acceso normal del usuario, necesitamos experimentar repetidamente con los ajustes anteriores para lograr un equilibrio entre protección contra ataques y navegación normal.