|
Niinimetatud CC rünnak on levinud internetirünnak, kus häkkerid kasutavad proxy-servereid, et genereerida suur hulk varjatud IP-aadresse ja pidevalt pääseda ligi kindlale veebisaidile, põhjustades veebisaidi protsessori, samaaegsete ühenduste ja muude ressursside ammendamise, samal ajal kui teised tavalised külastajad ei saa veebis sirvida. Nagu DDOS-rünnakud, tulevad ka CC-rünnakud suurest hulgast võltsitud IP-aadressidest ning rünnakute vorm on saata sihtveebisaidile suur hulk pakette, mistõttu me ei saa rünnaku allika IP-aadressi täpselt kätte. Kui teise poole ründe-IP segmente ei ole vaid vähe, et neid IP-segmente saaks blokeerida otse IIS-is, siis IIS 6.0 ja hilisemad versioonid blokeerivad üksikuid IP-aadresse või teatud IP-segmenti, kuid IIS 6.0/7.0 ei suuda endiselt hallata suurt hulka ebatavalisi IP-aadresse enne IIS 8.0 ilmumist. IIS 8.0 lisab IP piirangu moodulile kolm uut funktsiooni: 1. Dünaamilised IP-piirangud võivad automaatselt blokeerida IP-aadresse vastavalt samaaegsete päringute arvule või taotluste arvule ajaperioodi jooksul. 2. Traditsioonilised IP-aadressi piirangud tagastavad 403.6 vea (st keelatud oleku) ning ka uus IIS-i versioon võib päringu otse katkestada või tagastada volitamata või mitteleitud. 3. Toeta proxy-režiimi, st lisaks otseste rünnakute IP blokeerimisele saab see blokeerida ka tõelisi proksiserverite rünnakute taga olevaid pealikke. Vaikimisi ei ole IIS 8.0-l "IP ja domeeni piirangud" moodulit paigaldatud, peame selle eraldi paigaldama "Server Managerisse". Seejärel avame IIS-i, klõpsame veebisaidil, mille soovid seadistada, ja seejärel "IP-aadress ja domeeni piirangud" mooduli ikoonil, peamine liides kuvatakse järgmiselt.
Õiges operatsiooniribas on 4 asja, mida peame teadma. 1. Lisa lubatud kirjed, st lisa IP-aadressid, millele on lubatud ligipääs. Kui seame teiste klientide ligipääsu "Keelatuks", pääsevad ligi ainult need IP-aadressid. 2. Lisa keelamise kirje, st lisa IP-aadress, mis keelab ligipääsu. Kui seame teiste klientide ligipääsu "Luba", siis ainult neid IP-aadresse ei saa kasutada. 3. Muuda funktsiooniseadeid, kus saad määrata teiste klientide (anonüümsed kasutajad) juurdepääsuõigused, kas lubada proxy-režiimi ja keeldumistoimingu tüüpi. (1) Määratlemata klientide vaikimisi ligipääsuõigused on lubatud, kui soovite, et veebisaidile pääseksid ligi ainult kindlad isikud, peate selle siin kohandama "keelamiseks" ja seejärel lisama konkreetse IP-aadressi "Lisa lubatud sisenemine". (2) Luba domeeninimede piirangud, st lisaks IP-aadressidele saab määrata juurdepääsu ka konkreetsetele domeeninimedele. Tuleb märkida, et see protsess kulutab teatud hulga süsteemiressursse, et lahendada domeeninime IP-aadressiks, seega ära kontrolli seda eset, välja arvatud juhul, kui tegemist on konkreetse juhtumiga. (3) Luba proxy-režiim, IIS tuvastab lehe alguses oleva x-forwarded-forsi info, välja arvatud kliendi IP-aadress; kui need kaks teavet on vastuolulised, kasutab klient tavaliselt VPN-i või muid proxy-tööriistu, varjates oma tõelist identiteeti. Nagu domeeninimede piirangud, tarbib ka see funktsioon süsteemi ressursse. (4) On neli tüüpi tagasilükkamisoperatsioone, vaikimisi on keelatud (tagastab 403 koodi) ning saad valida ka teisi tüüpe, näiteks volitamata (tagastab 401), not found (tagastab 404) ja katkestatud (lõpetab HTTP-ühenduse). 4. Muuda dünaamilise piirangu seadeid See on ainulaadne relv, mis kaitseb CC rünnakute eest! Sa võid valida piirangu vastavalt samaaegsete päringute arvule või piirata vastavalt taotluste arvule aja jooksul. Kui veebisaiti ründab CC, saame neid kahte elementi otse kontrollida, esmalt kasutada IIS-i soovitatud numbriparameetreid, jälgida kaitseefekti ja seejärel veelgi peenhäälestada. Pane tähele, et kui valid "Luba ainult logimise režiim", logitakse ainult need logid, mis on valmis tagasilükkamiseks, mitte tegelikult blokeeritud, mis sobib katsetamiseks ja silumiseks. Kuigi CC rünnakute eest kaitsmiseks pole endiselt täiuslikku lahendust, võib IIS 8.0-s lisatud dünaamilist IP-aadressi piiramise funktsiooni pidada peaaegu põhjalikuks ja väga lihtsaks kasutada. Parima kaitseefekti saavutamiseks ilma tavalist kasutaja ligipääsu mõjutamata peame korduvalt katsetama ülaltoodud seadetega, et saavutada tasakaal rünnakute eest kaitsmise ja tavapärase sirvimise vahel.
| 
Postitatud 27.07.2016 19:02:05
|
|
|
|
