|
Niin kutsuttu CC-hyökkäys on yleinen internet-hyökkäys, jossa hakkerit käyttävät välityspalvelimia luodakseen suuren määrän naamioituja IP-osoitteita ja pääsevät jatkuvasti tiettyyn verkkosivustoon, mikä aiheuttaa verkkosivuston suorittimen, samanaikaisten yhteyksien ja muiden resurssien loppumisen, kun taas tavalliset kävijät eivät voi selata verkkoa. Kuten DDOS-hyökkäykset, CC-hyökkäykset tulevat suuresta määrästä väärennettyjä IP-osoitteita, ja hyökkäysten muoto on lähettää suuri määrä paketteja kohdesivustolle, joten emme voi tarkasti saada hyökkäyksen lähteen IP-osoitetta. Ellei vastapuolen hyökkäys-IP-segmenttejä ole vain muutama, jotta nämä IP-segmentit voidaan estää suoraan IIS:llä, IIS 6.0 ja uudemmissa versioissa on toiminto estää yksittäiset IP-osoitteet tai tietty IP-segmentti, mutta IIS 6.0/7.0 ei silti pysty käsittelemään suurta määrää epäsäännöllisiä IP-osoitteita ennen kuin IIS 8.0 julkaistaan. IIS 8.0 lisää kolme uutta ominaisuutta IP-rajoitusmoduuliin: 1. Dynaamiset IP-rajoitukset voivat automaattisesti estää IP-osoitteet samanaikaisten pyyntöjen määrän tai pyyntöjen määrän perusteella ajan kuluessa. 2. Perinteiset IP-osoiterajoitukset palauttavat 403.6-virheen (eli kielletyn tilan), ja uusi IIS-versio voi myös suoraan keskeyttää pyynnön, palauttaa luvattoman tai löytämättömän. 3. Tuki välityspalvelintilaa, eli suoran hyökkäysten IP-osoitteen estämisen lisäksi se voi estää myös välityspalvelimien hyökkäysten todelliset pääsuunnittelijat. Oletuksena IIS 8.0:ssa ei ole asennettuna "IP and Domain Restrictions" -moduulia, vaan se täytyy asentaa erikseen "Server Manageriin". Seuraavaksi avaamme IIS:n, klikkaamme haluamaasi verkkosivustoa ja sitten "IP-osoite ja verkkotunnusrajoitukset" -moduulikuvaketta, pääkäyttöliittymä näkyy seuraavasti.
Oikeassa operaatiopalkissa on neljä asiaa, jotka meidän täytyy tietää. 1. Lisää sallittuja merkintöjä, eli lisää IP-osoitteet, joihin pääsee käsiksi. Kun asetamme muiden asiakkaiden pääsyn "Estyksi"-tilaan, vain nämä IP-osoitteet pääsevät käsiksi. 2. Lisää eston merkintä, eli lisää IP-osoite, joka estää pääsyn. Kun asetamme muiden asiakkaiden pääsyn "Salli"-tilaan, vain näihin IP-osoitteisiin ei pääse käsiksi. 3. Muokkaa toimintoasetuksia, joissa voit määrittää muiden asiakkaiden (anonyymien käyttäjien käyttöoikeudet), onko välitystila käytössä ja hylkäystoiminnon tyyppi. (1) Määrittelemättömien asiakkaiden oletuskäyttöoikeudet ovat sallittuja, jos haluat sivustolle pääsyn vain tietyille henkilöille, sinun täytyy säätää se "kieltää" tässä ja lisätä tietty IP-osoite kohtaan "Lisää sallittu pääsy". (2) Ota käyttöön verkkotunnusten rajoitukset, eli IP-osoitteiden lisäksi voit asettaa pääsyn myös tiettyihin verkkotunnuksiin. On huomioitava, että tämä prosessi kuluttaa tietyn määrän järjestelmäresursseja verkkotunnuksen nimen ratkaisemiseksi IP-osoitteeksi, joten älä tarkista tätä kohtaa, ellei kyseessä ole erityistapaus. (3) Kun välitysmoodi otetaan käyttöön, IIS tunnistaa sivun yläosassa olevan x-forwarded-for-in tiedon paitsi asiakkaan IP-osoitteen; jos tiedot ovat ristiriidassa, asiakas käyttää yleensä VPN:ää tai muita välityspalvelintyökaluja, piilottaen todellisen identiteettinsä. Kuten verkkotunnuksen rajoitukset, tämäkin ominaisuus kuluttaa järjestelmän resursseja. (4) Hylkäysoperaatioita on neljä tyyppiä, oletus on kielletty (palauttaa 403-koodin), ja voit myös valita muita tyyppejä, kuten luvaton (palauttaa 401), ei löydetty (palauttaa 404) ja keskeytetty (estää HTTP-yhteyden). 4. Muokkaa dynaamisen rajoituksen asetuksia Tämä on ainutlaatuinen ase suojautumaan CC-hyökkäyksiltä! Voit valita rajoituksen samanaikaisten pyyntöjen määrän perusteella tai voit valita rajoituksen pyyntöjen määrän mukaan ajan kuluessa. Kun verkkosivustoa hyökätään CC:n toimesta, voimme tarkistaa nämä kaksi kohdetta suoraan, ensin käyttää IIS:n suosittelemia numeroparametreja, havaita suojausvaikutuksen ja sitten hienosäätää lisää. Huomaa, että jos valitset "Ota käyttöön vain lokitustila", vain ne lokit, jotka ovat valmiita hylätettäviksi, kirjataan eikä niitä oikeasti estetä, mikä sopii kokeiluihin ja virheenkorjaukseen. Vaikka täydellistä ratkaisua CC-hyökkäyksiltä ei vielä ole, IIS 8.0:ssa lisätty dynaaminen IP-osoitteen rajoitustoiminto voidaan sanoa olevan lähellä pohjaa ja erittäin helppokäyttöinen. Parhaan suojavaikutuksen saavuttamiseksi vaikuttamatta normaaliin käyttäjäkäyttöön, meidän täytyy kokeilla yllä olevia asetuksia toistuvasti tasapainottaaksemme hyökkäyssuojan ja normaalin selaamisen välillä.
| 
Julkaistu 27.7.2016 19.02.05
|
|
|
|
