Comment activer le module de protection contre les attaques CC sur IIS

La soi-disant attaque CC est une attaque Internet courante dans laquelle des pirates utilisent des serveurs proxy pour générer un grand nombre d’adresses IP déguisées et accéder en permanence à un certain site web, ce qui épuise le processeur, les connexions simultanées et d’autres ressources du site, tandis que les autres visiteurs normaux ne peuvent pas naviguer sur le web. Comme les attaques DDOS, les attaques CC proviennent d’un grand nombre d’adresses IP fausses, et la forme des attaques consiste à envoyer un grand nombre de paquets au site cible, ce qui empêche d’obtenir avec précision l’adresse IP de la source de l’attaque. À moins que les segments IP d’attaque de l’autre partie ne soient que quelques-uns, de sorte que ces segments IP puissent être bloqués directement sur IIS, IIS 6.0 et versions ultérieures ont la fonction de bloquer des adresses IP individuelles ou un segment IP particulier, mais IIS 6.0/7.0 ne peut toujours pas gérer un grand nombre d’adresses IP irrégulières tant que IIS 8.0 n’est pas disponible.

IIS 8.0 ajoute trois nouvelles fonctionnalités au module de restriction IP :

1. Les restrictions IP dynamiques peuvent bloquer automatiquement les adresses IP en fonction du nombre de requêtes concurrentes ou du nombre de requêtes sur une période donnée.

2. Les restrictions traditionnelles d’adresse IP renverront une erreur 403.6 (c’est-à-dire un état interdit), et la nouvelle version d’IIS peut également annuler directement la requête, ou retourner non autorisée ou non trouvée.

3. Supporter le mode proxy, c’est-à-dire qu’en plus de bloquer l’IP des attaques directes, il peut aussi bloquer les véritables cerveaux derrière les attaques menées par les serveurs proxy.

Par défaut, IIS 8.0 n’a pas le module « IP and Domain Restrictions » installé, il faut l’installer séparément dans le « Gestionnaire de serveurs ».

Ensuite, nous ouvrons IIS, cliquons sur le site web que vous souhaitez configurer, puis sur l’icône du module « Restrictions d’adresse IP et de domaine », l’interface principale s’affiche comme suit.

Dans la barre d’opération de droite, il y a 4 éléments que nous devons connaître.

1. Ajouter les entrées autorisées, c’est-à-dire ajouter les adresses IP autorisées à être accessibles. Lorsque nous mettons l’accès des autres clients sur « Refuser », seules ces adresses IP peuvent y accéder.

2. Ajouter une entrée de refus, c’est-à-dire ajouter l’adresse IP qui refuse l’accès. Lorsque nous mettons l’accès d’autres clients sur « Permettre », seules ces adresses IP ne peuvent pas être accédés.

3. Modifier les paramètres de fonction, où vous pouvez définir les droits d’accès d’autres clients (utilisateurs anonymes), s’il faut activer le mode proxy, et le type d’opération de rejet.

(1) Les droits d’accès par défaut des clients non spécifiés sont autorisés ; si vous souhaitez que ce site soit accessible uniquement par des personnes spécifiques, vous devez l’ajuster pour « refuser » ici, puis ajouter une adresse IP spécifique dans « Ajouter une entrée autorisée ».

(2) Activez les restrictions de noms de domaine, c’est-à-dire qu’en plus des adresses IP, vous pouvez également définir l’accès à des noms de domaine spécifiques. Il convient de noter que ce processus consommera une certaine quantité de ressources système pour transformer le nom de domaine en adresse IP, il ne faut donc pas vérifier cet élément sauf s’il s’agit d’un cas spécifique.

(3) Activez le mode proxy, l’IIS détectera les informations x-forwarded-for dans l’entête de la page sauf l’adresse IP du client ; si les deux informations sont incohérentes, le client utilise généralement un VPN ou d’autres outils proxy pour y accéder, cachant ainsi sa véritable identité. Comme les restrictions de noms de domaine, cette fonctionnalité consomme également les ressources système.

(4) Il existe quatre types d’opérations de rejet, le défaut est interdit (renvoyant le code 403), et vous pouvez aussi choisir d’autres types, tels que non autorisé (retourne 401), non trouvé (retourne 404) et aborté (arrête la connexion HTTP).

4. Modifier les paramètres de restriction dynamique

C’est l’arme unique pour se protéger contre les attaques de contrôle de corps ! Vous pouvez choisir de limiter en fonction du nombre de requêtes simultanées, ou choisir de limiter en fonction du nombre de requêtes au fil du temps. Lorsqu’un site web est attaqué par CC, nous pouvons vérifier directement ces deux éléments, d’abord utiliser les paramètres numériques recommandés par IIS, observer l’effet de protection, puis affiner davantage. Notez que si vous activez « Activer le mode de journalisation uniquement », seuls les journaux prêts à être rejetés sont enregistrés, et non réellement bloqués, ce qui convient à l’expérimentation et au débogage.

Bien qu’il n’existe toujours pas de solution parfaite pour se protéger contre les attaques CC, la fonction de restriction dynamique des adresses IP ajoutée dans IIS 8.0 peut être considérée comme proche du bas et très facile à utiliser. Pour obtenir le meilleur effet de protection sans affecter l’accès normal des utilisateurs, nous devons expérimenter à plusieurs reprises les réglages ci-dessus afin d’équilibrer la protection contre les attaques et la navigation normale.