Hogyan engedélyezzük a CC Attack Protection modult az IIS-en

Az úgynevezett CC támadás egy gyakori internetes támadás, amelyben a hackerek proxy szervereket használnak arra, hogy rengeteg álcázott IP-címet generáljanak, és folyamatosan hozzáférjenek egy adott weboldalhoz, ami miatt a weboldal CPU-ja, egyidejű kapcsolatai és egyéb erőforrásai kimerülnek, miközben a többi normál látogató nem böngészheti a webet. Akárcsak a DDOS támadások, a CC támadások is számos hamis IP-címről származnak, és a támadások formája az, hogy sok csomagot küldenek a céloldalra, így nem tudjuk pontosan megszerezni a támadás forrásának IP-címét. Hacsak a másik fél támadó IP szegmensei csak kevés maradnak, hogy ezek az IP szegmensek közvetlenül az IIS-en blokkolhatók, az IIS 6.0 és újabb verziók képesek egyedi IP-címeket vagy egy adott IP szegmenst blokkolni, de az IIS 6.0/7.0 még mindig nem képes sok szabálytalan IP-címet kezelni, amíg az IIS 8.0 ki nem jelenik meg.

Az IIS 8.0 három új funkciót ad hozzá az IP Restriction modulhoz:

1. A dinamikus IP-korlátozások automatikusan blokkolhatják az IP-címeket az egyidejű kérések száma vagy az adott időszak során elért kérések száma alapján.

2. A hagyományos IP-címkorlátozások 403.6 hibát (azaz tiltott állapotot) adnak vissza, és az új IIS verzió közvetlenül megszakíthatja a kérést, vagy jogosulatlan vagy nem talált állapotot is visszaadhat.

3. Támogatja a proxy módot, vagyis a közvetlen támadások IP-címének blokkolása mellett a proxy szerverek által végrehajtott támadások mögött álló valódi mestereket is blokkolhatja.

Alapértelmezés szerint az IIS 8.0-ban nincs telepítve az "IP és Domain Restrictions" modul, külön kell telepítenünk a "Server Manager"-ben.

Ezután megnyitjuk az IIS-t, rákattintunk a beállítandó weboldalra, majd az "IP-cím és domain korlátozások" modul ikonjára, a fő felület a következőképpen jelenik meg.

A jobb műveleti sávban négy olyan dolog van, amiket tudnunk kell.

1. Hozzáadni az engedélyezett bejegyzéseket, vagyis hozzáadni azokat az IP-címeket, amelyekhez hozzáférhetünk. Amikor más kliensek hozzáférését "Elutasítás" szintre állítjuk, csak ezek az IP-címek érhetnek hozzá.

2. Adj hozzá egy elutasító bejegyzést, vagyis add hozzá azt az IP-címet, amely megtagadja a hozzáférést. Amikor más kliensek hozzáférését "Engedélyezni" állítjuk be, csak ezek az IP-címek nem férhetők hozzá.

3. Módosítsd a funkcióbeállításokat, ahol beállíthatod más kliensek (névtelen felhasználók) hozzáférési jogait, hogy engedélyezd-e a proxy módot, és a elutasító művelet típusát.

(1) A nem meghatározott kliensek alapértelmezett hozzáférési jogai engedélyezettek, ha csak bizonyos személyek érhetik el ezt a weboldalt, akkor itt "elutasítani" kell állítani, majd hozzáadni egy adott IP-címet a "Engedélyezett belépés hozzáadása" részbe.

(2) Engedélyezd a domainnév-korlátozásokat, vagyis az IP-címek mellett beállíthatod a hozzáférést konkrét domainnevekhez is. Fontos megjegyezni, hogy ez a folyamat bizonyos mennyiségű rendszererőforrást igényel a domain nevének IP-címre történő feloldásához, ezért ezt az elemet ne ellenőrizd, hacsak nem konkrét esetről van szó.

(3) Engedélyezve a proxy módot, az IIS felismeri az oldal fejében szereplő x-továbbított információt, kivéve az ügyfél IP-címét; ha az információ eltér, akkor a kliens általában VPN-t vagy más proxy eszközöket használ a hozzáféréshez, elrejtve valódi személyazonosságát. A domain név korlátozásokhoz hasonlóan ez a funkció is rendszererőforrásokat fogyaszt.

(4) Négyféle elutasító művelet létezik, az alapértelmezett tiltott (403 kódot ad vissza), és választhatsz más típusokat is, például engedély nélküli (401-et ad vissza), nem talált (404-et ad vissza) és megszakított (megállítja az HTTP kapcsolatot).

4. Szerkesztés a dinamikus korlátozási beállításokat

Ez az egyedi fegyver, ami megvédi a CC támadásokat! Választhatod, hogy korlátozod az egyidejű kérések számát, vagy az időbeli kérések száma alapján is korlátozhatod. Amikor egy weboldalt CC támad, közvetlenül ellenőrizhetjük ezeket a két elemet, először az IIS által javasolt számparamétereket használhatjuk, megfigyelhetjük a védelmi hatást, majd tovább finomíthatjuk. Fontos megjegyezni, hogy ha bejelölöd a "Csak naplózás engedélyezése mód" opciót, csak azok a naplók kerülnek be, amelyek elutasításra készek, és nem blokkolják őket, ami alkalmas kísérletezésre és hibakeresésre.

Bár még mindig nincs tökéletes megoldás a CC támadások elleni védelemre, az IIS 8.0-ban hozzáadott dinamikus IP-címkorlátozási függvény közel a legalacsonyabb szintre és nagyon könnyen kezelhetőnek nevezhető. Ahhoz, hogy a legjobb védelmi hatást érjünk el anélkül, hogy befolyásolnánk a normál felhasználói hozzáférést, többször kísérleteznünk kell a fenti beállításokkal, hogy egyensúlyt teremtsünk a támadások elleni védelem és a normál böngészés között.