Cara mengaktifkan modul Perlindungan Serangan CC di IIS

Yang disebut serangan CC adalah serangan Internet umum di mana peretas menggunakan server proxy untuk menghasilkan sejumlah besar alamat IP terselubung dan terus-menerus mengakses situs web tertentu, menyebabkan CPU situs web, koneksi simultan, dan sumber daya lainnya habis, sementara pengunjung normal lainnya tidak dapat menjelajahi web. Seperti serangan DDOS, serangan CC berasal dari sejumlah besar alamat IP palsu, dan bentuk serangannya adalah mengirim paket dalam jumlah besar ke situs web target, sehingga kami tidak dapat secara akurat mendapatkan alamat IP dari sumber serangan. Kecuali segmen IP serang pihak lain hanya sedikit, sehingga segmen IP ini dapat diblokir langsung di IIS, IIS 6.0 dan versi yang lebih baru memiliki fungsi memblokir IP individu atau segmen IP tertentu, tetapi IIS 6.0/7.0 masih tidak dapat menangani sejumlah besar alamat IP tidak teratur sampai IIS 8.0 keluar.

IIS 8.0 menambahkan tiga fitur baru ke modul Pembatasan IP:

1. Pembatasan IP dinamis dapat secara otomatis memblokir alamat IP berdasarkan jumlah permintaan bersamaan atau jumlah permintaan selama periode waktu tertentu.

2. Pembatasan alamat IP tradisional akan mengembalikan kesalahan 403.6 (yaitu, status terlarang), dan versi baru IIS juga dapat langsung membatalkan permintaan, atau mengembalikan yang tidak sah atau tidak ditemukan.

3. Mendukung mode proxy, yaitu selain memblokir IP serangan langsung, juga dapat memblokir dalang sebenarnya di balik serangan yang dilakukan oleh server proxy.

Secara default, IIS 8.0 tidak menginstal modul "Pembatasan IP dan Domain", kita perlu menginstalnya secara terpisah di "Manajer Server".

Selanjutnya, kami membuka IIS, klik situs web yang ingin Anda atur, lalu klik ikon modul "Alamat IP dan pembatasan domain", antarmuka utama ditampilkan sebagai berikut.

Di bilah operasi yang tepat, ada 4 item yang perlu kita ketahui.

1. Tambahkan entri yang diizinkan, yaitu tambahkan alamat IP yang diizinkan untuk diakses. Saat kami mengatur akses klien lain ke "Tolak", hanya alamat IP ini yang dapat mengakses.

2. Tambahkan entri tolak, yaitu tambahkan alamat IP yang menolak akses. Ketika kami mengatur akses klien lain ke "Izinkan", hanya alamat IP ini yang tidak dapat diakses.

3. Edit pengaturan fungsi, di mana Anda dapat mengatur hak akses klien lain (pengguna anonim), apakah akan mengaktifkan mode proxy, dan jenis operasi penolakan.

(1) Hak akses default dari klien yang tidak ditentukan diperbolehkan, jika Anda hanya ingin situs web ini diakses oleh orang tertentu, Anda perlu menyesuaikannya menjadi "menolak" di sini, dan kemudian menambahkan alamat IP tertentu di "Tambahkan Entri yang Diizinkan".

(2) Aktifkan pembatasan nama domain, yaitu, selain alamat IP, Anda juga dapat mengatur akses ke nama domain tertentu. Perlu dicatat bahwa proses ini akan menghabiskan sejumlah sumber daya sistem untuk menyelesaikan nama domain menjadi alamat IP, jadi jangan periksa item ini kecuali jika itu adalah kasus tertentu.

(3) Aktifkan mode proxy, IIS akan mendeteksi informasi x-forwarded-for di kepala halaman kecuali alamat IP klien, jika kedua informasi tersebut tidak konsisten, maka klien umumnya menggunakan VPN atau alat proxy lainnya untuk mengakses, menyembunyikan identitas aslinya. Seperti pembatasan nama domain, fitur ini juga menghabiskan sumber daya sistem.

(4) Ada empat jenis operasi penolakan, defaultnya dilarang (mengembalikan kode 403), dan Anda juga dapat memilih jenis lain, seperti tidak sah (mengembalikan 401), tidak ditemukan (mengembalikan 404) dan dibatalkan (menghentikan koneksi HTTP).

4. Edit pengaturan pembatasan dinamis

Ini adalah senjata unik untuk melindungi dari serangan CC! Anda dapat memilih untuk membatasi berdasarkan jumlah permintaan bersamaan, atau Anda dapat memilih untuk membatasi berdasarkan jumlah permintaan dari waktu ke waktu. Ketika sebuah situs web diserang oleh CC, kita dapat langsung memeriksa kedua item ini, pertama-tama menggunakan parameter angka yang direkomendasikan oleh IIS, mengamati efek perlindungan, dan kemudian menyempurnakan lebih lanjut. Perhatikan bahwa jika Anda mencentang "Aktifkan mode hanya pengelogan", hanya log yang siap ditolak yang dicatat, dan tidak benar-benar diblokir, yang cocok untuk eksperimen dan penelusuran kesalahan.

Meskipun masih belum ada solusi sempurna untuk melindungi dari serangan CC, fungsi pembatasan alamat IP dinamis yang ditambahkan di IIS 8.0 dapat dikatakan dekat dengan bagian bawah dan sangat mudah dioperasikan. Untuk mencapai efek perlindungan terbaik tanpa memengaruhi akses pengguna normal, kita perlu berulang kali bereksperimen dengan pengaturan di atas untuk mencapai keseimbangan antara perlindungan terhadap serangan dan penjelajahan normal.