Come abilitare il modulo CC Attack Protection su IIS

Il cosiddetto attacco CC è un attacco Internet comune in cui gli hacker utilizzano server proxy per generare un gran numero di indirizzi IP mascherati e accedere costantemente a un certo sito web, causando l'esaurimento della CPU, delle connessioni simultanee e di altre risorse del sito, mentre altri visitatori normali non riescono a navigare sul web. Come gli attacchi DDOS, anche gli attacchi CC provengono da un gran numero di indirizzi IP falsi, e la forma degli attacchi consiste nell'inviare un gran numero di pacchetti al sito target, quindi non possiamo ottenere con precisione l'indirizzo IP della fonte dell'attacco. A meno che i segmenti IP d'attacco dell'altra parte non siano pochi, in modo che questi segmenti IP possano essere bloccati direttamente su IIS, IIS 6.0 e versioni successive hanno la funzione di bloccare singoli IP o un certo segmento IP, ma IIS 6.0/7.0 non può comunque gestire un gran numero di indirizzi IP irregolari fino all'uscita di IIS 8.0.

IIS 8.0 aggiunge tre nuove funzionalità al modulo IP Restriction:

1. Le restrizioni IP dinamiche possono bloccare automaticamente gli indirizzi IP in base al numero di richieste concorrenti o al numero di richieste nel corso del tempo.

2. Le restrizioni tradizionali sugli indirizzi IP restituiranno un errore 403.6 (cioè stato proibito), e la nuova versione di IIS può anche annullare direttamente la richiesta, oppure restituire non autorizzata o non trovata.

3. Supportare la modalità proxy, cioè oltre a bloccare l'IP degli attacchi diretti, può anche bloccare i veri cervelli dietro gli attacchi effettuati dai server proxy.

Di default, IIS 8.0 non ha installato il modulo "Restrizioni IP e Dominio", dobbiamo installarlo separatamente nel "Server Manager".

Successivamente, apriamo IIS, clicchiamo sul sito web che vuoi impostare e poi sull'icona del modulo "Restrizioni indirizzo IP e dominio", l'interfaccia principale viene visualizzata come segue.

Nella barra operativa a destra, ci sono 4 elementi che dobbiamo sapere.

1. Aggiungere voci consentite, cioè aggiungere gli indirizzi IP a cui è consentito accedere. Quando impostiamo l'accesso ad altri client su "Nega", solo questi indirizzi IP possono accedere.

2. Aggiungere un rifiuto di accesso, cioè aggiungere l'indirizzo IP che nega l'accesso. Quando impostiamo l'accesso ad altri client su "Consentire", non si possono accedere solo a questi indirizzi IP.

3. Modifica le impostazioni della funzione, dove puoi impostare i diritti di accesso di altri client (utenti anonimi), se abilitare la modalità proxy e il tipo di operazione di rifiuto.

(1) I diritti di accesso predefiniti dei clienti non specificati sono consentiti; se vuoi che questo sito sia accessibile solo da persone specifiche, devi regolarlo su "nega" qui, e poi aggiungere un indirizzo IP specifico in "Aggiungi Accesso Permesso".

(2) Abilita le restrizioni sui nomi di dominio, cioè, oltre agli indirizzi IP, puoi anche impostare l'accesso a nomi di dominio specifici. Va notato che questo processo consumerà una certa quantità di risorse di sistema per risolvere il nome di dominio in un indirizzo IP, quindi non controllare questo elemento a meno che non si tratti di un caso specifico.

(3) Abilita la modalità proxy, IIS rileverà le informazioni x-forwarded nella testa della pagina tranne che per l'indirizzo IP del client; se le due informazioni sono incoerenti, il client generalmente utilizza VPN o altri strumenti proxy per accedere, nascondendo la sua vera identità. Come le restrizioni dei nomi di dominio, questa funzione consuma anche risorse di sistema.

(4) Ci sono quattro tipi di operazioni di rifiuto: il predefinito è vietato (restituisce codice 403), e puoi anche scegliere altri tipi, come non autorizzato (restituisce 401), non trovato (restituisce 404) e abortito (interrompe la connessione HTTP).

4. Modifica le impostazioni di restrizione dinamica

Questa è l'arma unica per proteggere dagli attacchi di CC! Puoi scegliere di limitare in base al numero di richieste concorrenti, oppure puoi scegliere di limitare in base al numero di richieste nel tempo. Quando un sito web viene attaccato da CC, possiamo verificare direttamente questi due elementi, prima utilizzare i parametri numerici raccomandati da IIS, osservare l'effetto di protezione e poi affinare ulteriormente. Nota che se selezioni "Abilita modalità solo loging", solo i log pronti per essere rifiutati vengono registrati e non effettivamente bloccati, il che è adatto per sperimentazione e debug.

Sebbene non esista ancora una soluzione perfetta per proteggere dagli attacchi CC, la funzione dinamica di restrizione degli indirizzi IP aggiunta in IIS 8.0 può essere considerata quasi in fondo e molto facile da gestire. Per ottenere il miglior effetto di protezione senza compromettere l'accesso normale degli utenti, dobbiamo sperimentare ripetutamente con le impostazioni sopra indicate per trovare un equilibrio tra protezione contro attacchi e navigazione normale.