|
いわゆるCC攻撃は、ハッカーがプロキシサーバーを使って多数の偽装IPアドレスを生成し、特定のウェブサイトに絶えずアクセスすることで、ウェブサイトのCPU、同時接続、その他のリソースを使い果たす一方で、他の通常の訪問者はウェブを閲覧できなくなります。 DDOS攻撃と同様に、CC攻撃も多数の偽IPアドレスから発生し、攻撃の形態は多数のパケットをターゲットのウェブサイトに送ることなので、攻撃の発信元のIPアドレスを正確に取得することはできません。 相手の攻撃IPセグメントが少数で、これらのIPセグメントをIIS上で直接ブロックできる場合を除き、IIS 6.0以降のバージョンは個々のIPや特定のIPセグメントをブロックする機能を持ちますが、IIS 6.0/7.0はIIS 8.0が実装されるまでは大量の不規則なIPアドレスを処理できません。 IIS 8.0はIP制限モジュールに3つの新機能を追加します: 1. 動的IP制限は、同時要求数や一定期間にわたるリクエスト数に基づいてIPアドレスを自動的にブロックできます。 2. 従来のIPアドレス制限は403.6エラー(すなわち禁止状態)を返しますが、新しいIISバージョンはリクエストを直接中止したり、不正または見つからない状態に戻したりすることも可能です。 3. プロキシモードのサポート、つまり直接攻撃のIPをブロックするだけでなく、プロキシサーバーによる攻撃の背後にいる真の黒幕もブロックできます。 デフォルトではIIS 8.0には「IPおよびドメイン制限」モジュールがインストールされておらず、「サーバーマネージャー」で別途インストールする必要があります。 次にIISを開き、設定したいウェブサイトをクリックし、「IPアドレスとドメイン制限」モジュールのアイコンをクリックします。メインインターフェースは以下の通りに表示されます。
右の操作バーには、知っておくべき4つの項目があります。 1. 許可されたエントリを追加する、つまりアクセスが許可されているIPアドレスを追加する。 他のクライアントのアクセスを「拒否」に設定すると、これらのIPアドレスだけがアクセスできます。 2. 拒否エントリを追加、つまりアクセスを拒否するIPアドレスを追加します。 他のクライアントのアクセスを「許可」に設定すると、これらのIPアドレスだけにアクセスできなくなります。 3. 機能設定を編集し、他のクライアント(匿名ユーザー)のアクセス権、プロキシモードを有効にするかどうか、拒否操作の種類を設定できます。 (1) 指定されていないクライアントのデフォルトアクセス権は許可されています。特定の人だけがアクセスしたい場合は、ここで「拒否」に調整し、「許可された入り込みを追加」に特定のIPアドレスを追加する必要があります。 (2) ドメイン名制限を有効にする。つまり、IPアドレスに加えて特定のドメイン名へのアクセスも設定できる。 このプロセスはドメイン名をIPアドレスに変換するために一定のシステムリソースを消費するため、特定のケースでない限りこの項目は確認しないでください。 (3) プロキシモードを有効にすると、IISはクライアントのIPアドレス以外のページ頭頭のx転送情報を検出します。2つの情報が一致しない場合、クライアントは通常VPNや他のプロキシツールを使ってアクセスし、真の身元を隠します。 ドメイン名制限と同様に、この機能もシステムリソースを消費します。 (4) 拒否操作には4種類あり、デフォルトは禁止(403コードを返す)で、他にも「不正(401を返す」)、見つけられなかった(404を返す)、中止(HTTP接続を停止)などを選択できます。 4. 動的制限設定の編集 これはCC攻撃から守る唯一の武器だ! 同時リクエスト数に基づいて制限するか、時間経過によるリクエスト数に基づいて制限するかを選択できます。 ウェブサイトがCC攻撃を受けた場合、まずIISで推奨される数値パラメータを使い、保護効果を観察し、さらに微調整を行うことができます。 「ログのみモードを有効にする」を選択すると、拒否可能なログのみがログに記録され、実際にはブロックされないため、実験やデバッグに適しています。 CC攻撃から完全に防御する解決策はまだありませんが、IIS 8.0に追加された動的IPアドレス制限機能はほぼ下位にあり、操作が非常に容易と言えます。 通常のユーザーアクセスに影響を与えずに最良の保護効果を得るためには、攻撃からの保護と通常の閲覧のバランスを取るために、上記の設定を繰り返し試行する必要があります。
| 
掲載地 2016/07/27 19:02:05
|
|
|
|
