Kaip įjungti CC apsaugos nuo atakų modulį IIS

Vadinamoji CC ataka yra dažna interneto ataka, kurios metu įsilaužėliai naudoja tarpinius serverius, kad sugeneruotų daugybę užmaskuotų IP adresų ir nuolat pasiektų tam tikrą svetainę, todėl išeikvojamas svetainės procesorius, vienalaikiai ryšiai ir kiti ištekliai, o kiti įprasti lankytojai negali naršyti internete. Kaip ir DDOS atakos, CC atakos kyla iš daugybės netikrų IP adresų, o atakų forma yra išsiųsti daug paketų į tikslinę svetainę, todėl negalime tiksliai gauti atakos šaltinio IP adreso. Nebent kitos šalies atakos IP segmentai yra tik keli, kad šiuos IP segmentus būtų galima blokuoti tiesiogiai IIS, IIS 6.0 ir naujesnės versijos turi atskirų IP arba tam tikro IP segmento blokavimo funkciją, tačiau IIS 6.0/7.0 vis tiek negali apdoroti daugybės netaisyklingų IP adresų, kol nepasirodys IIS 8.0.

IIS 8.0 prideda tris naujas funkcijas į IP apribojimo modulį:

1. Dinaminiai IP apribojimai gali automatiškai blokuoti IP adresus pagal vienu metu pateiktų užklausų skaičių arba užklausų skaičių per tam tikrą laikotarpį.

2. Tradiciniai IP adresų apribojimai pateiks 403.6 klaidą (t. y. uždraustą būseną), o naujoji IIS versija taip pat gali tiesiogiai nutraukti užklausą arba grąžinti neteisėtą arba nerastą.

3. Palaikykite tarpinio serverio režimą, tai yra, be tiesioginių atakų IP blokavimo, jis taip pat gali blokuoti tikruosius tarpinių serverių atakų sumanytojus.

Pagal numatytuosius nustatymus IIS 8.0 nėra įdiegto modulio "IP ir domeno apribojimai", turime jį įdiegti atskirai "Serverio tvarkyklėje".

Tada atidarome IIS, spustelėkite svetainę, kurią norite nustatyti, tada spustelėkite modulio piktogramą "IP adresas ir domeno apribojimai", pagrindinė sąsaja rodoma taip.

Dešinėje operacijų juostoje yra 4 elementai, kuriuos turime žinoti.

1. Pridėkite leidžiamus įrašus, tai yra, pridėkite IP adresus, kuriuos leidžiama pasiekti. Kai nustatome kito kliento prieigą į "Uždrausti", prieigą gali pasiekti tik šie IP adresai.

2. Pridėkite atmetimo įrašą, tai yra, pridėkite IP adresą, kuris neleidžia prieigos. Kai nustatome kitą kliento prieigą į "Leisti", negalima pasiekti tik šių IP adresų.

3. Redaguokite funkcijų nustatymus, kuriuose galite nustatyti kitų klientų (anoniminių vartotojų) prieigos teises, ar įjungti tarpinio serverio režimą ir atmetimo operacijos tipą.

(1) Numatytosios prieigos teisės nenurodytiems klientams yra leidžiamos, jei norite, kad šią svetainę pasiektų tik konkretūs žmonės, turite pakoreguoti ją į "atmesti" čia, o tada pridėti konkretų IP adresą "Pridėti leidžiamą įrašą".

(2) Įgalinkite domeno vardo apribojimus, tai yra, be IP adresų, taip pat galite nustatyti prieigą prie konkrečių domenų vardų. Reikėtų pažymėti, kad šis procesas sunaudos tam tikrą kiekį sistemos išteklių, kad domeno vardas būtų išspręstas į IP adresą, todėl netikrinkite šio elemento, nebent tai yra konkretus atvejis.

(3) Įgalinkite tarpinio serverio režimą, IIS aptiks x-persiųstą informaciją puslapio viršuje, išskyrus kliento IP adresą, jei abi informacijos yra nenuoseklios, tada klientas paprastai naudoja VPN ar kitus tarpinio serverio įrankius, kad pasiektų, paslėpdamas savo tikrąją tapatybę. Kaip ir domeno vardo apribojimai, ši funkcija taip pat eikvoja sistemos išteklius.

(4) Yra keturių tipų atmetimo operacijos, numatytoji yra draudžiama (grąžina 403 kodą), taip pat galite pasirinkti kitus tipus, pvz., neteisėtas (grąžina 401), nerastas (grąžina 404) ir nutrauktas (sustabdo HTTP ryšį).

4. Redaguokite dinaminio apribojimo nustatymus

Tai unikalus ginklas, apsaugantis nuo CC atakų! Galite pasirinkti apriboti pagal vienu metu siunčiamų užklausų skaičių arba pagal užklausų skaičių per tam tikrą laiką. Kai svetainę užpuola CC, galime tiesiogiai patikrinti šiuos du elementus, pirmiausia naudoti IIS rekomenduojamus skaičių parametrus, stebėti apsaugos efektą ir toliau tiksliai sureguliuoti. Atkreipkite dėmesį, kad jei pažymėsite "Įjungti tik registravimo režimą", registruojami tik tie žurnalai, kurie yra paruošti atmesti, o ne blokuojami, o tai tinka eksperimentams ir derinimui.

Nors vis dar nėra tobulo sprendimo, kaip apsisaugoti nuo CC atakų, galima sakyti, kad dinaminė IP adresų apribojimo funkcija, įtraukta į IIS 8.0, yra arti dugno ir labai lengvai valdoma. Norėdami pasiekti geriausią apsaugos efektą nepakenkdami įprastai vartotojo prieigai, turime pakartotinai eksperimentuoti su aukščiau nurodytais nustatymais, kad pasiektume pusiausvyrą tarp apsaugos nuo atakų ir įprasto naršymo.