Kā iespējot CC uzbrukumu aizsardzības moduli IIS

Tā sauktais CC uzbrukums ir izplatīts interneta uzbrukums, kurā hakeri izmanto starpniekserverus, lai ģenerētu lielu skaitu slēptu IP adrešu un pastāvīgi piekļūtu noteiktai vietnei, izraisot vietnes CPU, vienlaicīgu savienojumu un citu resursu izsmelšanu, bet citi parastie apmeklētāji nevar pārlūkot tīmekli. Tāpat kā DDOS uzbrukumi, CC uzbrukumi nāk no liela skaita viltotu IP adrešu, un uzbrukumu veids ir nosūtīt lielu skaitu pakešu uz mērķa vietni, tāpēc mēs nevaram precīzi iegūt uzbrukuma avota IP adresi. Ja vien otras puses uzbrukuma IP segmenti nav tikai daži, lai šos IP segmentus varētu bloķēt tieši IIS, IIS 6.0 un jaunākām versijām ir funkcija bloķēt atsevišķus IP vai noteiktu IP segmentu, bet IIS 6.0 / 7.0 joprojām nevar apstrādāt lielu skaitu neregulāru IP adrešu, līdz iznāk IIS 8.0.

IIS 8.0 pievieno trīs jaunas funkcijas IP ierobežošanas modulim:

1. Dinamiskie IP ierobežojumi var automātiski bloķēt IP adreses, pamatojoties uz vienlaicīgo pieprasījumu skaitu vai pieprasījumu skaitu noteiktā laika periodā.

2. Tradicionālie IP adrešu ierobežojumi atgriezīs kļūdu 403.6 (t.i., aizliegtais stāvoklis), un jaunā IIS versija var arī tieši pārtraukt pieprasījumu vai atgriezt neatļautu vai neatrastu.

3. Atbalstiet starpniekservera režīmu, tas ir, papildus tiešo uzbrukumu IP bloķēšanai, tas var arī bloķēt īstos starpniekserveru uzbrukumus.

Pēc noklusējuma IIS 8.0 nav instalēts modulis "IP un domēna ierobežojumi", mums tas ir jāinstalē atsevišķi "Servera pārvaldniekā".

Pēc tam mēs atveram IIS, noklikšķiniet uz vietnes, kuru vēlaties iestatīt, un pēc tam noklikšķiniet uz moduļa ikonas "IP adrese un domēna ierobežojumi", galvenais interfeiss tiek parādīts šādi.

Pareizajā darbības joslā ir 4 vienumi, kas mums jāzina.

1. Pievienojiet atļautos ierakstus, tas ir, pievienojiet IP adreses, kurām ir atļauts piekļūt. Iestatot citu klientu piekļuvi uz "Noraidīt", var piekļūt tikai šīs IP adreses.

2. Pievienojiet atteikuma ierakstu, tas ir, pievienojiet IP adresi, kas liedz piekļuvi. Iestatot citu klientu piekļuvi uz "Atļaut", nevar piekļūt tikai šīm IP adresēm.

3. Rediģējiet funkciju iestatījumus, kur varat iestatīt citu klientu (anonīmu lietotāju) piekļuves tiesības, vai iespējot starpniekservera režīmu un noraidīšanas operācijas veidu.

(1) Nenorādītu klientu noklusējuma piekļuves tiesības ir atļautas, ja vēlaties, lai šai vietnei piekļūtu tikai konkrētas personas, jums tas ir jāpielāgo "atteikt" šeit un pēc tam jāpievieno konkrēta IP adrese sadaļā "Pievienot atļauto ierakstu".

(2) Iespējot domēna vārda ierobežojumus, tas ir, papildus IP adresēm varat arī iestatīt piekļuvi konkrētiem domēna vārdiem. Jāatzīmē, ka šis process patērēs noteiktu daudzumu sistēmas resursu, lai atrisinātu domēna vārdu IP adresē, tāpēc nepārbaudiet šo vienumu, ja vien tas nav konkrēts gadījums.

(3) Iespējot starpniekservera režīmu, IIS noteiks x-pārsūtīto informāciju lapas galvā, izņemot klienta IP adresi, ja abas informācijas ir nekonsekventas, tad klients parasti izmanto VPN vai citus starpniekservera rīkus, lai piekļūtu, slēpjot savu patieso identitāti. Tāpat kā domēna nosaukuma ierobežojumi, arī šis līdzeklis patērē sistēmas resursus.

(4) Ir četru veidu noraidīšanas operācijas, noklusējums ir aizliegts (atgriež 403 kodu), un jūs varat izvēlēties arī citus veidus, piemēram, nesankcionēts (atgriež 401), nav atrasts (atgriež 404) un pārtrauc (pārtrauc HTTP savienojumu).

4. Dinamisko ierobežojumu iestatījumu rediģēšana

Šis ir unikāls ierocis, lai pasargātu no CC uzbrukumiem! Varat izvēlēties ierobežojumu, pamatojoties uz vienlaicīgo pieprasījumu skaitu, vai arī ierobežot, pamatojoties uz pieprasījumu skaitu laika gaitā. Kad vietnei uzbrūk CC, mēs varam tieši pārbaudīt šos divus vienumus, vispirms izmantot IIS ieteiktos skaitļu parametrus, novērot aizsardzības efektu un pēc tam vēl vairāk precizēt. Ņemiet vērā, ka, atzīmējot "Iespējot tikai reģistrēšanas režīmu", tiek reģistrēti tikai tie žurnāli, kas ir gatavi noraidīšanai, nevis faktiski bloķēti, kas ir piemēroti eksperimentiem un atkļūdošanai.

Lai gan joprojām nav ideāla risinājuma aizsardzībai pret CC uzbrukumiem, var teikt, ka IIS 8.0 pievienotā dinamiskā IP adreses ierobežošanas funkcija ir tuvu apakšai un ļoti viegli lietojama. Lai sasniegtu vislabāko aizsardzības efektu, neietekmējot parasto lietotāju piekļuvi, mums atkārtoti jāeksperimentē ar iepriekš minētajiem iestatījumiem, lai panāktu līdzsvaru starp aizsardzību pret uzbrukumiem un parasto pārlūkošanu.