|
De zogenaamde CC-aanval is een veelvoorkomende internetaanval waarbij hackers proxyservers gebruiken om een groot aantal verborgen IP-adressen te genereren en voortdurend toegang krijgen tot een bepaalde website, waardoor de CPU, gelijktijdige verbindingen en andere middelen van de website uitgeput raken, terwijl andere normale bezoekers niet op het web kunnen surfen. Net als DDOS-aanvallen komen CC-aanvallen van een groot aantal nep-IP-adressen, en de vorm van aanvallen is het sturen van een groot aantal pakketten naar de doelwebsite, waardoor we het IP-adres van de bron van de aanval niet nauwkeurig kunnen achterhalen. Tenzij de IP-segmenten van de andere partij slechts een paar zijn, zodat deze IP-segmenten direct op IIS kunnen worden geblokkeerd, hebben IIS 6.0 en latere versies de functie om individuele IP's of een bepaald IP-segment te blokkeren, maar IIS 6.0/7.0 kan nog steeds niet omgaan met een groot aantal onregelmatige IP-adressen totdat IIS 8.0 uitkomt. IIS 8.0 voegt drie nieuwe functies toe aan de IP Restriction module: 1. Dynamische IP-beperkingen kunnen automatisch IP-adressen blokkeren op basis van het aantal gelijktijdige verzoeken of het aantal verzoeken over een bepaalde periode. 2. Traditionele IP-adresbeperkingen geven een 403.6-fout (d.w.z. verboden status) terug, en de nieuwe versie van IIS kan het verzoek ook direct afbreken, of ongeautoriseerde of niet gevonden teruggeven. 3. Proxy-modus ondersteunen, dat wil zeggen, naast het blokkeren van het IP van directe aanvallen, kan het ook de echte meesterbreinen achter de aanvallen van proxyservers blokkeren. Standaard heeft IIS 8.0 de module "IP and Domain Restrictions" niet geïnstalleerd, we moeten deze apart installeren in de "Server Manager". Vervolgens openen we IIS, klikken op de website die je wilt instellen en klikken vervolgens op het module-icoon "IP-adres en domeinbeperkingen", de hoofdinterface wordt als volgt weergegeven.
In de juiste bewerkingsbalk zijn er 4 punten die we moeten weten. 1. Voeg toegestane vermeldingen toe, dat wil zeggen, voeg de IP-adressen toe die toegankelijk zijn. Wanneer we andere clienttoegang instellen op "Weigeren", kunnen alleen deze IP-adressen toegang. 2. Voeg een ontkenning van toegang toe, dat wil zeggen, voeg het IP-adres toe dat de toegang weigert. Wanneer we andere clienttoegang instellen op "Toestaan", kunnen alleen deze IP-adressen niet worden benaderd. 3. Bewerk de functie-instellingen, waar je de toegangsrechten van andere clients (anonieme gebruikers), de inschakeling van proxymodus en het type afwijzingsoperatie kunt instellen. (1) De standaard toegangsrechten van niet-gespecificeerde clients zijn toegestaan; als je alleen wilt dat deze website door specifieke mensen wordt bezocht, moet je deze hier aanpassen naar "weigeren" en vervolgens een specifiek IP-adres toevoegen in "Voeg toegestane toegang toe". (2) Domeinnaambeperkingen inschakelen, dat wil zeggen, naast IP-adressen kun je ook toegang instellen tot specifieke domeinnamen. Het moet worden opgemerkt dat dit proces een bepaald aantal systeembronnen verbruikt om de domeinnaam om te zetten in een IP-adres, dus controleer dit item niet tenzij het om een specifiek geval gaat. (3) Schakel proxymodus in, IIS detecteert de x-forwarded-for-informatie in het hoofd van de pagina, behalve het IP-adres van de client; als de twee informatie niet consistent is, gebruikt de client doorgaans VPN of andere proxy-tools om toegang te krijgen, waardoor de ware identiteit wordt verborgen. Net als domeinnaambeperkingen verbruikt deze functie ook systeembronnen. (4) Er zijn vier soorten afwijzingsoperaties: de standaard is verboden (geeft 403-code terug), en je kunt ook andere typen kiezen, zoals ongeautoriseerd (retourneert 401), niet gevonden (retourneert 404) en afgebroken (stopt HTTP-verbinding). 4. Bewerk de dynamische beperkingsinstellingen Dit is het unieke wapen om te beschermen tegen CC-aanvallen! Je kunt ervoor kiezen om te beperken op basis van het aantal gelijktijdige verzoeken, of je kunt kiezen om te beperken op basis van het aantal verzoeken in de tijd. Wanneer een website wordt aangevallen door CC, kunnen we deze twee items direct controleren: eerst de door IIS aanbevolen getalparameters gebruiken, het beschermingseffect observeren en daarna verder verfijnen. Let op dat als je "Alleen logging-modus" aanvinkt, alleen logs die klaar zijn om afgewezen te worden gelogd en niet daadwerkelijk geblokkeerd, wat geschikt is voor experimenteren en debugging.
Hoewel er nog steeds geen perfecte oplossing is om CC-aanvallen te voorkomen, kan de dynamische IP-adresbeperkingsfunctie die in IIS 8.0 is toegevoegd worden als dicht bij de onderkant en zeer eenvoudig te bedienen beschouwd. Om het beste beschermingseffect te bereiken zonder de normale gebruikerstoegang te beïnvloeden, moeten we herhaaldelijk experimenteren met bovenstaande instellingen om een balans te vinden tussen bescherming tegen aanvallen en normaal browsen.
| 
Geplaatst op 27-07-2016 19:02:05
|
|
|
|
