Jak włączyć moduł CC Attack Protection na IIS

Tak zwany atak CC to powszechny atak internetowy, w którym hakerzy wykorzystują serwery proxy do generowania dużej liczby zamaskowanych adresów IP i stale uzyskują dostęp do określonej strony, co powoduje wyczerpanie procesora strony, jednoczesnych połączeń i innych zasobów, podczas gdy inni zwykli odwiedzający nie mogą przeglądać internetu. Podobnie jak ataki DDOS, ataki CC pochodzą z dużej liczby fałszywych adresów IP, a formą ataku jest wysyłanie dużej liczby pakietów na docelową stronę internetową, więc nie możemy dokładnie uzyskać adresu IP źródła ataku. Chyba że segmenty IP drugiej strony są tylko kilkoma, więc te segmenty IP można blokować bezpośrednio na IIS, wersje IIS 6.0 i nowsze mają funkcję blokowania pojedynczych IP lub określonych segmentów IP, ale IIS 6.0/7.0 nadal nie obsługuje dużej liczby nieregularnych adresów IP aż do wydania IIS 8.0.

IIS 8.0 dodaje trzy nowe funkcje do modułu IP Restriction:

1. Dynamiczne ograniczenia IP mogą automatycznie blokować adresy IP na podstawie liczby jednoczesnych żądań lub liczby żądań w danym czasie.

2. Tradycyjne ograniczenia adresów IP zwracają błąd 403.6 (czyli stan zakazany), a nowa wersja IIS może również bezpośrednio przerwać żądanie lub zwrócić nieautoryzowane lub nieodnalezione.

3. Wspierać tryb proxy, czyli oprócz blokowania IP bezpośrednich ataków, może także blokować prawdziwych mózgów ataków przeprowadzanych przez serwery proxy.

Domyślnie w IIS 8.0 nie jest zainstalowany moduł "IP and Domain Restrictions", musimy zainstalować go osobno w "Server Manager".

Następnie otwieramy IIS, klikamy na stronę, którą chcesz ustawić, a następnie klikamy ikonę modułu "IP address and domain restrictions", a główny interfejs wyświetla się następująco.

W prawym pasku operacyjnym są 4 elementy, które musimy znać.

1. Dodaj dozwolone wpisy, czyli adresy IP, do których można uzyskać dostęp. Gdy ustawiamy dostęp innych klientów na "Deny", tylko te adresy IP mogą mieć dostęp.

2. Dodaj wpis odmowy, czyli adres IP, który odmawia dostępu. Gdy ustawiamy dostęp innych klientów na "Zezwalaj", tylko do tych adresów IP nie można się dostać.

3. Edytuj ustawienia funkcji, gdzie możesz ustawić prawa dostępu innych klientów (anonimowych użytkowników), czy włączyć tryb proxy oraz rodzaj operacji odrzucenia.

(1) Domyślne prawa dostępu do nieokreślonych klientów są dozwolone, jeśli chcesz, aby do tej strony korzystały tylko konkretne osoby, musisz tu ustawić je na "odmów", a następnie dodać konkretny adres IP w "Dodaj dozwolony wpis".

(2) Włączenie ograniczeń domen, czyli oprócz adresów IP można także ustawić dostęp do konkretnych nazw domen. Należy zauważyć, że ten proces zużywa określoną ilość zasobów systemowych, aby przekształcić nazwę domeny w adres IP, więc nie sprawdzaj tego elementu, chyba że jest to specyficzny przypadek.

(3) Włącz tryb proxy, IIS wykryje informacje przekazane x-forward-for w głowie strony z wyjątkiem adresu IP klienta; jeśli te dwie informacje są niespójne, klient zazwyczaj korzysta z VPN lub innych narzędzi proxy, aby uzyskać dostęp, ukrywając swoją prawdziwą tożsamość. Podobnie jak ograniczenia dotyczące nazw domen, ta funkcja również zużywa zasoby systemowe.

(4) Istnieją cztery typy operacji odrzucenia, domyślna jest zabroniona (zwraca kod 403), a także można wybrać inne typy, takie jak nieautoryzowane (zwraca 401), nieznalezione (zwraca 404) oraz przerwane (zatrzymuje połączenie HTTP).

4. Edytuj ustawienia dynamicznych ograniczeń

To unikalna broń chroniąca przed atakami CC! Możesz wybrać ograniczenie w zależności od liczby jednoczesnych żądań lub ograniczenie w zależności od liczby żądań w czasie. Gdy strona internetowa zostaje zaatakowana przez CC, możemy bezpośrednio sprawdzić te dwa elementy: najpierw użyć parametrów rekomendowanych przez IIS, obserwować efekt ochrony, a następnie dalej dopracować. Zwróć uwagę, że jeśli zaznaczysz "Włącz tylko tryb logowania", logowane są tylko logi gotowe do odrzucenia, a nie faktycznie blokowane, co nadaje się do eksperymentów i debugowania.

Chociaż nadal nie ma idealnego rozwiązania chroniącego przed atakami CC, funkcja dynamicznego ograniczenia adresów IP dodana w IIS 8.0 jest niemal na dole i bardzo łatwa w obsłudze. Aby osiągnąć najlepszy efekt ochrony bez wpływu na normalny dostęp użytkowników, musimy wielokrotnie eksperymentować z powyższymi ustawieniami, aby znaleźć równowagę między ochroną przed atakami a normalnym przeglądaniem.