Como ativar o módulo de Proteção contra Ataques de CC no IIS

O chamado ataque CC é um ataque comum na Internet no qual hackers usam servidores proxy para gerar um grande número de endereços IP disfarçados e acessam constantemente um determinado site, fazendo com que a CPU, conexões simultâneas e outros recursos do site sejam esgotados, enquanto outros visitantes normais não conseguem navegar na web. Assim como os ataques DDOS, ataques CC vêm de um grande número de endereços IP falsos, e a forma de ataque é enviar um grande número de pacotes para o site alvo, então não podemos obter com precisão o endereço IP da fonte do ataque. A menos que os segmentos de IP de ataque da outra parte sejam apenas alguns, de modo que esses segmentos de IP possam ser bloqueados diretamente no IIS, o IIS 6.0 e versões posteriores têm a função de bloquear IPs individuais ou um determinado segmento de IP, mas o IIS 6.0/7.0 ainda não consegue lidar com um grande número de endereços IP irregulares até o lançamento do IIS 8.0.

O IIS 8.0 adiciona três novos recursos ao módulo de Restrição de IP:

1. Restrições dinâmicas de IP podem bloquear automaticamente endereços IP com base no número de requisições simultâneas ou no número de solicitações ao longo de um período de tempo.

2. Restrições tradicionais de endereço IP retornarão um erro 403.6 (ou seja, estado proibido), e a nova versão do IIS também pode abortar diretamente a solicitação, ou retornar não autorizada ou não encontrada.

3. Suporte ao modo proxy, ou seja, além de bloquear o IP de ataques diretos, também pode bloquear os verdadeiros cérebros por trás dos ataques realizados por servidores proxy.

Por padrão, o IIS 8.0 não possui o módulo "IP e Restrições de Domínio" instalado, precisamos instalá-lo separadamente no "Gerenciador de Servidores".

Em seguida, abrimos o IIS, clicamos no site que você deseja definir e depois clicamos no ícone do módulo "Restrições de endereço IP e domínio", e a interface principal é exibida da seguinte forma.

Na barra de operação à direita, há 4 itens que precisamos saber.

1. Adicionar entradas permitidas, ou seja, adicionar os endereços IP que podem ser acessados. Quando configuramos o acesso de outros clientes como "Negar", apenas esses endereços IP podem acessar.

2. Adicionar uma entrada de negação, ou seja, adicionar o endereço IP que nega o acesso. Quando configuramos o acesso de outros clientes como "Permitir", apenas esses endereços IP não podem ser acessados.

3. Editar as configurações de função, onde você pode definir os direitos de acesso de outros clientes (usuários anônimos), se deve ativar o modo proxy e o tipo de operação de rejeição.

(1) Os direitos padrão de acesso de clientes não especificados são permitidos; se você quiser que este site seja acessado apenas por pessoas específicas, precisa ajustá-lo para "negar" aqui e então adicionar um endereço IP específico em "Adicionar Entrada Permitida".

(2) Ative restrições de nomes de domínio, ou seja, além dos endereços IP, você também pode definir o acesso a nomes de domínio específicos. Deve-se notar que esse processo consome uma certa quantidade de recursos do sistema para resolver o nome de domínio em um endereço IP, então não verifique esse item a menos que seja um caso específico.

(3) Ativar o modo proxy, o IIS detectará as informações x-encaminhadas no cabeçalho da página, exceto o endereço IP do cliente; se as duas informações forem inconsistentes, o cliente geralmente usa VPN ou outras ferramentas proxy para acessar, ocultando sua verdadeira identidade. Assim como as restrições de nomes de domínio, esse recurso também consome recursos do sistema.

(4) Existem quatro tipos de operações de rejeição, o padrão é proibido (retorna código 403), e você também pode escolher outros tipos, como não autorizado (retorna 401), não encontrado (retorna 404) e abortado (interrompe a conexão HTTP).

4. Editar as configurações de restrição dinâmica

Esta é a arma única para proteger contra ataques de controle de grupo! Você pode escolher limitar com base no número de solicitações simultâneas, ou pode escolher limitar com base no número de solicitações ao longo do tempo. Quando um site é atacado por CC, podemos verificar diretamente esses dois itens, primeiro usar os parâmetros numéricos recomendados pelo IIS, observar o efeito de proteção e então aprimorar ainda mais. Note que, se você marcar "Ativar modo apenas de loging", apenas logs prontos para serem rejeitados são registrados, e não realmente bloqueados, o que é adequado para experimentação e depuração.

Embora ainda não exista uma solução perfeita para proteger contra ataques CC, a função dinâmica de restrição de endereços IP adicionada no IIS 8.0 pode ser considerada próxima à base e muito fácil de operar. Para alcançar o melhor efeito de proteção sem afetar o acesso normal do usuário, precisamos experimentar repetidamente as configurações acima para alcançar um equilíbrio entre proteção contra ataques e navegação normal.