Acest articol este un articol oglindă al traducerii automate, vă rugăm să faceți clic aici pentru a sări la articolul original.

Architect_Programmer_Code Rețeaua Agricolă»Arhitect Programare Chat tehnic Cum să activezi modulul CC Attack Protection pe IIS
Vedere: 12568|Răspunde: 0

Cum să activezi modulul CC Attack Protection pe IIS

[Copiază linkul]
Postat pe 27.07.2016 19:02:05 | | | |
Așa-numitul atac CC este un atac comun pe Internet în care hackerii folosesc servere proxy pentru a genera un număr mare de adrese IP mascate și pentru a accesa constant un anumit site web, ceea ce duce la epuizarea procesorului, conexiunilor simultane și a altor resurse ale site-ului, în timp ce alți vizitatori obișnuiți nu pot naviga pe web. La fel ca atacurile DDOS, atacurile CC provin de la un număr mare de adrese IP false, iar forma atacurilor este trimiterea unui număr mare de pachete către site-ul țintă, astfel încât nu putem obține cu precizie adresa IP a sursei atacului. Cu excepția cazului în care segmentele IP de atac ale celeilalte părți sunt doar câteva, astfel încât aceste segmente IP pot fi blocate direct pe IIS, versiunile IIS 6.0 și ulterioare au funcția de a bloca IP-uri individuale sau un anumit segment IP, dar IIS 6.0/7.0 tot nu poate gestiona un număr mare de adrese IP neregulate până la apariția IIS 8.0.
IIS 8.0 adaugă trei funcționalități noi modulului de Restricție IP:
1. Restricțiile dinamice de IP pot bloca automat adresele IP în funcție de numărul de cereri concurente sau de numărul de cereri pe o perioadă de timp.
2. Restricțiile tradiționale de adresă IP vor returna o eroare 403.6 (adică stare interzisă), iar noua versiune a IIS poate de asemenea să anuleze direct cererea sau să returneze neautorizat sau negăsită.
3. Suportă modul proxy, adică, pe lângă blocarea IP-ului atacurilor directe, poate bloca și adevărații genii din spatele atacurilor efectuate de serverele proxy.
În mod implicit, IIS 8.0 nu are instalat modulul "IP and Domain Restrictions", trebuie să-l instalăm separat în "Server Manager".
Apoi, deschidem IIS, dăm click pe site-ul pe care doriți să-l setați și apoi pe pictograma modulului "IP address and domain restrictions", interfața principală este afișată astfel.
În bara de operare din dreapta, sunt 4 elemente pe care trebuie să le știm.
1. Adaugă intrări permise, adică adaugă adresele IP care pot fi accesate. Când setăm accesul altor clienți pe "Deny", doar aceste adrese IP pot accesa.
2. Adaugă o intrare de respingere, adică adaugă adresa IP care refuză accesul. Când setăm accesul altor clienți pe "Permite", doar aceste adrese IP nu pot fi accesate.
3. Editează setările funcției, unde poți seta drepturile de acces ale altor clienți (utilizatori anonimi), dacă activezi modul proxy, și tipul operațiunii de respingere.
(1) Drepturile implicite de acces ale clienților nespecificați sunt permise; dacă doriți ca acest site să fie accesat doar de anumite persoane, trebuie să îl ajustați pentru a "refuza" aici, apoi să adăugați o adresă IP specifică în "Adaugă Intrare permisă".
(2) Activează restricțiile numelor de domeniu, adică, pe lângă adresele IP, poți seta și accesul la nume de domenii specifice. Trebuie menționat că acest proces va consuma o anumită cantitate de resurse de sistem pentru a rezolva numele domeniului într-o adresă IP, așa că nu verifica acest element decât dacă este un caz specific.
(3) Activează modul proxy, IIS va detecta informațiile redirecționate cu x în partea de față a paginii, cu excepția adresei IP a clientului; dacă cele două informații sunt inconsistente, clientul folosește în general VPN sau alte instrumente proxy pentru acces, ascunzându-și identitatea reală. La fel ca restricțiile de nume de domeniu, această caracteristică consumă și resurse de sistem.
(4) Există patru tipuri de operații de respingere, implicitul este interzis (returnează codul 403), iar poți alege și alte tipuri, cum ar fi neautorizat (returnează 401), negăsit (returnează 404) și aborted (oprește conexiunea HTTP).
4. Editarea setărilor de restricție dinamică
Aceasta este arma unică pentru a proteja împotriva atacurilor CC! Poți alege să limitezi în funcție de numărul de cereri concurente sau poți alege să limitezi în funcție de numărul de cereri în timp. Când un site este atacat de CC, putem verifica direct aceste două elemente, mai întâi să folosim parametrii numerici recomandați de IIS, să observăm efectul de protecție și apoi să ajustăm mai fin. Rețineți că dacă bifați "Activează modul doar de logare", doar jurnalele gata de respingere sunt înregistrate și nu sunt efectiv blocate, ceea ce este potrivit pentru experimentare și depanare.
Deși încă nu există o soluție perfectă pentru a proteja împotriva atacurilor CC, funcția dinamică de restricție a adreselor IP adăugată în IIS 8.0 poate fi considerată aproape de bază și foarte ușor de operat. Pentru a obține cel mai bun efect de protecție fără a afecta accesul normal al utilizatorului, trebuie să experimentăm în mod repetat cu setările de mai sus pentru a obține un echilibru între protecția împotriva atacurilor și navigarea normală.





Precedent:Registrul misterios al BCD00000000
Următor:Apărarea IIS împotriva instanțelor de atac DDOS la scară mică

Postări conexe
Disclaimer:
Tot software-ul, materialele de programare sau articolele publicate de Code Farmer Network sunt destinate exclusiv scopurilor de învățare și cercetare; Conținutul de mai sus nu va fi folosit în scopuri comerciale sau ilegale, altfel utilizatorii vor suporta toate consecințele. Informațiile de pe acest site provin de pe Internet, iar disputele privind drepturile de autor nu au legătură cu acest site. Trebuie să ștergi complet conținutul de mai sus de pe calculatorul tău în termen de 24 de ore de la descărcare. Dacă îți place programul, te rugăm să susții software-ul autentic, să cumperi înregistrarea și să primești servicii autentice mai bune. Dacă există vreo încălcare, vă rugăm să ne contactați prin e-mail.
Mail To:help@itsvse.com