Как включить модуль защиты от CC Attack на IIS

Так называемая CC-атака — это распространённая интернет-атака, при которой хакеры используют прокси-серверы для генерации большого количества замаскированных IP-адресов и постоянного доступа к определённому сайту, из-за чего процессор, одновременные подключения и другие ресурсы сайта, в то время как другие обычные посетители не могут просматривать интернет. Как и DDOS-атаки, CC-атаки происходят с большого количества поддельных IP-адресов, и их форма заключается в отправке большого количества пакетов на целевой сайт, чтобы мы не могли точно получить IP-адрес источника атаки. Если только атакующих IP-сегментов другой стороны не несколько, чтобы эти IP-сегменты можно было заблокировать напрямую в IIS, версии IIS 6.0 и более поздние выполняют функцию блокировки отдельных IP или определённого IP-сегмента, но IIS 6.0/7.0 всё равно не может обрабатывать большое количество нерегулярных IP-адресов до выхода IIS 8.0.

IIS 8.0 добавляет три новые функции в модуль ограничения IP:

1. Динамические ограничения на IP могут автоматически блокировать IP-адреса в зависимости от количества одновременных запросов или количества запросов за определённый период.

2. Традиционные ограничения по IP-адресам возвращают ошибку 403.6 (то есть запрещённое состояние), а новая версия IIS также может напрямую прервать запрос или вернуть несанкционированный или ненайденный.

3. Поддержка режима прокси, то есть, помимо блокировки IP прямых атак, он также может блокировать настоящих организаторов атак, проводимых прокси-серверами.

По умолчанию в IIS 8.0 не установлен модуль "IP and Domain Restrictions", его нужно установить отдельно в "Server Manager".

Далее открываем IIS, выбираем нужный сайт, затем нажимаем на значок модуля «IP address and domain restrictions», основной интерфейс отображается следующим образом.

В правой панели операций нам нужно знать 4 пункта.

1. Добавить разрешённые записи, то есть добавить IP-адреса, к которым разрешен доступ. Когда мы устанавливаем доступ к другому клиенту на «Отклонить», доступ могут только эти IP-адреса.

2. Добавить запрет входа, то есть добавить IP-адрес, который запрещает доступ. Когда мы устанавливаем доступ к другому клиенту в режиме «Разрешить», нельзя получить доступ только к этим IP-адресам.

3. Отредактировать настройки функций, где можно настроить права доступа других клиентов (анонимных пользователей), включать режим прокси и тип операции отклонения.

(1) Права доступа по умолчанию для неуказанных клиентов разрешены, если вы хотите, чтобы этот сайт был доступен только определёнными людьми, нужно изменить его на «запретить» здесь, а затем добавить конкретный IP-адрес в раздел «Добавить разрешённую запись».

(2) Включить ограничения на доменные имена, то есть, помимо IP-адресов, вы также можете настроить доступ к определённым доменным именам. Следует отметить, что этот процесс потребляет определённое количество системных ресурсов для превращения доменного имени в IP-адрес, поэтому не проверяйте этот пункт, если это не конкретный случай.

(3) Включите режим прокси, IIS обнаружит информацию x-forward-for в главе страницы, за исключением IP-адреса клиента; если эти две данные несовпадают, клиент обычно использует VPN или другие прокси-инструменты для доступа, скрывая свою истинную личность. Как и ограничения доменных имён, эта функция также потребляет системные ресурсы.

(4) Существует четыре типа операций отклонения: по умолчанию запрещён (возвращает код 403), а также можно выбрать другие типы, такие как несанкционированный (возвращает 401), не найден (возвращает 404) и прерван (прерывает HTTP-соединение).

4. Отредактировать настройки динамических ограничений

Это уникальное оружие для защиты от атак контроля! Вы можете ограничивать их по количеству одновременных запросов или ограничивать их в зависимости от количества запросов во времени. Когда сайт подвергается атаке CC, мы можем напрямую проверить эти два пункта: сначала использовать параметры числа, рекомендованные IIS, наблюдать эффект защиты, а затем дополнительно дорабатывать. Обратите внимание, что если вы поставите галочку «Включить режим только логирования», логируются только те логи, которые готовы к отклонению, а не фактически заблокированы, что подходит для экспериментов и отладки.

Хотя до сих пор нет идеального решения для защиты от CC-атак, функция динамического ограничения IP-адресов, добавленная в IIS 8.0, можно считать очень простой в использовании. Чтобы добиться наилучшего эффекта защиты, не мешая обычному доступу пользователя, нам необходимо неоднократно экспериментировать с вышеуказанными настройками, чтобы найти баланс между защитой от атак и обычным серфингом.