Ako povoliť modul CC Attack Protection na IIS

Takzvaný CC útok je bežný internetový útok, pri ktorom hackeri používajú proxy servery na generovanie veľkého množstva maskovaných IP adries a neustále pristupujú na určitú webovú stránku, čo spôsobuje vyčerpanie CPU, súčasných pripojení a ďalších zdrojov stránky, zatiaľ čo bežní návštevníci nemôžu prehliadať web. Rovnako ako DDOS útoky, CC útoky pochádzajú z veľkého množstva falošných IP adries a formou útokov je odoslanie veľkého počtu paketov na cieľovú webovú stránku, takže nemôžeme presne získať IP adresu zdroja útoku. Pokiaľ nie je len niekoľko útočných IP segmentov druhej strany, takže tieto IP segmenty môžu byť blokované priamo na IIS, verzie IIS 6.0 a novšie majú funkciu blokovania jednotlivých IP alebo určitých IP segmentov, ale IIS 6.0/7.0 stále nedokáže spracovať veľké množstvo nepravidelných IP adries, kým nevyjde IIS 8.0.

IIS 8.0 pridáva tri nové funkcie do modulu IP Restriction:

1. Dynamické IP obmedzenia môžu automaticky blokovať IP adresy na základe počtu súbežných požiadaviek alebo počtu požiadaviek počas určitého časového obdobia.

2. Tradičné obmedzenia IP adries vrátia chybu 403.6 (t. j. zakázaný stav) a nová verzia IIS môže tiež priamo zrušiť požiadavku alebo vrátiť neautorizovanú či nenájdenú.

3. Podporovať proxy režim, teda okrem blokovania IP priamych útokov môže tiež blokovať skutočných mozgov útokov vykonávaných proxy servermi.

Štandardne IIS 8.0 nemá nainštalovaný modul "IP and Domain Restrictions", musíme ho nainštalovať samostatne v "Server Manager".

Potom otvoríme IIS, klikneme na webovú stránku, ktorú chcete nastaviť, a potom klikneme na ikonu modulu "IP adresa a doménové obmedzenia", hlavné rozhranie sa zobrazí nasledovne.

V pravom operačnom paneli sú 4 položky, ktoré potrebujeme vedieť.

1. Pridať povolené položky, teda pridať IP adresy, ku ktorým je povolený prístup. Keď nastavíme prístup iných klientov na "Zamietnuť", prístup majú len tieto IP adresy.

2. Pridať záznam zamietnutia, teda pridať IP adresu, ktorá odmieta prístup. Keď nastavíme prístup iných klientov na "Povoliť", prístup len k týmto IP adresám nie je možný.

3. Upraviť nastavenia funkcií, kde môžete nastaviť prístupové práva iných klientov (anonymných používateľov), či povoliť proxy režim a typ operácie odmietnutia.

(1) Predvolené prístupové práva nešpecifikovaných klientov sú povolené, ak chcete, aby túto stránku využívali len konkrétni ľudia, musíte to nastaviť na "zamietnuť" tu a potom pridať konkrétnu IP adresu v "Pridať povolený vstup".

(2) Povoliť obmedzenia doménových mien, teda okrem IP adries môžete nastaviť aj prístup ku konkrétnym doménovým menám. Treba poznamenať, že tento proces spotrebuje určité množstvo systémových zdrojov na premenenie domény na IP adresu, preto túto položku nekontrolujte, pokiaľ nejde o konkrétny prípad.

(3) Povoliť proxy režim, IIS deteguje informácie preposlané x-forwarded for v hlave stránky okrem IP adresy klienta, ak sú tieto dve informácie nekonzistentné, klient zvyčajne používa VPN alebo iné proxy nástroje na prístup, čím skryje svoju skutočnú identitu. Rovnako ako obmedzenia doménových mien, aj táto funkcia spotrebúva systémové zdroje.

(4) Existujú štyri typy odmietnutia operácií, predvolená je zakázaná (vráti kód 403) a môžete si vybrať aj iné typy, napríklad neautorizované (vráti 401), nenájdené (vráti 404) a prerušené (zastaví HTTP spojenie).

4. Upraviť nastavenia dynamického obmedzenia

Toto je jedinečná zbraň na ochranu pred CC útokmi! Môžete si zvoliť obmedzenie podľa počtu súbežných požiadaviek, alebo podľa počtu požiadaviek v čase. Keď je webová stránka napadnutá CC, môžeme priamo skontrolovať tieto dve položky, najprv použiť číselné parametre odporúčané IIS, pozorovať ochranný efekt a potom ďalej dolaďovať. Všimnite si, že ak zaškrtnete "Povoliť len režim logovania", zaznamenávajú sa len logy, ktoré sú pripravené na zamietnutie, a nie sú skutočne zablokované, čo je vhodné na experimentovanie a ladenie.

Aj keď stále neexistuje dokonalé riešenie na ochranu pred CC útokmi, dynamická funkcia obmedzenia IP adries pridaná v IIS 8.0 sa dá považovať za blízko dna a veľmi ľahko ovládateľnú. Aby sme dosiahli najlepší ochranný efekt bez ovplyvnenia bežného prístupu používateľa, musíme opakovane experimentovať s vyššie uvedenými nastaveniami, aby sme dosiahli rovnováhu medzi ochranou pred útokmi a bežným prehliadaním.