Kako omogočiti modul CC Attack Protection na IIS

Tako imenovani CC napad je pogost internetni napad, pri katerem hekerji uporabljajo proxy strežnike za generiranje velikega števila prikritih IP naslovov in nenehno dostopajo do določene spletne strani, zaradi česar se izčrpajo procesorji spletne strani, sočasne povezave in drugi viri, medtem ko drugi običajni obiskovalci ne morejo brskati po spletu. Tako kot DDOS napadi tudi CC napadi izhajajo iz velikega števila lažnih IP naslovov, oblika napadov pa je pošiljanje velikega števila paketov na ciljno spletno stran, zato ne moremo natančno pridobiti IP naslova vira napada. Razen če je napadalnih IP segmentov druge strani le nekaj, kar omogoča neposredno blokiranje teh IP segmentov na IIS, imajo IIS 6.0 in novejše različice funkcijo blokiranja posameznih IP-jev ali določenega IP segmenta, vendar IIS 6.0/7.0 še vedno ne moreta obvladovati velikega števila nepravilnih IP naslovov, dokler ne pride IIS 8.0.

IIS 8.0 dodaja tri nove funkcije modulu IP Restriction:

1. Dinamične IP omejitve lahko samodejno blokirajo IP naslove glede na število sočasnih zahtevkov ali število zahtevkov v določenem časovnem obdobju.

2. Tradicionalne omejitve IP naslovov vrnejo napako 403.6 (tj. prepovedano stanje), nova različica IIS pa lahko zahtevo neposredno prekine ali vrne nepooblaščeno ali nenajdeno.

3. Podpirati proxy način, torej poleg blokiranja IP neposrednih napadov lahko blokira tudi prave organizatorje napadov, ki jih izvajajo proxy strežniki.

Privzeto IIS 8.0 nima nameščenega modula "IP in domenske omejitve", zato ga moramo namestiti ločeno v "Upravitelju strežnikov".

Nato odpremo IIS, kliknemo na spletno stran, ki jo želite nastaviti, in nato kliknemo na ikono modula "IP naslov in omejitve domene", glavni vmesnik je prikazan takole.

V desni vrstici operacij so štiri stvari, ki jih moramo vedeti.

1. Dodajte dovoljene vnose, torej dodajte IP naslove, do katerih je dovoljen dostop. Ko nastavimo dostop drugih odjemalcev na "Zavrni", lahko dostopajo le ti IP naslovi.

2. Dodajte vnos zavrnitve, torej dodajte IP naslov, ki zavrača dostop. Ko nastavimo dostop drugih odjemalcev na "Dovoli", ni mogoče dostopati samo do teh IP naslovov.

3. Uredite nastavitve funkcije, kjer lahko nastavite dostopne pravice drugih odjemalcev (anonimnih uporabnikov), ali omogočite proxy način in vrsto operacije zavrnitve.

(1) Privzete pravice dostopa nedoločenih odjemalcev so dovoljene; če želite, da do te spletne strani dostopajo le določene osebe, morate tukaj nastaviti na "zavrniti" in nato dodati določen IP naslov v "Dodaj dovoljen vstop".

(2) Omogočite omejitve domen, torej poleg IP naslovov lahko nastavite tudi dostop do določenih domen. Opozoriti je treba, da ta postopek porabi določeno količino sistemskih virov za razrešitev domene v IP naslov, zato te postavke ne preverjajte, razen če gre za poseben primer.

(3) Omogočite proxy način, IIS bo zaznal x-posredovane informacije v glavi strani, razen IP naslova odjemalca; če sta ti dve informaciji neskladni, odjemalec običajno uporablja VPN ali druga proxy orodja za dostop, s čimer skrije svojo pravo identiteto. Tako kot omejitve domen tudi ta funkcija porablja sistemske vire.

(4) Obstajajo štiri vrste zavrnitve operacij, privzeta je prepovedana (vrne kodo 403), lahko pa izberete tudi druge vrste, kot so nepooblaščena (vrne 401), nenajdena (vrne 404) in prekinjena (ustavi HTTP povezavo).

4. Uredite nastavitve dinamičnih omejitev

To je edinstveno orožje za zaščito pred CC napadi! Lahko omejite glede na število sočasnih zahtevkov ali pa glede na število zahtevkov skozi čas. Ko CC napade spletno stran, lahko neposredno preverimo ti dve postavki, najprej uporabimo številčne parametre, ki jih priporoča IIS, opazujemo zaščitni učinek in nato dodatno prilagodimo. Upoštevajte, da če označite "Omogoči samo način beleženja", se beležijo le dnevniki, ki so pripravljeni za zavrnitev, in niso dejansko blokirani, kar je primerno za eksperimentiranje in odpravljanje napak.

Čeprav še vedno ni popolne rešitve za zaščito pred CC napadi, lahko rečemo, da je dinamična funkcija omejevanja IP naslovov, dodana v IIS 8.0, blizu dna in zelo enostavna za uporabo. Da bi dosegli najboljši zaščitni učinek brez vpliva na običajen uporabniški dostop, moramo večkrat eksperimentirati z zgoraj navedenimi nastavitvami, da dosežemo ravnovesje med zaščito pred napadi in običajnim brskanjem.