Hur man aktiverar CC Attack Protection-modulen på IIS

Den så kallade CC-attacken är en vanlig internetattack där hackare använder proxyservrar för att generera ett stort antal förklädda IP-adresser och ständigt få tillgång till en viss webbplats, vilket gör att webbplatsens CPU, samtidiga anslutningar och andra resurser förbrukas, medan andra vanliga besökare inte kan surfa på webben. Precis som DDOS-attacker kommer CC-attacker från ett stort antal falska IP-adresser, och formen av attacker är att skicka ett stort antal paket till målwebbplatsen, så vi kan inte exakt få fram IP-adressen till attackens källa. Om inte den andra partens attack-IP-segment bara är få, så att dessa IP-segment kan blockeras direkt på IIS, har IIS 6.0 och senare versioner funktionen att blockera enskilda IP-adresser eller ett visst IP-segment, men IIS 6.0/7.0 kan fortfarande inte hantera ett stort antal oregelbundna IP-adresser förrän IIS 8.0 släpps.

IIS 8.0 lägger till tre nya funktioner i IP Restriction module:

1. Dynamiska IP-begränsningar kan automatiskt blockera IP-adresser baserat på antalet samtidiga förfrågningar eller antalet förfrågningar över en tidsperiod.

2. Traditionella IP-adressbegränsningar kommer att returnera ett 403.6-fel (dvs. förbjudet tillstånd), och den nya versionen av IIS kan också direkt avbryta förfrågan eller returnera obehörig eller ej hittad.

3. Stödja proxyläge, det vill säga förutom att blockera IP-adressen för direkta attacker, kan det också blockera de verkliga hjärnorna bakom attackerna som utförs av proxyservrar.

Som standard har IIS 8.0 inte modulen "IP and Domain Restrictions" installerad, vi måste installera den separat i "Server Manager".

Därefter öppnar vi IIS, klickar på webbplatsen du vill ställa in och klickar sedan på modulikonen "IP-adress och domänbegränsningar", huvudgränssnittet visas enligt följande.

I rätt operationsfält finns det fyra saker vi behöver känna till.

1. Lägga till tillåtna poster, det vill säga lägga till de IP-adresser som får nås. När vi sätter andra klientåtkomst till "Neka" kan endast dessa IP-adresser komma åt.

2. Lägg till en nek entry, det vill säga lägga till IP-adressen som nekar åtkomst. När vi sätter andra klientåtkomster till "Tillåt" kan endast dessa IP-adresser inte nås.

3. Redigera funktionsinställningarna där du kan ställa in åtkomsträttigheter för andra klienter (anonyma användare), om proxyläget ska aktiveras och vilken typ av avvisningsoperation.

(1) Standardåtkomsträttigheter för ospecificerade klienter är tillåtna, om du bara vill att denna webbplats ska nås av specifika personer måste du justera den till "neka" här, och sedan lägga till en specifik IP-adress i "Lägg till tillåten inmatning".

(2) Aktivera domännamnsbegränsningar, det vill säga att utöver IP-adresser kan du även ange åtkomst till specifika domännamn. Det bör noteras att denna process förbrukar en viss mängd systemresurser för att lösa domännamnet till en IP-adress, så kontrollera inte detta om det inte är ett specifikt fall.

(3) Aktivera proxyläge, IIS kommer att upptäcka x-forwarded-informationen i sidans överhuvud förutom klientens IP-adress; om de två uppgifterna är inkonsekventa använder klienten vanligtvis VPN eller andra proxyverktyg för att komma åt och döljer sin verkliga identitet. Precis som domännamnsbegränsningar förbrukar denna funktion även systemresurser.

(4) Det finns fyra typer av avvisningsoperationer, standardfunktionen är förbjuden (returnerar 403-kod), och du kan också välja andra typer, såsom obehörig (returnerar 401), not found (returnerar 404) och avbruten (stoppar HTTP-anslutning).

4. Redigera inställningarna för dynamisk begränsning

Detta är det unika vapnet för att skydda mot CC-attacker! Du kan välja att begränsa baserat på antalet samtidiga förfrågningar, eller så kan du välja att begränsa baserat på antalet förfrågningar över tid. När en webbplats attackeras av CC kan vi direkt kontrollera dessa två punkter, först använda de talparametrar som rekommenderas av IIS, observera skyddseffekten och sedan finjustera ytterligare. Observera att om du markerar "Aktivera endast loggningsläge" så loggas endast loggar som är redo att avvisas, och inte faktiskt blockerade, vilket är lämpligt för experiment och felsökning.

Även om det fortfarande inte finns någon perfekt lösning för att skydda mot CC-attacker, kan den dynamiska IP-adressbegränsningsfunktionen som lagts till i IIS 8.0 sägas vara nära botten och mycket enkel att använda. För att uppnå bästa möjliga skyddseffekt utan att påverka normal användaråtkomst behöver vi upprepade gånger experimentera med ovanstående inställningar för att hitta en balans mellan skydd mot attacker och normal surfning.