IIS'de CC Saldırı Koruma modülü nasıl etkinleştirilir

Sözde CC saldırısı, hackerların proxy sunucuları kullanarak çok sayıda gizli IP adresi oluşturduğu ve belirli bir web sitesine sürekli erişim sağladığı yaygın bir internet saldırısıdır; bu saldırı, sitenin CPU'su, eşzamanlı bağlantıları ve diğer kaynakları tükenirken, diğer normal ziyaretçiler web'de gezemez. DDOS saldırıları gibi, CC saldırıları da çok sayıda sahte IP adresinden gelir ve saldırı şekli, hedef web sitesine çok sayıda paket göndermektir; bu nedenle saldırının kaynağının IP adresini doğru şekilde elde edemeyiz. Karşı tarafın saldırı IP segmentleri sadece birkaç değilse, böylece bu IP segmentleri doğrudan IIS'te engellenemiyorsa, IIS 6.0 ve sonraki sürümler bireysel IP'leri veya belirli bir IP segmentini engelleme işlevine sahiptir, ancak IIS 6.0/7.0, IIS 8.0 çıkana kadar çok sayıda düzensiz IP adresini yönetemez.

IIS 8.0, IP Kısıtlama modülüne üç yeni özellik ekler:

1. Dinamik IP kısıtlamaları, eşzamanlı istek sayısına veya belirli bir süre içindeki istek sayısına göre IP adreslerini otomatik olarak engelleyebilir.

2. Geleneksel IP adresi kısıtlamaları 403.6 hatası (yani yasaklı durum) döndürür ve IIS'in yeni sürümü de talebi doğrudan iptal edebilir, yetkisiz veya bulunmamış geri dönüş yapabilir.

3. Proxy modunu destekler; yani doğrudan saldırıların IP'sini engellemenin yanı sıra, proxy sunucular tarafından gerçekleştirilen saldırıların arkasındaki gerçek beyinleri de engelleyebilir.

Varsayılan olarak, IIS 8.0'da "IP ve Alan Kısıtlamaları" modülü kurulu değildir, bunu ayrı ayrı "Server Manager"a yüklememiz gerekir.

Sonra IIS'i açıyoruz, ayarlamak istediğiniz web sitesine tıklıyoruz ve ardından "IP adresi ve alan kısıtlamaları" modül simgesine tıklıyoruz, ana arayüz aşağıdaki şekilde gösteriliyor.

Doğru işlem çubuğunda, bilmemiz gereken 4 madde var.

1. İzin verilen girişleri ekleyin, yani erişilmesine izin verilen IP adreslerini ekleyin. Diğer istemci erişimini "Reddedecek" olarak ayarladığımızda, yalnızca bu IP adresleri erişebilir.

2. Bir reddetme girişi ekleyin, yani erişimi engelleyen IP adresini ekleyin. Diğer istemci erişimini "İzin" olarak ayarladığımızda, yalnızca bu IP adreslerine erişilmez.

3. Diğer istemcilerin (anonim kullanıcılar) erişim haklarını, proxy modunu etkinleştirip etkinleştiremeyeceğinizi ve reddetme işleminin türünü ayarlayabileceğiniz fonksiyon ayarlarını düzenleyin.

(1) Belirtilmemiş istemcilerin varsayılan erişim haklarına izin verilir; eğer bu siteye sadece belirli kişiler tarafından erişilmesini istiyorsanız, burada "reddet" olarak ayarlamanız ve ardından "İzin Verilen Giriş Ekle" bölümünde belirli bir IP adresi eklemeniz gerekir.

(2) Alan adı kısıtlamalarını etkinleştirin, yani IP adreslerine ek olarak, belirli alan adlarına erişim de ayarlayabilirsiniz. Bu işlemin, alan adını IP adresine çözmek için belirli miktarda sistem kaynağı tüketeceği belirtilmelidir; bu nedenle bu öğeyi kontrol etmeyin, ancak özel bir durum varsa.

(3) Proxy modunu etkinleştirin, IIS sayfanın başındaki x-yönlendirilmiş bilgileri tespit eder, istemcinin IP adresi hariç, iki bilgi tutarsızsa, istemci genellikle VPN veya diğer proxy araçlarını kullanarak gerçek kimliğini gizler. Alan adı kısıtlamaları gibi, bu özellik de sistem kaynaklarını tüketir.

(4) Dört tür reddetme işlemi vardır, varsayılan işlem yasaktır (403 kodu döndürür) ve ayrıca yetkisiz (401 döndürür), not found (404 döndürür) ve iptal edilmiş (HTTP bağlantısını durdurur) gibi diğer türleri seçebilirsiniz.

4. Dinamik kısıtlama ayarlarını düzenle

Bu, CC saldırılarına karşı koruma sağlayan benzersiz silah! Eşzamanlı istek sayısına göre sınırlamayı seçebilirsiniz ya da zamanla istek sayısına göre sınırlamayı seçebilirsiniz. Bir web sitesi CC tarafından saldırıya uğradığında, bu iki öğeyi doğrudan kontrol edebiliriz, önce IIS tarafından önerilen sayı parametrelerini kullanabilir, koruma etkisini gözlemleyebilir ve ardından daha ince ayar yapabiliriz. "Sadece kayıt modu etkinleştir" seçeneğini işaretlerseniz, yalnızca reddedilmeye hazır olan loglar kaydedilir ve aslında engellenmez; bu da deneme ve hata ayıklama için uygundur.

CC saldırılarına karşı koruma için hâlâ mükemmel bir çözüm olmasa da, IIS 8.0'da eklenen dinamik IP adresi kısıtlama fonksiyonu en alt seviyeye yakın ve kullanımı çok kolay olarak söylenebilir. Normal kullanıcı erişimini etkilemeden en iyi koruma etkisini elde etmek için, saldırılara karşı koruma ile normal gezinme arasında denge sağlamak için yukarıdaki ayarlarla tekrar tekrar denememiz gerekiyor.