Як увімкнути модуль CC Attack Protection на IIS

Так звана CC-атака — це поширена інтернет-атака, під час якої хакери використовують проксі-сервери для генерації великої кількості замаскованих IP-адрес і постійного доступу до певного вебсайту, що призводить до виснаження процесора, одночасних з'єднань та інших ресурсів, тоді як інші звичайні відвідувачі не можуть переглядати інтернет. Як і DDOS-атаки, CC-атаки відбуваються з великої кількості фейкових IP-адрес, і форма атак полягає в тому, щоб надсилати велику кількість пакетів на цільовий вебсайт, щоб ми не могли точно отримати IP-адресу джерела атаки. Якщо атакуючі IP-сегменти іншої сторони не кілька, щоб ці IP-сегменти можна було заблокувати безпосередньо на IIS, версії IIS 6.0 та пізніші виконують функцію блокування окремих IP або певного IP-сегмента, але IIS 6.0/7.0 все одно не може обробляти велику кількість нерегулярних IP-адрес до виходу IIS 8.0.

IIS 8.0 додає три нові функції до модуля обмеження IP:

1. Динамічні обмеження IP-адрес можуть автоматично блокувати IP-адреси залежно від кількості одночасних запитів або кількості запитів за певний період часу.

2. Традиційні обмеження IP-адрес повертатимуть помилку 403.6 (тобто заборонений стан), а нова версія IIS також може безпосередньо скасувати запит або повернути несанкціонованого чи не знайденого.

3. Підтримка проксі-режиму, тобто окрім блокування IP прямих атак, може також блокувати справжніх організаторів атак, які здійснюють проксі-сервери.

За замовчуванням у IIS 8.0 не встановлено модуль "IP and Domain Restrictions", потрібно встановити його окремо в "Server Manager".

Далі відкриваємо IIS, натискаємо на сайт, який хочете встановити, а потім на іконку модуля «IP-адреса та доменні обмеження», основний інтерфейс відображається так.

У правій панелі операцій є 4 пункти, які нам потрібно знати.

1. Додати дозволені записи, тобто додати IP-адреси, до яких можна звертатися. Коли ми встановлюємо доступ до іншого клієнта на «Відмовити», доступ можуть лише ці IP-адреси.

2. Додати заборону входу, тобто IP-адресу, яка забороняє доступ. Коли ми встановлюємо доступ до іншого клієнта на «Дозволити», доступ до цих IP-адрес неможливий.

3. Відредагуйте налаштування функцій, де можна встановити права доступу інших клієнтів (анонімних користувачів), чи вмикати режим проксі, і тип операції відхилення.

(1) Права доступу за замовчуванням для невизначених клієнтів дозволені, якщо ви хочете, щоб цей сайт користувався лише певними особами, потрібно налаштувати його на «заборони» тут, а потім додати конкретну IP-адресу в розділі «Додати дозволений запис».

(2) Увімкніть обмеження доменних імен, тобто окрім IP-адрес, ви також можете встановити доступ до конкретних доменних імен. Слід зазначити, що цей процес споживає певну кількість системних ресурсів для визначення доменного імені на IP-адресу, тому не перевіряйте цей пункт, якщо це не конкретний випадок.

(3) Увімкніть режим проксі, IIS виявить інформацію x-forward-for у голові сторінки, окрім IP-адреси клієнта; якщо ці дві дані несумісні, клієнт зазвичай використовує VPN або інші проксі-інструменти для доступу, приховуючи свою справжню ідентичність. Як і обмеження доменних імен, ця функція також споживає системні ресурси.

(4) Існує чотири типи операцій відхилення: за замовчуванням заборонено (повертає код 403), а також можна обрати інші типи, такі як несанкціоновані (повертає 401), не знайдено (повертає 404) та перерване (зупиняє HTTP-з'єднання).

4. Відредагувати налаштування динамічних обмежень

Це унікальна зброя для захисту від атак контролю! Ви можете обмежити кількість одночасних запитів або обмежити їх залежно від кількості запитів у часі. Коли сайт атакується CC, ми можемо безпосередньо перевірити ці два пункти: спочатку використати параметри числа, рекомендовані IIS, спостерігати ефект захисту, а потім уточнювати. Зверніть увагу, що якщо ви поставите галочку «Увімкнути режим лише логування», журналуються лише ті журнали, які готові до відхилення, а не фактично заблоковані, що підходить для експериментів і налагодження.

Хоча досі немає ідеального рішення для захисту від CC-атак, функція динамічного обмеження IP-адрес, додана в IIS 8.0, можна вважати майже найнижчою і дуже простою в експлуатації. Щоб досягти найкращого ефекту захисту, не порушуючи нормальний доступ користувача, нам потрібно неодноразово експериментувати з наведеними вище налаштуваннями, щоб досягти балансу між захистом від атак і звичайним переглядом.