عمومی

مسدود نمودن درخواستهای مزاحم با استفاده از ماژول Dynamic IP Restriction در IIS 7.5

Dynamic IP Restriction یا به اختصار DIPR ، ابزاری است جهت مسدود نمودن درخواستهایی که ، بطور مداوم در یک فاصله زمانی کوتاه به سمت سرور و یا وب سایت ارسال می شود. در نگاه اول ممکن است درخواستهای مذکور عادی بنظر برسند ، ولی این قبیل رویدادها بعنوان یک تهدید برای سرور محسوب می شود. از جمله تهدیداتی که می توان به آنها اشاره نمود ، حملات DoS و Brute Force می باشند.

در حملات DoS (عدم سرویس دهی  denial-of-service) ، حمله کننده با ارسال درخواستهای مکرر و پی درپی ، سعی در استفاده بیش از حد از منابع و پهنای باند سرور نموده ، در نتیجه دسترسی کاربران ایتنرنت از خدمات ارائه شده توسط سرور سلب می شود. و یا در حملات Brute Force که عموما برای بازیابی کلمات عبور مورد استفاده قرار می گیرد ، مهاجم تمامی حالات را برای کاراکترها در نظر گرفته و در یک زمان معین سعی در آزمودن این حالات می کند. به طور معمول در نرم افزارها پس از چند بار وارد کردن کلمات عبور اشتباه ، حساب کاربر  مسدود شده و یا در فرآیند احراز هویت تاخیر زمانی ایجاد می‌کند تا از آزمودن دیگر حالات جلوگیری شود. این عمل در مورد سرورها و وب سایتها توسط ماژول DIPR در IIS انجام می شود.

ویژگی های ارائه شده در ماژول DIPR ، کلیه راهکارها را برای جلوگیری از این دست حملات در اختیار مدیران شبکه قرار داده است. این ویژگی ها را می توان در ۶ بخش تقسیم نمود.

– مسدود نمودن IP ها بر اساس تعداد درخواستهای همزمان : اگر کاربر اینترنت بیشتر از تعداد تقاضاهای تعریفی ، اقدام به ارسال درخواست نماید ، IP کاربر موقتا مسدود خواهد شد.

– مسدود نمودن IP ها بر اساس تعداد درخواستهای همزمان در یک فاصله زمانی معین : هر گاه مهاجم در یک فاصله زمانی تعریف شده ، تعداد درخواست نامحدود ارسال نماید ، IP وی موقتا مسدود خواهد گردید.

– لیست IP های مجاز : لیستی از آدرس IP کاربرانی که ، نمی خواهید تحت تاثیر سایر ویژگی های تعریف شده در این ماژول قرار بگیرند را ، می توانید اضافه نمایید.ایمن سازی وب سایتها با استفاده از ماژول  Dynamic IP Restriction در IIS 7.5

– اقدامات مختلف برای مسدود نمودن : می توانید پاسخ های متفاوتی در جواب کاربران مسدود شده بفرسیتد ،  بعنوان مثال این ماژول می تواند صفحه اخطار ۴۰۳ و ۴۰۴ را برای کاربر ارسال کند و یا ارتباط وی با سرور را بدون نمایش خطا قطع نماید.

– قابل استفاده برای کاربرانی که از پروکسی استفاده می کنند :  با بررسی هدر (X-Forwarded-For (XFF در درخواستهای HTTP ، که از سمت کاربر ارسال می شود ، IP اصلی کاربر را شناسایی می شود.

– این ماژول ، IPv6 را بطور کامل پشتیبانی می کند.

حال با توجه به توضیحاتی که داده شد ، به بررسی تنظیمات این ماژول می پردازیم. تنظیمات ماژول DIPR نیز مانند سایر ماژول ها در IIS بسیار آسان می باشد. بقیه موارد نیز بستگی بسیار زیادی به تجربه مدیر سرور دارد.

برای ورود به تنظیمات DIPR ، در صفحه اصلی IIS به قسمت Security بروید. در این بخش برروی ماژول Dynamic IP Restriction کلیک نمایید.

در این صفحه می توانید تعداد درخواستها ، فاصله زمانی ، ارسال پاسخ و حالت پروکسی را تنظیم نمایید.

در قسمت اول حداکثر درخواستهای همزمانی که یک کاربر می تواند به صفحه وبسایت ارسال نماید را وارد کنید . در غیر اینصورت IP کاربر مسدود خواهد شد. بعنوان مثال اگر تعداد حداکثر درخواست ها  برروی ۵ تنظیم گردد ، هنگامیکه کاربر ۱۰ درخواست همزمان را به وبسایت ارسال کند ، IP وی مسدود می شود. برای فعالسازی این قسمت ، تیک گزینه Deny IP addresses based on the number of concurrent requests. را بزنید. سپس در داخل کادر تعداد درخواستها را وارد نمایید. در پایان از قاب Action برروی گزینه Apply کلیک کنید.

برای تنظیم فاصله زمانی ارسال درخواستها ، تیک گزینه Deny IP addresses based on the number of requests over a period time. را بزنید. در کادر اول تعداد حداکثر درخواستها را وارد نمایید و در کادر دوم فاصله زمانی ارسال درخواستها را به میلی ثانیه وارد کنید. در پایان از قاب Action برروی گزینه Apply کلیک نمایید.

در بخش Deny Action ، می توانید پاسخ ارسالی به کاربر را هنگام مسدود نمودن IP وی ، مشخص کنید. روی لیست کشویی کلیک نمایید. ۴ گزینه برای شما نمایش داده می شود. برروی یک گزینه کلیک نموده و در پایان از قاب Action برروی گزینه Apply کلیک کنید.

– Send 401 (Unauthorized) : صفحه خطای عدم احراز هویت برای کاربر ارسال می شود.

– Send 403 (Forbidden) : صفحه خطای Forbidden برای کاربر نمایش داده می شود.

– Send 404 (File not found) : صفحه خطای پیدا نکردن فایل را نمایش می دهد.

– Abort request by closing the HTTP connection : ارتباط HTTP را قطع می نماید.

برای کاربرانی که از پروکسی استفاده می کنند ، تشخیص IP کاربر برای سرور مشکل می شود. برای حل این مشکل ، می توانید از گزینه Proxy استفاده نمایید. در این حالت سرور ، هدر X-Forwarded-For را در درخواست HTTP کاربر بررسی می کند و IP اصلی کاربر را شناسایی می نماید. با بررسی چند هدر از درخواست کاربر می توان براحتی IP واقعی کاربر را شناسایی نمود . این هدر ها عبارتند از : 

  • HTTP_CLIENT_IP
  • HTTP_X_FORWARDED_FOR
  • HTTP_X_CLUSTER_CLIENT_IP
  • HTTP_FORWARDED_FOR
  • HTTP_FORWARDED

قطعا در یکی از آیتم های بالا شما می‌توانید IP کاربری که از پروکسی سرور استفاده می‌کند را پیدا کنید، البته پس از بررسی همه آیتم ها، اگر آیتمی یافت نشد باید REMOTE_ADDR را بررسی کنید.

برای فعال نمودن این ویژگی ، تیک گزینه Enable را انتخاب کنید.در پایان از قاب Action برروی گزینه Apply  کلیک کنید.

برای اضافه نمودن IP هایی که به آنها اعتماد دارید و نمی خواهید شامل قوانین DIPR شوند ، می توانید یک لیست از IP های مورد اعتماد ایجاد کنید. در قاب Action برروی گزینه Show Allowed Addresses کلیک نمایید. سپس به شما ، پیام ضبط تنظیمات نمایش داده می شود. برروی گزینه YES کلیک کنید.

و

در این صفحه از قاب Actions گزینه Add Allow Entry را کلیک نمایید.

در کادر اول می توانید یک IP و در کادر دوم یک بازه IP همراه با Sub net mask آن را وارد نمایید. سپس برروی گزینه OK کلیک کنید.

منبع :

http://www.iis.net

با کارت بانکی باشگاه ایران هاست پولتان به حسابتان باز می گردد.

همین حالا رایگان عضو شوید

مدیر بلاگ

مشخصات مدیر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

همچنین ببینید

بستن
دکمه بازگشت به بالا
بستن
بستن