Trong bài viết này, mình sẽ giới thiệu các bạn về các chống DDoS trên IIS7 bằng cách sử dụng Extension là DYNAMIC IP RESTRICTIONS với mục đích hạn chế các tác nhân DDoS và khai thác Brute force trên webiste của bạn. Dynamic IP Restrictions cung cấp tính năng tự động từ chối Request từ Client khi số lượng kết nối vượt ngưỡng cho phép hay số lượng request đến quá nhanh trong một thời gian xác định. Đây có thể coi là một giải pháp an toàn và free khi mà chúng ta ko có 1 con Firewall đủ mạnh cho hệ thống - DOWNLOAD: Về Dynamic IP Restrictions chúng ta có thể down tại link dưới đây: Bản 32 bit: http://go.microsoft.com/?linkid=9655674 Bản 64 bit: http://go.microsoft.com/?linkid=9655675 - CÀI ĐẶT: Quá trình cài đặt đơn giản như bao phần mềm khác, mình bỏ qua bước này nhé…. - CẤU HÌNH: Khi cài đặt xong, vào IIS chúng ta sẽ thấy có 1 “thành phần” mới xuất hiện. Em nó tên là DYNAMIC IP RESTRICTIONS như đã giới thiệu ở trên. Click đôi vào Dynamic IP Restrictions để vào giao diện cấu hình chính Trong Deny Criteria có 2 loại chính đó là:
Ví dụ như ở hình trên, mình đã cho phép tối đa 5 kết nối đến đồng thời và tối đa 20 Request trong khoản thời gian 200 mili giây đến từ 1 Client. Nhìn xuống dưới có thêm cái DENY ACTION TYPE. Đây là loại thông báo lỗi mà chúng ta muốn hiển thị lên trình duyệt khi Client bị chặn. Có 4 loại thông báo lỗi:
Đã có DENY thì cũng sẽ có ALLOW, bao giờ cũng thế. Nhìn qua bên cột phải sẽ thấy SHOW ALLOWED ADDRESS…Bấm vào nó! Nhìn bên khung ACTIONS, chọn ADD ALLOW ENTRY Cửa sổ hiện ra, ta cho biết địa chỉ IP hoặc dãy địa chỉ IP nào không bị ảnh hưởng bởi những giới hạn mà ta đã cấu hình ở trên Bước cấu hình thế là xong! Quá đơn giản phải ko? - KIỂM TRA: Để kiểm tra thì ta có nhiều cách để kiểm tra, đơn giản như….DDoS thử thì biết. Lấy ví dụ: ở đây mình sẽ giảm thông số MAXIMUM NUMBER OF COCURRENT REQUEST xuống còn 1. Rồi vào Client truy cập đến Website, nhấn F5 vài phát sẽ hiện ra thông báo lỗi như sau. Chúc các bạn cấu hình thành công!
0255 3 718 167