TIN VẮN:

CHỐNG TẤN CÔNG DDOS BẰNG IIS7

28/05/2012 11:05:32 AM         

Hiện nay có nhiều cách để chống và hạn chế DDoS cho webiste. Bạn có thể sử dụng Code, Module hỗ trợ, hoặc Firewall phần cứng,…Tùy thôi trường hợp bị tấn công và điều kiện của triển khai mà chúng ta chọn giải pháp cho phù hợp.

 Trong bài viết này, mình sẽ giới thiệu các bạn về các chống DDoS trên IIS7 bằng cách sử dụng Extension là DYNAMIC IP RESTRICTIONS với mục đích hạn chế các tác nhân DDoS và khai thác Brute force trên webiste của bạn. Dynamic IP Restrictions cung cấp tính năng tự động từ chối Request từ Client khi số lượng kết nối vượt ngưỡng cho phép hay số lượng request đến quá nhanh trong một thời gian xác định. Đây có thể coi là một giải pháp an toàn và free khi mà chúng ta ko có 1 con Firewall đủ mạnh cho hệ thống 
- DOWNLOAD: 
Về Dynamic IP Restrictions chúng ta có thể down tại link dưới đây: 
Bản 32 bit: http://go.microsoft.com/?linkid=9655674 
Bản 64 bit: http://go.microsoft.com/?linkid=9655675 
- CÀI ĐẶT: 
Quá trình cài đặt đơn giản như bao phần mềm khác, mình bỏ qua bước này nhé…. 
- CẤU HÌNH: 
Khi cài đặt xong, vào IIS chúng ta sẽ thấy có 1 “thành phần” mới xuất hiện. Em nó tên là DYNAMIC IP RESTRICTIONS như đã giới thiệu ở trên. 

Click đôi vào Dynamic IP Restrictions để vào giao diện cấu hình chính 

Trong Deny Criteria có 2 loại chính đó là:

  • DENY IP ADDRESS BASED ON THE NUMBER OF CONCURRENT REQUEST: Chặn IP của Client theo số lượng kết nối.
  • DENY IP ADDRESS BASED ON THE NUMBER OF REQUEST OVER A PERIOD OF TIME: Chặn IP của Client theo số lượng Request trong khoản thời gian chỉ định.


Ví dụ như ở hình trên, mình đã cho phép tối đa 5 kết nối đến đồng thời và tối đa 20 Request trong khoản thời gian 200 mili giây đến từ 1 Client. 
Nhìn xuống dưới có thêm cái DENY ACTION TYPE. Đây là loại thông báo lỗi mà chúng ta muốn hiển thị lên trình duyệt khi Client bị chặn. 
Có 4 loại thông báo lỗi: 

  • Send 401 (Unauthorized)
  • Send 403 (Forbidden)
  • Send 404 (NotFound)
  • Abort Request (Close Connection)


Đã có DENY thì cũng sẽ có ALLOW, bao giờ cũng thế. Nhìn qua bên cột phải sẽ thấy SHOW ALLOWED ADDRESS…Bấm vào nó! 
Nhìn bên khung ACTIONS, chọn ADD ALLOW ENTRY 

Cửa sổ hiện ra, ta cho biết địa chỉ IP hoặc dãy địa chỉ IP nào không bị ảnh hưởng bởi những giới hạn mà ta đã cấu hình ở trên 

Bước cấu hình thế là xong! Quá đơn giản phải ko? 
- KIỂM TRA: 
Để kiểm tra thì ta có nhiều cách để kiểm tra, đơn giản như….DDoS thử thì biết. Lấy ví dụ: ở đây mình sẽ giảm thông số MAXIMUM NUMBER OF COCURRENT REQUEST xuống còn 1. Rồi vào Client truy cập đến Website, nhấn F5 vài phát sẽ hiện ra thông báo lỗi như sau. 

Chúc các bạn cấu hình thành công!

Chung nhan Tin Nhiem Mang
Bản quyền ©2011 thuộc về Trung tâm Chuyển đổi số tỉnh Quảng Ngãi
Địa chỉ: 118 Hùng Vương, thành phố Quảng Ngãi, tỉnh Quảng Ngãi.
Điện thoại: Hỗ trợ chữ ký số: 0255 3828022  - Trung tâm Dữ liệu tỉnh: 02553 847768  - Hỗ trợ kỹ thuật: 0255 3 718 167 - Giám đốc: Di động: 0941.121.279 - Zalo: 0941.121.279
Email: trungtam-stttt@quangngai.gov.vn Website: nuian.vn
Số giấy phép: 02/GP-TTĐT cấp ngày 30/5/2018 của Sở Thông tin và Truyền thông Quảng Ngãi
 
THỐNG KÊ TRUY CẬP
  • 392 Đang truy cập:
  • Tổng lượt: