1. Chống DDoS trên IIS 7
Trong bài vi t này, mình s gi i thi u các b n v các ch ng DDoS trên IIS7 b ng cách sế ẽ ớ ệ ạ ề ố ằ ử
d ng Extension là Dynamic IP Restrictions v i m c đích h n ch các tác nhân DDoS vàụ ớ ụ ạ ế
khai thác Brute force trên webiste c a b n. Dynamic IP Restrictions cung c p tính năngủ ạ ấ
t đ ng t ch i Request t Client khi s l ng k t n i v t ng ng cho phép hay sự ộ ừ ố ừ ố ượ ế ố ượ ưỡ ố
l ng request đ n quá nhanh trong m t th i gian xác đ nh. Đây có th coi là m t gi iượ ế ộ ờ ị ể ộ ả
pháp an toàn và free khi mà chúng ta ko có 1 con Firewall đ m nh cho h th ngủ ạ ệ ố
Download:
V Dynamic IP Restrictions chúng ta có th down t i link d i đây:ề ể ạ ướ
B n 32 bit:ả http://go.microsoft.com/?linkid=9655674
B n 64 bit:ả http://go.microsoft.com/?linkid=9655675
Cài đ t:ặ
Quá trình cài đ t đ n gi n nh bao ph n m m khác, mình b qua b c này nhéặ ơ ả ư ầ ề ỏ ướ
C u hình:ấ
Khi cài đ t xong, vào IIS chúng ta s th y có 1 “thành ph n” m i xu t hi n. Em nó tênặ ẽ ấ ầ ớ ấ ệ
là Dynamic IP Restrictions nh đã gi i thi u trênư ớ ệ ở
2. Click đôi vào Dynamic IP Restrictions đ vào giao di n c u hình chính.ể ệ ấ
3. Trong Deny Criteria có 2 lo i chính đó là:ạ
• Deny IP Address based on the number of concurrent request: Ch n IP c a Clientặ ủ
theo s l ng k t n i.ố ượ ế ố
• Deny IP Address based on the number of request over a period of time: Ch n IPặ
c a Client theo s l ng Request trong kho n th i gian ch đ nh.ủ ố ượ ả ờ ỉ ị
Ví d nh hình trên, mình đã cho phép t i đa 5 k t n i đ n đ ng th i và t i đa 20ụ ư ở ố ế ố ế ồ ờ ố
Request trong kho n th i gian 200 mili giây đ n t 1.ả ờ ế ừ
4. Nhìn xu ng d i có thêm cái Deny Action Type. Đây là lo i thông báo l i mà chúng taố ướ ạ ỗ
mu n hi n th lên trình duy t khi Client b ch n.ố ể ị ệ ị ặ
Có 4 lo i thông báo l i:ạ ỗ
• Send 401 (Unauthorized)
• Send 403 (Forbidden)
• Send 404 (NotFound)
• Abort Request (Close Connection)
Đã có Deny thì cũng s cóẽ Allow, bao gi cũng th . Nhìn qua bên c t ph i s th yờ ế ộ ả ẽ ấ Show
Allowed Address…B m vào nó!ấ
Nhìn bên khung Actions, ch nọ Add Allow Entry
5. C a s hi n ra, ta cho bi t đ a ch IP ho c dãy đ a ch IP nào không b nh h ng b iử ổ ệ ế ị ỉ ặ ị ỉ ị ả ưở ở
nh ng gi i h n mà ta đã c u hình trênữ ớ ạ ấ ở
6. B c c u hình th là xong! Quá đ n gi n ph i ko?ướ ấ ế ơ ả ả
Ki m tra:ể
Đ ki m tra thì ta có nhi u cách đ ki m tra, đ n gi n nh ….DDoS th thì bi t.ể ể ề ể ể ơ ả ư ử ế
L y ví d : đây mình s gi m thông s Maximum number of cocurrent request xu ngấ ụ ở ẽ ả ố ố
còn 1. R i vào Client truy c p đ n Website, nh n F5 vài phát s hi n ra thông báo l iồ ậ ế ấ ẽ ệ ỗ
nh sau:ư