Dynamic IP Restrictions for IIS

Dynamic IP Restrictions for IIS

  • Comments 2
  • Likes

Czasem pojawia się jakiś nowy produkt, który może nie jest specjalnie odkrywczy, ale i tak cieszy. Dla mnie przykładem takiego wynalazka jest tytułowy Dynamic IP Restrictions for IIS. Cała idea jest bardzo prosta: skoro z jednego adresu IP, do naszego IISa przychodzi zbyt wiele żądań, to może ten adres IP jest niegrzeczny i należałoby go zablokować?

Koncepcja stara jak serwery w Internecie, ale do tej pory wymagała kombinowania. OK., powiedzmy, że nawet ten produkt nie jest nowy, ale wersja beta 2 jest całkiem świeża i a nuż warto ją obejrzeć?

Najcenniejszą funkcjonalnością jest ograniczanie zapędów rozmaitych automatów, które od serwera IIS chcą za dużo i za szybko. W praktyce oznacza to albo jakieś skanowanie, albo automaty odgadujące hasło albo atak DoS. Po zainstalowaniu dodatku, w konsoli zarządzającej IIS pojawia się nowa ikonka pozwalająca na zablokowanie żądań z danego adresu IP jeżeli jest ich zbyt dużo równocześnie lub jeżeli ich ilość będzie zbyt duża w zadanym czasie.

image

image

Proste i działa. Oczywiście można też skonfigurować adresy, które nigdy nie zostaną zablokowane. Blokady są oczywiście logowane.

Zablokowanie żądań w praktyce oznacza jedną z trzech rzeczy:

  • Zerwanie połączenia i brak jakiejkolwiek odpowiedzi
  • Odpowiedź z kodem 404
  • Odpowiedź z kodem 403

Klient dostaje wtedy ładny IISowy komunikat, który oczywiście można dowolnie zmodyfikować.

image

Jak dla mnie, Microsoft Dynamic IP Restrictions for IIS jest kandydatem na obowiązkową pozycję na wszelkich "checklistach" dla serwerów IIS.

Autor: Grzegorz Tworek [MVP]

Comments
Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment