مطلب، مقاله فنی و اطلاع رسانی فعالیت واحد هاستینگ و ثبت دامنه شرکت رادکام

هنگام حمله برروی سایت ویندوزی چه باید کرد؟

زمانی که سایت شما خطا داده و در دسترس نمیباشد اولین قدم بررسی لاگ سایت است تا ترافیک ورودی و خطای تولید شده در اپلیکیشن شناسایی و سپس بر اساس ان راه حلی ارائه گردد. با مطالعه لاگ مشخص میشود این خطا ناشی از خطا در کد و نرم افزار است و یا حمله روی سایت وجود دارد.
در این مقاله قصد بررسی مشکلات و خطاهایی را داریم که از حمله روی سایت ویندوزی ناشی شده و نحوه کانفیگ و مقابله با ان را میبینیم. زمانی که حملات روی سایت رخ میدهد شما ممکن است خطای 503 دریافت کنید و یا time out بگیرید و دامنه resolve نشود ( ns های دامنه به درستی تنظیم است)

مواردی که برای مقابله با این حملات انجام میشود:

به طور کلی مصرف cpu را محدود کرده تا در صورت حمله روی یک سایت همه منابع سرور درگیر نشده و سرور از دسترس خارج نشود (به خصوص این مورد در سرور های ویندوزی مهم است زیرا بر خلاف لینوکسی ها با بالا رفتن لود سرور به سرعت از دسترس خارج میشود) برای این منظور در تنظیمات app pool مصرف cpu را محدود به درصد مشخص کنید.

app-pool
حالا که این حمله مشکل کلی روی سرور ایجاد نمیکند باید تنظیماتی را بررسی کنیم که مشکلات را برای سایت به حداقل رسانده و از حملات روی ان جلوگیری کند . دقت کنید پیش فرض تمامی تنظیمات فایروال های سخت افزاری و نرم افازی و انتی ویروس به طور کامل انجام شده و این حملات در سطح اپلیکیشن های سایت است که مشکل در طراحی دارند.
گاهی حمله از ip/subnet مشخصی باشد به راحتی در فایروال ان را میبندیم اما در برخی موارد حملات به طور پیوسته در زمان های مختلف وجود دارد و ای پی ان مدام تغییر کرده و قابل بلاک نیست برای چنین سایت هایی که مداوم در معرض حملات مختلف قرار دارند تنظیمات و محدودیت در iis انجام میشود.

نکته : iran access کردن راه حل بسیار موثری است که با توجه به محدودیت های ایجاد کرده راه حل جامع و همیشگی نیست لذا به بررسی دیگر موارد میپردازیم

در این مرحله دو راهکار وجود دارد که ترافیک مخرب توسط iis بلاک شود.


استفاده از قابلیت dynamic ip filtering در این جا شما مشخص میکنید که در صورتی که در بازه مضخصی تعداد request ها از تعداد مشخصی بالا تر رفت بلاک شده و اگر از یک ای پی بیشتر از 5 درخواست همزمان ارسال شد ان ای پی بلاک شود.
نکته : در اینجا منظور از request کلیه درخواست هایی است که برای لود یک صفحه به سمت سرور ارسال میشود نه تعداد لود و مشاهده ادرس های مختلف سایت.
این مورد در مواقعی که ترافیک عادی سایت کم است راه حل خوبی نیست و دقت کمتری دارد لذا احتمال بلاک شدن ترافیک نرمال شبکه وجود دارد و کاربر مدام خطا 403 دریافت میکند.

dynamic-ip-filtering


راه حل دوم استفاده از request filtering : این قسمت تنظیمات بسیار زیادی برای انواع مسائل وجود دارد که طبق داکیومنت مایکروسافت میتوانید موارد مختلف را مطالعه نمایید. در این مقاله به بررسی رولی میپردازیم که ترافیک بات های حمله کننده را بلاک میکند.
ابتدا باید پارامتری که نشان دهنده این بات باشد پیدا کنید برای منظور باید لاگ را در بازه ای مشخص مثلا 24 ساعت بررسی کرده و ترافیک ای پی های خارج از ایران که user agent ان باتی غیر از بات های گوگل ، بینگ و... است پیدا کنید. چیزی شبیه به خط زیر در لاگ :


#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs-version cs(User-Agent) cs(Referer) cs-host sc-status sc-substatus sc-win32-status sc-bytes cs-bytes time-taken
2021-04-19 06:30:08 x.x.x.x GET /Service/3/طراحی-فروشگاه-اینترنتی- 80 - 139.28.238.151 HTTP/1.1 Mozilla/5.0+(compatible;+MJ12bot/v1.4.8;+http://mj12bot.com/) -  200 0 121 0 536 5085022

حالا که user agent مشخص شده در iis به ترتیب زیر کانفیگ را انجام دهید
requestfiltering


نام را وارد کنید
تعداد کاراکتر باقیمانده: 1000
نظر خود را وارد کنید