Dynamic IP Restrictions for IIS

Czasem pojawia sie jakis nowy produkt, który moze nie jest specjalnie odkrywczy, ale i tak cieszy. Dla mnie przykladem takiego wynalazka jest tytulowy Dynamic IP Restrictions for IIS. Cala idea jest bardzo prosta: skoro z jednego adresu IP, do naszego IISa przychodzi zbyt wiele zadan, to moze ten adres IP jest niegrzeczny i nalezaloby go zablokowac?

Koncepcja stara jak serwery w Internecie, ale do tej pory wymagala kombinowania. OK., powiedzmy, ze nawet ten produkt nie jest nowy, ale wersja beta 2 jest calkiem swieza i a nuz warto ja obejrzec?

Najcenniejsza funkcjonalnoscia jest ograniczanie zapedów rozmaitych automatów, które od serwera IIS chca za duzo i za szybko. W praktyce oznacza to albo jakies skanowanie, albo automaty odgadujace haslo albo atak DoS. Po zainstalowaniu dodatku, w konsoli zarzadzajacej IIS pojawia sie nowa ikonka pozwalajaca na zablokowanie zadan z danego adresu IP jezeli jest ich zbyt duzo równoczesnie lub jezeli ich ilosc bedzie zbyt duza w zadanym czasie.

Proste i dziala. Oczywiscie mozna tez skonfigurowac adresy, które nigdy nie zostana zablokowane. Blokady sa oczywiscie logowane.

Zablokowanie zadan w praktyce oznacza jedna z trzech rzeczy:

• Zerwanie polaczenia i brak jakiejkolwiek odpowiedzi
• Odpowiedz z kodem 404
• Odpowiedz z kodem 403

Klient dostaje wtedy ladny IISowy komunikat, który oczywiscie mozna dowolnie zmodyfikowac.

Jak dla mnie, Microsoft Dynamic IP Restrictions for IIS jest kandydatem na obowiazkowa pozycje na wszelkich "checklistach" dla serwerów IIS.

Autor: Grzegorz Tworek [MVP]

Comments

• Anonymous
  January 01, 2003
  Bardzo ciekawa funkcjonalność.

• Anonymous
  January 01, 2003
  Nie słyszałem o tym - a bardzo fajna rzecz :)