Dynamic IP Restriction là một module mới được thiết kế trên nền IIS7, với mục đích chống DoS và khai thác Brute force trên website. Dynamic IP Restriction cung cấp tính năng tự động từ chối client khi số lượng kết nối vượt ngưỡng cho phép hay số lượng request đến quá nhanh trong khoảng thời gian chỉ định. Tính năng này như 1 mini IPS, là một công cụ hỗ trợ để bảo vệ hệ thống khi không có 1 IPS hay Firewall đủ mạnh.
Để luôn cho phép 1 IP hay Domain chọn: Add Allow Entry -> Nhập IP hay Domain được truy cập:
Từ chối tường minh 1 IP hay Domain: chọn Add Deny Entry -> Nhập IP hay Domain cấm truy cập:
Để chặn theo dải IP tích vào (IP address range)
ví dụ:
Chặn hết dải ip 123.123.6.0 - 123.123.6.255
Nhập địa chỉ IP: 123.123.6.0
Mặt nạ hoặc tiền tố: 255.255.255.0
--------- & ---------
Cấm nửa dưới: 123.123.6.1 - 123.123.6.127
Nhập địa chỉ IP: 123.123.6.0
Mặt nạ tiền tố: 255.255.255.128
--------- & ---------
Cấm nửa trên: 123.123.6.128 - 123.123.6.254
Nhập địa chỉ IP: 123.123.6.128
Mặt nạ tiền tố: 255.255.255.128
Căn cứ theo bảng CIDR dưới đây để áp dụng theo thực tế:
Bảng mạng con CIDR
Mặt nạ mạng con |
Tiền tố CIDR |
Tổng số IP |
IP có thể sử dụng |
Số mạng lớp C |
255.255.255.255 |
/ 32 |
1 |
1 |
1 / 256 |
255.255.255.254 |
/ 31 |
2 |
0 |
1/128 |
255.255.255.252 |
/ 30 |
4 |
2 |
1/64 |
255.255.255.248 |
/ 29 |
8 |
6 |
1/32 |
255.255.255.240 |
/ 28 |
16 |
14 |
1/16 |
255.255.255.224 |
/ 27 |
32 |
30 |
1/8 |
255.255.255.192 |
/ 26 |
64 |
62 |
1/4 |
255.255.255.128 |
/ 25 |
128 |
126 |
1 nửa |
255.255.255.0 |
/ 24 |
256 |
254 |
1 |
255.255.254.0 |
/ 23 |
512 |
510 |
2 |
255.255.252.0 |
/ 22 |
1024 |
1022 |
4 |
255.255.248.0 |
/ 21 |
2048 |
2046 |
số 8 |
255.255.240.0 |
/ 20 |
4096 |
4094 |
16 |
255.255.224.0 |
/19 |
8192 |
8190 |
32 |
255.255.192.0 |
/ 18 |
16.384 |
16.382 |
64 |
255.255.128.0 |
/ 17 |
32.768 |
32.766 |
128 |
255.255.0.0 |
/ 16 |
65,536 |
65,534 |
256 |
255.254.0.0 |
/ 15 |
131.072 |
131.070 |
512 |
255.252.0.0 |
/ 14 |
262.144 |
262.142 |
1024 |
255.248.0.0 |
/ 13 |
524.288 |
524.286 |
2048 |
255.240.0.0 |
/ 12 |
1.048.576 |
1.048.574 |
4096 |
255.224.0.0 |
/ 11 |
2.097.152 |
2.097.150 |
8192 |
255.192.0.0 |
/ 10 |
4.194.304 |
4.194.302 |
16.384 |
255.128.0.0 |
/ 9 |
8,388,608 |
8.388.606 |
32.768 |
255.0.0.0 |
/ 8 |
16.777.216 |
16.777.214 |
65,536 |
254.0.0.0 |
/ 7 |
33,554,432 |
33.554.430 |
131.072 |
252.0.0.0 |
/ 6 |
67.108.864 |
67.108.862 |
262.144 |
248.0.0.0 |
/ 5 |
134.217.728 |
134.217.726 |
1.048.576 |
240.0.0.0 |
/4 |
268,435,456 |
268,435,454 |
2.097.152 |
224.0.0.0 |
/ 3 |
536.870.912 |
536.870.910 |
4.194.304 |
192.0.0.0 |
/ 2 |
1.073.741.824 |
1.073.741.822 |
8,388,608 |
128.0.0.0 |
/ 1 |
2.147.483.648 |
2.147.483.646 |
16.777.216 |
0,0.0,0 |
/ 0 |
4.294.967.296 |
4.294.967.294 |
33,554,432 |
Căn cứ bảng trên:
Ví dụ để ADD Allow cho (dải IP Cloudflare 162.158.0.0/15)
Nhập địa chỉ IP: 162.158.0.0
Mặt nạ con (Mask or Prefix): 255.254.0.0
Để cấm các kết nối từ user nghi ngờ DoS sử dụng chức năng Edit Dynamic Restriction:
– Deny IP Address based on the number of concurrent requests: cho phép tối đa số kết nối đồng thời, dùng hạn chế Brute force.
– Deny IP Addressed based on number ò requests over a period of time: giới hạn số request trong khoảng thời gian. Ta có thể tính số lượng đối tượng (hình ảnh, …) của trang web để giới hạn số request bất hợp lệ, tránh chỉ định quá nhỏ dẫn đến người dùng không thể truy cập các đối tượng trên web.
– Time period: khung thời gian
– Deny for time period: thời gian khóa, sau thời gian này IP sẽ được remove khỏi list, bạn sẽ truy cập lại được. Vd khi bị brute force IP sẽ bị khóa trong thời gian 10s
– Action type: thông tin mã lỗi.