Come limitare i domini non autorizzati che puntano all'indirizzo IP del mio sito Web


8

Ho scoperto che alcuni domini (vale a dire bajajra.com) puntano all'indirizzo IP del mio sito Web. Sto utilizzando IIS 10 per ospitare il mio sito Web. Come posso limitare l'accesso a tutti questi domini non autorizzati?

Questa domanda è simile a questa , ma sto cercando una soluzione basata su IIS. Come posso farlo in modo che il mio sito web sia accessibile solo dal mio nome di dominio (es. Esempio.com)?


1
Sebbene non "limiti" l'accesso, se si utilizza HTTPS, altri domini causeranno agli utenti la visualizzazione di un errore del certificato quando lo visitano, facendo così sapere loro che qualcosa non va.
Scott Stevens,

1
Non puoi impedire loro di indicare il loro indirizzo sul tuo server. Quello che puoi fare è assicurarti che la pagina predefinita che il tuo server offre quando gli viene richiesto un host per cui non ha specifiche non sia del tutto utile.
Shadur,

Risposte:


12

Ci sono due problemi che potresti descrivere qui. Il primo è qualcuno che sta semplicemente configurando un'associazione DNS al tuo indirizzo IP. Prevenire questo in IIS è estremamente semplice. È sufficiente modificare i collegamenti dei nomi host in IIS in modo tale che il contenuto venga offerto solo quando vengono richiesti nomi host particolari. Molto probabilmente al momento esiste un'associazione con caratteri jolly che dovrai rimuovere, in modo che solo i collegamenti che intendi possano essere risolti. (Questo è anche il modo in cui più siti Web possono essere ospitati su un singolo server Web IIS.)

Dalle connessioni IIS, potrai fare clic con il pulsante destro del mouse su un determinato sito per accedere alla finestra di dialogo "Modifica collegamenti ...".

Impostazioni del sito IIS

Questa finestra di dialogo mostrerà tutte le impostazioni dei binding per le richieste a cui questo sito dovrebbe rispondere. Il nome host è il nome host valido per il quale l'associazione dovrebbe risolvere questo sito. Un sito può avere molti collegamenti distinti, come mostrato qui.

Finestra di dialogo vincolante IIS

Le impostazioni su un particolare bind consentono di impostare il nome host che dovrebbe essere risolto su questo sito. Puoi anche impostare cose come le configurazioni di certificati SSL qui.

Impostazioni di associazione IIS

Il secondo possibile problema è l'hot-linking. Con hot-linking, non è una chiamata diretta al tuo indirizzo IP, ma piuttosto impostare qualcosa su un dominio diverso per fare riferimento a cose sul tuo dominio. Questo può essere fatto in diversi modi, ma la maggior parte di essi richiede che almeno alcuni server forniscano istruzioni prima di accedere al tuo sito. Il collegamento a caldo è un po 'più difficile da prevenire, ma è possibile impostare test sul referrer che richiede un asset e fornire l'asset solo se il referrer corrisponde. Poiché il browser client fornisce queste informazioni, sarà difficile per una terza parte tentare di fare in modo che il browser fornisca informazioni errate al server e quindi il filtro dovrebbe essere generalmente efficace.


grazie per dare un'occhiata alla mia domanda, sembra che sia la prima possibilità nel mio caso (ho provato a cercare nslookup per il sito Web e l'indirizzo IP è uguale al mio). Per risolverlo, ho provato 1. Abilitare la limitazione del dominio su IIS 2. Quindi aggiungendo solo una voce di consenso, vale a dire per il mio dominio e negare per tutti i client non elencati Tuttavia, non funziona come previsto. Aiutami a identificare esattamente dove devo rimuovere il carattere jolly come hai menzionato o quali sono i passaggi per limitare l'accesso per tutti i nomi di dominio diversi da quello che possiedo.
Vikas Sharma,

@VikasSharma dai un'occhiata alla mia modifica. Ho aggiunto schermate dal mio server IIS. La configurazione del mio server è un po 'più complessa di quanto possa sembrare la tua, ma dovrebbe darti un'idea di come dovrebbe essere. Probabilmente non avrai tanti siti, indirizzi IP o nomi host distinti come me, ma potresti finire per utilizzare più bind o eventualmente solo un jolly parziale (ex "* .yourdomain.com") Nel mio caso, volevo solo sottodomini specifici da risolvere e ho alcuni sottodomini con siti o regole di routing diversi (o non gestiti affatto da IIS).
AJ Henderson,

Grazie! Ha funzionato per me. Come hai detto, nel mio caso è sufficiente aggiungere il carattere jolly parziale "* .tuodominio.com". Tuttavia, ho ancora un dubbio, è necessario fornire l'indirizzo IP o (Che danno può fare "" tutti gli IP non assegnati "?)
Vikas Sharma,

@VikasSharma - va bene usare tutti gli indirizzi IP nel tuo caso. Devo utilizzare indirizzi IP specifici perché ho servizi che non eseguono il routing tramite IIS, quindi non riesco a collegarli e ho alcuni IP IPv6 che non voglio risolvere determinati siti poiché sto utilizzando indirizzi IPv6 specifici del servizio. Il mio server risponde a oltre 30 indirizzi IP (principalmente IPv6, anche se ho avuto più indirizzi IPv4 in un punto in cui avevo bisogno di impedire la ricerca inversa per un po 'su un dominio) e un altro punto in cui avevo un server multimediale in streaming che ne aveva bisogno proprio bind IP separato.
AJ Henderson,

Sembra peggio di così ... molto probabilmente un attacco al ranking di ricerca di Google. A volte concorrenti o rivenditori loschi configureranno un sito Web "falso" che assomiglia al tuo sito reale o un altro concorrente inventato. Potrebbero persino estrarre risorse di immagini e CSS dal tuo sito reale. Quindi rovineranno la reputazione di quel sito su Google. Infine, ti indirizzeranno quel sito con una voce DNS (che è ciò che penso che l'OP stia vedendo) e utilizzeranno reti di link da siti ombreggiati simili per convincere Google ad associare questo sito alla tua vera attività, e quindi ferire il tuo Classifica di Google.
Joel Coel,

-1

C'è molto poco che puoi fare per impedire all'amministratore di un altro dominio di utilizzare il tuo IP nel loro record A.

Se ritieni che stiano cercando di violare alcune leggi o ferire la tua attività in tal modo, potresti portare il problema all'attenzione del loro fornitore di servizi DNS o registrar.

L'altra risposta qui, relativa al filtraggio dei nomi server http, può aiutarti a ignorare le loro azioni e limitare il danno che possono arrecarti. Ma romperà il tuo sito per qualsiasi browser che non supporta i nomi host http.

Considera anche quanto sarebbe facile per bajajra.com utilizzare semplicemente un proxy web di inoltro diretto al tuo sito. Limitare i nomi server consentiti (come indicato nell'altra risposta) non lo fermerà e di fatto metterà i tuoi clienti a maggior rischio perché l'aggressore sarà in grado di utilizzare il proxy per spiarli e manomettere i tuoi contenuti.


1
L'host è l'unica intestazione della richiesta obbligatoria in HTTP / 1.0 e HTTP / 1.1, quasi tutti i server ti daranno una risposta di 400 richieste errate se la ometti.
Nulano,

Vero. Tuttavia, non tutto il traffico Internet è http. Un record A da solo non significa web. Chissà cosa sta facendo il cattivo.
Billy C.

2
But it will break your site for any browser that doesn't support http hostnames.HTTP / 1.1 è in circolazione da 20 anni ormai e se sei uno dei pochissimi che usano un browser che non lo supporta, non è il problema dei webmaster.
ub3rst4r,

3
@Nulano Hostnon fa parte di HTTP / 1.0, anche se la maggior parte dei browser lo fornisce e i server lo accettano comunque. È stato aggiunto / richiesto in HTTP / 1.1.
Bob,

Non posso essere d'accordo sul fatto che puoi fare ben poco. Puoi fare un sacco se indirizzano il dominio sul tuo server. Puoi modificare ciò che viene visualizzato a qualsiasi utente che accede al dominio per renderlo ovviamente diverso, potresti persino ottenere un certificato SSL valido per il sito utilizzando la convalida del dominio basato su file Let's Encrypt. Nessun browser remoto moderno non supporta i nomi host, quindi è solo stupido, i sottodomini non funzionerebbero e questo blocca già una parte significativa del web.
AJ Henderson,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.