Networking

Windows Server 2008 R2 + IIS 7:如何拒絕給定域/埠的流量

  • October 13, 2016

我們有一個執行 IIS 7 的 Windows Server 2008 R2 實例,為多個域(所有埠 80 或 443)上的多個網站/Web 服務提供服務。

我們有一個特定子域/埠的安全問題,我想將伺服器配置為根本不響應該子域/埠組合(即,甚至沒有 TCP 響應……SYN應該沒有收到相應ACK的,好像伺服器甚至不存在)。

我不是經驗豐富的網路管理員,在 Windows 上更是如此。使用 Microsoft 網路監視器,我可以看到某些東西正在接聽電話並以 404 響應:

在此處輸入圖像描述

“程序”欄位是空白的,所以我不知道實際接電話的是什麼。我懷疑它一定是 IIS,但是沒有配置網站來響應這個特定的域/埠。我想也許“預設網站”會擷取所有未配置的流量,但是當我在預設網站上設置失敗的請求監控時,我沒有得到任何日誌。

我想防火牆條目可能會完成這項工作,但我想知道在走這條路線之前事情實際上是如何工作的。什麼是對這個網路請求的響應,我該如何找到?然後我可以將該組件配置為不響應這些請求嗎?

更新:根據@Mass Nerder 的評論,我跑了netstat -anb,我得到以下埠 80(有問題的埠):

 TCP    0.0.0.0:80             0.0.0.0:0              LISTENING
Can not obtain ownership information
 TCP    172.17.63.2:80         50.205.86.154:37961    ESTABLISHED
Can not obtain ownership information
 TCP    172.17.63.2:80         50.205.86.154:54097    ESTABLISHED
Can not obtain ownership information
 TCP    172.17.63.4:80         69.66.192.88:53898     ESTABLISHED
Can not obtain ownership information
 TCP    172.17.63.4:80         69.66.192.88:53899     ESTABLISHED
Can not obtain ownership information
 TCP    172.17.63.4:80         69.66.192.88:53900     ESTABLISHED
Can not obtain ownership information
 TCP    [::]:80                [::]:0                 LISTENING
Can not obtain ownership information

我假設伺服器直接位於 DMZ 或網路上,否則您可以在實際防火牆上進行過濾。如果沒有目的地,我無法說出您要阻止的內容。是 IP:80 流量嗎?您要求“甚至沒有 TCP 響應”意味著您根本不必在該 IP 上打開埠,否則 IIS 將回复。

如果您在同一個 IP:port 組合上託管多個域,那麼這不是一個選項。

引用自:https://serverfault.com/questions/808911