Cara membatasi domain tidak sah yang mengarah ke alamat IP situs web saya

Saya menemukan bahwa beberapa domain (yaitu bajajra.com) menunjuk ke alamat IP situs web saya. Saya menggunakan IIS 10 untuk meng-host situs web saya. Bagaimana saya bisa membatasi akses ke semua domain yang tidak sah tersebut?

Pertanyaan ini mirip dengan yang ini , tetapi saya mencari solusi berdasarkan IIS. Bagaimana saya membuatnya sehingga situs web saya hanya dapat diakses dari nama domain saya (mis. Example.com)?

domain-name-system .net iis

— Vikas Sharma
sumber

Meskipun tidak akan "membatasi" akses, jika Anda menggunakan HTTPS, domain lain akan menyebabkan pengguna melihat kesalahan sertifikat ketika mereka mengunjunginya, sehingga membuat mereka tahu ada sesuatu yang salah.

— Scott Stevens

Anda tidak dapat menghentikan mereka untuk menunjuk alamat mereka di server Anda. Apa yang dapat Anda lakukan adalah memastikan halaman default yang ditawarkan server Anda ketika diminta untuk host yang tidak memiliki spesifikasi sama sekali tidak membantu.

— Shadur

Jawaban:

Ada dua masalah yang bisa Anda uraikan di sini. Yang pertama adalah seseorang hanya mengatur DNS yang mengikat ke alamat IP Anda. Mencegah ini dalam IIS sangat sederhana. Anda cukup mengubah binding nama host di IIS sehingga konten Anda hanya disajikan ketika nama host tertentu diminta. Kemungkinan besar saat ini ada wildcard binding yang harus Anda hapus juga sehingga hanya binding yang Anda inginkan yang bisa diatasi. (Ini juga cara beberapa situs web dapat di-host pada satu server web IIS.)

Dari koneksi IIS, Anda dapat mengeklik kanan situs tertentu untuk mengakses dialog "Edit Bindings ...".

Dialog ini akan menampilkan semua pengaturan binding untuk permintaan apa yang harus ditanggapi oleh situs ini. Nama host adalah nama host yang valid yang mengikat harus diselesaikan ke situs ini. Satu situs dapat memiliki banyak ikatan berbeda, seperti yang terlihat di sini.

Pengaturan pada pengikatan tertentu memungkinkan Anda mengatur nama host yang harus diselesaikan ke situs ini. Anda juga dapat mengatur hal-hal seperti konfigurasi sertifikat SSL di sini.

Masalah kedua yang mungkin terjadi adalah hot-linking. Dengan hot-linking, ini bukan panggilan langsung ke alamat IP Anda, melainkan menyiapkan sesuatu di domain yang berbeda untuk merujuk hal-hal di domain Anda. Ini dapat dilakukan melalui beberapa cara yang berbeda, tetapi kebanyakan dari mereka memerlukan setidaknya beberapa server untuk memberikan instruksi sebelum mengakses situs Anda. Hotlinking sedikit lebih sulit untuk dicegah, tetapi Anda dapat mengatur tes tentang pengarah meminta aset dan hanya menyediakan aset jika pengarah cocok. Karena peramban klien menyediakan informasi ini, akan sulit bagi pihak ketiga untuk berusaha membuat peramban memberikan informasi yang salah ke server Anda dan karenanya penyaringan harus efektif secara umum.

— AJ Henderson
sumber

terima kasih telah melihat pertanyaan saya, sepertinya ini adalah kemungkinan pertama dalam kasus saya (saya mencoba mencari nslookup untuk situs web dan alamat ip sama seperti milik saya). Untuk mengatasinya, saya mencoba 1. Mengaktifkan pembatasan domain di IIS 2. Kemudian menambahkan hanya satu izin yaitu untuk domain saya dan menolak untuk semua klien yang tidak terdaftar Namun, itu tidak berfungsi seperti yang diharapkan. Tolong bantu saya untuk mengidentifikasi di mana tepatnya saya harus menghapus pengikatan wildcard seperti yang Anda sebutkan atau apa langkah-langkah untuk membatasi akses untuk semua nama domain selain yang saya miliki.

— Vikas Sharma

@VikasSharma lihat hasil edit saya. Saya telah menambahkan tangkapan layar dari server IIS saya. Konfigurasi server saya sedikit lebih rumit daripada yang Anda perlukan, tetapi itu akan memberi Anda gambaran seperti apa bentuknya. Anda mungkin tidak akan memiliki banyak situs, alamat IP, atau nama host sebanyak yang saya miliki, tetapi Anda mungkin akan menggunakan banyak binding atau mungkin hanya wildcard parsial (ex "* .domainAnda.com") Dalam kasus saya, saya hanya ingin subdomain khusus untuk diselesaikan dan saya memiliki beberapa subdomain dengan situs atau aturan perutean yang berbeda (atau tidak ditangani sama sekali oleh IIS.)

— AJ Henderson

Terima kasih! Ini berhasil untuk saya. Seperti yang Anda sebutkan, dalam kasus saya menambahkan wildcard parsial "* .domainanda.com" sudah cukup. Namun, saya punya satu keraguan lagi, Apakah perlu memberikan alamat IP atau (Apa salahnya dapat "" semua IP yang belum ditugaskan "dapat melakukannya?)

— Vikas Sharma

@VikasSharma - boleh saja menggunakan semua alamat IP dalam kasus Anda. Saya harus menggunakan IP tertentu karena saya memiliki layanan yang tidak merutekan melalui IIS sehingga saya tidak dapat mengikat mereka dan memiliki beberapa IP IP6 yang saya tidak ingin menyelesaikan situs-situs tertentu karena saya menggunakan alamat IP-6 spesifik layanan. Server saya merespons 30+ alamat IP (kebanyakan IPv6, meskipun saya sudah memiliki beberapa alamat IPv4 pada satu titik di mana saya perlu mencegah pencarian terbalik untuk sementara waktu di satu domain) dan titik lain di mana saya memiliki server media streaming yang memerlukannya memiliki IP binding yang terpisah.

— AJ Henderson

Kedengarannya lebih buruk dari ini ... lebih mungkin serangan peringkat pencarian Google. Terkadang pesaing atau pemasar gelap akan membuat situs web "palsu" yang terlihat seperti situs asli Anda, atau pesaing buatan lainnya. Mereka bahkan dapat menarik sumber gambar dan css dari situs asli Anda. Kemudian mereka akan membuang reputasi situs itu di Google. Akhirnya, mereka akan mengarahkan situs itu kepada Anda dengan entri DNS (yang menurut saya dilihat OP), dan menggunakan jaringan tautan dari situs teduh serupa untuk membuat Google mengaitkan situs ini dengan bisnis Anda yang sebenarnya, dan oleh karena itu melukai Anda Peringkat Google.

— Joel Coel

-1

Ada sangat sedikit yang dapat Anda lakukan untuk mencegah administrator domain lain menggunakan IP Anda dalam catatan A.

Jika Anda merasa mereka mencoba untuk melanggar hukum atau melukai bisnis Anda dengan melakukan hal itu, Anda dapat membawa masalah ini ke perhatian penyedia dns mereka, atau pendaftar.

Jawaban lain di sini, tentang memfilter nama server http, dapat membantu Anda mengabaikan tindakan mereka, dan membatasi kerusakan yang dapat mereka lakukan terhadap Anda. Tetapi itu akan merusak situs Anda untuk browser apa pun yang tidak mendukung nama host http.

Pertimbangkan juga betapa mudahnya bagi bajajra.com untuk hanya mengoperasikan proxy web penerusan yang diarahkan ke situs Anda. Membatasi nama server yang Anda izinkan (seperti yang disediakan dalam jawaban lain) tidak akan menghentikan itu, dan itu sebenarnya akan menempatkan pelanggan Anda pada risiko yang lebih besar karena penyerang akan dapat menggunakan proxy untuk memata-matai mereka dan merusak konten Anda.

— Billy C.
sumber

Host adalah satu-satunya header permintaan wajib dalam HTTP / 1.0 dan HTTP / 1.1, hampir semua server akan memberi Anda 400 Permintaan Buruk Permintaan jika Anda mengabaikannya.

— Nulano

Benar. Tidak semua traffic internet adalah http. Catatan A saja tidak berarti web. Siapa yang tahu apa yang orang jahat lakukan.

— Billy C.

But it will break your site for any browser that doesn't support http hostnames.HTTP / 1.1 telah ada selama 20 tahun sekarang dan jika Anda salah satu dari sedikit yang menggunakan browser yang tidak mendukungnya, itu bukan masalah webmaster.

— ub3rst4r

@Nulano Hostbukan bagian dari HTTP / 1.0, meskipun sebagian besar browser menyediakannya dan server tetap menerimanya. Itu ditambahkan / diperlukan di HTTP / 1.1.

— Bob

Saya tidak setuju ada sangat sedikit yang dapat Anda lakukan. Anda dapat melakukan satu ton jika mereka mengarahkan domain ke server Anda. Anda dapat mengubah apa yang ditampilkan kepada setiap pengguna yang mengakses domain untuk membuatnya berbeda, Anda bahkan bisa mendapatkan sertifikat SSL yang valid untuk situs menggunakan validasi domain berbasis file Let's Encrypt. Tidak ada peramban modern dari jarak jauh yang tidak mendukung nama host sehingga itu konyol, subdomain tidak akan berfungsi dengan baik dan sudah memblokir sebagian besar web.

— AJ Henderson