웹 사이트의 IP 주소를 가리키는 인증되지 않은 도메인을 제한하는 방법


8

일부 도메인 (예 : bajajra.com)이 내 웹 사이트의 IP 주소를 가리키는 것으로 나타났습니다. IIS 10을 사용하여 웹 사이트를 호스팅하고 있습니다. 승인되지 않은 모든 도메인에 대한 액세스를 제한하려면 어떻게해야합니까?

이 질문은 유사하다 이 하나 ,하지만 난 IIS 기반으로 솔루션을 찾고 있어요. 내 도메인 이름 (예 : example.com)에서만 내 웹 사이트에 액세스 할 수 있도록하려면 어떻게해야합니까?


1
액세스를 "제한"하지는 않지만 HTTPS를 사용하는 경우 다른 도메인에서 사용자가 방문 할 때 인증서 오류를 보게되어 잘못된 것을 알려줍니다.
Scott Stevens

1
서버에서 주소를 가리키는 것을 막을 수는 없습니다. 당신이 할 수있는 일은 사양이없는 호스트를 요청할 때 서버가 제공하는 기본 페이지가 완전히 도움이되지 않는 것입니다.
Shadur

답변:


12

여기서 설명 할 수있는 두 가지 문제가 있습니다. 첫 번째는 단순히 IP 주소에 대한 DNS 바인딩을 설정하는 사람입니다. IIS에서이를 방지하는 것은 매우 간단합니다. IIS에서 호스트 이름 바인딩을 변경하면 특정 호스트 이름이 요청 될 때만 콘텐츠가 제공됩니다. 현재 원하는 바인딩 만 해결할 수 있도록 제거해야 할 와일드 카드 바인딩이있을 가능성이 높습니다. (단일 IIS 웹 서버에서 여러 웹 사이트를 호스팅 할 수있는 방법이기도합니다.)

IIS 연결에서 특정 사이트를 마우스 오른쪽 단추로 클릭하여 "바인딩 편집 ..."대화 상자에 액세스 할 수 있습니다.

IIS 사이트 설정

이 대화 상자에는이 사이트가 응답해야하는 요청에 대한 모든 바인딩 설정이 표시됩니다. 호스트 이름은 바인딩이이 사이트로 해석되어야하는 유효한 호스트 이름입니다. 여기에서 볼 수 있듯이 한 사이트에는 많은 고유 바인딩이있을 수 있습니다.

IIS 바인딩 대화 상자

특정 바인딩에 대한 설정을 통해이 사이트로 해석해야하는 호스트 이름을 설정할 수 있습니다. 여기에서 SSL 인증서 구성과 같은 항목을 설정할 수도 있습니다.

IIS 바인딩 설정

두 번째 가능한 문제는 핫 링크입니다. 핫 링크를 사용하면 IP 주소를 직접 호출하는 것이 아니라 도메인의 항목을 참조하기 위해 다른 도메인에 무언가를 설정하는 것입니다. 이 작업은 여러 가지 다른 방법으로 수행 할 수 있지만 대부분 사이트에 액세스하기 전에 최소한 일부 서버에서 지침을 제공해야합니다. 핫 링크는 방지하기가 약간 어렵지만 리퍼러가 자산을 요구하는 테스트를 설정하고 리퍼러가 일치하는 경우에만 자산을 제공 할 수 있습니다. 클라이언트 브라우저가이 정보를 제공하기 때문에 제 3자가 브라우저가 서버에 잘못된 정보를 제공하도록 시도하기가 어려우므로 일반적으로 필터링이 효과적이어야합니다.


내 질문을 살펴 주셔서 감사합니다. 제 경우의 첫 번째 가능성처럼 보입니다 (웹 사이트에서 nslookup을 찾고 IP 주소는 내 것과 같습니다). 이 문제를 해결하기 위해 1. IIS에서 도메인 제한 활성화 2를 시도했습니다. 그런 다음 하나의 허용 항목을 추가하면 내 도메인에 대해 허용되지 않은 모든 클라이언트에 대해 거부합니다. 그러나 예상대로 작동하지 않습니다. 언급 한대로 와일드 카드 바인딩을 정확히 제거해야하는 위치 또는 내가 소유 한 도메인 이름 이외의 모든 도메인 이름에 대한 액세스를 제한하는 단계는 무엇인지 식별하도록 도와주십시오.
Vikas Sharma

@VikasSharma 내 편집 내용을 살펴보십시오. IIS 서버에서 스크린 샷을 추가했습니다. 내 서버의 구성은 당신이 필요로하는 것보다 조금 더 복잡하지만 그것이 어떻게 보일지에 대한 아이디어를 제공해야합니다. 나만큼 많은 고유 한 사이트, IP 주소 또는 호스트 이름을 가지고 있지는 않지만 여러 바인딩 또는 부분 와일드 카드 (예 : "* .yourdomain.com")를 사용하게 될 수도 있습니다. 특정 하위 도메인을 해결하고 다른 사이트 나 라우팅 규칙을 가진 하위 도메인이 있거나 IIS에서 전혀 처리하지 않습니다.
AJ Henderson

감사! 그것은 나를 위해 일했다. 언급했듯이 제 경우에는 와일드 카드 "* .yourdomain.com"을 추가하면 충분합니다. 그러나, 나는 한 번 더 의심을 가지고, 그것은 IP 주소 또는 (? ""할당되지 않은 모든 IP "할 수 있습니다 어떤 피해) 제공하는 것이 필요하다
카스 샤르마

@VikasSharma-귀하의 경우 모든 IP 주소를 사용하는 것이 좋습니다. IIS를 통해 라우팅되지 않는 서비스가 있기 때문에 특정 IP를 사용해야하므로 바인딩 할 수 없으며 서비스 별 IPv6 주소를 사용할 때 특정 사이트를 확인하고 싶지 않은 IPv6 IP가 있습니다. 내 서버는 30 개 이상의 IP 주소 (대부분 IPv6, 한 도메인에서 한동안 역방향 조회를 방지해야하는 지점에 여러 개의 IPv4 주소가 있었지만)와 그에 필요한 스트리밍 미디어 서버가있는 지점에 응답합니다. 별도의 IP 바인딩.
AJ Henderson

Google 검색 순위 공격 일 가능성이 높습니다. 때로는 경쟁 업체 나 그늘진 마케팅 담당자가 실제 사이트처럼 보이는 "가짜"웹 사이트 또는 다른 구성 경쟁 업체를 설정하기도합니다. 실제 사이트에서 이미지 및 CSS 리소스를 가져올 수도 있습니다. 그런 다음 Google에서 해당 사이트의 평판을 버리게됩니다. 마지막으로, 그들은 DNS 항목 (OP가보고 있다고 생각하는 것)으로 해당 사이트를 귀하에게 안내하고 유사한 그늘진 사이트의 링크 네트워크를 사용하여 Google이이 사이트를 실제 비즈니스와 연결하도록하여 구글 순위.
Joel Coel

-1

다른 도메인의 관리자가 자신의 A 레코드에서 IP를 사용하지 못하게 할 수있는 방법은 거의 없습니다.

그들이 법을 어기거나 사업에 상해를 입히려 고한다고 생각한다면, 그 문제를 그들의 dns 제공 업체 또는 등록 기관에 알리십시오.

http 서버 이름 필터링과 관련된 다른 답변은 해당 작업을 무시하고 사용자에게 미칠 수있는 피해를 제한하는 데 도움이 될 수 있습니다. 그러나 http 호스트 이름을 지원하지 않는 모든 브라우저에서는 사이트가 손상됩니다.

또한 bajajra.com이 사이트로 전달되는 전달 웹 프록시를 운영하는 것이 얼마나 쉬운 지 고려하십시오. 허용하는 서버 이름을 제한해도 (다른 답변에서 제공 한대로)이를 막을 수는 없습니다. 실제로 공격자가 프록시를 사용하여 스파이하고 콘텐츠를 조작 할 수 있기 때문에 고객이 더 큰 위험에 노출 될 수 있습니다.


1
Host는 HTTP / 1.0 및 HTTP / 1.1의 유일한 필수 요청 헤더이며, 거의 모든 서버는 400 Bad Request 응답을 생략하면 응답하지 않습니다.
Nulano

진실. 모든 인터넷 트래픽이 http 인 것은 아닙니다. A 레코드만으로는 웹을 의미하지 않습니다. 나쁜 사람이 무엇을하는지 누가 알 겠어요?
Billy C.

2
But it will break your site for any browser that doesn't support http hostnames.HTTP / 1.1은 20 년 전부터 사용되어 왔으며이를 지원하지 않는 브라우저를 사용하는 소수의 사람이라면 웹 마스터 문제가 아닙니다.
ub3rst4r

3
@Nulano Host는 HTTP / 1.0의 일부가 아니지만 대부분의 브라우저에서이를 제공하고 서버는이를 허용합니다. HTTP / 1.1에서 추가 / 필요했습니다.
Bob

당신이 할 수있는 일이 거의 없다는 것에 동의하지 않습니다. 도메인을 서버로 연결하면 톤을 만들 수 있습니다. 도메인에 액세스하는 모든 사용자에게 표시되는 내용을 변경하여 분명히 다르게 만들 수 있으며, Let 's Encrypt의 파일 기반 도메인 유효성 검사를 사용하여 사이트에 유효한 SSL 인증서를 얻을 수도 있습니다. 원격으로 현대적인 브라우저는 호스트 이름을 지원하지 않으므로 어리 석고 하위 도메인도 작동하지 않으며 이미 웹의 상당 부분을 차단합니다.
AJ Henderson
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.