So beschränken Sie nicht autorisierte Domains, die auf die IP-Adresse meiner Website verweisen

8

Ich habe festgestellt, dass eine Domain (nämlich bajajra.com) auf die IP-Adresse meiner Website verweist. Ich verwende IIS 10 zum Hosten meiner Website. Wie kann ich den Zugriff auf alle derartigen nicht autorisierten Domains einschränken?

Diese Frage ähnelt dieser , aber ich suche nach einer Lösung, die auf IIS basiert. Wie kann ich dafür sorgen, dass auf meine Website nur über meinen Domainnamen (z. B. example.com) zugegriffen werden kann?

Vikas Sharma
quelle
1
Während Sie den Zugriff nicht "einschränken", führen andere Domänen bei Verwendung von HTTPS dazu, dass Benutzer beim Besuch einen Zertifikatfehler sehen, sodass sie wissen, dass etwas nicht stimmt.
Scott Stevens
1
Sie können sie nicht davon abhalten, ihre Adresse auf Ihren Server zu richten. Sie können sicherstellen, dass die Standardseite, die Ihr Server anbietet, wenn er nach einem Host gefragt wird, für den er keine Spezifikation hat, überhaupt nicht hilfreich ist.
Shadur

Antworten:

12

Es gibt zwei Probleme, die Sie hier beschreiben könnten. Der erste ist jemand, der einfach eine DNS-Bindung an Ihre IP-Adresse einrichtet. Dies in IIS zu verhindern ist äußerst einfach. Sie ändern einfach die Hostnamenbindungen in IIS so, dass Ihr Inhalt nur bereitgestellt wird, wenn bestimmte Hostnamen angefordert werden. Derzeit gibt es höchstwahrscheinlich eine Platzhalterbindung, die Sie ebenfalls entfernen müssen, damit nur die von Ihnen beabsichtigten Bindungen aufgelöst werden können. (Auf diese Weise können auch mehrere Websites auf einem einzigen IIS-Webserver gehostet werden.)

Über IIS-Verbindungen können Sie mit der rechten Maustaste auf eine bestimmte Site klicken, um auf das Dialogfeld "Bindungen bearbeiten ..." zuzugreifen.

IIS-Site-Einstellungen

In diesem Dialogfeld werden alle Einstellungen für die Bindungen angezeigt, auf die diese Site antworten soll. Der Hostname ist der gültige Hostname, für den die Bindung an diese Site aufgelöst werden soll. Eine Stelle kann viele verschiedene Bindungen aufweisen, wie hier zu sehen ist.

IIS-Bindungsdialog

Mit den Einstellungen für eine bestimmte Bindung können Sie den Hostnamen festlegen, der für diese Site aufgelöst werden soll. Hier können Sie auch SSL-Zertifikatskonfigurationen festlegen.

IIS-Bindungseinstellungen

Das zweite mögliche Problem ist das Hot-Linking. Beim Hot-Linking handelt es sich nicht um einen direkten Anruf an Ihre IP-Adresse, sondern darum, etwas in einer anderen Domain einzurichten, um auf Dinge in Ihrer Domain zu verweisen. Dies kann auf verschiedene Arten erfolgen, aber für die meisten von ihnen muss mindestens ein Server Anweisungen geben, bevor er auf Ihre Site zugreifen kann. Hotlinking ist etwas schwieriger zu verhindern, aber Sie können Tests für den Referrer festlegen, der nach einem Asset fragt, und das Asset nur bereitstellen, wenn der Referrer übereinstimmt. Da der Client-Browser diese Informationen bereitstellt, ist es für Dritte schwierig, den Browser dazu zu bringen, Ihrem Server falsche Informationen bereitzustellen, und daher sollte die Filterung im Allgemeinen effektiv sein.

AJ Henderson
quelle
Vielen Dank, dass Sie sich meine Frage angesehen haben. Es scheint die erste Möglichkeit in meinem Fall zu sein (ich habe versucht, nslookup nach der Website zu suchen, und die IP-Adresse ist dieselbe wie meine). Um das Problem zu beheben, habe ich versucht, 1. die Domäneneinschränkung bei IIS zu aktivieren. 2. Dann nur einen zulässigen Eintrag hinzuzufügen, dh für meine Domäne und für alle nicht aufgelisteten Clients zu verweigern. Es funktioniert jedoch nicht wie erwartet. Bitte helfen Sie mir herauszufinden, wo genau ich die von Ihnen erwähnte Platzhalterbindung entfernen muss oder welche Schritte erforderlich sind, um den Zugriff für alle Domainnamen außer dem, den ich besitze, einzuschränken.
Vikas Sharma
@VikasSharma werfen Sie einen Blick auf meine Bearbeitung. Ich habe Screenshots von meinem IIS-Server hinzugefügt. Die Konfiguration meines Servers ist etwas komplexer als es sich anhört, aber Ihre sollte Ihnen eine Vorstellung davon geben, wie sie aussehen sollte. Sie werden wahrscheinlich nicht so viele unterschiedliche Sites, IP-Adressen oder Hostnamen haben wie ich, aber möglicherweise verwenden Sie mehrere Bindungen oder möglicherweise nur einen Teil des Platzhalters (z. B. ".yourdomain.com"). In meinem Fall wollte ich nur Bestimmte Subdomains müssen aufgelöst werden, und ich habe einige Subdomains mit unterschiedlichen Sites oder Routing-Regeln (oder die überhaupt nicht von IIS verarbeitet werden).
AJ Henderson
Vielen Dank! Es hat bei mir funktioniert. Wie Sie bereits erwähnt haben, reicht es in meinem Fall aus, einen Teil des Platzhalters "* .yourdomain.com" hinzuzufügen. Ich habe jedoch noch einen Zweifel: Ist es notwendig, eine IP-Adresse anzugeben oder (Welchen Schaden kann "" alle nicht zugewiesenen IP-Adressen anrichten?)
Vikas Sharma
@VikasSharma - es ist in Ordnung, in Ihrem Fall alle IP-Adressen zu verwenden. Ich muss bestimmte IPs verwenden, da ich Dienste habe, die nicht über IIS weitergeleitet werden, sodass ich sie nicht binden kann, und einige IPv6-IPs habe, die ich bestimmte Sites nicht auflösen möchte, da ich dienstspezifische IPv6-Adressen verwende. Mein Server antwortet auf mehr als 30 IP-Adressen (meistens IPv6, obwohl ich mehrere IPv4-Adressen an einem Punkt hatte, an dem ich für eine Weile die umgekehrte Suche in einer Domäne verhindern musste) und an einem anderen Punkt, an dem ich einen Streaming Media-Server hatte, der dies benötigte eigene separate IP-Bindung.
AJ Henderson
Es klingt schlimmer als das ... eher ein Angriff auf den Google-Suchrang. Manchmal richten Konkurrenten oder zwielichtige Vermarkter eine "gefälschte" Website ein, die Ihrer realen Website oder einem anderen erfundenen Konkurrenten ähnelt. Sie können sogar Bild- und CSS-Ressourcen von Ihrer realen Site abrufen. Dann werden sie den Ruf dieser Website in Google ruinieren. Schließlich leiten sie diese Site mit einem DNS-Eintrag an Sie weiter (was meiner Meinung nach das OP sieht) und verwenden Link-Netzwerke von ähnlichen zwielichtigen Sites, um Google dazu zu bringen, diese Site mit Ihrem tatsächlichen Geschäft zu verknüpfen, und verletzen daher Ihre Website Google-Ranking.
Joel Coel
-1

Sie können nur sehr wenig tun, um zu verhindern, dass der Administrator einer anderen Domain Ihre IP-Adresse in ihrem A-Eintrag verwendet.

Wenn Sie der Meinung sind, dass sie versuchen, gegen ein Gesetz zu verstoßen oder Ihr Unternehmen dabei zu verletzen, können Sie den DNS-Anbieter oder Registrar auf das Problem aufmerksam machen.

Die andere Antwort in Bezug auf das Filtern von http-Servernamen kann Ihnen helfen, ihre Aktionen zu ignorieren und den Schaden zu begrenzen, den sie Ihnen zufügen können. Ihre Website wird jedoch für jeden Browser beschädigt, der keine http-Hostnamen unterstützt.

Überlegen Sie auch, wie einfach es für bajajra.com wäre, einfach einen Weiterleitungs-Webproxy zu betreiben, der auf Ihre Website gerichtet ist. Das Einschränken von Servernamen, die Sie zulassen (wie in der anderen Antwort angegeben), wird dies nicht aufhalten, und es wird Ihre Kunden einem höheren Risiko aussetzen, da der Angreifer den Proxy verwenden kann, um sie auszuspionieren und Ihre Inhalte zu manipulieren.

Billy C.
quelle
1
Host ist der einzige obligatorische Anforderungsheader in HTTP / 1.0 und HTTP / 1.1. Fast alle Server geben Ihnen eine Antwort auf 400 Bad Request, wenn Sie ihn weglassen.
Nulano
Wahr. Allerdings ist auch nicht der gesamte Internetverkehr http. Ein A-Datensatz allein bedeutet nicht Web. Wer weiß, was der Böse vorhat.
Billy C.
2
But it will break your site for any browser that doesn't support http hostnames.HTTP / 1.1 gibt es seit 20 Jahren und wenn Sie einer der wenigen sind, die einen Browser verwenden, der ihn nicht unterstützt, ist dies nicht das Problem des Webmasters.
ub3rst4r
3
@Nulano Hostist nicht Teil von HTTP / 1.0, obwohl die meisten Browser es bereitstellen und Server es trotzdem akzeptieren. Es wurde in HTTP / 1.1 hinzugefügt / benötigt.
Bob
Ich kann nicht zustimmen, dass Sie sehr wenig tun können. Sie können eine Menge tun, wenn sie die Domain auf Ihren Server leiten. Sie können die Anzeige für jeden Benutzer ändern, der auf die Domäne zugreift, um sie offensichtlich anders zu machen. Sie können sogar ein gültiges SSL-Zertifikat für die Site mithilfe der dateibasierten Domänenüberprüfung von Let's Encrypt erhalten. Kein entfernter moderner Browser unterstützt keine Hostnamen, das ist also nur albern, Subdomains würden auch nicht funktionieren und das blockiert bereits einen erheblichen Teil des Webs.
AJ Henderson