我们有一个运行 IIS 7 的 Windows Server 2008 R2 实例,为多个域上的多个网站/Web 服务(所有端口 80 或 443)。
我们在特定子域/端口上遇到安全问题,我想将服务器配置为完全不响应该子域/端口组合(即,甚至没有 TCP 响应……应该不会SYN收到任何相应的响应ACK,就好像服务器根本不存在一样)。
我不是经验丰富的网络管理员,在 Windows 上更是无能为力。使用 Microsoft Network Monitor,我可以看到某物拿起电话,回复 404:
“进程”字段为空,所以我不知道到底是什么在接听电话。我怀疑一定是 IIS,但没有配置网站来响应这个特定的域/端口。我想也许“默认网站”会捕获所有未配置的流量,但当我在默认网站上设置失败请求监控时,我没有收到任何日志。
我认为防火墙条目可能会起到作用,但在采取这种做法之前,我想知道事情实际上是如何运作的。什么在响应这个网络请求,我如何找出答案?然后我可以配置该组件不响应这些请求吗?
更新:按照@Mass Nerder 的评论,我运行netstat -anb并得到端口 80(有问题的端口)的以下信息:
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
Can not obtain ownership information
TCP 172.17.63.2:80 50.205.86.154:37961 ESTABLISHED
Can not obtain ownership information
TCP 172.17.63.2:80 50.205.86.154:54097 ESTABLISHED
Can not obtain ownership information
TCP 172.17.63.4:80 69.66.192.88:53898 ESTABLISHED
Can not obtain ownership information
TCP 172.17.63.4:80 69.66.192.88:53899 ESTABLISHED
Can not obtain ownership information
TCP 172.17.63.4:80 69.66.192.88:53900 ESTABLISHED
Can not obtain ownership information
TCP [::]:80 [::]:0 LISTENING
Can not obtain ownership information
答案1
我假设服务器位于 DMZ 或直接位于网络上,否则您可以在实际防火墙上进行过滤。没有目的地,我无法知道您要阻止什么。是 IP:80 流量吗?您请求的“甚至没有 TCP 响应”意味着您必须完全不打开该 IP 上的端口,否则 IIS 会回复。
但是如果您在同一个 IP:端口组合上托管多个域,那么这不是一个选项。