Comment restreindre les domaines non autorisés pointant vers l'adresse IP de mon site Web

J'ai constaté qu'un domaine (à savoir bajajra.com) pointe vers l'adresse IP de mon site Web. J'utilise IIS 10 pour héberger mon site Web. Comment puis-je restreindre l'accès à tous ces domaines non autorisés?

Cette question est similaire à celle-ci , mais je recherche une solution basée sur IIS. Comment puis-je faire en sorte que mon site Web ne soit accessible qu'à partir de mon nom de domaine (ex. Example.com)?

domain-name-system .net iis Vikas Sharma
la source

Bien qu'il ne "restreigne" pas l'accès, si vous utilisez HTTPS, d'autres domaines amèneront les utilisateurs à voir une erreur de certificat lorsqu'ils le visiteront, leur faisant ainsi savoir que quelque chose ne va pas.

Scott Stevens

Vous ne pouvez pas les empêcher de pointer leur adresse vers votre serveur. Ce que vous pouvez faire, c'est de vous assurer que la page par défaut que votre serveur propose quand on lui demande un hôte pour lequel il n'a pas de spécification est totalement inutile.

Shadur

Réponses:

Il y a deux problèmes que vous pourriez décrire ici. Le premier est que quelqu'un configure simplement une liaison DNS à votre adresse IP. La prévention de cela dans IIS est extrêmement simple. Vous modifiez simplement les liaisons de nom d'hôte dans IIS de sorte que votre contenu ne soit diffusé que lorsque des noms d'hôte particuliers sont demandés. Il existe très probablement actuellement une liaison générique que vous devrez également supprimer afin que seules les liaisons que vous envisagez puissent être résolues. (C'est également la façon dont plusieurs sites Web peuvent être hébergés sur un seul serveur Web IIS.)

À partir des connexions IIS, vous pourrez cliquer avec le bouton droit sur un site particulier pour accéder à la boîte de dialogue "Modifier les liaisons ...".

Cette boîte de dialogue affiche toutes les configurations de liaisons pour les demandes auxquelles ce site doit répondre. Le nom d'hôte est le nom d'hôte valide pour lequel la liaison doit être résolue vers ce site. Un site peut avoir de nombreuses liaisons distinctes, comme on le voit ici.

Les paramètres d'une liaison particulière vous permettent de définir le nom d'hôte à résoudre sur ce site. Vous pouvez également définir des éléments tels que les configurations de certificats SSL ici.

Le deuxième problème possible est la liaison à chaud. Avec la liaison à chaud, ce n'est pas un appel direct à votre adresse IP, mais plutôt la configuration de quelque chose sur un domaine différent pour référencer des choses sur votre domaine. Cela peut être fait par plusieurs moyens différents, mais la plupart d'entre eux nécessitent au moins un serveur pour donner des instructions avant d'accéder à votre site. Le hotlinking est un peu plus difficile à empêcher, mais vous pouvez définir des tests sur le référent demandant un actif et ne fournir cet actif que si le référent correspond. Étant donné que le navigateur client fournit ces informations, il sera difficile pour un tiers d'essayer de faire en sorte que le navigateur fournisse des informations incorrectes à votre serveur et le filtrage devrait donc être généralement efficace.

AJ Henderson
la source

merci d'avoir regardé ma question, il semble que ce soit la première possibilité dans mon cas (j'ai essayé de rechercher nslookup pour le site Web et l'adresse IP est la même que la mienne). Afin de le résoudre, j'ai essayé 1. Activer la restriction de domaine à IIS 2. Ensuite, en ajoutant une seule entrée d'autorisation, c'est-à-dire pour mon domaine et refus pour tous les clients non répertoriés. Cependant, cela ne fonctionne pas comme prévu. Veuillez m'aider à identifier où exactement je dois supprimer la liaison générique comme vous l'avez mentionné ou quelles sont les étapes pour restreindre l'accès à tous les noms de domaine autres que celui que je possède.

Vikas Sharma

@VikasSharma jetez un oeil à mon montage. J'ai ajouté des captures d'écran de mon serveur IIS. La configuration de mon serveur est un peu plus complexe qu'il n'y paraît, mais elle devrait vous donner une idée de ce à quoi elle devrait ressembler. Vous n'aurez probablement pas autant de sites distincts, d'adresses IP ou de noms d'hôte que moi, mais vous pouvez finir par utiliser plusieurs liaisons ou peut-être simplement un caractère générique partiel (ex "* .votredomaine.com"). Dans mon cas, je voulais seulement sous-domaines spécifiques à résoudre et j'ai des sous-domaines avec différents sites ou règles de routage (ou qui ne sont pas du tout traités par IIS).

AJ Henderson

Merci! Ça a marché pour moi. Comme vous l'avez mentionné, dans mon cas, l'ajout d'un caractère générique partiel "* .votredomaine.com" suffira. Cependant, j'ai un doute de plus, est-il nécessaire de donner une adresse IP ou (Quel mal peut "" toute IP non affectée "peut faire?)

Vikas Sharma

@VikasSharma - c'est bien d'utiliser toutes les adresses IP dans votre cas. Je dois utiliser des adresses IP spécifiques car j'ai des services qui ne transitent pas par IIS, donc je ne peux pas les lier et j'ai des adresses IPv6 que je ne veux pas résoudre certains sites car j'utilise des adresses IPv6 spécifiques aux services. Mon serveur répond à plus de 30 adresses IP (principalement IPv6, même si j'ai eu plusieurs adresses IPv4 à un moment où je devais empêcher la recherche inversée pendant un certain temps sur un domaine) et à un autre point où j'avais un serveur multimédia en streaming qui en avait besoin. propre liaison IP distincte.

AJ Henderson

Cela semble pire que cela ... plus probablement une attaque de classement de recherche Google. Parfois, des concurrents ou des spécialistes du marketing louches créeront un "faux" site Web qui ressemble à votre site réel ou à un autre concurrent inventé. Ils peuvent même extraire des images et des ressources CSS de votre site réel. Ensuite, ils vont saper la réputation de ce site dans Google. Enfin, ils vous dirigeront vers ce site avec une entrée DNS (c'est ce que je pense que l'OP voit), et utiliseront des réseaux de liens à partir de sites louches similaires pour que Google associe ce site à votre véritable entreprise, et donc nuira à votre Classement Google.

Joel Coel

-1

Vous ne pouvez pas faire grand-chose pour empêcher l'administrateur d'un autre domaine d'utiliser votre adresse IP dans son enregistrement A.

Si vous pensez qu'ils essaient de violer une loi ou de nuire à votre entreprise, vous pouvez porter le problème à l'attention de leur fournisseur de DNS ou de leur registraire.

L'autre réponse ici, concernant le filtrage des noms de serveur http, peut vous aider à ignorer leurs actions et à limiter les dommages qu'ils peuvent vous causer. Mais cela cassera votre site pour tout navigateur qui ne prend pas en charge les noms d'hôte http.

Considérez également à quel point il serait facile pour bajajra.com d'exploiter simplement un proxy Web de transfert dirigé vers votre site. Limiter les noms de serveurs que vous autorisez (comme indiqué dans l'autre réponse) ne mettra pas fin à cela, et cela mettra en fait vos clients plus à risque car l'attaquant pourra utiliser le proxy pour les espionner et falsifier votre contenu.

Billy C.
la source

L'hôte est le seul en-tête de demande obligatoire dans HTTP / 1.0 et HTTP / 1.1, presque tous les serveurs vous donneront une réponse 400 Bad Request si vous l'omettez.

Nulano

Vrai. Cependant, tout le trafic Internet n'est pas http. Un enregistrement A seul ne signifie pas web. Qui sait ce que fait le méchant.

Billy C.

But it will break your site for any browser that doesn't support http hostnames.HTTP / 1.1 existe depuis 20 ans maintenant et si vous êtes l'un des rares à utiliser un navigateur qui ne le prend pas en charge, ce n'est pas le problème des webmasters.

ub3rst4r

@Nulano Hostne fait pas partie de HTTP / 1.0, bien que la plupart des navigateurs le fournissent et les serveurs l'acceptent quand même. Il a été ajouté / requis dans HTTP / 1.1.

Bob

Je ne peux pas accepter qu'il y ait très peu de choses que vous puissiez faire. Vous pouvez faire une tonne s'ils dirigent le domaine vers votre serveur. Vous pouvez modifier ce qui est affiché pour tout utilisateur accédant au domaine pour le rendre évidemment différent, vous pouvez même obtenir un certificat SSL valide pour le site en utilisant la validation de domaine basée sur les fichiers de Let's Encrypt. Aucun navigateur à distance moderne ne prend en charge les noms d'hôte, donc c'est tout simplement stupide, les sous-domaines ne fonctionneraient pas non plus et cela bloque déjà une partie importante du Web.

AJ Henderson