Como restringir domínios não autorizados apontando para o endereço IP do meu site

8

Descobri que algum domínio (bajajra.com) está apontando para o endereço IP do meu site. Estou usando o IIS 10 para hospedar meu site. Como posso restringir o acesso a todos esses domínios não autorizados?

Esta pergunta é semelhante a esta , mas estou procurando uma solução baseada no IIS. Como posso fazê-lo para que meu site possa ser acessado apenas pelo meu nome de domínio (por exemplo, example.com)?

domain-name-system .net iis Vikas Sharma
fonte
1
Embora não "restrinja" o acesso, se você usar HTTPS, outros domínios farão com que os usuários vejam um erro de certificado ao visitá-lo, informando que algo está errado.
Scott Stevens
1
Você não pode impedi-los de apontar o endereço no servidor. O que você pode fazer é garantir que a página padrão oferecida pelo servidor quando for solicitado um host para o qual não haja especificação seja totalmente inútil.
Shadur

Respostas:

12

Há dois problemas que você pode estar descrevendo aqui. O primeiro é alguém simplesmente configurando uma ligação DNS ao seu endereço IP. Impedir isso no IIS é extremamente simples. Você simplesmente altera as ligações de nome de host no IIS para que seu conteúdo seja veiculado apenas quando nomes de host específicos são solicitados. No momento, provavelmente existe uma ligação curinga que você precisará remover também, para que apenas as ligações que você pretende possam ser resolvidas. (Também é assim que vários sites podem ser hospedados em um único servidor Web do IIS.)

Nas conexões do IIS, você poderá clicar com o botão direito do mouse em um site específico para acessar a caixa de diálogo "Editar Ligações ...".

Configurações do site do IIS

Essa caixa de diálogo mostrará todas as configurações de ligações para quais solicitações este site deve responder. O nome do host é o nome de host válido para o qual a ligação deve ser resolvida neste site. Um site pode ter muitas ligações distintas, como visto aqui.

Diálogo de Ligação do IIS

As configurações de uma ligação específica permitem definir o nome do host que deve ser resolvido para este site. Você também pode definir configurações de certificado SSL aqui.

Configurações de ligação do IIS

O segundo problema possível é a ligação a quente. Com o hotlink, não é uma ligação direta ao seu endereço IP, mas sim a configuração de algo em um domínio diferente para fazer referência a itens do seu domínio. Isso pode ser feito por vários meios diferentes, mas a maioria deles exige que pelo menos algum servidor forneça instruções antes de acessar o site. A ligação direta é um pouco mais difícil de evitar, mas é possível definir testes sobre o referenciador que solicita um ativo e fornecer apenas o ativo se o referenciador corresponder. Como o navegador do cliente fornece essas informações, será difícil para terceiros tentar fazer com que o navegador forneça informações incorretas ao servidor e, portanto, a filtragem deve ser geralmente eficaz.

AJ Henderson
fonte
obrigado por dar uma olhada na minha pergunta, parece que é a primeira possibilidade no meu caso (tentei procurar nslookup no site e o endereço IP é o mesmo que o meu). Para resolvê-lo, tentei 1. Habilitar a restrição de domínio no IIS 2. Em seguida, adicionar apenas uma entrada de permissão, ou seja, para o meu domínio e negar a todos os clientes não listados No entanto, não está funcionando conforme o esperado. Ajude-me a identificar onde exatamente eu tenho que remover a ligação curinga como você mencionou ou quais são as etapas para restringir o acesso a todos os nomes de domínio que não sejam o meu.
Vikas Sharma
@VikasSharma dê uma olhada na minha edição. Eu adicionei capturas de tela do meu servidor IIS. A configuração do meu servidor é um pouco mais complexa do que parece ser a sua, mas deve fornecer uma idéia de como deve ser. Você provavelmente não terá tantos sites, endereços IP ou nomes de host distintos quanto eu, mas pode acabar usando várias ligações ou possivelmente apenas um curinga parcial (ex "* .seudominio.com"). No meu caso, eu só queria subdomínios específicos para resolver e eu tenho alguns subdomínios com diferentes sites ou roteamento regras (ou não sendo tratado pelo IIS em tudo.)
AJ Henderson
obrigado! Funcionou para mim. Como você mencionou, no meu caso, adicionar curinga parcial "* .seudominio.com" será suficiente. No entanto, tenho mais uma dúvida, é necessário dar o endereço IP ou (Que mal pode "" all IP não atribuído" pode fazer?)
Vikas Sharma
@VikasSharma - é bom usar todos os endereços IP no seu caso. Preciso usar IPs específicos porque tenho serviços que não são roteados pelo IIS, portanto não posso vinculá-los e tenho alguns IPs IPv6 que não quero resolver determinados sites, pois estou usando endereços IPv6 específicos de serviço. Meu servidor responde a mais de 30 endereços IP (principalmente IPv6, embora eu já tenha vários endereços IPv4 em um ponto em que precisei evitar a pesquisa inversa por um tempo em um domínio) e outro em que eu tenha um servidor de mídia de streaming que precise dele. própria ligação IP separada.
AJ Henderson
Parece pior do que isso ... provavelmente um ataque de classificação na pesquisa do Google. Às vezes, concorrentes ou profissionais de marketing obscuros configuram um site "falso" que se parece com o seu site real ou com outro concorrente inventado. Eles podem até extrair recursos de imagem e css do seu site real. Em seguida, eles descartam a reputação do site no Google. Por fim, eles direcionam esse site para você com uma entrada DNS (que é o que eu acho que o OP está vendo) e usam redes de links de sites obscuros semelhantes para fazer com que o Google associe esse site ao seu negócio real e, portanto, prejudique sua Ranking do Google.
Joel Coel
-1

Há muito pouco que você pode fazer para impedir que o administrador de outro domínio use seu IP no registro A.

Se você sentir que eles estão tentando violar alguma lei ou prejudicar seus negócios, poderá levar o problema à atenção do provedor de DNS ou do registrador.

A outra resposta aqui, referente à filtragem de nomes de servidores http, pode ajudá-lo a ignorar as ações deles e limitar o dano que eles podem causar a você. Mas ele quebrará seu site para qualquer navegador que não suporte nomes de host http.

Considere também como seria fácil para o bajajra.com operar simplesmente um proxy da Web de encaminhamento direcionado ao seu site. A limitação de nomes de servidor permitidos (conforme fornecido na outra resposta) não impedirá isso e, de fato, colocará seus clientes em maior risco, porque o invasor poderá usar o proxy para espioná-los e violar seu conteúdo.

Billy C.
fonte
1
O host é o único cabeçalho de solicitação obrigatório em HTTP / 1.0 e HTTP / 1.1, quase todos os servidores fornecerão uma resposta 400 Solicitação inválida, se você o omitir.
Nulano 23/10
Verdade. Mas nem todo o tráfego da Internet é http. Um registro A por si só não significa web. Quem sabe o que o bandido está fazendo?
Billy C.
2
But it will break your site for any browser that doesn't support http hostnames.O HTTP / 1.1 existe há 20 anos e se você é um dos poucos que usa um navegador que não o suporta, esse não é o problema dos webmasters.
ub3rst4r
3
O @Nulano Hostnão faz parte do HTTP / 1.0, embora a maioria dos navegadores o forneça e os servidores o aceitem de qualquer maneira. Foi adicionado / necessário no HTTP / 1.1.
24417 Bob
Não posso concordar que há muito pouco que você possa fazer. Você pode fazer uma tonelada se eles direcionarem o domínio para o seu servidor. Você pode alterar o que é exibido para qualquer usuário acessando o domínio para torná-lo obviamente diferente. Você pode até obter um certificado SSL válido para o site usando a validação de domínio baseada em arquivo do Let's Encrypt. Nenhum navegador moderno remotamente não suporta nomes de host, portanto, isso é simplesmente bobo, subdomínios também não funcionam e isso já bloqueia uma parte significativa da web.
AJ Henderson