WebサイトのIPアドレスを指す未承認ドメインを制限する方法

あるドメイン（bajajra.com）が私のウェブサイトのIPアドレスを指していることがわかりました。IIS 10を使用してWebサイトをホストしています。許可されていないすべてのドメインへのアクセスを制限するにはどうすればよいですか？

この質問は、に似ているこのいずれかが、私はIISをベースにしたソリューションを探しています。ドメイン名（例：example.com）からのみWebサイトにアクセスできるようにするにはどうすればよいですか？

domain-name-system .net iis

— ビカス・シャルマ
ソース

アクセスを「制限」することはありませんが、HTTPSを使用している場合、他のドメインでは、ユーザーがアクセスしたときに証明書エラーが表示され、問題があることが通知されます。

— スコットスティーブンス

彼らがあなたのサーバーで彼らのアドレスを指すのを止めることはできません。あなたができることは、サーバーが仕様を持たないホストを要求されたときにサーバーが提供するデフォルトのページがまったく役に立たないことを確認することです。

— Shadur 2017年

回答:

ここで説明できる問題は2つあります。1つ目は、IPアドレスにDNSバインディングを設定するだけです。IISでこれを防ぐのは非常に簡単です。IISのホスト名バインディングを変更するだけで、特定のホスト名が要求されたときにのみコンテンツが提供されます。現在意図しているバインディングのみを解決できるように、同様に削除する必要のあるワイルドカードバインディングが現在存在する可能性があります。（これは、単一のIIS Webサーバーで複数のWebサイトをホストする方法でもあります。）

IIS接続から、特定のサイトを右クリックして[バインディングの編集...]ダイアログにアクセスできます。

このダイアログには、このサイトが応答する必要のある要求のすべてのバインディング設定が表示されます。ホスト名は、バインディングがこのサイトに解決する有効なホスト名です。ここに示すように、1つのサイトには多くの異なるバインディングがあります。

特定のバインディングの設定では、このサイトに解決されるホスト名を設定できます。SSL証明書の設定などをここで設定することもできます。

2番目に考えられる問題は、ホットリンクです。ホットリンクを使用すると、それはIPアドレスへの直接の呼び出しではなく、ドメイン上のものを参照するために別のドメインに何かを設定することになります。これはいくつかの異なる方法で行うことができますが、それらのほとんどは、サイトにアクセスする前に少なくともいくつかのサーバーが指示を出すことを必要とします。ホットリンクは防ぐのが少し難しいですが、アセットを要求するリファラーについてテストを設定し、リファラーが一致する場合にのみアセットを提供できます。クライアントブラウザーがこの情報を提供するため、サードパーティがブラウザーにサーバーに誤った情報を提供させることは困難であり、したがって、フィルター処理は一般に効果的です。

— AJヘンダーソン
ソース

私の質問を見てくれてありがとう、それは私の場合の最初の可能性のようです（私はウェブサイトのnslookupを調べてみましたが、IPアドレスは私のものと同じです）。それを解決するために、私は1を試しました。IISでドメイン制限を有効にします。次に、ドメインに許可エントリを1つだけ追加します。ワイルドカードバインディングを削除する必要がある場所、または所有しているドメイン以外のすべてのドメイン名へのアクセスを制限する手順を特定するためにご協力ください。

— Vikas Sharma

@VikasSharmaは私の編集を見てください。IISサーバーからスクリーンショットを追加しました。私のサーバーの構成は、あなたが必要とするように思えるよりも少し複雑ですが、それはあなたがそれがどのように見えるべきかについてのアイデアをあなたに与えるはずです。おそらく、私ほど多くの個別のサイト、IPアドレス、またはホスト名はありませんが、複数のバインディングを使用したり、一部のワイルドカード（例： "* .yourdomain.com"）を使用したりする可能性があります。私の場合は、特定のサブドメインを解決する必要があり、サイトまたはルーティングルールが異なる（またはIISでまったく処理されない）サブドメインがいくつかある

— AJヘンダーソン

ありがとう！それは私のために働いた。あなたが述べたように、私の場合、部分的なワイルドカード「* .yourdomain.com」を追加するだけで十分です。ただし、もう1つ疑問があります。IPアドレスを指定する必要がありますか、それとも（「割り当てられていないすべてのIP」で何ができるのか）

— Vikas Sharma

@VikasSharma-ケースではすべてのIPアドレスを使用しても問題ありません。IIS経由でルーティングしないサービスがあり、それらをバインドできないため、特定のIPを使用する必要があります。サービス固有のIPv6アドレスを使用しているため、特定のサイトを解決したくないIPv6 IPがあります。私のサーバーは30以上のIPアドレスに応答します（ほとんどの場合IPv6ですが、あるドメインでしばらくの間逆ルックアップを防ぐ必要があったある時点で複数のIPv4アドレスがありました）と、それを必要とするストリーミングメディアサーバーがあった別のポイント独自のIPバインディング。

— AJヘンダーソン

これはもっと悪く聞こえます...おそらくGoogle検索ランク攻撃です。競合他社や怪しげなマーケティング担当者が、実際のサイトに似た「偽の」Webサイト、または別の偽の競合他社をセットアップする場合があります。彼らはあなたの実際のサイトから画像とCSSリソースをプルするかもしれません。次に、そのサイトの評判をGoogleで破棄します。最後に、彼らはそのサイトをDNSエントリ（OPが見ていると思います）であなたに導き、同様の怪しげなサイトからのリンクネットワークを使用してGoogleにこのサイトをあなたの実際のビジネスに関連付けさせ、それによりあなたを傷つけますグーグルランキング。

— Joel Coel 2017年

-1

別のドメインの管理者がAレコードでIPを使用するのを防ぐためにできることはほとんどありません。

彼らが何らかの法律に違反しようとしている、またはそうすることであなたのビジネスを傷つけようとしていると感じた場合、あなたはその問題を彼らのDNSプロバイダーまたはレジストラの注意を引くかもしれません。

httpサーバー名のフィルタリングに関するここでの他の回答は、それらのアクションを無視して、ユーザーに与えるダメージを制限するのに役立ちます。ただし、httpホスト名をサポートしていないブラウザではサイトが壊れます。

また、bajajra.comがサイトに向けられた転送Webプロキシを簡単に操作することがいかに簡単かを検討してください。（他の回答で提供されているように）許可するサーバー名を制限してもそれは阻止されず、攻撃者はプロキシを使用して顧客をスパイし、コンテンツを改ざんできるため、顧客をより大きなリスクにさらします。

— ビリーC.
ソース

ホストはHTTP / 1.0およびHTTP / 1.1で唯一の必須の要求ヘッダーです。省略した場合、ほとんどすべてのサーバーが400 Bad Request応答を返します。

— ヌラーノ2017年

そうだね。ただし、すべてのインターネットトラフィックがhttpであるとは限りません。AレコードだけではWebを意味しません。悪者が何をしているのか誰が知っている。

— ビリー

But it will break your site for any browser that doesn't support http hostnames.HTTP / 1.1は20年前から存在していますが、HTTP / 1.1をサポートしていないブラウザーを使用するごく少数のユーザーの1人であれば、それはWebマスターの問題ではありません。

— ub3rst4r 2017年

@Nulano HostはHTTP / 1.0の一部ではありませんが、ほとんどのブラウザーがHTTP / 1.0を提供し、サーバーはそれを受け入れます。HTTP / 1.1で追加/必須になりました。

— ボブは

あなたができることはほとんどないことに同意できません。彼らがあなたのサーバーにドメインを向けるなら、あなたはトンをすることができます。ドメインにアクセスするすべてのユーザーに表示される内容を変更して、明らかに異なるものにすることができます。Let's Encryptのファイルベースのドメイン検証を使用して、サイトの有効なSSL証明書を取得することもできます。リモートで最新のブラウザーはホスト名をサポートしていないため、ばかげています。サブドメインも機能せず、Webの大部分が既にブロックされています。

— AJヘンダーソン