5D艺术网首页
商城
|
资讯
|
作品
|
博客
|
教程
|
论坛
登录
注册
加为好友
发短消息
来自:
性别:秘密
最后登录:2007-04-12
http://zheman.5d.cn/
首页
|
新闻
|
话题
|
博客
|
相册
|
艺术作品
|
社交关系
|
留言板
|
社交圈
2005/06/06 | 隐藏 IIS 服务器的 IP 地址
类别(Service)
|
评论
(0)
|
阅读(470)
|
发表于 14:46
问:
当用户连接到我们的 IIS 服务器时,服务器会将其 IP 地址发送到用户的系统(作为服务器响应的一部分)。如何隐藏服务器的 IP 地址以使用户无法看到呢?
答:
这是一个潜在的安全问题,您应该对所有 IIS 服务器进行检查。默认情况下,IIS 4、5 或 6 对客户端请求做出的响应类似于以下内容:
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Content-Location:
10.1.1.1/Default.htm
Date: Thu, 18 Feb 1999 14:03:52 GMT
Content-Type: text/html
Accept-Ranges: bytes
Last-Modified: Wed, 06 Jan 1999 18:56:06 GMT
ETag: "067d136a639be1:15b6"
Content-Length: 4325
正如您所说的一样,以上示例中暴露了服务器的 IP 地址。在很多情况下,这不是我们希望看到的,因为服务器的 IP 地址是在 NAT 设备或反向代理后面的专用网络中,这就会为准攻击者提供网络基础结构方面的信息。
可以使用几种方法来纠正这一问题。对于 IIS 5(和 IIS 4),请将配置数据库属性 W3SVC\UseHostName 设置为 True。请注意,必须停止并再次启动 IIS,才能使这一更改生效。
在 IIS 6 上,您需要安装 PSS 提供的修复程序(在 Windows Server 2003 SP1 发布之前)。在
support.microsoft.com/?id=834141
中,您可以找到有关此 IIS 6 修复程序的详细信息,其中包括技术支持联系电话号码。
另一种防止用户看到服务器 IP 地址的方法是,使用 ASP 或 ASP.net 来替代静态 HTML 页面(.htm 或 .html),并创建可以发回特定“内容-位置”字段的自定义标题。
对于 IIS 4、5 和 6.0,可以将 Web 站点设置为使用主机标题来响应所有内容请求。如果 Web 站点上使用了主机标题,则在“内容-位置”字段中不会返回服务器的 IP 地址。有关如何使用主机标题名称从一个 IP 地址托管多个站点的其他信息,请参阅 Microsoft 知识库文章 190008。
0
评论
Comments
日志分类
首页
[271]
Life
[195]
Music
[24]
Know
[23]
Photo
[17]
Service
[7]
English
[5]