DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

海外高防_nginx防cc_如何解决

海外高防_nginx防cc_如何解决

"我不太熟悉的IPv6协议和我非常熟悉的IPv4协议有什么不同"这一标题下有很多话题,Infoblox IPv6卓越中心社区博客的读者应该熟悉IPv4和IPv6之间的几个主要区别,ddos防御维盟,其中包括包头格式、寻址格式、扩展头、邻居发现协议、DHCP服务器冗余、,在其他协议特征中。IPv4和IPv6节点的安全漏洞扫描方式之间还有几个重要区别。本文将重点介绍这些差异,以便您在组织继续部署IPv6时准备评估您的IPv6安全性。安全漏洞扫描典型的安全漏洞扫描器,如Qualys QualysGuard、Rapid7 Nexpose、Tenable Nessus等,将数据包发送到本地或远程网络上的IP地址,并记录返回的内容。它们尝试将数据包发送到系统,以便发现网络上的节点,并检测它们是否可以与侦听特定开放的TCP或UDP端口的服务建立连接。此基本端口扫描功能是其中最小的公分母所有产品。漏洞扫描程序带有预先加载并不断更新的已知漏洞,这些漏洞经过测试并提供环境中已知弱点的报告。其他扫描仪具有更高级的功能,免费防御ddos云,如执行web应用程序扫描和查找OWASP 10大web应用程序风险。漏洞扫描器可以根据已知的授权用户名和密码对计算机执行认证扫描,以检查目标系统的内部配置。执行连续漏洞评估是SAN/CIS 20关键安全控制(CSC)的第四项。一些执行漏洞评估的方法包括将一个代理或软件组件放在被测设备(DUT)上,然后该代理向集中系统报告该计算机上的安全设置。但是,什么是cc如何防御,ddos防御代码,代理可能会有问题。企业可能会面临在企业中的所有计算机上加载代理的挑战。许多计算机不在IT部门的控制范围内,代理需要更新和偶尔的故障排除。扫描IPv4网络过去,漏洞扫描程序只有一个IP版本在网络上运行以执行远程测试。在IPv4网络上,漏洞扫描设备或虚拟扫描系统可以扫描所有内部IPv4地址(例如,10.0.0.0/8等)。然后漏洞扫描程序将继续不断扫描网络,或运行需要数小时或数天才能完成的计划扫描。持续时间取决于网络的大小、IP子网的总体密度以及扫描的严格性。我们可以粗略计算一次扫描可能需要多长时间。假设我们要按顺序扫描总计16777个IPv4/8块,216个可能的IPv4地址。如果我们以每秒1000个数据包(pps)的速率扫描30个流行的TCP端口号,则需要140小时或大约6天的时间来完成。但是,有更快的扫描器,它们经过优化和多线程以提高性能。甚至还有高度优化的工具,如ZMAP和MASSCAN,能够生成大量的扫描流量。ZMAP和MASSCAN可以在不到一个小时的时间内绘制出整个公共IPv4地址空间。扫描IPv6网络现在,让我们考虑一下IPv6是如何改变扫描方式的。IPv6地址空间巨大,几乎不可能扫描给定子网中的每个IPv6地址,以确定某个节点是否正在使用该地址。例如,在单个/64前缀内,有18446744073709551,616个(约18.5万亿)唯一接口标识符(IID)。如IETF RFC 5157"IPv6对网络扫描的影响"中所述:"以非常保守的每秒一个探测器的速度,这样的扫描可能需要大约50亿年才能完成。"黑客们可能是有耐心和持久的,但这太多了(IETF rfc7707名为"IPv6网络中的网络侦察"废弃了rfc5157,并描述了漏洞扫描程序可以使用的其他侦察方法)我们还应该提到,在链路本地段上执行侦察的智能方法有很多。这些方法比暴力顺序扫描方法有了改进,例如,ddos防御共享dns,它们可能包括用于执行Internet蠕虫传播的相同技术。侦察扫描在以下情况下是微不足道的:当节点被分配顺序IID地址时,例如::1、::2、::3、::4、…当节点的IPv6地址位于可查询的DNS区域时当节点响应发送到所有节点链路本地多播的ICMPv6回显请求时(FF02::1)当节点响应发送到所有节点链路本地多播的无效扩展头时(FF02::1)当节点响应MLD查询时发送到所有节点链路本地多播(FF02::1)当节点为发送ICMPv6 134型路由器通告(RA)的恶意默认路由器发送ICMPv6 135型邻居请求(NS)时使用其他方法利用IPv4来学习双协议节点的IPv6地址如果网络上的所有节点都使用SLAAC和EUI-64和同一以太网NIC OUI,则更容易执行侦察。在这种情况下,IID的前24位都是相同的,IID的后16位是FFFE,然后是节点MAC地址的唯一24位。扫描2^24个IPv6地址可能只需几天时间。如果节点使用6to4、ISATAP或Teredo和已知IPv4地址,则也可以执行侦察。黑客选择IPv6攻击工具包、SI6 Networks IPv6 Toolkit、Chiron、pfuzz和Scapy scripts等实用程序可以执行这些类型的侦察以了解IPv6地址。一旦知道IPv6地址,则可以使用这些工具更严格地扫描漏洞。漏洞扫描的速度与节点填充密度有关。填充密度是用活动主机的数量除以可能的地址总数来衡量的。例如,在IPv4网络上,一个/24子网上可能有100个活动主机,在密度为.393的情况下,共有254个可能的地址IPv6/64网络,有100个活动主机,密度为.000000000000542。这几乎相当于在撒哈拉沙漠中发现了一粒沙子!不仅子网中节点稀疏,而且子网本身也常常是稀疏分配的。如果一个组织作为一个大企业被分配了/36,这就允许使用2^28/64前缀(268435,456).远程扫描甚至比链路扫描更困难,在链路扫描中,您可以生成链路本地多播数据包。使用远程扫描,您必须具有到扫描目标的端到端IPv6可访问性。如果路径中有防火墙或IP,这可能很难实现。此外,大多数企业还不具备企业局域网客户端和数据中心服务器的端到端IPv6可达性。支持IPv6的漏洞扫描程序由于IPv6地址空间的巨大性,大多数扫描实用程序甚至不允许用户尝试对整个/64进行扫描,更不用说可能由RIR分配给企业的整个/40前缀。此外,ZMAP和Mass等工具甚至不支持IPv6。要问的第一个问题是,"我现有的漏洞扫描程序是否支持IPv6?"更确切地说,它们在IPv4和IPv6之间是否具有特性和功能对等性?换句话说,对于它们在IPv4中执行的任务,它们是否能够为IPv6执行相同的任务?如前所述,有不同类型的安全扫描程序。它们从最基本的端口扫描程序到最高级的web应用程序和数据库扫描程序。如果它们只对IPv6的开放端口执行基本扫描,但对IPv4执行更深入的应用程序扫描,则您缺乏功能(即功能性奇偶校验)你真的需要。这就是为什么向你的厂商询问他们产品的IPv4和IPv6功能对等是很重要的。当然,任何一个刚刚开发和发布的现代产品都应该从一开始就具备IPv6功能。IPv4漏洞扫描程序的一个主要考虑因素是成本,因为它们以前都是根据您可以扫描的IPv4地址数量授予许可的。如果您购买了256个IP地址的许可证,则只能扫描/24个IPv4子网或256个主机的特定列表。但是,对于IPv6,子网范围如此之大(尽管人口极为稀少),以至于这种软件许可模式崩溃。好消息是,大多数端口扫描程序和漏洞扫描程序都支持IPv6。前面提到的安全漏洞扫描产品(Qualys、Rapid7和Tenable)都支持IPv6,他们需要提供一个单独的IPv6地址列表来扫描。一个合适的漏洞扫描程序不应该让你手动输入每个地址。事实上,大多数漏洞扫描程序都允许你添加一个IPv6地址列表,可以是大列表/文本文件,也可以是CSV文件。因此,我们必须首先获得单个IPv6地址的列表被扫描。确定IPv6地址当您有一个支持IPv6的漏洞扫描程序可以扫描单个IPv6地址时,下一步是组装环境中所有活动IPv6节点的列表。创建此列表的一种方法可能是从所有路由器中获取MAC地址表(ARP表、邻居缓存)以查找所有连接的设备。收集此信息的一种方法是使用CLI从路由器本身收集这些信息

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos/65491.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8714450访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X