DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

服务器防护_海外高防服务器哪家好_如何防

服务器防护_海外高防服务器哪家好_如何防

这是思科出版社的第四篇也是最后一篇文章,作者兼落基山IPv6专责小组主席Scott Hogg关于IPv6寻址的多部分博客。本周:处理IPv6隐私寻址。我们希望这些特定的博客条目能有所帮助。请尽快回来查看更多关于IPv6采用的技术博客文章。另外,一定要查看infobloxipv6coe页面,以获得更多的IPv6采用资源。谢谢斯科特!-汤姆隐私寻址/临时寻址策略当IPv6第一次在标准组织中定义时,人们开始担心使用节点的MAC地址来形成IPv6地址的最后64位。EUI-64技术使用MAC地址的48个字节分成两个24位部分,中间有一组预先确定的位(FFFE)(不包括通用/本地位)这种担心来自这样一个事实:无论用户的计算机在哪个子网上,它都会有一个可识别的接口标识符,这使得跟踪用户的活动和身份更加容易。为了避免这个问题,IETF创建了一个名为"IPv6中无状态地址自动配置的隐私扩展"(rfc3041)的RFCRFC后来被更新为"IPv6中无状态地址自动配置的隐私扩展"(rfc4941)。隐私地址使用EUI-64的MD5哈希值,该哈希值与随时间变化的随机数相连,以创建接口标识符。此RFC的不同实现以不同的频率旋转地址,某些实现允许禁用此功能。隐私寻址带来的安全问题是隐私地址的取证和故障排除变得越来越困难,网络和安全管理员不知道任何节点在任何给定时间点的IPv6地址。隐私寻址还要求每次地址更改时都更新动态DNS(DDN)和防火墙状态。当IP地址经常更改时,这增加了创建细粒度防火墙策略的难度。因此,与防火墙一起使用的系统应该使用静态IPv6地址。虽然隐私地址在允许用户匿名与服务器通信方面占有一席之地,但这种隐私也存在一些安全性权衡。当我们谈论个人使用自己的家庭计算机连接到互联网时,这是一回事。然而,当我们谈论公司的内部网络时,使用计算机个人使用通常不在"可接受使用政策"范围内,因此,在企业网络上保护用户隐私不是必须授予的"权利"。有人可能会说,主机的MAC地址已经在以太网II帧的源地址中使用。如果系统管理员希望更改MAC地址,可以在计算机上本地更改MAC地址。将OUI分配给NIC制造商的组织无法跟踪分配给哪个用户到和哪个用户使用哪个MAC地址。IPv6地址的低64位不一定要使用MAC地址,但它们必须是唯一的。默认情况下,传输层的ddos防御软件,Windows XP、Server 2003、Vista、Server 2008支持隐私扩展,和Windows 7,但在Windows NT或Windows 2000上不受支持。在Windows XP上,可以运行"netsh interface ip6 show privacy"命令来显示隐私扩展地址的参数。在Windows XP上,可以通过运行"netsh interface IPv6 set privacy state=disabled"命令禁用隐私扩展。要在Linux主机上禁用隐私扩展,ddos如何免费防御,只需使用以下命令。echo"0">/proc/sys/net/ipv6/conf/default/use_tempaddrwindows7在形成接口标识符时默认不使用EUI-64技术。微软已经模糊了这两个地址自动配置概念之间的界限,ddos防御工具,它们的临时地址和现在随机生成的接口标识符。不过,值得庆幸的是,微软给了我们通过以下命令禁用或启用此功能的能力。netsh interface ipv6 set global randomizeidentifiers=已禁用netsh interface ipv6 set global randomizeidentifiers=已启用Microsoft提供了阻止使用隐私扩展的设置;此设置也可以与Active Directory(AD)一起部署到AD域的所有主机成员。命令包括:netsh interface ipv6 set global randomizeidentifiers=disabled store=persistentnetsh interface ipv6 set privacy state=disabled store=persistentLinux系统还支持隐私和临时寻址。系统控制净ip6.配置eth0.使用_tempaddr=2系统控制网络ipv6.conf.all.使用_tempaddr=2如果要将Linux系统配置为启用临时IPv6地址和自动配置的地址,请输入以下命令。系统控制网络ipv6.conf.all.use_tempaddr=1BSD系统也支持隐私扩展。以下命令可用于FreeBSD系统,以启用IPv6隐私寻址。系统控制net.inet6版.ip6.使用_tempaddr=1系统控制net.inet6版.ip6.prefer_tempaddr=1要在NetBSD上启用隐私寻址,请输入以下命令。系统控制-wnet.inet6版.ip6.使用_tempaddr=1Apple MAC OS X还支持临时寻址,默认情况下在MAC OS X 10.7 Lion上启用。系统控制-wnet.inet6版.ip6.使用_tempaddr=1默认情况下,Solaris 10没有启用隐私地址。可以使用邻居发现守护程序配置临时地址(英寸ndpd)。设置由/etc/inet控制/ndpd.确认输入以下命令来启用隐私地址的使用。如果默认TmpAddrsEnabled为true要在每个接口上启用隐私寻址,可以将以下行添加到/etc/inet/ndpd.确认文件。如果接口TmpAddrsEnabled为true例如,如果Solaris 10系统正在使用名为pcn1的接口,请放置以下条目:如果pcn1 TmpAddrsEnabled为真基于上述原因,许多组织都不会在具有内部网络或工程网络的任何服务器或系统上或任何应用程序服务器上使用隐私寻址或临时寻址。大多数关键服务器将具有静态配置的IPv6地址。许多企业应将DHCPv6用作动态分配地址的首选方法主机,如果DHCPv6不可用,防御大量DDOS攻击的能力,则使用扩展唯一标识符64(EUI-64)。这里的问题是,许多组织当前有大量Microsoft Windows XP和旧版Apple Mac OS X系统,这些系统没有本机DHCPv6客户端软件。不管怎样,linux集群ddos防御,组织都应该跟踪所有主机的IPv6地址但是,有些可能允许用户移动设备使用隐私寻址来访问Internet。摘要企业应该更倾向于使用DHCPv6而不是SLAAC或无状态DHCPv6来为终端节点分配动态地址。DHCPv6提供了隐私寻址的安全优势,但允许运行网络环境所需的管理和取证信息。以下是企业环境中系统的典型地址首选项顺序列表:数据中心、DMZ或云中的服务器/设备:·静态分配·有状态DHCPv6–非常罕见的情况,只有通过批准·SLAAC–不允许(可能禁用RA消息)企业内部基于主机的端节点系统:·有状态DHCPv6·无状态DHCPv6(如果节点现在支持DHCPv6)·SLAAC–只有在不支持其他方法的情况下。·不允许使用隐私地址。eof公司0

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos/65554.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8722888访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X