DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

ddos防火墙_神盾局特工第二季百度云_指南

ddos防火墙_神盾局特工第二季百度云_指南

当普通人想到DNS时,他们会想象一个电话簿,将人类语言的域名转换成计算机友好的IP地址。但在DNS能做什么的时候,帮助用户访问亚马逊的厕纸页面只是冰山一角。尤其是在大企业里。我们DNS行业应该被DNS是一个电话簿的类比所冒犯。我明白为什么这是类比。只是,它是为更多的方式而构建的,而在任何企业场景中,实际情况是它做的更多。当你即将阅读(或者听到,如果你更喜欢听你的播客),在大型组织的法庭上可以找到DNS尚未开发的潜力。BlueCat首席战略官Andrew Wertkin最近与L8ist Sh9y的主持人就此进行了一次谈话。Andrew,以及Stephen Spector和Rob Hirschfeld,花了半个小时来解释为什么DNS——在企业和边缘——如此有趣。L8ist Sh9y播客·来自BlueCat的Andrew Wertkin在边缘谈论DNS 首先,一些背景斯蒂芬:安德鲁,ddos有专门的防御设备,给我们简单介绍一下蓝猫的背景知识,然后我们马上就来。安德鲁:BlueCat是一家有20年历史的公司,在网络和网络安全领域已经有相当长的时间了。主要集中在DNS上。在DNS的私有端;企业内部的DNS。我们也处理外部公共域名系统。但我们的业务和客户中有很大一部分都在推动网络内DNS的解决方案。我们大多数人作为个人、消费者,认为DNS是连接到某些第三方服务或应用程序所必需的。公司内部,数据中心内部。对内部DNS施加了巨大的压力。对于将设备连接到用于活动目录、身份验证、Kerberos的内部应用程序,我的意思是有很多很多用例需要内部DNS。罗布:域名系统是必不可少的。我认为,人们忘记了,如果没有命名服务器和经过身份验证的DNS,就不能真正实现TLS(安全套接字通信)。所以DNS是站点上的一个基本基础设施。那么你基本上就成了企业DNS基础设施了吗?我知道有几家公司这样做。有一对夫妇是真正的互联网域名系统和应用程序为中心的大型网站和类似的事情。蓝猫的天平呢?安德鲁:我们变成了企业域名系统。这并不意味着我们的一些客户不使用我们的公共域名系统,网站和那些东西。这取决于公司、公司规模以及他们所谈论的公共域名系统的哪一部分。也许他们会根据特定的应用程序将许多区域委派给不同的服务,不管是什么情况。但我们为客户带来的90%是网络内部的企业DNS。因此,我们为他们提供适当的服务来标记网络。企业DNS解决方案的一部分通常也是IP地址管理层。在这里,我们是企业内部部署的所有网络的唯一真相来源。这样我们就可以标记它们并找到它们来帮助解决这个问题。所以也有这方面的问题,但是还有很多其他的用例,比如Kerberos身份验证。只需找到我的域控制器,临时高防cdn,就可以了。我是说,今天早些时候,我只是在看不同的客户。根据客户的不同,比如一所大型大学,80%的查询都是通过互联网查询的,20%是内部查询。如果你把它换成我们的一个大的金融客户,它就完全跟着它交换了。80%的查询是内部的,20%是外部的,它显示了网络内部使用的应用程序和资源的数量。(相对于网络外的网络)然后,也不管是否有一个web代理或显式web代理在起作用,它们可能代表用户为用户执行大量的DNS查询。你可以通过说"我不会为你回答任何DNS请求"来有效隔离某些内容罗布:这很公平。DNS是一项核心技术,但有太多的东西影响到它。代理是其中之一,负载平衡器将是另一个。而且DNS基础设施的性能似乎是非常敏感的。互联网上的一个笑话是,当你解决问题时,总是DNS。那么,BlueCat是否将这些服务作为您产品的一部分,或者您是否将这些服务集成到其他服务中?DHCP是另一个。安德鲁:是的,DHCP是另一个核心。这个市场一直被称为DDI(DNS,DHCP和IP地址管理),这是一个没有人知道的首字母缩略词。所以我们倾向于把它看作是DNS和企业DNS,其中包括这些其他解决方案。DNS的延迟和可用性对应用程序和服务的可用性以及性能至关重要。这些都是我们提供的工具和功能。让客户了解DNS在内部的性能。此外,我们正在积极寻找任何可能导致服务速度减慢或中断或诸如此类的情况。因此,我们与客户合作,以确保我们已经部署了足够的容量。从历史上看,这通常是位于大型数据中心或大型分支机构的容量。现在更是如此,随着我们对边缘计算的投入越来越多。这也意味着在可能有出口的地方部署更小的服务点。DNS在边缘的工作原理罗伯:那么,在边缘位置,你会基本上为那个网站建立一个小型的DNS基础设施吗?是这样吗?安德鲁:是的。我们有一个专门为边缘网站设计的产品简介。假设Edge站点是一个零售商店,打不死高防加速cdn,在这里我们的数据中心设备每秒可以进行数十万次查询。你说的是每秒有100个查询或者更少是很幸运的。在DTP方面也是一样的,你只需要期望更低的音量。然而,内部DNS的复杂性仍然伴随着它。所以我们在那里有智能服务器,可以提供很多可见性。我们不知道是客户从a点连接到B点,还是我应该说的任何客户。但我们知道有人打算建立一个连接,因为有一个DNS查找。有了这个意图,它就成了设备意图的一个很好的代理;那些信号对于安全团队,网络团队来说非常有趣。有一种强烈的愿望。但是,我们还可以根据上下文更改查询的答案。这才是真正重要的,尤其是基于边缘的计算。你可能甚至不知道是什么让你的路由器离开了边缘站点,但是DNS可以给你一个很好的指示。罗伯:所以当你说"改变答案"的时候,你刚才说的话有很多东西要解释。我认为很多人并没有意识到DNS在基础设施中的集成程度有多深。你说得对。一个运行并试图下载的脚本-无论是恶意的还是良性的,如果它试图下载资料,它实际上每次都会攻击DNS。把它们从回购交易中取出。我的意思是,这是任何内容活动、任何网络遍历活动的第一个指标。这样公平吗?安德鲁:是的,是的。当然。因此,如果突然间某个东西一直在查找同一个地址,它是一个用户驱动的设备,并且它以一种不可能是用户的模式查找,是的。有人可能把某种文件共享应用服务器放在家里的设备上运行,忘了检查/关闭它,什么是防御ccddos,把它带回了家里。总的来说,它代表了一些人应该去看的东西。而DNS的模式就足够了。即使无法建立连接。假设您阻止了对特定域的查找,在该计算机中安装了某些内容。因此,基于这种查询模式,很明显有些地方出了问题。罗布:对。又一次,是善意的还是恶意的。如果某个东西正在命中一个地址,如果它一次又一次地命中一个DNS,并且无法解析该地址,阿里防御ddos,那么现在就有了一个性能不佳的应用程序。安德鲁:可能吧。正确的。我可以构建不那么脆弱的应用程序,并开始使用服务发现,让DNS基本上告诉我应该连接哪个最近、最健康的服务进行身份验证,或者该服务可能对我的应用程序做什么。罗布:而且至少会超时,否则会有什么事发生。我是说,这很正常。然后在边缘,它变得非常昂贵,因为如果你正在做一个DNS条目到某个地方,然后用光并拉过数据,你可能甚至不知道什么东西从你的路由器上穿过边缘站点,但是DNS可以给你一个很好的指示。安德鲁:是的。它成为了一组非常丰富的数据,可以用来挖掘那里正在使用的内容,同时也有助于指导这一点。我将给您举一个很好的例子,说明我们的一个Edge客户是如何使用它的。他们已经在"天知道企业"中实现了SD-WAN。他们只想——这对他们来说也不是唯一的——他们只想提供某些特定的服务来直接上网。就这家公司而言,基本上是Office 365。(因为office365而导致的网络重构和开销是相当疯狂的,但它确实存在。)所以他们想把它赶走。许多SD-WAN供应商出售一些非常复杂的功能来尝试感知不同的应用程序。这家公司意识到,他们基本上可以根据你是否能解析DNS名称来控制流量。现在我们有了这个策略驱动的DNS,并且微软提供了一个web服务,其中包含了所有完全合格的domai

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/69405.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9188215访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X