DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

高防_阿里云香港高防_方法

高防_阿里云香港高防_方法

使用MSP服务?确保您有独立的监控

第三方(如托管服务提供商(MSP))通常是一个信息技术(IT)服务提供商,负责主动或在MSP(而非客户)确定服务是可用的情况下,ddos攻击与防御研究,高防cdn为什么那么贵,管理并负责向其客户提供一组定义的服务需要。采用MSP的主要驱动力是改善运营和削减开支的愿望。

甚至在多年前,MSP一词还未流行之前,许多组织就使用外部承包商和服务来安装和配置防火墙等关键安全设备。防火墙配置和规则可能非常复杂,如何检查它们?确保它们是正确的?一个选择是查看防火墙内的流量和活动。

最近,我与一个使用MSP管理防火墙的客户一起处理了一个有趣的问题。他们对这种安排很满意,全网ddos防御,因为MSP没有报告任何问题,他们也没有独立的工具来突出任何问题。

案例研究:未报告的防火墙漏洞

这个客户在MSP服务之外需要的一件事是监控网络流量的工具。他们需要一个在他们的网络边缘的带宽使用的高层次视图,他们联系了我们。部署了我们的LANGuardian产品的试用版,能够监视web流量和捕获相关元数据是其众多功能之一。

当我们开始查看捕获的数据时,我们注意到入站流量模式非常奇怪。我们将入站流量定义为源IP地址在网络外围(防火墙之外)的连接。超过98%的流量与通过udp389到其域控制器之一的LDAP流量相关。UDP 389上的流量通常是无连接LDAP(CLDAP),这是LDAP的一个变体,使用用户数据报协议(UDP)进行传输。

我们的LANGuardian产品有一个应用程序识别引擎,因此它将活动正确地报告为LDAP。如果您使用的工具使用端口号(端口80等)来报告活动,您可能会错过LDAP之类的内容。

深入查看此流量,我们可以看到来自云盾是什么、俄罗斯和许多其他国家的连接。我们确定域控制器被用作基于放大的DDoS僵尸网络的一部分。Infosec攻击者现在正在滥用暴露的LDAP服务器来放大DDoS攻击。

我们立即向MSP发出更改请求,以阻止防火墙上的UDP端口389。从下面的图片中可以看出,一旦实施防火墙更改,入站流量显著下降。

这里的重要教训是需要有适当的措施来提供网络上发生的事情的可见性。他们防火墙上的漏洞是一个早已过时的旧NAT规则。然而,他们的MSP并没有注意到这种活动。它需要一个独立的监控工具,可以显示他们的网络上发生了什么。

通过LANGuardian了解你的网络进出情况。

LANGuardian提供了一系列可定制的报告,宝塔linux怎么防御cc,以过滤某些活动。对于这个用例,我们选择了Applications in use报告,并使用了一个特定的源和目标IP地址过滤器。您还可以使用"报告变量"功能定义网络中正在使用的子网。按照以下步骤在您的LANGuardian上设置这些自定义报告

1.创建报告变量以定义您的LAN上存在哪些子网。如果使用专用地址范围,则可以使用与下图完全相同的设置。外部变量和内部变量之间的唯一区别是使用了!性格。此字符表示不存在,因此此子网之外的任何子网都不在您的LAN上。

2.单击"所有报告"并选择"正在使用的应用程序"报告。单击左侧"源IP/子网"旁边的下拉列表,然后选择外部报告变量。单击左侧目标IP/子网旁边的下拉列表,选择内部报表变量。

单击运行报表。您应该得到如下所示的输出。在我的情况下,我需要深入查看SMB活动,ddos现在能防御,因为我不希望看到客户端(源)在我的网络之外的文件共享流量。

3.然后,您可以通过单击Actions\save as(操作\另存为)将其保存为自定义报告,或通过选择Trend report(趋势报告)选项创建折线图。

4.最后,通过在"正在使用的应用程序"报告中选择"内部"作为源,选择"外部"作为目标,重复这些步骤以显示客户端在Internet上使用的应用程序。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/70090.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9273617访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X