DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

ddos防火墙_燕云盾萝_打不死

07-14 DDOS防御

ddos防火墙_燕云盾萝_打不死

简史汽车与网络为了与我们最近为IPv6初学者提供的主题保持一致,本博客将介绍IPv6无状态地址自动配置的基础知识,通常称为SLAAC(在rfc4862中定义)。SLAAC的意思用最简单的术语告诉我们它的作用:地址的无状态自动配置。网络上的节点需要一个唯一的地址来与其他节点和网络通信。但它怎么会得到这样的地址呢?在过去的网络时代,一些可怜的笨蛋不得不在每个需要网络访问的设备上手动配置这样一个地址。在节点不超过几百个的旧网络中,对于最早的网络和系统管理员来说,这项任务是一项繁重的工作,但并非不可能。一方面,一旦一个地址被分配,它很少需要改变。[这里我提供了一些自动寻址的历史背景。如果您只想深入了解SLAAC是如何工作的,可以直接跳到下一节。–汤姆]尽管如此,防御cc攻击的服务器,早期也有其他路由地址协议尝试引入自动寻址。一个早期的例子就是苹果的网络技术AppleTalk,它包括路由和路由协议,作为一套网络相关协议和服务的一部分。顺便说一句,RTMP或路由表维护协议,AppleTalk的路由协议部分非常引人注目,因为它使用所有连接的路由器每隔10秒的间隔对所有路由信息进行主动广播。但是抛开这一特定路由机制的明显堕落不谈,1元香港高防cdn,AppleTalk的其他组件在当时看来是先进的(大约在20世纪80年代)。一个例子是它的终端节点自动寻址功能。正如维基百科所描述的:"AppleTalk的内部协议协商了一个工作网络地址号码,自动给计算机一个人类可读的名称,安全狗防ddos防御几g,并收集网络上其他机器的名称和类型的列表,以便用户可以通过基于GUI的选择器浏览设备。"一旦IP开始在路由协议的战争中获胜,网络规模开始增长,设计和使用也发生变化,就需要一种用IP地址自动寻址节点的新方法。动态主机配置协议(dynamichostconfigurationprotocol,DHCP)是为满足IP网络的自动寻址要求而构建的协议和服务。然而,像许多其他的网络协议和服务一样,rfc1541中定义的DHCP严重依赖于早期的协议,这些协议已经不再被广泛使用。第一个是RARP(RFC 903)或反向地址解析协议,正如你可能已经推断的那样,它的作用与ARP相反:不是用目标的IP地址向连接的网络发送广播帧并请求目标的链路层(MAC)地址,RARP广播一个包含它自己的链路层地址的包,请求一个响应通知它自己的IP地址。RARP演化为BOOTP(rfc951),克服了RARP的一些局限性。其中包括需要直接连接到第3层交换机的主机,其中必须配置IP地址到链路层的映射。BOOTP允许使用一个或多个中继代理,允许路由器转发BOOTP请求,允许一个BOOTP服务器为多个广播域和相关的IP子网提供寻址。RARP也不能提供额外的主机参数(例如默认网关和DNS服务器信息),这是BOOTP实现的。DHCP最初通过添加动态分配和地址租约的回收来增强BOOTP的功能(BOOTP只允许静态地址分配,因此没有自动回收任何未使用地址的机制)。DHCP的相对简单性和可扩展性保证了它将被广泛采用和不断增强。由于IPv6协议最初是在IETF社区中设计和讨论的,所以其中一个特别感兴趣的领域是一些支持自动寻址的机制。当然,将自动寻址直接添加到协议中会增加相当多的复杂性(与IPv4相比)。其中一个理由肯定是,它将有助于推动IPv6的采用。这样一来,IPv6自动寻址就可以被看作是自吹自擂的IPv6"杀手级应用"的早期版本;也就是说,同时流行和依赖IPv6的应用程序将迫使IPv6迅速而全面地被采用。(虽然对IPv6持怀疑态度的人可能喜欢指出还没有出现过这样的应用程序,但对那些人的标准反驳是,杀手级应用程序一直存在:它被称为互联网,如果没有IPv6,它就无法继续有效且经济地扩展!)。无论IPv6自动寻址的利弊在当时被讨论过,包含它的争论最终胜出,SLAAC诞生了。古老的网络历史够了!那么斯拉克到底是怎么工作的呢?下面的图表序列将显示SLAAC的高级步骤。链路本地地址的主要目的是为节点提供一个单播地址,该地址可用于在第3层与本地段上且仅在本地段上的其他IPv6节点(主机和路由器)进行通信。由于节点及其链路本地源发起的所有数据包的跃点计数都是255(共255个),所以这些数据包永远不应该从它们起源的链路上转发出去。图1。IPv6节点使用链路本地地址配置自己。图1。IPv6节点使用链路本地地址配置自己。所有链路本地地址的前缀都是fe80::/64。地址的接口标识符(或从左到右的最后64位)通常是通过使用修改后的EUI-64方法(RFC 4291)自动生成的,该方法使用将分配地址的接口的链路层地址(即MAC地址),并在第7到第10个半字节中填充一个十六进制值ff:fe在IID中可用的16个半字节中(换句话说,可用64位中的第25位到第40位)。这是一个修正的EUI-64编队的例子(例1)。例1。改进EUI-64编队的步骤。例1。改进EUI-64编队的步骤。一旦IPv6节点有了一个链路本地地址,服务器怎么有效防御ddos,它需要确保该段上没有其他节点使用该地址(图2)。它使用一种称为重复地址检测(或DAD)的机制来实现这一点(rfc7527)。图2。IPv6节点执行重复地址检测(DAD)。图2。IPv6节点执行重复地址检测(DAD)。考虑到地址通常是使用节点接口的MAC地址配置的,任何地址冲突的可能性都非常小。检查本身涉及到多播的巧妙使用:每个IPv6节点都必须订阅(即加入)多播组,该组定义为请求节点,并由地址ff02::1标识:ffxx:xxxx公司,其中xx:xxxx是该特定节点的链路本地地址的最后6个半字节。因此,任何基于DAD的ICMPv6邻居请求(NS)都将由具有重复链路本地地址的任何节点(根据最后6个半字节假设)来响应。一旦DAD发生并且IPv6节点确认它有一个唯一的链路本地地址,它就可以使用该地址作为它所连接的第2层链路上的任何第3层通信的基础(图3)。图3。IPv6节点使用其已验证的链路本地地址发送路由器请求消息。图3。IPv6节点使用其已验证的链路本地地址发送路由器请求消息。这包括使用SLAAC获取全局范围地址的第一步,即向链路本地限定范围的所有路由器多播地址ff02::2发送ICMPv6路由器请求(RS)消息,并以请求节点的链路本地地址为来源。链路上的IPv6路由器接收路由器请求,并以来自其自身链路本地地址的路由器通告作为响应,并以请求IPv6节点的链路本地单播地址为目标(图4)。在这种情况下,ddos防御工具的设计与实现,路由器播发包括全局单播分配(GUA)前缀2001:db8:66:6::/64。图4。IPv6路由器单播路由器广告。图4。IPv6路由器单播路由器广告。最后,IPv6节点将此前缀与其接口标识符(0536:e8ff:febb:14cb)产生了GUA地址2001:db8:66:6:536:e8ff:febb:14cb(图5)。图5。IPv6节点配置其全局可路由地址。图5。IPv6节点配置其全局可路由地址。此地址的全局范围允许来自它的流量从本地链路路由到外部目的地,包括Internet(如果本地网络与它有IPv6连接)。这个条目到此为止!在下一篇文章中,我们将研究SLAAC的其他方面,包括路由器广告标志如何决定使用哪种类型的自动寻址。我们还将研究临时地址和专用地址,以及当前使用IPv6自动寻址(SLAAC和DHCPv6)的一些操作实践。二+

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos1/65401.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8703392访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X