DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

阿里云高防ip_cc防御40g够吗_精准

07-14 DDOS防御

阿里云高防ip_cc防御40g够吗_精准

想象一下,当一个远古的水手,晚上只使用星星、六分仪和海洋天文表在蓝色的海洋中航行是什么感觉。幸好,在互联网上导航并没有那么令人畏惧。网络设备用来在数字海洋中找到路的方法是域名系统(DNS),它将人类可读的主机和域名转换成数字IP地址(反之亦然)。单独的DNS查询双协议行为的一个经常让人们感到惊讶的方面是主机向其解析程序发送两个独立的DNS查询。而今天,坦白地说,所有主机都是双协议双语,可以使用IP版本(4或6)来处理其DNS流量或其中包含的DNS查询和响应。之所以有单独的IPv4record和IPv6 AAAA记录DNS查询是,早期的IPv6部署偶尔会遇到与旧的仅IPv4解析程序有关的问题。如果主机将ANY查询或IPv6 AAAA DNS查询发送到不支持IPv6的解析程序,解析程序将返回错误的响应代码(RCODE),如NXDOMAIN。这将导致主机认为该域不存在,而实际上存在一个完全有效的IPv4记录,如果返回该记录,将导致主机至少通过IPv4建立连接。由于这些旧的DNS解析程序无法正确处理AAAA查询或响应,IETF发布了RFC 4074"针对IPv6地址的DNS查询的常见错误行为"。现在,主机发出单独的AAAA和a查询,如果AAAA查询失败,则a查询很可能成功,主机可以连接。例如,下面是一个Wireshark包捕获,它显示在网络上产生四个数据包。DNS查询以A记录查询(数据包74)和A记录响应(数据包75)开始。然后发送AAAA记录查询(数据包76)并返回AAAA记录响应(数据包79)AAAA查询在帧包解码窗口中展开。2011年,世界IPv6日即将到来,为了改善主机在双协议环境中的运行方式以及如何从任何一个IP版本的故障中恢复,IETF发布了rfc6555"快乐的眼球",它提出了一种更具攻击性的算法,可以提供连接弹性,让互联网用户/客户/眼球对他们的连接性更满意,或者,该算法可以在主机操作系统中实现,如Microsoft Network Connectivity Status Indicator(NCSI)或Apple iOS或OS X中实现。不管怎样,结果是主机可以在双协议环境中有效运行,并且可以使用提供最佳最终用户体验的版本恢复和建立IP连接。任何疑问的危险除了对不理解IPv6 AAAA记录的非常旧的DNS解析程序造成问题外,查询类(QCLASS)的DNS查询还存在其他问题。DNS ANY查询可能会导致从权威名称服务器返回大量数据。接收任何查询的DNS服务器将简单地用它的所有信息进行响应包括A记录、AAAA记录、DNSSEC密钥材料等。如果DNS服务器充当开放的DNS解析程序,但不限制谁可以查询它,则它可能会作为一个未知的参与者参与DDoS攻击。这些类型的DDoS攻击可能会发生,不仅是DNS,ddos云防御便宜,还有NTP,并可能利用不安全的物联网设备。今天,ANY查询的合法使用几乎不存在,但是ANY的恶意使用却很多。现在有一些组织希望完全停止回答任何查询。CloudFlare就是其中之一,最大的支持IPv6的内容交付网络(CDN)之一。CDN是我们可以绕过互联网的另一种方式。CloudFlare在一年前就停止了对任何DNS查询的应答。如果您向CloudFlare发送任何查询,单台服务器ddos防御,您将收到一个NotImp(未实现)的RCODE。CloudFlare的团队也在关于这个主题的两个IETF DNSOP工作组草案"DNS Meta querys restricted"和"为QTYPE=ANY的DNS查询提供最小大小的响应"。未来DNS改进自从RFC4074被用来解决传统的IPv4解析程序以来,互联网、DNS服务器、主机操作系统、服务提供商和内容提供商都有了长足的进步。现在,我们很少有人担心错误的解析器,除了担心他们在允许DNS-DDoS数据包放大方面可能过于宽容之外,在IPv6采用的中间阶段,DNS的行为是否应该再次改变?或者,中途修正航向会使我们走向互联网百慕大三角?在最近的2017年北美IPv6峰会上,来自CloudFlare(@thedanigrant)的Dani Grant介绍了他们的IPv6部署体验。她提到了上述任何DNS查询都没有响应的情况,并提到我们可能希望如何优化IPv6的DNS查询。CloudFlare的Marek Vavrusa(@vavrusam)和Olafur Gudmundsson(@OGudm)提出了一个IETF草案,标题是"免费提供AAAA记录,QTYPE=A"。这项提议取消了我们今天使用的单独的A和AAAA查询,并返回一个AAAA记录响应和一个记录响应,这样可以将查询和响应的数量减少一半。提供A记录响应和AAAA记录响应可以被视为理论上的"AAAAA响应"。开玩笑地说,"Quint-A"一词是由Cody Christman(Wipro和RMv6TF的)在2017年北美IPv6峰会上提出的。在这一领域的研究和工作仍在继续,以探索如何使用DNS元类来承载附加信息,如AAAA记录响应。这些潜在的方向可能包括添加一个ADDR元查询。这将需要对服务器和主机进行更改,并需要数年时间才能获得广泛采用。本文的目的是这些变化可能导致IPv6采用率继续提高,并减少网络上的DNS流量。摘要就像IPv4一样,安全宝防御cc,IPv6作为一种网络协议永远不会停止发展,尽管我们有了全球互联网行为的标准,但我们仍在不断寻找改善IP网络的方法。尽管IPv6现在已经牢固地部署在互联网上,而且其采用率也在不断增长,我们仍有时间优化IPv6的行为。当我们开始IPv6之旅时,可能效果良好的可能并不是我们希望我们的系统在移动到仅IPv6为主的Internet时的行为方式。尽管IPv6是一个"正在进行的工作",直播高防cdn,没有理由让这件事拖慢你的IPv6部署计划。全力以赴吧!但当我们继续航行时,ddos攻击防御算法,我们会用我们的舵进行一些细微的航向修正。0

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos1/65435.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8707585访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X