DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

香港高防cdn_ddos防火墙的产品功能_超高防御

07-17 DDOS防御

香港高防cdn_ddos防火墙的产品功能_超高防御

上周我意识到,动态cc怎么防御,我从来没有真正跟踪过递归名称服务器发送的所有查询和收到的响应,该服务器解析的是DNSSEC签名的区域中的域名。我决定在有符号的顶级域中跟踪RRset的递归解析,因为我希望看到"信任链"的作用。我知道.org是被签了名的isc.org网站(InternetSystemsConsortium的域)可能已经有了DS(委托签名者)记录。果然,使用dig进行的快速查询验证了:%挖掘dsisc.org网站. +dnssec公司我选择了我会查到的。我首先清除了BIND name服务器上的缓存(运行BIND 9.7.0rc1),这样我就可以看到我的名字服务器查询.org名称服务器并查看返回的记录:%sudo rndc冲洗然后我启动tcpdump来捕获DNS流量:%sudo tcpdump-w端口53然后发送查询:%挖。+dnssec公司当响应很长时,这并不能捕获足够的数据,所以我通过指定选项"-s4096"来改进tcpdump命令。然后我发现我没有捕捉到真正长响应的所有片段,所以我放弃了"port53"参数(因为片段不携带端口信息),并使用Wireshark过滤掉所有非DNS流量。现在我有了一个完整的记录我的名字服务器发送的查询和它收到的响应。结果让我吃惊:当解析一个未签名区域的域名时,我看到了5个查询和5个结果响应,比如网站,通常最多只需要往返三次。当然,有符号的响应比大多数无符号的响应大得多。这不是一个完美的比较-isc.org网站有四个权威的名字服务器,而证书.org只有两个isc.org网站即使没有DNSSEC,响应也会更大——但它会让你感觉到DNSSEC将使用多少流量:在这种情况下,服务器安全狗防御ddos,是DNSSEC的6.5倍多!现在,并不是签名区域中的所有rrset解析都需要如此多的往返:一旦我们的名称服务器验证了网站是一个记录,以及isc.org网站而org,它会缓存这些结果。尽管如此,即使是包含网站的A记录(响应3)是包含地址的响应的17倍之多网站,而那张唱片的TTL只有10分钟,所以我们可能要经常查。当然,与验证接收到的记录所需的所有散列和解密相比,发送和接收这些UDP数据报所涉及的工作量相形见绌。以下是这五个回答所包含的内容:回答1:6个NS记录,网吧DDOS防御多大合适,6个A记录,6个AAAA记录响应2:4个NS记录,2个DS记录,1个RRSIG记录响应3:4个A记录,1个AAAA记录,4个NS记录,12个RRSIG记录响应4:4个DNSKEY记录,14个RRSIG记录,4个NS记录,3个A记录,1个AAAA记录,响应5:4个DNSKEY记录,最强防御cc,2个RRSIG记录,6个NS记录,1个RRSIG记录,2个A记录,美国高防服务器cdn加速,2个AAAA记录现在,有些是重复的,有些RRSIG记录在验证过程中不需要,但是每个RRSIG记录需要一个加密哈希操作和一个非对称加密操作来检查,每个DS记录需要一个加密哈希操作来检查。把它和网站,这将需要所有,er,零散列操作和非对称加密操作。因此,当我们的名称服务器开始处理更多DNSSEC签名的响应时,我们应该会看到CPU开销急剧增加。在配置验证之后,最好也开始监视名称服务器的CPU利用率,这样当递归名称服务器锁定处理器时,您不会感到意外。0

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos1/65596.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8728296访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X