DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

DDOS高防服务_防cc软件_打不死

07-14 WEB安全

DDOS高防服务_防cc软件_打不死

尽管IPv6从上世纪90年代末就出现了,并且现在在互联网上得到了广泛的应用,但我还是遇到了一些刚刚开始学习IPv6的人。我们Infoblox IPv6卓越中心(COE)已经教授了十多年的IPv6。最近在Cisco Live,Ed Horley和我,以及我们的朋友Tim Martin,丹尼斯·菲什伯恩(Denise Fishburne)和吉姆·贝利(Jim Bailey)介绍了TECRST-2166"进入IPv6的沉浸式之旅"。在我们的课堂上,有广泛的IPv6专业知识,从部署它的人到想深入了解技术细节的人,到从未参加过IPv6课程的人。当有人问到关于IPv6的一个非常基本的问题时,我们常常会感到惊讶。与IPv6一起工作了这么多年,ddos防御的保驾护航,我们理所当然地认为我们自己最初是如何了解IPv6的,以及我们最初提出的基本问题。我们的Infoblox IPv6 COE已经开始提供播客(Podcast#1,Podcast#2)。如果这些更像是广播节目中的直播电话,我们可能会收到其中的一些问题。我们认为,汇编一些我们经常被问到的基本问题以及我们典型的回答和我们参考的资源是有益的。我需要完全迁移到IPv6吗?当人们第一次了解IPv6时,他们常常对多协议环境的工作原理感到困惑。我们在纯IPv4的环境中运行了这么久,我们已经忘记了很久以前我们的网络运行AppleTalk、IPX,小米路由器防御ddos,有些人错误地认为必须完全从IPv4切换到IPv6。将整个互联网和所有专用网络完全同时切换到使用新协议是不可行的。这就是为什么双堆栈转换策略是主要的IPv6部署计划。我们将使我们的网络和主机"双语",以便他们可以选择与其他系统和应用程序进行通信将根据终端节点可以支持的内容为给定会话选择最佳协议。随着时间的推移,IPv6将取代主导协议。IPv4主机能否与IPv6主机通信?两个节点通信必须支持一个通用协议,虽然IPv4和IPv6有许多共同的特点,但它们是完全独立的网络层协议,具有不同的寻址和包头格式,因此,纯IPv4节点无法与仅IPv6节点通信。下表说明了节点是否可以通信,并说明了为什么双协议策略提供了最多的通信选项。本着充分披露的精神,还有其他过渡方法允许在IPv4和IPv6协议之间进行转换。但是,转换技术通常有副作用,可能并不适用于所有应用程序。NAT64/DNS64(参见RFC 6144)、MAP-T(RFC 7599)和464XLAT(RFC 6877)等技术经常出现由服务提供商用于将仅IPv6的订户连接到IPv4 Internet,并将IPv4作为服务提供。你可以把他们看作是双语随需应变的语言翻译人员,像联合国这样的组织可能会在他们的会议上使用。它们在大多数情况下都很好,很准确,但总有一些情况下翻译不起作用,用母语进行对话将是更好的交流方式。哪些网站使用IPv6?现在有许多网站是使用IPv6连接的。如果您正在寻找一个网站来测试您的IPv6连接,或者只是想知道您可能已经通过IPv6传输访问了哪些站点,有许多站点可供选择。最流行的IPv6连接网站有古戈尔, YouTube.com网站, LinkedIn.com, 脸谱, Instagram.com网站, 维基百科, Netflix.com公司, Blogspot.com网站, 苹果公司,以及许多其他的。Hurricane Electric的全球IPv6部署进度报告提供了IPv6采用现状的统计数据。他们的测量结果显示,在Alexa 1M原始域中,119435个有直接IPv6地址(约12%),在使用www的Alexa 1M中,136409个拥有IPv6(约14%)。Alexa100万现在已经变成了500强站点,Dan Wing还创建了一个每天更新的站点,显示了使用IPv6的顶级站点的百分比,目前拥有AAAA DNS记录的站点的百分比超过21%。我们在Akamai的好友Owen DeLong有一个跟踪500强站点及其IPv6可访问性的页面。我的朋友和合著者,思科的杰出工程师ericvyncke维护着一个IPv6部署状态页面,Eric还有一个页面列出了最流行的完全支持IPv6的站点。世界IPv6发布站点是一个很好的资源,可以帮助您了解哪些组织正在广泛使用IPv6。我们还必须指出,仍有一些流行的网站尚未使用IPv6twitter.com, wordpress.org网站, pinterest.com网站,等等。计算机如何选择使用IPv4还是IPv6?选择哪一个网络层协议进行连接取决于两个主机之间的连接、主机操作系统和应用程序的连接算法。在上述两个终端节点都是双堆栈的情况下,它们之间的网络是双协议(并且有功能齐全的双协议DNS服务器能够处理IPv4和IPv6地址查询),然后操作系统和应用程序来决定。DNS查询的DNS响应是向应用程序指示目标具有IPv6地址的触发器。下一步是验证IPv6端到端连接是否存在。确定要使用哪个IP版本的最流行的算法之一是"快乐眼球"(RFC 6555)。这是在Chrome浏览器和其他应用程序中实现的。但是,Microsoft操作系统使用其网络连接状态指示器(NCSI)方法,苹果产品在操作系统中而不是在应用程序中实现这些算法。如果IPv6在第2部分中是最可靠的,那么在第2部分中,IPv6应用程序的性能会比IPv6更好。我从哪里获得IPv6地址,应该获得多少?为了正确回答这个问题,我们将把这个问题分成两个不同的部分。问题的第一部分可以通过联系为当地大陆提供服务的地区互联网注册中心(RIR)或上游互联网服务提供商(ISP)来回答。如果您使用边界网关协议(BGP)并且多个家庭连接到Internet,网吧防御ddos,那么您可能会满足从RIR直接分配独立于提供商(PI)IPv6地址的要求。但是,如果您使用单个ISP进行Internet连接,则可以直接从ISP请求提供商分配的(PA)IPv6地址。每个RIR都有自己的策略和过程来请求IPv6地址资源。例如,在北美地区,美国互联网号码注册处(ARIN.net网站)有一些很好的资源可以帮助您提出IPv6地址请求。从ISP或RIR请求的地址空间量取决于您组织的大小。如果您向ISP请求PA IPv6地址,则他们可能会从其IPv6块中为您的组织分配一个/48前缀。如果您有资格从您的RIR获得PI IPv6分配,则RIR的策略可能会声明a/48是您将收到的最小分配。根据RIR的政策,如ARIN的数字资源政策手册(NRPM),您可能会收到每个站点的a/48。将IPv6寻址计划放在一起可以帮助您确定请求多少IPv6地址空间以及在收到分配后如何处理它。Infoblox的免费6Map实用程序是一个很好的地方,可以初步了解IPv6地址分配是如何划分的。有关IPv6地址规划的更多信息,请参阅这篇关于IPv6地址规划的精美手稿。我可以简单地使用IPv6唯一本地地址(ULA)和NAT吗?有些人很难克服传统的认为NAT是一种安全特性的思想,因为组织一直依赖于状态防火墙来执行IPv4的NAT,他们得到的印象是这两个功能是不可分割的,他们认为他们必须在IPv6中使用这些相同的外围网络功能。事实上,IPv6提供了大量的地址,ddos攻击防御价格,没有理由使用NAT来处理地址不足的问题。此外,IPv6中的NAT并不像现在对IPv4使用NAT的方式。今天,您可能会使用端口地址转换(PAT),即在外围防火墙的外部接口上重载单个IPv4地址。防火墙将内部主机的IPv4地址和源TCP/UDP端口号转换为新的源端口防火墙维护这些转换的状态表,在IPv6中没有这个功能的等价物,换句话说,没有针对IPv6的NAT66的官方IETF RFC。但是,有一个IETF网络前缀转换标准(NPT)(RFC 6296),哪个cdn可以防御cc,但它不执行PAT,而是执行1:1无状态映射。有一个有用的ietfrfc4864,标题是"IPv6的本地网络保护",它深入研究了IPv6不需要NAT的所有原因。当人们第一次了解到唯一的本地IPv6单播地址(RFC 4193)时,他们会得到这样的印象:在IPv6部署中使用这些地址时,需要采用与在内部专用网络中使用RFC 1918 IPv4地址相同的方式。首选是所有组织都使用全局IPv6地址(例如,2000::/3)并谨慎使用只对特定的孤立网络使用ULA。如果你仍然不相信,那么我建议你阅读"用IPv6唯一本地地址破坏未来网络的3种方法"(第一部分和第二部分)。摘要俗话说"没有愚蠢的问题"

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/web/65426.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8726397访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X