DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

游戏盾_棋牌高防服务器_打不死

07-14 WEB安全

游戏盾_棋牌高防服务器_打不死

多亏了爱德华·斯诺登(Edward Snowden)等人,政府处理网络安全监控的方式比以往任何时候都更成为业界关注的焦点。问题是:政府应该如何以及是否应该监控数据传输。这就提出了一个棘手的加密问题,这个问题现在已经扩展到域名系统(DNS)。政府机构正朝着对计算机通信进行所谓的全面监控的方向发展。对此的反应来自互联网工程任务组(IETF),该工作组认为应该保护信息不被窥探,并成立了DNS私人交换(DPRIVE)工作组,为DNS交易提供数据隐私。作为DPRIVE的一部分,IETF建议在传输层安全(TLS)加密协议上运行DNS,这是安全套接字层(SSL)的后续协议,这两种协议都广泛用于保护web浏览器和web服务器之间的通信。(有关此问题的更多信息,ddos攻击与防御,请参阅TechTarget和Register中的最新文章。)对Infoblox客户的影响是显而易见的:他们将不得不考虑更深层次的DNS加密如何影响他们的安全性和网络容量。这一切意味着什么仍在被解决,如何判断ddos防御大小,但这是一个需要注意的对话。考虑到加密引发的热情程度,这个话题在Infoblox高管中引发了一些分歧或许并不奇怪。接下来,Infoblox的DNS首席架构师Cricket Liu(通常是专业人士)和网络安全副总裁Rod Rasmussen(一般为con)就DNS加密进行了一次观点/对比讨论。板球刘:IETF对它所称的国家赞助的、无处不在的互联网流量监控感到愤怒。如果所有的东西都被窥探,我们应该加密所有的东西。如果发生这种情况,您的DNS服务器和internet上的服务器之间的通信将被加密。它仍然会受到某些类型的分析,这样黑客就可以进行流量跟踪,但是他们只能看到你的DNS服务器正在查询的是一个.com服务器,而不是你的DNS服务器在询问哪个特定的域名。这样做的原因是你的DNS流量会泄露你的一些信息在互联网上做的事情:你在访问什么网站,你在用什么电子邮件系统,你在运行什么软件,以及任何其他你需要查名字才能与之交流的设备。例如,一个专制政权可以监视他们的公民,搜索那些查找由外部组织运行的VPN服务器名称的人,该服务器帮助持不同政见者与外界交流。罗德·拉斯穆森:你必须扪心自问,保护DNS加密提供的相当有限的信息量是否值得它对你的网络和用户产生的影响。在HTTP流量或电子邮件的情况下,加密的权衡是有意义的,因为有太多敏感信息直接通过它们传递。DNS,没那么多。首先,ddos20防御,对于DNS,我关心的是性能影响。这是一个复杂的问题,复杂程度越高,事情就越慢,越脆弱。通过TLS发送查询比通过用户数据报协议(UDP)发送查询的成本更高。在整个生态系统中,DNS服务器服务查询的能力将下降,延迟将增加。网络将更昂贵,因为你将不得不投入更多的马力来解决这个问题。刘:我认为性能问题对管理员来说会更加明显。如果这样做成功了,我们将生活在一个TLS是DNS查询规范的世界。无论管理员需要什么样的性能。如果管理员做得很好,最终用户可能不会注意到太多。拉斯穆森:这很有可能发生;但是,你付出的代价对于你获得的增量收益来说太高了。TLS增加了开销,人们不喜欢开销。这是一般加密的问题。除了性能下降外,加密还常常妨碍您为网络所做的其他安全工作。如果您正在加密通信量并与外部实体通信,则当通信量进入或离开您的网络外围时,您将无法检查通信量。你看不到外泄或内部人员移动数据文件。下一代防火墙会对流量进行大量深入检查,以查找恶意行为,而加密通常会阻止恶意行为。如果流量是加密的,则无法执行数据丢失预防(DLP),因为您可能不知道正在移动什么。DNS对于观察隧道和信令模式是很好的,但是加密它使得这样的分析几乎不可能。刘:但是有很多好处。加密提供完整性检查和身份验证。你可以避免缓存中毒攻击。当流量被加密时,防火墙和入侵检测系统等中间设备将无法看到流量,但DNS服务器仍然可以清楚地看到一切。拉斯穆森:DNSSEC可能是一种更好的完整性检查和身份验证机制,但当然,这是假定人们实际部署并利用它的能力的。如果你想使用你自己的DNS解析程序来查找恶意活动,并且在规模上,你需要授权这些服务器并添加更多的解析程序。你必须在企业层面做更多的管理。如果你不能控制客户机,也不能完全理解客户机与DNS服务器的交互方式,那么你就得把它调出网络。例如,当服务器不提供加密连接或由于您不知道的原因停止提供这些连接时,您会怎么做?你是不是让它失败了,告诉用户他们不能上网?刘:我们以前也遇到过这样的情况,我们也经历过。我们从未加密的HTTP到HTTP,再到SSL再到TLS。Google现在允许你默认使用TLS,即使只是搜索。这是一个很大的变化。在部署EDNS0和推出DNSSEC(DNS安全扩展)时,我们也处理了DNS中的这种复杂性。拉斯穆森:如果我们开始加密DNS,政府会有什么反应?他们只会找到弱点并加以利用。他们将得到法院的命令,并利用ISP的解析程序来查看流量。数据必须在某处解密。这确实让政府更加困难,因为他们不能仅仅通过法律程序来挖掘主心骨,但这并不能"解决"问题。他们将不得不与更多的下游ISP和DNS解析人员合作。刘:可能是这样,但是朝鲜的努力比我追踪到的大多数东西都更有动力。底线是,如果这成为一个互联网标准,Infoblox将使客户能够部署它。拉斯穆森:是的,而且一线希望是,如果你不使用DNS防火墙或DNS分析来保护你的网络,你应该已经在做了,vps怎么防御ddos,那么处理加密的DNS流量会让你达到目的。0

,软件防御ddos

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/web/65508.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8726397访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X