DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

防ddos攻击_ddos盾眼_优惠券

06-07 WEB安全

防ddos攻击_ddos盾眼_优惠券

当NTP不正常时,您能想象的网络中最糟糕的事情是什么?BlueCat最近询问了一小群IT专业人士,他们提出了一些令人不安的场景:您的安全日志突然变得不可靠。无法进行DNS区域传输。Active Directory域控制器服务已关闭。DNSSEC的突然丧失。当NTP出现故障并且系统时钟不同步时,一切都会停止。网络时间协议(NTP)是在网络上的计算机之间同步时钟的协议。由davidl.Mills设计的NTP将计算机系统同步到协调世界时(UTC)的几毫秒之内。它使用时间源的分层系统,百度cdn如何防御ddos,每一级称为一个层次。原子钟、GPS或其他无线电钟等高精度时间设备属于第0层。NTP可能和任天堂一样古老(35周年快乐,超级马里奥兄弟!),但对于一个正常运作的网络来说,这仍然是至关重要的。但尽管NTP很重要,美国高防cdnhostloc,但它是一个很容易被忽视或误解的细节。这篇文章是BlueCat每月与DDI和DNS专家就各种网络安全和自动化主题进行的免费开放社区对话的结果。下面,我们将探讨七种最佳实践,以保持您的NTP弹性并避免网络中断。NTP弹性的七个最佳实践1至少有四台NTP服务器每个网络系统应至少有四个NTP服务器,最好更多。具体有多少取决于您特定的网络基础设施。没有一个正确答案。>只有一个永远不是好主意,如果失败了,你就完了。但即使只有两个也会产生所谓的双时钟问题。如果一台NTP服务器显示11:00,另一台显示12:00,哪个是正确的?这很难说。如果你加上第三个,NTP就可以算出哪一个可能是正确的。然而,如果你有三个,然后其中一个失败或离线,你又回到了两个时钟问题。使用至少四台NTP服务器可以避免这种困境。但即使是四个也可能不是正确的数字。假设您在所有DNS和DHCP服务器上配置了四个GPS接收器和IP地址管理工具(对于BlueCat用户,这将是您的BDDSes和地址管理器)。其中两个在欧洲,两个在北美。如果欧洲和北美之间的联系中断了会发生什么?那么你有两个地方的两个时钟问题。2考虑你的网络布局如何实施NTP并不是一个简单的决定。您必须考虑整个网络基础设施,才能找到真正的NTP弹性的神奇数字和配置。你必须小心不要使NTP结构太深。在第1层之后,您可能在第2层有一个分发层,然后在第3层有第三个分发层,然后才到达终端客户端。但是每一层都离时钟源更远,给时间增加了更多的不确定性。这并不是说三层是好的,四层是坏的,或者四层是好的,五层是坏的。这完全取决于您的网络基础设施。三。确保层次结构一致无论您构建了什么层次结构,都要确保在整个企业中保持一致。例如,如果您在第3层有一个bdd,请确保您的所有bdd在所有位置都位于第3层。执行相同任务的机器不应位于不同的层。4考虑场地弹性如果你有一个关键的工厂站点,即使它与你的组织的其他部分隔离,它也必须生存并继续生产,那会发生什么?如果这个网站完全孤立的话,它必须能够独立应对。在那个特定的站点上有多余的东西是很好的。但是,如果隔离发生了,并且没有好的时间来源,事情不会很好地持续很长时间。5不要独占使用NTP池NTP池本质上是一个适用于所有人的NTP服务器。它是一个网络计算机的集合,自愿通过NTP向世界各地的客户提供准确的时间。池中的计算机是ntppool.org网站域。毫无疑问,NTP池项目和公共NTP服务器是一件很棒的事情。它们被数以亿计的系统使用,对普通的互联网用户尤其有用。但是在企业环境中,您可能需要大量的DNS和DHCP服务器同步并与数百个activedirectory服务器通信。当然,可以用池来扩充它们,但是你不应该拥有大多数资源,免费ddos防御盾,更别说所有的NTP源都来自这个池。如今,采用这种方法的企业可能会发现自己正在吸取一个苦涩的教训,一分一厘的愚蠢。在GPS接收机价格昂贵的年代,依靠NTP池作为一种省钱的方式也许更有意义。NTP池虽然是一种宝贵的资源,但与您的组织没有可执行的服务级别协议或合同。此外,如果您有一个互联网中断,您可能会遇到进一步的内部问题与NTP。6说到冗余,延迟很重要网络上的每个DNS和DHCP服务器应该具有与上行链路相似的延迟。同样,你的层之间的所有延迟都应该遵循一个相似的潜伏期尺度。这通常可以通过将服务器放置在地理位置接近的地方来实现,但不能完全依赖它。地理位置的接近性本身就可能产生误导,这取决于您的地理位置。(例如,从温哥华到西雅图的延迟比从多伦多到新泽西要高得多。但后两个地点的距离几乎是相距的四倍。)更重要的是所有DNS服务器都在同一时间运行,而不是在正确的时间运行。如果您的所有DNS服务器在UTC后4小时关闭,这不是问题。但如果除了一个小时以外,其他人都休息了四个小时,ddos防御的意义,那就成了一个问题。DNS和DHCP服务器时钟在整个企业中保持同步是至关重要的。7避免时间循环时间循环是指服务器A与服务器B通信,服务器B与服务器C通信,然后服务器C再次向服务器A请求时间。不要创造一个。NTP监视和故障排除难题监测NTP的健康状况是很困难的。你的服务器时钟不会突然变为15小时46分33秒。当NTP开始失效或者你没有足够好的参考时钟时,你的时钟会慢慢漂移。而且,在一段时间后,它会越过门槛,引发问题,给你一个关于潜在原因的线索。例如,如果NTP漂移超过5分钟,GSS-TSIG将失败。正如蓝猫的一位顾客所说,我的消费者群一直认为时间就是时间,难道不是所有的东西都已经自动地知道它了吗,你不能在上面放一个显示器来显示时间错了吗?当你深入到它的实际杂草中…因为NTP作为一种协议和一种服务非常依赖于你的网络拓扑结构和拓扑结构的遍历性,他们把所有的变量都放在数学中,来计算如何改变时钟,何时改变时钟,以及改变多少时钟,如果你真的看到这些,戴上你的数学帽子,阿里云ddos防御思路,做一个监控的事情,那是巨大的。清除与NTP相关的故障也很困难。同样,BlueCat的一位客户说得最好:你的域名系统被扭曲了,毫无疑问。但其他一切都停止了。真的,噩梦不是时间搞砸了会发生什么。这是你的灾难计划,你如何着手修复它,使一切恢复正常?这就是噩梦。不是说你丢了那很糟糕。噩梦是,你如何康复?想成为我们公开的DDI和DNS专家对话的一部分吗?欢迎大家在闲暇时加入网络VIP。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/69392.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9186469访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X