DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

云防护_香港高防的服务器_限时优惠

06-09 WEB安全

云防护_香港高防的服务器_限时优惠

在"DNS的未来"系列的第一集中,我们的CTO Andrew Wertkin探讨了DNS隐私以及DoT和DoH可以扮演的角色。他包括:DNS的技术定义不同上下文中的DNS解析隐私问题DNS over TLS(DoT),DNS over DTL(DoD),DNS over HTTPs(DoH) 需要笔录吗?继续读! 简介–00:00DNS的未来更多的是一系列的演示,因为有很多内容会随着DNS的发展而不断变化,其中很多显然会影响到BlueCat和我们如何开展业务。这是一个系列中的一个,会有其他演讲者和其他主题。但今天,我们决定将重点放在DNS over TLS和DNS over HTTPS上。你知道有个投票问题。它们都是新兴的标准,而且都非常关注一件事,DNS隐私。我们将讨论一下为什么这很重要,它在消费者领域比在企业领域更重要,但它肯定也会影响到我们在企业领域。可以?简要回顾:什么是DNS?–00:54所以我们要退一步讨论DNS实际上是什么,这样我们就有一些上下文来讨论什么是DNS over TLS和DNS over HTTPS。DNS是一个分层的、分散的、分布式的命名系统。它还指定了数据库的技术特性。我该如何存储和传输这些信息?还有协议本身。有一个DNS协议。有提供不同角色的DNS服务器。有一个全球域名系统,实际上,允许这个分散的数据库的名字和他们相应的地址,在许多情况下。征求意见或RFC–01:37DNS是由internet工程任务组(internetengineering-taskforce)请求评论、rfc定义的,这些rfc有很多。这些rfc在IETF的某种任务中很重要,就是定义标准,这样就可以在internet上实现互操作性。如果这些东西是专有的,如果不能就这些不同的标准达成一致,那么互联网就不能工作了。因此,服务器ddos防御,所有关于互联网实际工作原理的核心协议,无论是路由,还是一次又一次的DNS,都将由这些经历生命周期的rfc定义。有很多,很多,很多rfc都涉及DNS。其中一些涉及到最佳实践,有些定义了特定的协议。其中一些定义了DNS sec,它们彼此建立。以前的一些过时的建议,还有一些,提出了最佳实践。有一张他们的大地图很抱歉,从1983年开始,基本的DNS扩展,如果我们现在开始的话。人们谈论DNS camel的想法或者说这个协议已经变得非常复杂,基于所有这些新兴的规范,在很多情况下,很难跟上互联网上的变化。这就是为什么最近出现了类似DNS标志日的事情,这样就可以进行更多的更改,并在一定程度上淘汰那些不符合所有这些变化的服务器。今天,我们将集中讨论其中的两个,特别是定义DNS的RFC 8484和7858,更改DNS协议以保护隐私。它是一系列讨论DNS隐私的RFC的一部分。欢迎你读这些。如果你想打瞌睡,我建议你这样做DNS消息是…–03:41什么是DNS消息?DNS消息的结构非常好。它有一个标题,ddos防御中的七层防御技术,有一个问题,答案,这些答案的权限,dos和ddos攻击与防御论文,以及其他信息。无论是查询还是响应,DNS消息都是这样的。标题的细节也被分解得非常详细,如果我们要在广泛的互联网上保持兼容性,这些东西现在几乎不可能改变。因此,信息基本上保持不变,并保持一定程度的一致性。创始人,最初的RFC编写者非常聪明,添加了一些扩展功能,这样就可以添加或利用额外的位,而这些都不一定是一开始就保留的,因此随着时间的推移,协议中可能会有一些附加的内容无论我们是向DNS协议发送DNS消息,还是通过TLS、HTTPS、SMS或email或其他任何情况发送它,这就是DNS消息。DNS协议是纯文本消息。这是一个Wireshark包捕获我的笔记本电脑做一个DNS查询,而实际的查询本身将是字节编码的,但是Wireshark很好地解码和分解实际的DNS消息,所以我可以像任何人一样看到。只要我连接了那根线,我就可以确切地看到有什么DNS通过它。又是纯文本。如果我是一个DNS服务器,那么我不需要进入数据包捕获级别,因为这些东西在我身上流动,但它就在那里。这是纯文本,任何人都能看到。DNS查询–05:35下面是一个简单查询的工作原理。你的本地主机,你的手机,你的笔记本电脑,如何破cc防御,不管怎样,上面都有一个叫做存根解析程序的东西,这是一个相当愚蠢的DNS服务器,不知道怎么做,因为它运行在客户机操作系统上。我们不想为DNS配置一个完整的、更广泛的角色。这个存根解析程序知道如何向递归解析程序发出一个查询,这个递归解析程序会做所有的工作,很难找到这个查询的答案。这个递归解析程序会,例如,到互联网上,它会识别权威服务器,它在哪里,它会向那个权威服务器提问,现在我来回答我的问题。一般来说,这就是DNS的工作原理。不同的服务器角色,我有一个权威的名称服务器,我有一个递归解析器,通常会缓存答案。没必要。这样我就不必再去问因特网或内联网的答案了,我要把它还给存根解析程序,它是我的笔记本电脑现在我们有了我的问题的答案。多个服务器是这个过程的一部分。我们去找一个家庭用户。当你在家里或者99%以上的人在家里时,他们的存根解析程序是你家网络上的东西,会攻击你的家庭路由器,基本上是一个转发器,它会把它转发到默认情况下,通常是你的互联网服务提供商的解析程序。你的互联网服务提供商的递归解析器将得到答案并缓存答案。如果你的邻居已经查过这个地址,那么它通常会被缓存。他们不需要上网。这是有答案的。大多数家庭用户使用他们的ISP的DNS递归解析程序,不管他们是否知道,它是为你设置的,当那东西启动。从历史上看,ISP一直在利用他们的这一角色来实现自己的优势。首先,很明显,他们需要建立一个大的,可扩展的弹性系统,苹果6可以防御多少ddos,因为他们可能要面对数十万甚至数百万的消费者,但是他们已经做了一些事情来处理域名系统。他们把NX域名货币化了,我的意思是,如果你在访问某个特定网站时拼错了地址,而这个域名没有答案,那么这个查询就没有答案。他们不只是把没有答案的事实告诉你,这样你的浏览器就可以说网站不存在了,而是把你送到别的地方,在那里他们可以印一些广告,因此他们可以赚钱,因为公司付钱给他们印广告。他们已经这样做了很长时间了。基本上,劫持回应,你得不到真正的回应,你得到的是他们想要你得到的回应,因为他们可以把它赚钱这也是他们可以使用的大量数据。他们可以介绍他们的客户,他们知道谁要去哪里。他们知道这不仅仅来自于DNS,但是对于DNS来说很明显和容易访问,因此,他们使用它。如果他们愿意,他们可以改变答案,而且他们中的许多人这样做是为了自己的利益。这可能是为了他们自己的网络运营,但他们也可以改变你的答案。很多国家都要求有特定的黑名单,因为用户不被允许进入某些网站,无论是色情或赌博或是其他主题,而域名服务系统(DNS)成为一个非常简单的地方。不仅仅是印尼,英国也开始制定一些法律,比如选择加入,他们的计划是将域名系统作为一个主要的控制平面来实现这一点。因为我可以很容易地阻止基于DNS的答案。中国有一个非常著名的,中国防火墙,它是一个巨大的DNS组件,在那里他们可以控制访问,并控制对社交媒体或任何其他网站、不同新闻网站的访问。这又是一个很好的控制飞机来做这件事,这就是通常的做法互联网上的开放解决方案–09:42有些用户更高级一点,他们不一定要走这条路,所以他们把自己的机器配置成在互联网上打开一个解析程序。还有一些非常有名的。Quad8是Google的开放解析器Quad1,CloudFlare最近推出了Quad9,Quad9来自一个名为Quad9的服务。比如说,还有像OpenDNS这样的。因此,对于精明的用户来说,他们希望通过域名系统(DNS)获得一些保护,而不是隐私,而是一些保护,这些服务特别是Quad1和Quad9有活跃的黑名单,他们会封锁网站,如果你给他们一些钱,你就可以屏蔽色情内容,你的孩子就不能浏览色情内容了。他们提供基于DNS的服务。这些是免费的。有各种各样的付费服务,有一个企业在做这个。在某种程度上,我们使用DNS防火墙和Edge来实现这一点,但我们稍后会讨论这个问题。所以我可以绕过它。它没有给我任何隐私,我的ISP仍然可以看到所有的DNS消息。所以

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/69473.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9196480访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X