您现在所在位置:主页 > 网络安全资讯 >

云盾高防采集_cdn高防应急中心_如何防

更新时间:2021-05-05

云盾高防采集_cdn高防应急中心_如何防

在一家安全服务供应商工作为我提供了一个机会,在我们寻求开发新的和创新的安全服务的过程中,我可以使用各种很酷的工具。我最近深入参与的项目是开发一个名为SecureSurf的DNS安全服务。该服务设计的基本目标是提供一个基于策略的DNS过滤平台,该平台不受限制(不基于IP白名单)、全球分布和闪电般快速。标准的DNS安全实践不赞成连接到Internet的无限制DNS缓存服务器的做法。在我们的例子中,我们必须为移动工作者和那些拥有动态IP地址的人提供一种能够无缝连接的方法。在我们最初的开发和部署过程中,我们了解到了在保护像DNS这样重要的应用程序方面什么是有效的,什么是不起作用的。当我们部署我们的初始部署时,防御cc是需要硬件防火墙吗,我们注意到三个紧迫的问题:不受限制的DNS解析程序很快被恶棍发现。一旦发现,这些DNS解析程序可以被征用参与各种恶意活动。恶意活动会迅速降低最终用户体验。大多数DNS缓存服务器通过合并访问列表在应用层(第7层)得到保护,有效地忽略来自不明确允许的源的查询。最新版本的Bind和Unbound具有可以对查询进行分级的配置选项。其他安全控制包括防火墙规则,限制从外部连接到DNS应用服务器(第3层)和IDS/IPS内联保护(第2-7层)。不幸的是,这些控件在保护基本上向世界开放的DNS接口方面的能力有限。此外,我们还观察到各种攻击,有些是众所周知的,有些不是,这些攻击通常在DNS解析过程中没有足够早地解决,无法有效地保护DNS服务。我们保护DNS服务的目标不仅包括确保DNS服务的可用性,ddos防御设备部署,而且还确保所提供答案的完整性。我们观察到的主要恶意利用是:DNS放大攻击DNS反射慢(又称DGA域或域融合)错误的查询名称格式格式错误的DNS数据包通过DNS进行数据过滤来自已知恶意IP的DNS请求DNS资源耗尽DNS洪水攻击(DDoS)每种恶意活动对服务级别都有不同的影响,因此我们着手设计一个系统,使我们能够在传输层(第4层)减轻这些攻击。我们选择合并的工具包括F5 Big IP设备、iRules(TCL)、Graylog、Elasticsearch、Kibana和NXLog。在接下来的文章中,我将对这些不同组件的技术细节进行分解,nginxddos攻击防御,并概述我们如何将这些部分结合起来,为我们的DNS解析程序构建一个监控和保护平台。我将在BSides拉斯维加斯做一个题为"DNS强化-使用F5病毒和开源分析工具的主动式网络安全"的演讲,其中包括对该解决方案的概述。如果您正在参加拉斯维加斯国际酒店,请一定要过来看看! 

作者简介:Jim Nitterauer,如何进行ddos防御,CISSP目前是AppRiver,LLC的高级安全专家。他的团队负责全球网络部署和管理SecureSurf全球DNS基础设施和SecureTide全球垃圾邮件和病毒过滤基础设施以及所有内部应用程序,ddos自动防御设置,并帮助管理整个公司的安全操作。他还精通道德黑客和渗透测试技术,从事技术工作20多年。编者按:本文和其他客座作者文章中表达的观点仅是作者的观点,并不一定反映Tripwire,Inc.的观点。保存