来自 安全 2021-10-13 18:20 的文章

网站安全防护_怎么防cc_打不死

网站安全防护_怎么防cc_打不死

虽然许多组织、服务提供商和制造商都已转向IPv6,防御cc的软件,但今年可能是每个拖拖拉拉的人也必须这么做的一年(我知道……你以前听过这个故事)。斯莱特和其他人报告说,今年夏天美国的互联网地址真的会用完。亚洲和欧洲在2011年和2012年已经分别枯竭。今年夏天,美国的互联网地址将用完如果您是一个可靠的客户,您可能想知道切换到IPv6将如何影响您的扫描工作。例如,Nessus®能否扫描IPv6网络?结果会不同吗?本文旨在概述Tenable在过渡到IPv6时如何帮助您进行漏洞管理。IPv4和IPv6简介Internet协议版本4(IPv4)和Internet协议版本6(IPv6)都是为连接到Internet的任何资产(例如笔记本电脑、智能手机、打印机、路由器等)提供唯一标识符或地址的标准,以便资产可以连接到Internet上的其他设备。IPv4是当今部署最广泛的标准。它使用32位地址,将可能的组合数量限制在约43亿:IPv6使用128位地址,比IPv4地址的数量多出1028个(79 228 162 514 264 337 593 543 950 336):从IPv4迁移到IPv6是一个巨大但必要的改变IPv4和IPv6之间还有其他技术差异,但可用地址的大小、格式和数量无疑是这些协议之间的关键区别,也是在IPv6网络上进行漏洞评估时需要考虑的重要区别。保护IPv6网络人们对IPv6的安全性存在误解,包括IPv6太大,无法扫描,因此黑客不可能攻破。正如Tenable首席执行官罗恩·古拉(Ron Gula)几年前在Tenable博客中写道的那样,udpddos攻击防御,人们已经忘记了盲目、野蛮的攻击并不是破坏网络的唯一途径。IPv6地址遵循特定的模式,渗透测试专家和黑客正通过改进扫描以利用这些已知模式来提高成功的几率。弱配置设置、暴露的漏洞和违规行为在IPv6中和IPv4中一样危险。组织面临的另一个安全挑战是,即使他们还没有迁移到IPv6,他们的网络上可能已经有IPv6设备,攻击者可以使用默认的IPv6功能潜伏在不被发现的地方。一个很好的例子是"链路-本地"IPv6地址,目前已在许多组织中部署。默认情况下,处于"链路本地"模式(IP以fe80::)开始的主机被设计为寻找IPv6路由器。当一个设备发出信号说它是这样一个路由器时,"链路本地"主机将把它们所有的IPv6流量发送给它,而不需要任何进一步的身份验证机制。因此,如果攻击者破坏了网络上的主机并在其上安装了IPv6隧道软件,该主机将基本上成为本地网络的事实上的IPv6路由器,并将通过IPv6到IPv4隧道将所有流量传输到Internet。现在很多网站都在宣传IPv6地址(比如Google),而且很多操作系统都支持IPv6而不是IPv4,这意味着攻击者只需广播一个ICMPv6数据包就可以在不触碰网络基础设施的情况下嗅探大量流量。正如《计算机周刊》几年前指出的那样,组建高防cdn,"注意你的隧道"并确保你的工具能够监视IPv6流量是很重要的。在IPv6网络上执行漏洞评估如今,大多数漏洞评估供应商都认识到了保护IPv6网络的这一需要。Tenable是我们SecurityCenter Continuous View中最早支持IPv6的供应商之一™ 2012年12月解决方案(Nessus和被动漏洞扫描程序™ 都是SecurityCenter CV的核心组件™). 虽然目前大多数漏洞评估产品都支持IPv6,但Tenable的方法有几点是最适合用户的。本机IPv6支持:IPv4和IPv6是完全不同的协议。如果你把它们与语言作比较,一种说英语,另一种说法语。对于漏洞评估,您希望您的扫描仪以本机方式支持这两个协议,而不是依赖转换器在两个协议之间移动数据。Nessus本机支持IPv4和IPv6,因此您可以使用该网络的本机"语言"在任何一个网络上运行扫描。依靠转换器将IPv6数据映射到IPv4的扫描仪在几个方面遇到了问题。映射几十个以上的资产是有问题的,这仅仅是因为要使映射保持最新。另外,在IPv6中,瞬时地址意味着ip地址在不断变化,软件真的可以防御ddos嘛,这使得维护转换"映射"几乎不可能。灵活的报告:根据资产的IPv4地址识别资产多年来一直是一种常见做法。对于某些人来说,像172.16.254.1这样的IP地址是相当容易记住的。对于IPv6,128位十六进制地址表示为3ffe:1900年:4545:3:200:f8ff:fe21:67cf对于普通人来说太长了,无法记住并知道它代表办公楼3楼东北角的打印机。因此,下列无法防御ddos,让报表以这种格式显示资产可能对所有报表查看器都有用。作为对IPv6支持的一部分,Nessus报告工具可以以不同格式(如DNS)显示IPv6地址,从而使IPv6环境中的报告易于解释。其他将IPv6数据转换为IPv4的扫描仪将很难以用户容易理解的格式显示数据。了解网络上的内容:被动漏洞扫描使用PVS发现IPv6网络上的资产,并与Nessus共享这些信息以进行漏洞评估扫描,这是一个强大的组合任何关于IPv6的谈话都应该包括关于如何识别网络上需要扫描的资产的讨论。在IPv6中,由于地址空间太大,传统的主机发现方法变得不那么有效—只需要花费太长的时间来进行发现扫描。Tenable的解决方案如被动漏洞扫描(PVS™) 变得非常重要。PVS执行活动服务器、笔记本电脑、BYOD和网络设备的自动发现,无论您使用的是IPv4还是IPv6网络。使用PVS来发现IPv6网络上的资产,并与Nessus共享这些信息进行漏洞评估扫描是一个强大的组合。更多信息从IPv4迁移到IPv6是一个巨大但必要的改变。要了解Tenable如何帮助您确保新IPv6环境的安全性,请下载我们的白皮书或在您的IPv4或IPv6环境中试驾我们的任何漏洞评估和管理解决方案。Nessus评估请求评估请求PVS特别感谢Corey Bodzin对本文的慷慨贡献。