来自 DDOS 2022-06-15 10:50 的文章

香港高防服务器_360网站防护_新用户优惠

香港高防服务器_360网站防护_新用户优惠

Neustar最近的研究发现,网络攻击者可以滥用配置不当的DNSSEC(域名系统安全扩展)域来发起分布式拒绝服务(DDoS)攻击。Neustar正确地指出了与错误配置的DNSSEC和传统DNS相关的额外放大因子,阿里ddos防御,其中包含数字签名允许比正常DNS放大攻击稍高一些的攻击。这与直接DNS放大几乎相同–唯一的区别在于,ddos防御程序科手机版,由于附加了数字签名,抗ddos攻击防御系统,导致更大的响应数据包,从而增加了放大效果。

正确配置网络

但是,必须强调的是,与此或任何其他DDoS放大向量相关的一点是,任何网络的运营商——无论是否包括DNS服务——都应该将其网络配置为不响应伪造的IP请求。此外,DNS运营商应将其DNS服务器配置为不响应"任何"请求,以消除服务器被用于恶意使用的机会。

攻击对接收端的影响可能特别有问题。如果互联网服务提供商依赖带外DDoS保护机制,利用DNS或DNSSEC的碎片化和放大攻击技术可能会导致中断、停机和潜在的安全隐患。此外,依赖传统IT和安全基础设施(如防火墙和负载平衡设备)的组织无法应对这些攻击。一个全面和自动的在线网络威胁保护解决方案是处理所有类型DDoS攻击(DNS及以上)的推荐方法。

关于伪造地址问题,互联网工程任务组(IETF)发布了一个最佳通用做法——BCP38,运营商应更加重视。BCP38的摘要部分总结了该方法:

"最近发生的各种使用伪造源地址的拒绝服务(DoS)攻击已被证明是互联网服务提供商和整个互联网社区的一个棘手问题。本文讨论了一种简单、有效、直接的方法,用于使用入口流量过滤来禁止DoS攻击,这些攻击使用伪造的IP地址从"背后"互联网服务提供商(ISP)聚合点传播。"

如果您在您的环境中没有遵循BCP38,您应该遵守。如果每个人都遵循这一简单的最佳实践,ddos防御金山,反射和放大DDoS攻击将大大减少,使除攻击者以外的所有人受益。

,防御ddos云服务中心