什么是学习网盾?
网盾是在网络上可完全抵御各种ACK、DOS、DDOS、SYN等攻击的防御手段!董多用于互联网公司的后期维护,学习它主要的科目有计算机应用基础、网页前后台设计及编程基础、网络管理与系统安全、数据库管理与开发等。
互联网性能下降是什么意思?
性能下降主要是指:
1、网络设备(信息插座、水晶头、网线、接口等)出现老化。
2、大流量应用变多,抢占了大量的带宽,导致网络变慢。
3、内网中有病毒攻击,像arp病毒、ddos病毒、syn攻击,存在内网的电脑中都会导致网络出现拥塞,路由器交换机性能下降。
如果不是物理故障,建议将网络改造升级为免疫网络,精细的带宽管理,强大的免疫器,从协议最底层解决网络问题,稳定企业网络,提升网络质量。
1千兆路由器好吗?
1大带宽需求普遍升级。在过去几年前,因为宽带的兆数叫小,光纤还未普及,通常一台拥有Intel系列CPU的百兆路由器就可以满足用户的各种需求,但是近年来随着宽带兆数的提升个光纤普及,原先的百兆路由器已渐渐满足人们日益增长的需求,与此同时,因为P2P的应用逐渐盛行,对于那些需要高速下载游戏、电影视频等大文件过程中,需要千兆级别的路由器才能满足要求。
2网络攻击日渐盛行。近几年,随着网络的不断扩张,应用环境也不断发生变化,DDoS或Synflood等网络攻击也日渐盛行,我们需要一台强大的高效的千兆路由器,在不用网络性能的前提下,来保证用户正常上网的同时来进行网络维护。
3加强质量保证及方便网络扩。随着网络的扩展,也要求个高端的产品来保证网络额质量,千兆路由器能大大降低,路由器死机、运行慢等问题,保证了网络质量,也拥有更大的扩展空间。
4网络分析或监控需求。对于那些要网络应用服务分析阻挡或监控内网运行的用户来说,千兆路由器的高效处理能帮他们减轻负担,是一个很不错的帮手。
dns防护怎么做?
1.授权DNS服务器限制名字服务器递归查询功能,递归dns服务器要限制递归访问的客户(启用白名单IP段)
2.限制区传送zone transfer,主从同步的DNS服务器范围启用白名单,不在列表内的DNS服务器不允许同步zone文件
allow-transfer{ };
allow-update{ };
3.启用黑白名单
已知的攻击IP 加入bind的黑名单,或防火墙上设置禁止访问;
通过acl设置允许访问的IP网段;
通过acl设置允许访问的IP网段;通过acl设置允许访问的IP网段;
4.隐藏BIND的版本信息;
5.使用非root权限运行BIND;
4.隐藏BIND的版本信息;
5.使用非root权限运行BIND;
6.删除DNS上不必要的其他服务。创建一个DNS服务器系统就不应该安装Web、POP、gopher、NNTP News等服务。
建议不安装以下软件包:
1)X-Windows及相关的软件包;2)多媒体应用软件包;3)任何不需要的编译程序和脚本解释语言;4)任何不用的文本编辑器;5)不需要的客户程序;6)不需要的其他网络服务。确保域名解析服务的独立性,运行域名解析服务的服务器上不能同时开启其他端口的服务。权威域名解析服务和递归域名解析服务需要在不同的服务器上独立提供;
7.使用dnstop监控DNS流量
#yum install libpcap-devel ncurses-devel
下载源代码 http://dns.measurement-factory.com/tools/dnstop/src/dnstop-20140915.tar.gz
#;
9.增强DNS服务器的防范Dos/DDoS功能
使用SYN cookie
增加backlog,可以一定程度减缓大量SYN请求导致TCP连接阻塞的状况
缩短retries次数:Linux系统默认的tcp_synack_retries是5次
限制SYN频率
防范SYN Attack攻击: # echo 1 > /proc/sys/net/ipv4/tcp_syncookies 把这个命令加入"/etc/rc.d/rc.local"文件中;
10.:对域名服务协议是否正常进行监控,即利用对应的服务协议或采用相应的测试工具向服务端口发起模拟请求,分析服务器返回的结果,以判断当前服务是否正常以及内存数据是否变动。在条件允许的情况下,在不同网络内部部署多个探测点分布式监控;
11.提供域名服务的服务器数量应不低于2台,建议独立的名字服务器数量为5台。并且建议将服务器部署在不同的物理网络环境中; 使用入侵检测系统,尽可能的检测出中间人攻击行为; 在域名服务系统周围部署抗攻击设备,应对这类型的攻击;利用流量分析等工具检测出DDoS攻击行为,以便及时采取应急措施;
12.:限制递归服务的服务范围,仅允许特定网段的用户使用递归服务;
13.:对重要域名的解析结果进行重点监测,一旦发现解析数据有变化能够及时给出告警提示; 部署dnssec;
14.建立完善的数据备份机制和日志管理系统。应保留最新的3个月的全部解析日志,并且建议对重要的域名信息系统采取7×24的维护机制保障,应急响应到场时间不能迟于30分钟。