安全是有分量的

ddos清洗_vacheronconstanti高防_秒解封

2021-06-27 05:19栏目:防护

ddos清洗_vacheronconstanti高防_秒解封

一些聪明人最近就网络、云、存储和虚拟化的交叉点进行了一次谈话。在这个过程中,DNSSEC、DNS over HTTPS和DNS标志日的话题就出现了。它们都是截然不同的东西,但很容易混淆。当Ned Bellavance、Noel Reynolds、Amarbir Sidhu和Kevin Wilson崩溃时,请观看下面的内容,听或阅读以下内容:DNSSEC和DNS over HTTPS(DoH)的区别为什么DNSSEC采用如此缓慢IPv6是否影响DNSSECDNS标志日和DNS扩展(eDNS)与对话的关系加密DNS的值企业为什么不想加密DNS时间不够?欣赏悬崖的音符。或者看看这里的成绩单。DNSSEC和DNS over HTTPS(DoH)有什么区别?[00:55:22]–HTTPS上的DNS是DNS,但通过HTTPS协议加密。这意味着端点和DNS服务器之间发送的查询和响应不再是纯文本DNSSEC是DNS服务器的协议扩展,允许您建立信任链,以便从DNS服务器接收响应的端点可以确信响应是可信的。推荐阅读:ISC推荐此博客作为HTTPS DNS及其对internet的影响的介绍。要了DNSSEC的更多信息,您可能会发现这篇博文非常有价值。 DNSSEC为什么这么慢?[00:57:50]–从头开始配置DNSSEC非常困难。通常,即使供应商为您处理它,您也必须处理一个定期的密钥轮换。大多数组织仍然手动更新他们的DNS服务器,因此这意味着大量的工作。 IPv6是否影响DNSSEC?[1:01:25]–不是,不是。DNS服务器在Ipv6上的工作方式与在Ipv4上的工作方式相同。DNSSEC只是DNS的一个函数,它的行为没有任何不同。 DNS标志日和DNS扩展(EDN)与此对话有何关系?[01:03:23]–DNS标志日实质上是唤醒DNS提供商,维盟ddos防御,以删除旧的或损坏的、不符合要求的系统。在它的第一年,国旗日围绕着DNS(EDNS)协议的扩展。EDNS是在DNS之后的几十年中发展起来的,目的是实现我们今天期望DNS提供的更多功能和效率。国旗日是许多大型DNS软件和服务提供商表示不再支持不合规DNS的最后期限推荐阅读:诺尔建议在DNS标志日的PacketPushers一集来全面了情况。 为什么通过HTTPS加密DNS?[01:06:37]–加密DNS查询中包含的信息,否则将以明文形式读取,这使得"窥探者"更难解释端点进行查询的意图。这种方法已经被广泛报道为消费者隐私带来了好处,但是也有一些网络安全的折衷方案也应该被考虑。例如,许多理性的人不同意DoH实现中涉及的权衡是否值得付出努力。推荐阅读:同样,这篇ISC推荐的博客应该能为你解释这一切。 为什么企业会反对DNS加密? [1:08:25]——原因很多。许多组织和网络安全解决方案分析DNS信息以优化网络性能、路由流量和保护。推荐阅读:不,真的,这个ISC推荐的博客应该能为你解释。警告:转录是由转录服务生成的。有时,它们会混淆单词(尤其是技术术语)和说话者。阅读风险自负。哦,用常识来解释哪里可能出错了。 奈德:嗯,我觉得我们很好。诺赛尔开始为这个世界做一点准备。你想让我谈一谈吗?但是DNSSEC怎么了,DOH和DOT怎么了?那里的十字路口在哪里?我只是好奇别人的反应和意见,因为我认为我没有足够的信息来对这些事情做出明智的意见。诺尔·雷诺兹:当然。所以我们为什么不先解决DOH和DOT。再一次,我会保持相当高的水平。你可以上网找到一段视频,我说我认为DOH和DOT或者DOH是个坏主意。DOH看起来可能会赢得DOH和DOT之间的战争。所以DOH是基于HTTPS的DNS。DOT是基于TLS的DNS。它们的工作方式不同,但它们做的是相似的,即加密DNS采石场和从端点到DNS服务器的查询响应。DNSSEC有点不同,DNSSEC是一个允许你的协议,所以它是DNS服务器的扩展,允许你建立一个信任链,这样当它进行DNS查询时,它的端点可以确保它给出的响应是DNS,而且它确实做到了,一个完全限定的域名是由网站,网络是顶级域名。诺尔·雷诺兹:那么你就有了技术领域日。WWW通常是一个别名,也可能是一个主机名,但它是一个记录链。如果您在一个没有缓存记录的环境中工作,那么您必须遍历整个链。你必须通过根服务器,这是一个看不见的点,网站怎么防御ddos,然后问他,"嘿,我要去哪里找到网络服务器?"然后你必须找到网络服务器。DNSSEC允许您相信,在整个过程中的每一点,一个对您作出响应并给您答复的服务器是一个受信任的服务器,高防cdn_504错误什么意思,它对这些记录具有权威性,并且是这些记录的真正服务器。不是一个在中间假装在那里的人。诺尔·雷诺兹:这两种技术有点不同,DNSSEC已经有25年的历史了。我想说,差不多。如果你要去抓取DNS,绑定,然后打开它,弄清楚如何配置DNSSEC,我认为这可能会非常复杂。这看起来很复杂,这取决于您使用的服务器平台,您可能使用哪个供应商来执行DNS。我有过这样的经历,我实际上是从头开始,从头开始配置它。这真的很难。我想这会让很多人在很大程度上不使用它。阿玛:所以我同意。诺尔·雷诺兹:把他们扔了。阿玛:我认为DNSSEC和配置方面以及您所需要的一切,我认为人们发现这通常很复杂,因为他们必须管理DNSSEC数据。但是,如果你是一个DNS服务提供商,你自己并不托管任何数据,而你的服务器的全部功能就是从其他地方获取数据,那么你的贡献就在于你从绑定书中删除了登陆和开启DNSSEC所需的百分比。它的作用和诺尔刚才说的一样。他们从网络开始,去网络公司,去Techfield Day。阿玛:它一直在验证,直到找到响应并发回。但正如Noel所说,让人们望而却步的是在外部服务器端托管sec-sign数据,这通常很复杂。然后有很多供应商在空间,在这个空间,可以简化你的事情。但即使在那之后,你还必须拥有每年,每月的钥匙和类似的东西的轮换,这仍然是系统管理员需要的手工工作。诺尔·雷诺兹:我想说的术语和成分有很多,对吧?我不打算解释这些是什么,微软云防御ddos,但是当你开始,KSK,RRC,签名区域,就像签名的记录,当你向一个区域添加一个新记录时会发生什么。所有这些东西都处理好了。但老实说,如果你去YouTube上看一段视频,从配置的角度来看,它似乎要复杂得多。奈德:它是这样嵌入到规范中的,还是说它可以变得更简单、更安全?它只是从来没有真正达到采用点,它会变得简单?阿马尔:我认为采用明智的,在某个时候,美国政府规定,所有属于美国政府保护伞的机构,都必须有DNSSEC签署的外部DNS数据,没有其他办法。但是DNSSEC,百度cdn如何防御ddos,如果你去看历史,它主要是用来解决两个用例的。一个更大的问题是它需要向后兼容。因此,为什么他们必须围绕DNS做很多事情,以使其不破坏DNS,因为许多遗留系统现在不理解DNSSEC。阿玛:所以当你引入DNSSEC时,它会增加额外的标题,增加额外的记录。我们试图使系统变得简单,但我们使辅助名称变得复杂。我想当时,当DNSSEC出现的时候,我们的意图从来没有加密服务器和客户端之间的路径。更重要的是他们可以验证数据本身。我不认为这件事发生的时候网络安全正处于鼎盛时期。所以我从来没有想过数据加密也是一件需要在DNS上完成的事情。奈德:是的。在那个时代,这似乎困扰了许多互联网事物。它的设计从来没有考虑到安全性。所有的一切都得在以后用螺栓固定。阿玛:是的。内德:有什么不同吗,我不知道有没有人知道,但我知道他们在设计IPV6时,考虑的是更多的安全性,因为它更现代一些,所以IPV6中有一些IPV4从未有过的安全机制,有没有类似于IPV6 for DNSSEC或Is DNSSEC只是不在乎这两个被使用的是哪一个?阿玛:DNSSEC一般不在乎,但是DNSSEC所做的是用一个散列签名对类似类型的记录进行签名,所有的A记录,所有质量的记录都将用作密钥。所以DNS工作在IP栈之上,所以它不关心在IPV6启动之前是否是IP。它的作用是一样的