Расщепление инфраструктуры DNS-серверов

минута на чтение

Расщепление инфраструктуры DNS-серверовРазделение систем внешних и внутренних DNS усложнит задачу выявления внутренней архитектуры сети. Как следствие, это значительно понижает вероятность появления зомбированного узла внутри защищаемого периметра. Распределение нагрузки. Успех коммерческого сайта в немалой степени завит от построения гибкой и устойчивой к сбоям системы. Использование механизма распределения нагрузки не только позволит увеличить производительность сайта и его доступность для пользователей, но и автоматически способствует защите от DDoS. Например, можно воспользоваться решением Akamai Technologies (Www. akamai. com). Распределение поступающих запросов между несколькими взаимозаменяющи — ми системами увеличивает устойчивость сайта к DDoS-нападениям. Входящая (ingress) и исходящая (egress) фильтрация. Уменьшает потенциальную угрозу появления в вашей сети зомбированного компьютера. В лучшем случае входящая фильтрация должна производиться и на серверах вашего провайдера, что поможет в ранней идентификации DDoS-сетей. Строгая конфигурация межсетевых экранов. Как правило, серверы, доступные из Internet, должны размещаться в демилитаризованной зоне. Кроме того, модификации правил экранирования должны жестко контролироваться. Исходящие ICMP-пакеты Timestamp, Timestamp Reply, Information Request, Information Reply и Time Exceeded должны отфильтровываться межсетевым экраном. Обычная практика заключается в том, чтобы на начальном этапе разрешить обращения только к 80-му порту Web-сервера, а в дальнейшем устанавливать дополнительные правила по мере необходимости. Старайтесь использовать защитные механизмы сетевых экранов, такие как буферизация ТСР-соеди — нений и обнаружение злонамеренных действий. Активизируйте системы протоколирования (даже несмотря на то, что во время атаки это может сильно отразиться на производительности компьютера).

Защита периметра. Входящий и исходящий трафик периметральных устройств должен подчиняться определенному набору прав доступа. Причем ограничения по использованию протоколов и портов не должны конфликтовать с правилами экранирования сети. Используйте защитные механизмы этих устройств (например, для маршрутизаторов Cisco — опция TCP Intercept).

Facebook Vk Ok Twitter Telegram

Похожие записи:

Инфраструктура коммерческого сайта подразумевает наличие Web — серверов, серверов баз данных, почтовых серверов, DNS, разнообразного сетевого оборудования и, возможно, специальных мультимедийных систем или серверов поддержки финансовых транзакций. Если заполне...
При использовании round robin DNS у вас появляется возможность поставить в соответствие одному имени несколько адресов IP, например 192.168.1.1 и 192.168.1.2 одновременно. В ответе на запрос клиента round robin DNS вернет оба адреса, причем в случайной последо...
Информационные коммутаторы Cisco доступны в нескольких конфигурациях: CCS 11050. Базовая версия, предназначенная для небольших серверов. Пропускная способность достигает 5 Гбит/с. Встроенная конфигурация портов. До восьми коммутируемых Web-серверов. CCS 11150....