January 12, 2010 – 10:02 am
转贴自:http://idc.cnw.com.cn/Xuni/htm2010/20100105_188830.shtml 在国内注册的域名默认使用的是国内域名注册商提供的DNS服务器,国内的DNS服务器可能受政策的影响停止解析域名,网络上传说以后没有备案的域名国内将不给解析。 为了避免国内的这些政策,建议使用国外的域名服务: 如果您还没有注册域名,请不要在国内注册域名,我们直接代理enom.com 的域名,使用enom分布在全球各地的DNS服务器,推荐各位使用。 如果您已经在国内注册了域名,建议把您的域名转移到国外,点击这里查看怎样转移域名。 如果您已经在国内注册了域名,但由于国内注册商赖皮,不给您转移密码,您还可以使用国外的免费DNS服务器。 国外免费DNS服务器 国外免费DNS服务器有除了everydns.com还有很多。 例如: ZoneEdit:只支持5个域名的免费解析服务(但要求域名流量不能太大),也提供动态的域名解析。现在似乎又做起来域名销售的服务。 Edit DNS:提供从DNS域名解析服务,并支持修改A, CNAME, MX, NS, TXT, PTR, and AAAA records等,支持免费的子域名,域名重定向等服务。 PowerDNS:提供免费的DSN解析,也有收费的服务。免费的服务的功能较少。 MyDomain:其上主要还是做域名和虚拟主机销售服务,有提供免费的DNS服务,免费的域名和E-mail转向,修改A/MX记录、支持多个子域名服务。 除了上面几个国人用得较多外,其它的还有granitecanyon.com、hn.org、dynu.com、24link.com、 yi.org、dyndns.org、no-ip.com、dnsmadeeasy.com等,以及最近谷歌提供的Google Public DNS服务。 你可以上他们的网站查询他们DNS服务器分布的情况,也可以在dnsreport上查询域名DNS解析服务的具体状态报告。 最后再介绍个重头戏,OpenDNS,非常棒的域名解析服务,为什么选用它呢?因为其有最大的三个特点:安全、快速、自动纠错。 安全就在于它能阻止一些网站盗取你的重要信息,能很好地保护你的私人信息; 快速就是在于它采用了大量智能缓存技术,先是通过缓存进行解析,如果缓存不存在,则转换到最近的DNS服务器进行解析,再存入缓存;另外一点就是它有着高效多位的分布网络(在USA、EUROPE有多个公布网点、而且正在筹备英国和香港的网点)。 自动纠错功能,就如你输入baidu.cmo时,它会自动帮你纠正为baidu.com,并做好解析。 解析方法: 这里以推荐的国外everydns.com免费的DNS服务器来解析国内注册的域名为例说明解析方法 第一步,先到 everydns.com 去注册一个用户,然后登录进去,在Add new domain: (basic)部分填写自己的域名,然后点击(basic)按钮添加自己的域名到everydns,这时候屏幕左上角就会出现刚添加的域名了,点击一下这 个域名,就可以在右侧给自己的域名添加解析了。 第二步,登录到国内域名的后台,直接修改DNS服务器为everydns的服务器,everydns一共有4个DNS服务器,分别 是:ns1.everydns.net, ns2.everydns.net, ns3.everydns.net, ns4.everydns.net。国内一般可以写两个DNS服务器,从上面这4个中随便挑2个就可以了 然后,等待大概24小时,新的DNS服务器就应该生效了。
January 6, 2010 – 9:44 am
转贴自:http://www.cnw.com.cn/network-peripheral/htm2010/20100104_188783.shtml MAC地址通知特性是思科网络设备中非常重要的一个应用。简单的来说,网络管理员可以通过这个特性来监测连接到网络中的新设备。不过在实际工作中, 不同的应用场景往往能够起到不同的作用。笔者在这篇文章中就结合实际的案例,谈谈这个MAC地址通知特性的应用。并对其典型配置作一些讲解。 一、在收费环境中的应用 现在不少家庭或者企业都是通过电信等互联网运营商来进行网络的互联。在申请帐号的时候,这些运行商往往会给用户一个猫之类的设备。作为企业网络与互 联网络进行连接的一个中间媒介。那么作为互联网运营商,他们是如何来控制只有付费的用户才能够上网呢?如果用户只要有一个猫,就可以上网,那么就要乱套 了。因为根据现有的技术,要盗版一个猫难度并不是很大。 其实在这个场景中,MAC地址通知特性就起到了很大的作用。在这个猫中,有一个MAC地址。而在运营商的后台数据库中,就存在着各种合法的猫的 MAC地址。当有新的设备要连接到互联网的时候,运营商的交换机等设备就会将新接入的猫的MAC地址通知给运营商。然后运营商就可以跟后台的MAC地址表 进行匹配,判断这个猫是否是合法的。如果不是合法的或者在运营商那边没有登记过,那么就会直接被拒绝。而一些控制的比较严格的运营商,用户会发现即时猫是 合法的,但是换一个帐号就不能够用。这主要是运营商将这个MAC地址与电话号码绑定。如此的话,这个猫只能够在特定的地方使用。因为电话号码是固定的。如 果用户需要移动位置,就需要办理移机等手续。运营商还可以从中赚一笔。 总而言之,在付费环境中,MAC地址通知特性是一项必不可少的应用。 二、MAC地址通知与DHCP服务器结合使用 在现实工作中,很多网络管理员喜欢将MAC地址通知特性与DCHP服务器结合使用。因为这两个技术结合,可以起到1+1大于2的效果。在很大程度上 提高网络的灵活性。如当DHCP服务器接收到新的IP地址请求的时候,服务器就会将MAC地址(MAC地址通知特性会将这个申请者的MAC地址发送给 DCHP服务器)和数据库中的交换机以及端口信息进行验证。来自东判断用户的MAC地址或者端口信息是否是合法的或者是否收到某些限制。如判断这种请求是 否来自贵宾用户或者付费用户。在实际工作中,这些用户往往具有比较高的优先级。如果系统检查通过了,那么DCHP服务器就会为主机分配一个IP地址。往往 可以根据用户请求的类型分配不同段的IP地址。而在后台不同的IP地址又对应着不同的网络规则。如资源访问的限制、网络带宽的限制等等。并且相关的IP地 址、MAC地址、用户帐户等信息都会被保存在数据库中,以便后续的查询、追踪与分析等等。 可见,如果MAC地址与DHCP服务器结合使用,可以提高网络管理的灵活性。特别是可以提高MAC地址匹配的效率。 三、MAC地址通知特性的主要用途 在以上的叙述中,笔者阐述了MAC地址通知特性的两个典型应用。那么读者或许会问,MAC地址特性到底有哪些用途呢?这是一个比较大的话题,很难用一两句话说明白。笔者结合自己的工作经验,总结了以下几点,供大家参考。 简单的说,MAC地址通知特性有两方面的用途。一是控制,二是记录。典型的接入层交换机能够根据交换机的端口连接到不同的用户,进而为其提供网络接 入。所以说,通过使用MAC地址通知特性,不仅能够控制接入的状态,而且还可以记录用户网络接入的情况。万一网络出现故障,可以通过查询这些信息来迅速进 行排错。 笔者以前就遇到过这种情况。企业的网络用的好好的,突然用户反映网络的速度变得非常的缓慢。企业中有比较好的防火墙。为此笔者认为很可能是内部出现 了问题。如有些员工将病毒带入到了企业内部,从而破坏企业网络。笔者先查询了最近接入到网络中设备。笔者已经在交换机上启用了MAC地址通知特性。每当接 入端口上增加一个新的MAC地址的时候,系统就可以通过交换机管理系统发送SNMP信息。在这个信息中,会告诉网络管理员用户所采用的端口号以及MAC地 址信息。为此从这个信息中笔者可以轻易的查询到最近加入的设备,如终端等等。通过查询笔者发现就在20分钟之前,会议室多了一台电脑。很有可能因为这台电 脑带有病毒,从而影响到了企业的网络。笔者果断的切断了这跟线,将连接这台可以电脑的交换机端口暂时禁用掉。果然,没过多久,网络就恢复正常了。所 以,MAC地址通知特性有时候还是一个很好的排错工具。如果没有这个工具的帮助,笔者可能还需要一个个端口去排错。而有了这个工具之后,笔者可以在最短时 间内找到可疑的故障点,从而尽快的恢复网络的正常运行。 所以说,MAC地址通知特性不仅仅在一些互联网的运营商那里可以使用。而且对于普通企业来说,也有不可替代的作用。如可以帮助网络管理员来控制一些 临时终端的使用等等。一般来说,只要企业配置有比较完善的防火墙,那么病毒、木马等等很难从企业的外面找到突破口。恰恰相反,很多攻击都是从企业的内部下 手。如用户或者业务伙伴使用自带的笔记本等终端设备。由于这些设备很可能本身就带有病毒。从而从内部破坏企业网络的稳定性。如果能够对这些外来的临时终端 进行严格的管理控制,那么必然可以在很大程度上提高企业网络的安全与稳定。在这方面,MAC地址通知特性显然能够帮助网络管理员实现这个目标。 四、在思科交换机上的典型配置 目前市场上的产品,并不是所有的企业或者所有的产品线都支持这个特性。从思科的交换机来说,其也并不是所有的交换机都支持这个特性。如在基于ios 软件的交换机中都没有得到普遍的支持。有些规格的交换机没有这个特性。如果企业需要这个特性的话,在选购交换机的时候,一定要确认清楚。笔者认为,至少要 在一些关键的交换机或者关键的位置选购具有这个MAC地址特性的交换机。如在会议室、会客室等比较开放的地方,可能外来的人用的比较多。此时需要一个带有 MAC地址特性的交换机。当有外来终端连接到企业网络的时候,管理员可以及时的了解这个信息。以便后续的追踪与排错。 作为网络管理员,如何判断是否需要使用这个特性的交换机上?综上所述,网络管理员或许也有一些直观的印象。如果一定要有一个判断标准的话,那么以下 这条规则或许有用。通常情况下,如果管理员需要知道MAC地址变更的通知(如增加了新的终端等等), 则就需要这个MAC地址通知特性。否则的话,这个特性对于网络管理员来说,就没有实际的利用价值。 在思科的交换机上要启用这个特性也比较简单。一般来说通过四个步骤就可以实现。 一是全局启用MAC地址通知特性。这个配置主要用到如下命令:set cam notification enable。 二是如果需要追踪特定端口的,则根据实际情况来增减MAC地址通知。如果不需要追踪特定的端口,则可以忽略这一步。如果有需要的话,可以通过如下命令来配置:set cam notification。 三是指定MAC地址通知的时间间隔。这个步骤主要用来设置发送的频率。一般来说,这个频率并不是越高越好。太高的话,会占用比较大的带宽。如果没有 特殊的需要,采用默认值即可。确实需要调整的话,可以通过如下命令调整。Set [...]
December 17, 2009 – 9:50 am
转贴自:http://www.cnw.com.cn/security-utm/htm2009/20091210_187630.shtml 现在,越来越多的政府、商业机构或公众网站经常会出现无法访问,或者访问速度变慢的情况。这时,您就要考虑一下,是不是网站被攻击了,或者是DNS域名解析服务器遭受了攻击?目前最常见的攻击就是DDoS攻击。 从网络攻击的各种方法和所产生的破坏情况来看,DDoS算是一种很简单但又很有效的进攻方式。攻击大致可以分为以下三种类型:洪水式攻击、协议耗尽 型攻击和应用层攻击。它的目的就是让用户无法访问网站的服务,破坏正常运行,最终它会使网站的部分Internet连接和网络系统失效。 在防御或缓解攻击的过程中,最重要的一个环节就是发现攻击,区分伪造的虚假地址的请求、恶意的流量,第二步就是采用外科手术式的方法过滤虚假地址的请求和恶意流量,从而让正常的流量能够访问网站或服务器。 大多数网站服务器的出口资源有限,如果遇到超大流量的恶意攻击, 仅在网站服务器端进行处理的话,无法解决网络流量拥塞的根本问题。这时就需要服务提供商在城域网或骨干网的清洗中心去清洗这些恶意攻击流量。去年 Arbor公司通过其遍布全球的ATLAS威胁分析平台,曾监测到最大流量高达42G的恶意攻击,这些恶意流量通常又表现为跨国界和跨运营商网络,这就需 要运营商、服务提供商在网络的适当位置部署检测和清洗设备,以达到防御和缓解攻击的目的,同时这些清洗中心的设备还可以提供对诸如DNS服务器、IDC等 的保护。另外,运营商也可以向网站经营者、其他企业用户提供这类可管理的安全服务。 目前Arbor可以提供单台清洗能力达40Gbps的清洗设备,多台清洗设备就可以组成一个具有强大能力的清洗中心。 最后,我想说的是:对于网络的攻击, 需要做到防患于未然,在遇到攻击时,才能从容应对。
