德迅云安全陈琦琦
探索云世界
德迅云安全陈琦琦
-来自德迅云安全专业的网络安防工程师 3006013514
传奇游戏,是很多人的回忆,有很多朋友喜欢玩这个游戏,有的会自己建设一个传奇服,喊上三五好友,一起建设属于自己传奇,其实关于传奇游戏架设不是很难,有的朋友不知道该如何搞传奇开服架设。43.242.204 今天特意写一篇传奇架设教程,希望大家能打造出真正的归属于自己的传奇43.241.19 首先传奇架设(开服)要准备下述几个软件 准备工具: 1、传奇服务端(游戏版本)43.241.18 2、配套传奇登陆器(一般来说游戏版本里面都有会自带)43.240.74 3、DBC2000 · 第1步:解压文件传奇服务端(也就是Mirserver文件目录)到D盘 · 第2步:点开适合自己电脑系统的DBC2000安装程序一直下一步安装完成 · 第3步:打开控制面板-BDE-打开之后鼠标右键空白部分new新创建1个数据库命名为HERODB(大小写没关系),随后右边设置路径D/Mirserver/Mud2/DB就可以了 · 第4步:点开D盘Mirserver文件夹里的GameCenter(引擎控制器),随后点运行游戏服务器 · 第5步:点开D盘Mirserver文件夹里的传奇登陆器,选择单机测试7000端口登陆游戏
在linux下最常见的压缩文件通常都是以.tar.gz 为结尾的,除此之外还有.tar .gz .bz2 .zip等等·gz gzip压缩工具压缩的文件43.240.73·bz2 bzip2 压缩工具压缩的文件43.240.74·tar tar打包程序打包的文件(tar并没有压缩功能,只是把一个目录合并成一个文件)·tar.gz 可以理解为先用tar打包,然后再gzip压缩43.240.75·tar.bz2 同上,先用tar打包,然后再bzip2压缩 2 tar 及各参数-c 新建打包文件(小c)-C 指定解压路径(大C)-t 查看打包文件内容有哪些文件名-x 解压打包文件-j 通过bzip压缩或解压文件-z 通过gzip压缩或解压文件-f 后面接被处理的文件名或目录名-v 显示压缩解压进度-p 保留原文件或目录的属性tar –zcvp –f mysql.tar.gz /var/lib/mysql这个是打包mysql目录并压缩(这样打包会连路径一起打包,最好是在mysql目录的上一级目录打包)tar -zxv -f mysql.tar.gz -C /dongbang解压文件到指定目录 如果不加-C 就解压到当前目录————————————————版权声明:本文为CSDN博主「德迅云安全--陈琦琦」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/a38417/article/details/131478810
彻底卸载:把如下代码复制到文本中,后缀命名为cmd,右键,使用管理员方式打开,否则会报错需要下载 install_wim_tweak.exe 这个软件,后面的压缩包有。cd /d "%~dp0" echo Uninstalling ... CLS install_wim_tweak.exe /o /l install_wim_tweak.exe /o /c "Windows-Defender" /r install_wim_tweak.exe /h /o /l echo It should be uninstalled. Please reboot Windows 10. pause方法二:禁用按WIN+R 调出运行,然后输入 gpedit.msc 确定然后在策略组中展开【计算机管理】-【管理模板】-【Windows组件】-【Windows Defender】然后找到关闭 Windows Defender ,双击后设置为“已启用”,然后应用并确定即可
一、弱口令的定义仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。二、弱口令的特点1、连续字符串(如aaaa,abc等)2、数字数字通常会包含个人信息,如生日、身份证号的某几位。3、字符串+数字;数字+字符串;重复数字或字符串的组合三、安全口令的要求(有效防止弱口令)1.不使用空口令或系统缺省的口令,因为这些口令众所周知,为典型的弱口令。2.口令长度不小于8个字符。3.口令不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:tzf.tzf.)。4.口令应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个,那么该字符不应为首字符或尾字符。5.口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词。6.口令不应该为用数字或符号代替某些字母的单词。7.口令应该易记且可以快速输入,防止他人从你身后很容易看到你的输入。8.至少90天内更换一次口令,防止未被发现的入侵者继续使用该口令。四、暴力破解1、定义暴力破解,是一种针对于密码的破译方法,将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试10000次就能找到正确的密码。而当遇到人为设置密码(非随机密码,人为设置密码有规律可循)的场景,则可以使用密码字典(例如彩虹表)查找高频密码,破解时间大大缩短。2、暴力破解的方法1)穷举法穷举法是指根据输入密码的设定长度、选定的字符集生成可能的密码全集,进行地毯式搜索。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试10000次就能找到正确的密码。理论上利用这种方法可以破解任何一种密码,但随着密码复杂度增加,破解密码的时间会指数级延长。穷举法适用于猜解随机生成的短信验证码等,因为各种随机生成密码出现的概率是一样的,不受人的记忆影响。2)字典式攻击字典式攻击是将出现频率最高的密码保存到文件中,这文件就是字典,暴破时使用字典中的这些密码去猜解。字典式攻击适用于猜解人为设定的口令,因为人为设定受人方便记忆影响不同密码出现的概率是不一样的,12345678、password作为密码的概率比fghtsaer作为密码的概率要高得多。与穷举法相比,字典式攻击虽然损失了较小的命中率但节省了较多的时间。3)彩虹表攻击彩虹表攻击也属于字典式攻击,但它是一种高效地破解哈希算法(MD5、SHA1、SHA256/512等)的攻击方式。网站为了增加安全性,不会直接将用户密码存储在数据库中,而是将密码进行哈希,变成一长串毫无意义的字符,并且哈希算法是不可逆的,没有解密算法可以还原成原来的密码。面对哈希后的密码,破解的方法有两个,一是用穷举法组合出所有的密码可能,然后经哈希加密算法计算,将结果与目标哈希值进行比对,但边计算边比对会耗费海量的时间;二是提前生成可能密码与对应哈希串的对照表,但是对照表将占据海量的磁盘空间,以14位字母和数字的组合密码为例,生成的密码32位哈希串的对照表将占用5.7×10^14 TB的存储空间。彩虹表是时间空间折中的方法,其核心思想是将明文计算得到的哈希值由R函数映射回明文空间,交替计算明文和哈希值,生成哈希链,将这个链的首尾存储在表中,中间的都删掉,用的时候临时算,那么存储的空间比原来的减少了一半,而计算次数也并没有大量增多。由于在哈希链的计算过程中引入不同的R函数,将不同的R函数用不同的颜色表示,众多的哈希链就会像彩虹一样,所以叫做彩虹表。使用彩虹表进行破解,普通PC也能达到每秒1000亿次以上的惊人速度。为了增加安全性,可能会多次哈希,例如MD5后再MD5一次;或者在原始密码前后补上一串字符,增加密码长度后再哈希,学名叫加盐(salt),这些算法的结果都可以加入彩虹表中。最完善的彩虹表差不多能破解出目前网上99.9%的密码。五、容易被暴力破解的口令许多人设置的密码都过于简单,或者使用电话号码、出生日期、亲人或宠物的名字作为密码,或者在不同网站使用相同密码,这些行为导致密码很容易被破解。在 2020 年末,NordPass 公布了 2020 年使用率最高的 200 个密码,排名靠前的几个密码分别为 123456、123456789、password、12345678、111111、123123、12345、1234567890、1234567、000000、1234 …… ,除了纯数字,还有各种数字和字母组合,例如:qwerty、abc123 和 picture1 等。暴力破解不会造成直接的入侵,但攻击者通过暴力破解获得了系统/用户的账号和密码,以此为后续的入侵做准备。对于个人而言,直接从用户那里窃取金钱,或者窃取其身份,身份盗用可能导致进一步的财务损失。对于企业而言,通过暴力破解可以登录Telnet服务、POP3服务和MySQL服务等,登录成功将会导致用户信息泄露、文件共享、邮件泄露或无法正常发送邮件等高危事件。六、如何防止用户的密码被暴力破解1、应用层面对登录设置账户锁定。例:在连续输入错误的密码之后,需要间隔一段时间才能输入下一次密码。对登录的设备进行识别,如果是受信任的设备可通过,如果是新设备需要进行用户认证。2、用户层面使用复杂度较高的密码,如包含大小写字母、数字、特殊字符。定期修改密码。七、总结对于弱口令的破解,穷举法对于简单的口令有着“奇效”,但是对于一般的口令,穷举法的工作量太大;字典式攻击,弱口令字典可以存储相关弱口令,相较于穷举法损失了一些命中率(缺),节省了存储空间(优);彩虹表攻击,是针对破解使用哈希算法加密的口令破解法,成本非常高。
供应链攻击是已知多年的网络攻击类型之一,利用多渠道和高度脆弱的服务进行攻击。这使得供应链攻击难以控制,并导致数十家不同的组织遭受数百万美元的财务损失,并遭受品牌形象丧失的负面影响。为了创建一个完美的网络安全网络,这边分享一些重要的细节。本篇文章会介绍我们通过示例以及可以采取的预防供应攻击的措施来研究供应链攻击的范围。什么是供应链?“供应链”这个概念对于不同的行业可以有不同的含义。但这里的概念可以描述为相互链接并实施到组织 IT 网络的硬件或软件解决方案,目的是实现最高效率。这些不受控制、未定期修补或更新的来源会带来网络攻击的风险,而这些风险本应确保最终生产力的安全。什么是供应链攻击?供应链攻击也是一种网络攻击,它试图通过滥用网络漏洞渗透到组织或企业的数据库中。这些网络攻击利用硬件或软件中的漏洞来获取政府机构或企业的敏感数据。供应链攻击通常发生在恶意代码片段中,类似于软件更新中包含的恶意程序。另一方面,供应链攻击也可以由第 3 方供应商提供的物理组件进行。供应链攻击的类型可以将供应链攻击分为通过硬件、软件和固件发生的三种类型。以下是您需要了解的有关网络攻击者偏爱的供应链攻击方法的信息。硬件供应链攻击硬件攻击方式是最简单、成本最低的供应链攻击;跟踪不同的硬件,如主板、USB 驱动程序或以太网电缆,从而能够捕获传输的数据。由于这些行为很容易被注意到,因此攻击者不喜欢硬件供应链攻击。软件供应链攻击由于公司、政府机构或非营利组织需要重组其 IT 网络的快速数字化步伐,并且自转型开始以来,组织的攻击面开始扩大。这使网络攻击者有机会通过具有恶意代码的供应商的易受攻击的软件工具或服务闯入网络。这些在 IT 网络中实施并相互链接的恶意工具,尤其是在安全措施不足或漏洞百出的环境中,为网络威胁留下了漏洞,并增加了数据泄露的风险。最终,源自对供应链实施的软件的攻击称为软件供应链攻击。固件供应链攻击固件渗透是网络攻击者最喜欢的供应链攻击形式之一,它可以像基于软件的攻击一样传播非常迅速并且规模非常大。另一方面,基于软件和固件的攻击比基于硬件的攻击需要更多的知识和技能。供应链攻击案例 案例 #1这些供应链攻击的基础是依靠后台的渗透和静默监控,而不是立即下载或泄漏数据,这是基于第三方供应商完成的软件和固件更新。恶意代码泄漏到无数组织的系统中,使得跟踪通过服务器的数据长达数月之久。在关于大规模供应链攻击的声明中,相关公司提到他们面临着与他们之前所面临的完全不同的国家支持的事件。并表示这种情况一直持续到 2020 年 12 月,从 2020 年 3 月提供的更新开始。此外,该公司建议紧急切换到 2020.2.1 HF 1 版本以抵御这些攻击,其中包括 2019.4 和易受攻击软件的2020.2.1版本。由于它们需要高级别的安全性,供应链攻击需要采取重要措施,例如零信任。因此,在所有商业模式日益数字化的当今世界,企业紧急采取这些和类似措施以确保其网络安全非常重要。
APP的开业广告需要icp网络文化经营许可证。Icp经营许可证是增值电信业务牌照中的一项仅互联网的信息服务,主要针对付费信息发布和在线支付服务。开屏广告属于付费信息发布,点进去会有一些链接,需要办理icp许可证。网络文化经营许可证主要面向互联网文化活动和互联网文化产品的传播、播放、发行和下载。开屏广告属于互联网文化产品的传播和播放,需要办理网络文化经营许可证。如果你公司的APP要和银行对接或者和其他应用平台合作,对方会给你看ICP许可证。涉及增值电信的ICP业务需要办理,否则查处罚款,情节严重关闭平台APP在以下情况下需要办理对应的许可证:1.如果你的应用程序有收费功能,你必须获得申请办理ICP许可证,该许可证由当地省级通信管理局签发,号码是办理。2.如果你的网站是视频领域的,那么你需要办理网络视听许可证,这个很难拿到办理,你有51%的国有股才能拿到办理。除此资质外,还需要办理广播电视节目制作经营许可证。3.你的APP有短信受理验证码,或者短信修改密码,短信登录等。而且你需要办理SP许可证,可以分为全网和局域网。如果只在省内做生意,可以使用本地通信管理局办理本地网SP牌照。如果是国商,你需要工信部办理全网SP牌照4.还有就是一种社会医疗咨询,需要办理互联网医疗信息管理服务许可证。第五,涉及从事互联网文化活动、经营互联网文化产品,需要办理互联网许可,如经营游戏、直播等。开屏广告基本上是录播的形式,广告的存在是有盈利成分的。建议办理广播电视节目制作经营许可证和国际广播电视节目制作许可证。网络文化经营许可证申请条件:1、公司注册资金不低于100万注册资金。2.有员工。有获得相应的管理人员和专业技术人员。3.有一个域名。申请有域名,所以要有域名记录,网站域名注册证等。4.有个网站。有一个符合文化部,要求的网站,该网站在名称、内容和栏目设置方面应符合文化部的要求。5.有一个地方。须要给予工作场所使用权证明文件和设备清单。公司注册地与实际经营管理地不一致的,需给予。网络文化许可证办理的材料是:1.设立经营性互联网时代文化单位申请表;2.工商营业执照复印件;3.公司新章程;4.企业股东和法定代表人的身份证明和简历。股东有公司股东的,必须给予公司股东营业执照、公司章程复印件,以及上述法人股东中法定代表人和自然人股东的身份证复印件和简历;5.验资报告复印件(资金来源、金额及资信证明);6.8名企业管理人员、专业技术人员的身份证明及学历证明(或职称证明);7.注册地址和营业地址的房产证。经营租赁房屋的,还理应提交租赁合同亦或是租赁意向书,并由产权人签署亦或是盖章房地产许可证复印件;8.网站域名注册证,不申请法人注册的域名也要有转 让协议;9.企业发展可行性报告,包括公司概况、人员构成、应用项目及相应的经营管理技术方案、设备情况、业务发展计划、市场分析、项目内容及盈利模式分析等。广播电视节目制作许可证办理材料如下:1、广播电视节目制作经营许可证申请登记表;2、公司章程;3、公司营业执照及法人身份证相关信息;4、三名广播电视专业人员信息以及相关专业培训证明;5、公司办公场地证明材料;6、其他申请广播电视节目制作许可证材料
这边给看官讲个故事大年初一的晚上,家里面老一辈在客厅看春晚,小一辈呢没有这样的习惯,这让他们一起去书房用电脑看电影或者打游戏,然后客户茶几上有一个放了各种坚果的果盘,小孩子嘛,一会儿起来抓一把跑回书房,过一会儿又是如此,周而复始,也不嫌累,就是这样一趟有一趟再跑.在如果放在我这一辈小的时候,这么做的话,估计要被长辈说没规矩了, 他们不累,我看着都累,干脆就直接把坚果分了一大半到新的果盘里面,直接放在他们的面前,他们看了我一眼,也没说什么,只是没有在跑出去拿了.详细这个时候你再问CDN是什么的时候,我再解释你就会很清楚了:"我把坚果从一个距离远的果盘里面装出来,放在距离相当近的面前,让他们不必在一次一次的跑出去拿,而且坐着那边就可以享受到坚果"再简单一点说明你在一个公司上班,但是网络方面的带宽被限定为了2M,这也就意味着你你想要摸鱼看蓝光电影的话,那基本是一个让人欲哭无泪的龟速,看一秒卡一下那种,对吧。但如果有一个特别热门的电影,比如说最近的《壮志凌云2》,公司网内部的缓存设备,如果很多人都在用2M的带宽龟速下载同一个热门的资源的话,它就会把它缓存下来,这样的好处是,每个人都可以用内网中远远高于2M的带宽来进行下载。而且不用占用访问外网的带宽,同时目标网站的的服务器压力也小的多。如果再粗浅的语言来解释CDN的话,那我换一种更直接的方式来讲:“如果我们把某种网络资源,看成是某种路途遥远又曲折的,很多人都喜欢吃的汉堡,CDN就是把他们一次性的空降到我们面前(并且假设可以共享且取之不尽),让我们轻而易举的大快朵颐”。在我看来,CDN的本质是缓存,而内核中支撑它的互联网精神则是共享。当然我们还有官方的说明方式内容分发网络的总承载量可以比单一骨干最大的带宽还要大。这使得内容分发网络可以承载的用户数量比起传统单一服务器多。也就是说,若把有100Gbps处理能力的服务器放在只有10Gbps带宽的数据中心,则亦只能发挥出10Gbps的承载量。但如果放到十个有10Gbps的地点,整个系统的承载量就可以到10*10Gbps。同时,将服务器放到不同地点,可以减少互连的流量,进而降低带宽成本。而节点的实际数量就会影响CDN的效果,以阿里云为例,阿里云的CDN全国具有500多个节点,并且具有分布式系统架构和充足的带宽和存储资源,可以保证CDN服务的稳定和快速。内容分发网络另外一个好处在于有异地备援。当某个服务器故障时,系统将会调用其他邻近地区的服务器服务,进而提供接近100%的可靠度。 除此之外,内容分发网络提供给服务提供者更多的控制权。提供服务的人可以针对客户、地区,或是其他因子调整。另外就是,对于全国而言,南北方的网络运营商也不是一个,但是跨运营商的网络访问的速度就会大大降低。但是对于网站的运营者或者开发者而言,总不能让南北方的童鞋们访问自己的网站的速度有明显的差异吧,为了解决这个问题,使用CDN技术就是一个非常好的选择,刚才提到的阿里云CDN,就可以实现跨运营商、跨地域的全网覆盖。 嘻嘻 这次就讲到这里啦 拜拜
首先我们需要了解什么是流量劫持?流量劫持是一种很老的攻击方式了.比如很常见的广告弹窗,很多人已经对这个习以为常了,并认为流量劫持不会造成什么损失,但是实际上,流量劫持可以通过很多种没办法察觉的方式,暗中窃取账号信息,谋取利益.比较常见的流量劫持方式蜜罐代理WiFi 弱口令WiFi 伪热点WiFi 强制断线WLAN 基站钓鱼Hub 嗅探MAC 欺骗DNS 劫持CDN 入侵路由器弱口令路由器 CSRFPPPoE 钓鱼MAC 冲刷ARP 攻击DHCP 钓鱼流量劫持会对我们造成什么损害呢?不同劫持方式,获取的流量也是有所不同,DNS劫持,只能截获通过域名发起的流量, 直接使用ip加端口做访问地址的通信是不受影响的,CDN入侵,只有浏览网页或者下载的时候才有风险,其他情况下是没有任何问题,网关被劫持的话,用户所有流量都要完蛋Http协议下更容易出现流量劫持的行为有哪些1.http容易导致在线应用被劫持网页技术在近几年有了飞跃性的发展,但是底层协议始终没有多大的变化——HTTP,已经使用了20多年的协议,在HTTP里面,一切都是明文传输,类似一个人没有任何隐私暴露在你面前,他的一切都可以被你随心所欲的控制.而在线使用的WebApp,流量里既有通信数据,又有程序的界面和代码,劫持不要太轻松,就因为这样,劫持网页流量成了灯下黑的钟爱,一种可以网页发的入侵方式.2.公众场所使用http,即使你没有登入也是会被劫持在自己的设备,大家都会选择记住各种账号的登入密码,毕竟自己的设备只有自己使用,很平常的一件事情,然而,在被劫持的网络里面,即使浏览在平常不过的网页,可能一个悄无声息的脚本就藏在里面,正在悄咪咪的访问你登录的网页,操作你的账号3.http状态下,cookie记录周贺浏览器自动填表单,都会导致账号信息被截获http状态下,cookie记录都是明文的账号信息.被劫持泄露后,即便数量不多,也是可以通过社工获取到更多关于该账号的信息,最终结果就是更多的信息被泄露4.HTTP缓存投毒HTTP这种简单的纯文本协议,几乎没有签名机制用来验证内容的真实性,即便页面被篡改,浏览器也是无法判断的,甚至连同住的脚本也会被缓存起来,但凡具备可执行的资源,都是可以通过预加载带毒的版本提前缓存起来Https能避免流量劫持嘛?可以的,但是有前提,这个前提是必须使用受信任的SSL证书不同于简简单单的http代理,HTTPS服务是需要权威的CA机构颁发的SSL证书才算有效的,自签证书浏览器是不认可的,而且会给予警告提示,而且遇到"此网站安全证书存在问题"的警告提示时,基本用户都是不清楚什么原因的,只是直接点了继续,导致允许灯下黑的伪证书,HTTPS流量因此被劫持如果说重要的账号网站遇到这样的情况,基本等于大门要是落入灯下黑之手而这里提及的权威CA机构是指已经通过WebTrust国际认证,根证书由微软预置,受微软等各类操作系统、主流移动设备和浏览器信任的CA机构;在中国还要附加一项,就是要拿到工信部许可的CA牌照;这样的CA机构,才有权力签发各类数字证书。自签证书是指不受信任的机构或个人,自己签发的证书,容易被灯下黑伪造替换全站HTTPS的重要性情况一:从http页面跳转访问https页面在现实中,电脑浏览网页很少是直接访问HTTPS网站的,打个比方,支付宝网站很多的情况下都是从淘宝跳转的,而淘宝目前使用您的还是HTTP协议,如果淘宝网页被注入XXS的话,屏蔽了跳转,直接使用HTTP取代HTTPS访问,那么用户降永远无法访问安全的网站尽管地址浪没有出现小锁,即HTTPS的字样,但是域名看起来都是正常的,一般用户都无法判断,等于直接无视了.因此,只要头个访问的网页是不安全的,后面在安全也没有什么作用,情况二:http页面重定向到https页面有一些用户通过输入网址访问,他们输入支付宝的网址,然而,浏览器可没有那么聪明,会知道这是https的站点,反而会使用http访问,不过http的支付宝网页也是存在的,他唯一作用就是重定向到支付宝https网页上.劫持流量的灯下黑一旦发现这个行为,可以拦截下重定向这个指令,然后去获取重定向的网页内容,然后在反馈到用户,这个情况下用户至始至终都是在htpp页面上,自然会一直被劫持.国外各大知名网站都是通过全站https技术来保证用户信息和交易安全,防止会话攻击和灯下黑攻击.综上所述从上诉劫持例子中,我们可以看出https是可以一定程度上防止被劫持的,所以无论是网站运营者还是网民本身,为了自身信息的安全,都要形成访问HTTPS站点习惯,特别是记录有自身身份信息的站点,登入是要格外注意
SSL证书失效可能有很多种情况,SSL证书安装上出现问题,SSL证书过期了,等等情况.1.SSL证书使用时间过有效期限发现SSL证书失效,首先应该查看SSL证书是否已经到期,为了保障数据安全,实时验证网站身份真实性,SSL证书的有效期分为月费和年费,目前各大浏览器支持的SSL证书都是有时限限制,如果发现证书到期,需要及时续签或者重新购买SSL证书,及时验证安装.2.计算机时间不正确SSL证书是有时限限制的,如果服务器系统时间不正确没有在SSL证书规定的时限内,也会导致浏览器提示SSL证书过期或者失效的情况出现,这种情况在使用过程中反而是一种比较常见的情况,对于这种情况处理我们只需要重新设定或者同步系统时间即可.3.网址中载入了不安全的http资源在https网页页面中启用http资源,IE核心版本号的电脑浏览器将提醒该网页页面具备不安全要素4.使用自签SSL证书一些个人网站或者中小企业网站为了节省成本,可能会使用自签证书,其实这样的做法具有很大的安全隐患,自签SSL证书是由本人或者借助一些不受信任的平台制作的SSL证书,这些证书使用的往往都是过时的加密技术,生存的周期已经较长,安全风险很大,非常容易遭受到攻击,而且往往浏览器不信任这方面的证书5.实用性较差的SSL证书中小型服务商批准的实用性较差SSL证书也是不会被电脑浏览器所信赖,因为证书信赖链的高层也就是CA机构,而这种中小型服务商是欠缺CA机构的公信度,是不会被电脑浏览器所信赖的,因此建议挑选根据国际联盟Webtrust规范的验证,具有了国际联盟电子认证服务项目工作能力的CA机构。6.SSL证书跟域名不配对申请是单域名证书,那么SSL证书只能使用于某一特定域名,不能适配其他域名或者该域名下的所有二级域名,如果说用该证书去配置其他域名或者该域名下二级域名,浏览器也会出现"SSL证书无效"的告警提示.这边也是负责的建议选择专业证书服务商提供的证书,产品质量及安全性能有极大的保障
1.WebShell是什么?这边简单的给各位看官介绍一下:Webshell是通过服务器开放的端口获取服务器的某些权限。webshell又称脚本木马,一般分为大马、小马、一句话木马三种.1.大马,体积大、功能齐全、能够管理数据库、文件管理、对站点进行快速的信息收集,甚至能够提权。2.小马,一般而言,我们在上传文件的时候,会被限制上传的文件大小或是拦截的情况,那么我通过小马来上传大马,实现我们想要的功能。3.一句话木马,短小精悍、功能强大、隐蔽性好、使用客户端可以快速管理webshell。2.webshell的攻击原理是什么?WebShell是黑客经常使用的一种恶意脚本,原理就是利用Web服务器自身的环境运行的恶意代码。就是通过WebShell脚本的上传,利用网页服务程序实现操控服务器的一种方式。以PHP语言为例,只需要编写一个简单的PHP代码文件,上传到网站目录中,就可以对网站服务器进行操控,包括读取数据库、删除文件、修改主页等都可以做到。这么一个简单的语句就可以为黑客入侵打开一扇大门,让黑客可以随意地执行任意代码。3.WebShell攻击该如何进行抵御呢?1.配置必要的防火墙,并开启防火墙策略,防止暴露不必要的服务为攻击者提供利用条件。2.对服务器进行安全加固,例如,关闭远程桌面功能、定期更换密码、禁止使用最高权限用户运行程序、使用 HTTPS 加密协议等。3.加强权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许配置执行权限等。4.安装 Webshell 检测工具,根据检测结果对已发现的可疑 Webshell 痕迹立即隔离查杀,并排查漏洞。5.排查程序存在的漏洞,并及时修补漏洞。可以通过专业人员的协助排查漏洞及入侵原因。6.时常备份数据库等重要文件。7.需要保持日常维护,并注意服务器中是否有来历不明的可执行脚本文件。8.采用白名单机制上传文件,不在白名单内的一律禁止上传,上传目录权限遵循最小权限原则
前言计算机的安全性历来就是人们热衷的话题之一。而随着Internet的广泛应用,人们在扩展了获取和发布能力的同时也带来信息被污染和破坏的危险。这些安全问题主要是由网络的开放性、无边界性、自由性造成的,还包括以下一些因素。计算机操作系统本身的一些缺陷。各种服务,如Telnet NFS、DNS和Active X等存在bug和漏洞。TCP/IP协议几乎没有考虑安全因素。追查黑客的攻击很困难,因为攻击可能来自Internet上的任何地方。对于一组相互信任的主机,其安全程度是由最弱的一台主机所决定。一旦被攻破,就会殃及其他主机。防火墙是网络安全的第一道门户, 可以实现内部网(信任网络)和外部不可信任网络之间,或者内部网不同网络安全区域之间的隔离与访问控制,保证网络系统及网络服务的可用性。狭义的防火墙是指安装了防火墙的软件或路由器系统,而广义的防火墙还包括整个网络的安全策略和安全行为。出于对以上问题的考虑,应该把被保护的网络从开放的、无边界的网络环境中独立出来,成为可管理、可控制的、安全的内部网络。只有做到这一点,实现信息网络的安全才有可能,而最基本的分隔手段就是防火墙。防火墙作为网络安全的第一道门户, 可以实现内部网(信任网络)与外部不可信任网络(如因特网)之间或是内部网不同网络安全区域的隔离与访问控制,保证网络系统及网络服务的可用性,有效阻挡来自Internet的外部攻击。防火墙是一种综合性的技术,涉及到计算机网络技术、密码技术、安全技术、软件技术、安全协议、网络标准化组织的安全规范以及安全操作系统等多方面。近几年,防火墙发展迅速,产品众多,而且更新换代快,并不断有新的信息安全技术和软件技术等被应用在防火墙的开发上,如包过滤、代理服务器、虚拟专用网、状态监测、加密技术和身份认证等。但总的来讲,此方面的技术并不十分成熟完善,标准也不健全,实用效果并不十分理想。防火墙概念防火墙一词来自建筑物中的同名设施,从字面意思上说,它可以防止火灾从建筑物的一部,分蔓延到其他部分。Internet防火墙也要起到同样的作用,防止Internet上的不安全因素蔓延到自己企业或组织的内部网。防火墙技术早在1994年就RFC1636列为信息系统安全机制不可缺少的一项措施。从狭义上说,防火墙是指安装了防火墙软件的主机或路由器系统;从广义上,说防火墙还包括整个网络的安全策略和安全行为。AT&T的两位工程师William Cheswich和Steven Bellovin给出了防火墙的明确定义:所有的从外部到内部或从内部到外部的通信都必须经过它。只有内部访问策略授权的通信才能被允许通过。系统本身具有很强的高可靠性。总之,防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭受外界因素的干扰和破坏。在逻辑.上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet 之间的任何活动,保证了内部网络的安全;在物理实现.上,防火墙是位于网络特殊位置的一组硬件设备路由器、计算机或其他特制的硬件设备。防火墙可以是一一个独立的系统,也可以在一一个进行网络互连的路由器上实现防火墙。防火墙的发展共经过了4个阶段:基于路由器的防火墙阶段。用户化的防火墙工具套阶段。建立在通用操作系统上的防火墙阶段。具有安全操作系统的防火墙阶段。# 防火墙的组成防火墙通常包括安全操作系统(保护防火墙的源代码和文件免受入侵)、过滤器(外部过滤器保护网关不受攻击、内部过滤器在网关被攻破后提供对内网的保护)、网关(提供中继服务,辅助过滤器控制业务流)、域名服务(将内部网络的域名与Internet隔离)、函件处理(保证内网和Internet用户间的任何函件交换均需经过防火墙)五个部分。# 防火墙的基本类型类型特点优点缺点 包过滤(访问控制表)根据定义的过滤规则审查,根据是否匹配来决定是否通过透明、成本低、速度快、效率高对IP包伪造难以防范、不具备身份认证功能、不能检测高层攻击、过滤多效率下降快 应用网关工作在应用层,实现协议过滤和转发功能能提供比较成熟的日志功能速度相对更慢 代理服务阻断内外网之间的通信,只能通过“代理”实现有很高的安全性速度慢,对用户不透明,协议不同就需要不同的代理,不利于网络新业务 状态检测(自适应/动态包过滤)通过状态检测技术动态记录、维护各个连接的协议状态效率很高,动态修改规则可以提供安全性column4 自适应代理根据用户的安全策略,动态适应传输中的分组流量状态检测+代理column4 1. 包过滤防火墙。包过滤防火墙又被称为访问控制表,它根据定义好的过滤规则审查每个数据包并确定数据包是否与过滤规则匹配,从而决定数据包是否能通过。这种防火墙可以与现有的路由器集成,也可以用独立的包过滤软件实现,而且数据包过滤对用户透明,成本低、速度快、效率高。不足之处如下。 - 包过滤技术的主要依据是包含在IP包头中的各种信息,但IP包中信息的可靠性没有保证,IP源地址可以伪造,通过内部合谋,入侵者轻易就可以绕过防火墙。 - 并非所有的服务都绑定在静态端口。包过滤只可以过滤IP地址,所以它不能识别相同IP地址下的不同用户,从而不具备身份认证功能。 - 工作在网络层,不能检测那些对高层进行的攻击。 - 如果为了提高安全性而使用很复杂的过滤规则,那么效率就会大大降低。 2. 应用网关防火墙。应用网关是指在网关上执行一一些特定的应用程序和服务器程序,实现协议过滤和转发功能,它工作在应用层上,能针对特别的网络应用协议制定数据过滤逻辑,是基于软件的。当远程用户希望和一个正在运行网关的网络进行连接时,该网关就会阻塞这个远程连接,然后对连接的各个域进行检查,如果符合指定的要求,网关就会在远程主机和内部主机之间建立一个"桥”。这样就可以在桥上设置更多的控制,并且可以提供比较成熟的日志功能,但这样-来速度就慢多了。应用网关也采用了过滤的机制,因此存在让Internet 上的用户了解内部网络的结构和运行状态的可能。 3. 代理服务器防火墙。主要使用代理技术来阻断内部网络和外部网络之间的通信,达到隐蔽内部网络的目的。其基本策略如下。 - 不允许外部主机连接到内部安全网络。 - 允许内部主机使用代理服务器访问Internet 主机。 只有那些认为“可以信赖的”代理服务才允许通过。这种防火墙包含三个模块:代理服务器、代理客户和协议分析模块。它在通信中执行二传手的角色,能很好地从Internet 中隔离出受信赖的网络,不允许受信赖网络和不受信赖网络之间的直接通信,具有很高的安全性。但是,这是以牺牲速度为代价,并且对用户不透明,要求用户了解通信细节。而且这种防火墙对于每项服务代理可能要求不同的服务器,且不能保证受保护的内部网络免受协议弱点的限制。并且代理不能改进底层协议的安全性,不利于网络新业务的开展。从代理实现在不同的OSI网络分层结构上看,代理可分为回路层代理和应用层代理。4. 状态检测防火墙。也叫自适应防火墙,或动态包过滤防火墙,它具有很高的效率。这种防火墙能通过状态检测技术动态记录、维护各个连接的协议状态,并且在网络层和IP之间插入一个检查模块,对IP包的信息进行分析检测,以决定是否允许通过防火墙。它引入了动态规则的概念,对网络端口可以动态地打开和关闭,减少了网络攻击的可能性,使网络的安全性得到提高。状态检测防火墙根据过去的通信信息和其他应用程序获得的状态信息来动态生成过滤规则,根据新生成的过滤规则过滤新的通信。当新的通信结束时,新生成的过滤规则将自动从规则表中删除。 5.自适应代理技术。自适应代理根据用户的安全策略,动态适应传输中的分组流量。它整合了动态包过滤防火墙技术和应用代理技术,本质上是状态检测防火墙。它通过应用层验证新的连接,若新的连接是合法的,它可以被重定向到网络层。因此,这种防火墙同时具有代理技术的安全性和状态检测技术的高效率。 防火墙的性能及特点主要由以下两方面所决定。1. 工作层次。这是决定防火墙效率及安全的主要因素。一般来说,工作层次越低,则工作效率越高,但安全性就低了;反之,工作层次越高,工作效率越低,则安全性越高。 2. 防火墙采用的机制。如果采用代理机制,则防火墙具有内部信息隐藏的特点,相对而言,安全性高,效率低;如果采用过滤机制,则效率高,安全性却降低了。 防火墙的设计1. 设计原则 - 由内到外,由外到内的业务流均要经过防火墙。 - 只允许本地安全策略认可的业务流通过防火墙,实行默认拒绝原则。 - 严格限制外部网络的用户进入内部网络。 - 具有透明性,方便内部网络用户,保证正常的信息通过。 - 具有抗穿透攻击能力,强化记录、审计和报警。 2. 基本组成 防火墙主要包括如下5个部分:安全操作系统、过滤器、网关、域名服务和函件处理。 - 安全操作系统。防火墙本身必须建立在安全操作系统之中,由安全操作系统来保护防火墙的源代码和文件免遭入侵者的攻击。- 过滤器。外部过滤器保护网关不受攻击,内部过滤器在网关被攻破后提供对内部网络的保护。 - 网关。提供中继服务,辅助过滤器控制业务流。可以在其上执行一些特定的应用程序或服务器程序,这些程序统称为“代理程序”。 - 域名服务。将内部网络的域名和Internet 相隔离,使内部网络中主机的IP地址不至于暴露给Internet中的用户。 - 函件处理。保证内部网络用户和Intermet 用户之间的任何函件交换都必须经过防火墙处理。 防火墙的功能和网络拓扑结构用防火墙来实现网络安全的实质是:将主机按照安全等级和提供的服务划分成域,并在进出域的阻塞点上放置防火墙,允许或阻断信息的进出。因此,必须考虑防火墙的功能和网络拓扑结构。其主要功能如下。 1. 过滤不安全的服务和非法用户,强化安全策略。 2. 有效记录Internet上的活动,管理进出网络的访问行为。 3. 限制暴露用户,封堵禁止的访问行为。 4. 是一个安全策略的检查站,对网络攻击进行检测和告警。 5. 屏蔽路由器。屏蔽路由器通常又称包过滤防火墙。它对进出内部网络的所有信息进行分析,并按照一定的安全策略(信息过滤规则)对进出内部网络的信息进行限制。包过滤的核心就是安全策略,即包过滤算法的设计。这种结构用一台过滤路由器来实现。屏蔽路由器作为内外网络连接的唯一通道, 对所接收的每个数据包作允许拒绝的决定。采用这种技术的防火墙优点在于速度快、费用低、实现方便但安全性能差,它一旦被攻击后就很难被发现,而且它只是一个路由,根据IP地址、UDP和TCP端口来筛选数据,内部网络的IP地址并没有被隐藏起来,不能识别不同的用户且不具备监测、跟踪和记录的功能。屏蔽路由器结构还因为在不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,兼容性差。 6.双宿主机。双宿主机是包过滤网关的一种替代产品。它由一台至少装有两块网卡的堡垒主机作为防火墙,位于内外网络之间,实现了在物理.上将内外网络隔开。堡垒主机的IP转发功能被禁止,它通过提供代理服务来处理访问请求,实现了“默认拒绝”策略。但因为所有信息进出网络都需要通过代理来实现,所以负载较大,容易成为系统瓶颈。如果堡垒主机被黑客侵入并使其只具有路由功能,那么网上任何用户都可以随便访问内部网。所以为了保证内部网的安全,双宿主机首先要禁止网络层的路由功能,还应具有强大的身份认证系统,尽量减少防火墙的账户数。 7.主机过滤结构。这种结构实际上是包过滤和代理的结合,其中提供安全保障的代理服务器只与内部网络相连接,这样就需要一部路由器来与外部网络连接,在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可以直接到达的主机。主机过滤结构的主要缺点是如果黑客设法登录到堡垒主机上,内部网络中的其余主机就会受到很大的威胁,与双宿主机受攻击时的情形差不多。 8. 屏蔽子网结构。这种防火墙是双宿主机和被屏蔽主机的变形。它增加了一层周边网络的安全机制,用两部分组过滤路由器将周边网络与外部网络和内部网络相隔开,即所谓的非军事区(DMZ)。这样,内部网络与外部网络之间没有直接连接,需要通过非军事区进行中转,不存在危害内部网络的单一入口点。如果入侵者想要攻击,那么他必须重新配置两个路由器,在不切断连接又不能把自己锁在外面的同时还需要使自己不被发现,这就增加了攻击的难度。屏蔽子网结构是一种比较完整的防火墙体系结构,它克服了前两种结构的不足,是目前使用较多的一种防火墙.
在互联网的早期,安全只是一个事后的想法。然后,随着黑客开始利用企业松懈的安全姿态,情况逐渐开始发生变化。起初,像电子前哨基金会这样的非营利组织开始推动网络用户使用 HTTPS Everywhere。作为回应,认证机构开始向任何想要 SSL 证书的站点管理员提供免费的 SSL 证书变体。因此,至少79.6% 的活跃网站现在使用 SSL。那只是开始。在接下来的几年里,开发者和 web 应用管理员逐渐开始加强他们的应用来抵御各种各样的攻击。他们推出了更复杂的密码要求。他们开始添加双因素身份验证作为默认措施。他们甚至开始将面向公众的服务置于高性能的 Web 应用防火墙之后。但是尽管取得了所有的进步,漏洞依然存在,这意味着 web 应用开发者和管理员必须了解如何对他们的系统进行渗透测试,以查看是否有任何已知的漏洞可以穿透他们的多层防御。要做到这一点,他们必须了解渗透测试过程的各个阶段,以避免留下任何安全漏洞。下面是 Web 应用程序渗透测试涉及的四个主要步骤。步骤1: 观察和侦察Web 应用程序渗透测试过程中的第一个重要步骤涉及采取与攻击者相同的策略: 尽可能地了解目标。首先要做的是从谷歌这样的公共网站上收集目标网络应用的信息。使用搜索修饰符,可以收集与应用程序相关的子域名和页面的完整列表。这为黑客必须处理的潜在攻击提供了一个相当不错的地图。接下来要做的是使用像 Nmap 这样的网络扫描仪来收集特定于 web 应用程序本身的数据。其思想是弄清楚有多少关于软件和服务器的信息对外部世界是可见的。然后,使用像 Burp Suite 这样的安全测试软件进行全面扫描,应该可以显示从服务器软件版本到应用程序环境的所有信息。步骤2: 漏洞研究和攻击Web 应用程序渗透测试过程的下一个主要步骤是使用收集的数据开始缩小可尝试利用的漏洞列表。换句话说,如果您发现攻击者可以告诉您正在使用某个特定的 Apache 和 PHP 版本,那么您应该开始寻找这些版本中已知的漏洞,以便尝试利用它们。幸运的是,一些伟大的开源渗透测试工具可以自动化一些工作。您可以根据所检查的漏洞类型从中进行选择。受欢迎的选择包括:- W3af - Metasploit - SQLMap - Hydra 九头蛇 其思想是尝试找到每一个潜在的可利用的漏洞,并将找到的漏洞编目。如果可能的话,最好使用这些漏洞模拟攻击,以了解恶意行为者利用这些漏洞能走多远。步骤3: 目录和报告该过程的下一步是创建一个报告,该报告详细说明在前两个步骤中找到的所有内容。这个想法是创建一个中央知识库,整个开发团队可以将其作为修复问题的路线图。这就是您在攻击模拟中收集的数据将派上用场的地方。报告应该根据漏洞的严重程度对它们进行分类。有各种公开可用的示例渗透测试报告,您可以使用它们来开发适合您需要的格式。这样的话,关闭所有安全漏洞的工作就更容易分清主次了。如果您正在处理一个已经在运行的应用程序,那么这是一个绝对关键的步骤。请记住,您发现的漏洞可能已经在黑客的雷达上,所以您越快修补严重的漏洞越好。步骤4: 修补和重复最后一步是审阅渗透测试报告,并开始解决其中确定的漏洞。对于一个已经存在的应用程序,最好从应用尽可能多的权宜之计开始。这些可能包括改变网站访问规则在你的网页应用层防火墙或采取特别脆弱的部分你的应用离线。然后,继续决定报告中漏洞的最佳可能修复方案。从最严重的问题开始,简单地检查每个问题,因为它已经修复,同时仔细记录下修复是什么,以及它们可能影响应用程序的其他部分。这将帮助您知道在哪里集中于您的下一轮测试,您将不得不在完成补救工作之后开始。创建一个硬目标通过重复上述过程,直到没有漏洞被发现,Web 应用程序开发人员和管理员可以合理地保证,他们不是一个坐以待毙的鸭子,等待攻击。当然,这只是针对已知的漏洞,因此这个过程不会使攻击变得不可能,只是不太可能。在不断变化的网络安全环境中,这通常是人们所能期望的最好结果。请记住,不久以前,SSL 和复杂的密码还是 Web 应用程序安全的最终目标,因此持续的警惕将永远是真正安全的代价。
通过认知,我们知道,负载均衡和集群是两个概念。在一定程度上,负载均衡是包含在集群之中的。那么,随着技术的不断改进,现在我们通常把负载均衡集群一起来说,因为,在服务器方面的均衡策略总是将集群和负载均衡的概念相捆绑的。集群技术的目标在于通过多层网络结构进一步提高扩展性、可用性与可靠性。目前应用最为广泛的集群计算技术包括高可用集群技术、高性能并行数据库集群技术和高扩展负载均衡集群技术,这三种技术在实际应用中有可能会存在同一个应用中。负载均衡集群技术介绍1 技术概念负载均衡集群:英文原文为Load Balance Cluster,简称LB Cluster或者LB高扩展集群,是指以维持可接受性能的前提下处理不断提高的工作负载为目标的服务器集群技术。负载均衡集群主要使用在Web服务器以及中间件应用服务器中,用来提高系统的高性能、可扩展性与高可用性;在集群中增加服务器可以提升集群系统的处理能力,每个服务器的配置不要求完全一致。◆高性能一个负载均衡集群系统由多台服务器组成,对外部而言,整个集群就如同一台高性能服务器,系统只有一个对外的网络地址(虚拟IP地址),所有对集群的请求都发到这个地址上。系统中有专门的机制能够将这些请求按照一定原则分发到集群中的各台服务器上,让它们各自分担一部分工作。◆高扩展性负载均衡集群具有较好的可扩展性,因为扩大系统规模非常容易,只要在集群中增加新的服务器即可。◆高可用性负载均衡集群系统将会在各种商业应用领域中占有举足轻重的地位。商用系统最重视系统的可靠性和容错性,二者合在一起称为系统的可用性。常用的系统可用性指标有系统平均无故障时间、期望不间断工作时间及年平均故障率等。由于负载均衡集群系统中各台服务器之间相对独立,采用一些不太复杂的技术就能使集群系统达到很高的可用性。2 工作原理2.1 负载均衡集群结构负载均衡集群就是带均衡策略(算法)的服务器集群,服务器称作节点。负载均衡集群在多节点之间按照一定的算法分发网络或计算处理负载。负载均衡建立在现有网络结构之上,提供一种廉价有效的方法来扩展服务器带宽,增加吞吐量,提高数据处理能力,同时又可以避免单点故障。负载均衡集群一般的框架结构,以Web访问为例,多个Web服务器内部署相同的Web内容,Internet客户端的访问请求首先进入负载均衡器,然后由负载均衡器根据负载均衡算法合理地分配给某个Web服务器。负载均衡的作用就像轮流值日制度,把任务分给大家来完成,以免让一个人过度劳累。但是与轮流值日制度不同的是,负载均衡是一种动态均衡,它通过一些工具实时地分析数据包,掌握网络中的数据流量状况,把任务分配出去。对于不同的应用环境,使用的均衡策略(算法)是不同的,比如电子商务网站,它的计算负荷大;再如网络数据库应用,读写频繁,服务器的存储子系统系统面临很大压力;再如视频服务应用,数据传输量大,网络接口负担重压。所以负载均衡策略也就有了多种多样的形式,广义上的负载均衡既可以设置专门的网关、负载均衡器,也可以通过一些专用软件与协议来实现。在OSI(开发系统互连)七层协议模型中,第二(数据链路层)、第三(网络层)、第四(传输层)、第七层(应用层)都有相应的负载均衡策略。在数据链路层上实现负载均衡的原理是根据数据包的目的MAC地址选择不同的路径;在网络层上可利用基于IP地址的分配方式将数据流疏通到多个节点;而传输层和应用层的交换(Switch),本身便是一种基于访问流量的控制方式,能够实现负载均衡。目前实现负载均衡的产品可以分为硬件产品、类硬件与软件产品三大类。◆硬件产品:比软件产品运行快,但价格较高。比如Alteon 公司的AD3。◆类硬件:是指用一台专门的服务器安装特定的软件来模拟硬件负载均衡器,比如在Turbo Linux操作系统上安装TCS(Turbo Cluster Server)软件。类硬件一般只用来提供网络请求的分发,而不作为功能服务器向客户端提供服务。◆软件产品:包括Web服务器层和应用服务器层的很多产品都提供了负载均衡功能。2.2 负载均衡策略所有的负载均衡产品都需要一定的负载均衡策略来实现,负载均衡策略也被称为负载均衡算法。目前,最常用的负载均衡算法主要有三种:轮循(Round-Robin)、最小连接数(Least Connections First)和快速响应优先(Faster Response Precedence)。轮循算法,就是将来自网络的请求依次分配给集群中的服务器进行处理。最小连接数算法,就是为集群中的每台服务器设置一个记数器,记录每个服务器当前的连接数,负载均衡系统总是选择当前连接数最少的服务器分配任务。这要比“轮循算法”好很多,因为在有些场合中,简单的轮循不能判断哪个服务器的负载更低,也许新的工作又被分配给了一个已经很忙的服务器了。快速响应优先算法,是根据集群中的服务器状态(CPU、内存等主要处理部分)来分配任务。这一点很难做到,事实上到目前为止,采用这个算法的负载均衡系统还很少。尤其对于硬件负载均衡设备来说,只能在TCP/IP协议方面做工作,几乎不可能深入到服务器的处理系统进行监测。但是它是未来发展的方向。综上所述,负载均衡集群的使用是非常广泛的,它的核心内容是运用越来越科学的负载分配算法开发出软件或硬件,来实现负载的更加合理地分配。
(一)什么是蜜罐?蜜罐这个词,最早是被猎人使用的,对,就是进山打猎的人。猎人把罐子装上蜂蜜,然后放个陷阱,专门用来捕捉喜欢甜食的熊。后来在网络安全领域里,人们就把欺骗攻击者的诱饵称为“蜜罐”。蜜罐需要基于一个节点进行布置,它看起来可能是一个树莓派、一个摄像头,或者一个打印机,它可以部署在任意的网络位置,通常用于收集到达特定网络节点的攻击情报,并缓解相同网段的其他生产设备与资源受到的攻击。蜜罐的工作原理简单易懂。一个成功的蜜罐往往会伪装成很有诱惑力的系统,攻击者进入以后,可能会获取他们想要的重要数据。但是从攻击者进入的一瞬间开始,他们的所作所为都将被蜜罐完整记录下来,成为防守方手中的重要信息。而且,蜜罐里的业务并不是真实的,攻击者将在蜜罐中白忙活一场,什么都得不到。(二)什么是蜜饵?蜜饵一般是一个文件,工作原理和蜜罐类似,也是诱使攻击者打开或下载。当黑客看到“XX下半年工作计划.docx”、“XX环境运维手册.pdf”、“员工薪酬名单-20210630.xslx”这种文件时,往往难以忍住下载的欲望,这样就落入了防守方的陷阱。当防守方发现这里的文件有被打开过的痕迹或攻击者跟随蜜饵文件内容进行某种操作时,就可以追溯来源,发现被攻陷的设备。(三)什么是蜜标?我们可以把蜜饵进一步改造,在 Word 文档、PDF 文档中植入一个隐蔽的链接,当攻击者打开这个文件时,链接可以被自动触发,防御者就可以借机获取攻击者的真实网络地址、浏览器指纹等信息,从而直接溯源定位攻击者真实身份。这种带有URL地址的蜜饵就是蜜标。(四)什么是蜜网(Honeynet)?我们在使用蜜罐的时候,往往会在一个网络里放很多罐,以增加攻击者踩中蜜罐几率。简单的说:“蜜网就是一大片蜜罐,连成了网”,但是这张“网”需要和业务强相关。攻击者在试图攻破我们的系统时,为了拿到自己想要的东西(业务数据、文件等),往往会重点攻击和业务相关的节点。因此,我们可以参照真实的业务环境,在攻击者的必经之路上放罐,给攻击者提供横向移动的空间和更丰富的入侵接口。这样,当攻击者踩过一连串蜜罐的时候,我们就能轻松地看到攻击者的手法和习性。这种高度复杂的诱饵环境,就是蜜网。不同的业务场景有不同的网络拓扑,不同的工作流程有不同的状态更新和控制需求。因此,想要构建一张有效的蜜网,对安全人员来说也算不小的挑战。(五)什么是蜜场(Honeyfarm)?蜜网虽好,使用起来仍然有一些麻烦,不仅需要大量的管理和维护工作,而且还要防止蜜罐被攻破、攻击者从蜜罐里跑出来继续做坏事。那我们应该怎么不用很累很麻烦就可以玩转蜜罐呢?答案是把恶意访问集中到一起,统一管理。于是,采用了重定向技术的蜜场就应运而生。蜜场同样是分布式蜜罐的一种形式。但在蜜场中,攻击者踩中的是虚拟的蜜罐,经过重定向以后,由真实的蜜罐进行响应,再把响应行为传到虚拟蜜罐。这样做的好处显而易见。首先,部署新蜜罐更容易,安装一个重定向器即可;其次,维护分析工作更容易,对蜜罐的风险控制也能加强,还能利用蜜罐生产出高精准度的威胁情报,供给防火墙、态势感知等设备和系统;最后,从整个蜜场中获取的信息可以一定程度上反映当前网络的总体安全态势,可以辅助改善安全策略。
CC攻击是目前最难预防的攻击方式,与其他攻击方式不同,它能深入网站业务造成持久性的影响。CC和DDoS都是我们最长听到的黑客攻击手段,那么它们有什么区别呢?CC攻击会造成什么后果呢?也可通过这篇文章了解更多的CC攻击知识:什么是CC攻击,怎么防御CC攻击?在谈论网络攻击时,我们会经常将CC和DDoS区别开来说,它们有很多相似之处,这是因为CC只是DDoS攻击中的一种类型。DDoS是一类攻击的总称,它包含SYN Flood、UDP Flood、ICMP Flood、UDP DNS Query Flood等多种攻击类型,也包含CC攻击。它们都能使目标网站或APP拒绝服务。CC攻击有如下特点:IP真实性:CC攻击所使用的IP均是真实的,且来自全国乃至全世界各地。数据包真实性:所发送的数据包,均真实有效。请求有效:CC攻击发送的请求,都是真实有效的,除非受攻击方根据攻击特征加以限制,否则无法被拒绝基于以上三点,不难发现,CC攻击会极力模仿用户访问目标网站的行为,受害一方很难辨别CC攻击与正常用户的区别,因此极难防范。可以这么理解,CC攻击发动者就像是一个国王,他在极短地时间内,命令所有的子民,访问某一个网站,这些子民都是正常的用户,无法与其他用户区分开。因为网站在极短地时间内,接收到大量的请求,导致服务器崩溃,其他正常访问被终止,最终拒绝服务。而其他DDoS则没有CC攻击这些特点。比如SYN Flood,它是通过向网络服务所在端口发送大量伪造源地址的攻击报文,使目标拒绝服务。再比如UDP DNS Query Flood,它会通过向被攻击方的服务器,发送大量的域名解析请求,致使目标拒绝服务。总之,CC攻击与其他DDoS最显著的不同,是CC攻击的行为,很像正常用户在访问网站,而其他DDoS攻击是利用漏洞或者协议缺陷发动的攻击。因此,CC攻击很难预防。CC攻击会造成什么后果?CC攻击造成的后果,与其他DDoS攻击相似,都能导致受害目标拒绝服务。但是其造成的其他后果,也是其他DDoS无法比拟的。影响企业业务CC攻击会产生大量的日志,会对整个网站的运营和数据分析产生影响。CC攻击后网站数据统计完全错误,且后端处理数据的负担也会增加。数据统计出现问题,无法进行分析,企业的正常业务会受到影响。用户流失率增加CC攻击的行为,与正常用户行为极为相像,一些企业为了节省成本,采用不当的防御手段,误伤正常用户,导致用户流失率增加。值得一提的是,这也是攻击方希望产生的结果之一。被搜索引擎K站如果网站在很长一段时间内,持续遭受CC攻击又无法解决。搜索引擎蜘蛛无法正常抓取网站内容,可能被搜索引擎K掉,关键词排名消失,网站流量骤降。
BGP多线服务器选哪家的更好些?配置又该怎么看?目前BGP多线服务器有很多种,配置参数项也比较多。在犹豫要选择BGP多线服务器哪家好时,新用户也可以通过购买大品牌服务提供商的产品来保证质量,而对于如何选择BGP多线服务器配置却需要自己明确各个参数项。但是最适合广大中小企业使用,性价比高,售后服务好的BGP多线服务器供应商在我们确认了服务品牌商以后,就要面对如何去选择适合自己网站的BGP多线服务器配置的问题了。小陈认为我们应该重点从 CPU,内存,硬盘,带宽,线路,操作系统,存储方式等几个方面入手,只有这样才能够选择到最符合自己需求的BGP多线服务器。BGP多线服务器的处理器 CPU像人脑一样, CPU代表着BGP多线服务器的操作能力,一般网站推荐选用16核以上 CPU,如果网站流量大、动态页面多,则需要32核以上 CPU。内存的大小存储器是数据的中转站,它决定了网站的打开速度,存储器越大,可用的缓存就越大,网站的运行速度就越快。通常根据网站的大小选择适当的空间,假如是一般的个人博客或企业展示网站类,16G内存就足够了。商场类的门户网站,内存空间至少32G。储存硬盘硬盘是储存资料的地方,硬碟的大小取决于网站的资料大小,在租用云伺服器时,应计及剩余空间。读 I/O文件的速度直接决定了读硬盘文件的速度,想要读快的可以选择 ssd固态硬盘,还有更优化的m.2接口的固态硬盘.网络带宽看看网站的类型、结构和访问量等指标,一般新建的网站,图片也不多了,处理起来就够50M带宽了。不够多加的,更安全些。普通网站如文字、图片、论坛等,占用带宽较少。5,000个流量可能也不会占用50M带宽。如网站为视频、下载等为主,几百人同时在线需要占用超过100M的带宽。操作系统小陈认为这个与个人对系统的熟悉程度以及网站的具体情况有关,对于哪个操作系统比较了解,选择哪个操作系统。虽然 windows系统支持 asp程序,但它占用的内存更多;而 Linux系统则更友好,节省了内存,而且有些程序可能只支持特定的操作系统。区域路线若以本地用户为目标,则可选择单线云主机,但多线服务器的优势较为明显,对一个城市而言,宽带有电信、网通、长宽等不同的服务提供商。服务器所在的地区,最好选择你的目标用户所在的地区,这样网站的开放速度更快。所以BGP多线服务器配置的选择取决于具体的应用。例如,如果是高计算量就要求优先使用大内存,高 CPU;高访问要求优先使用大带宽等。
Secure Shell是登录到远程Linux服务器的一种事实上的标准。多年来,它为许多管理员提供了良好的服务。但仅仅因为名称中有“Secure”(安全)这个词,并不意味着它总是很安全。事实上,您总是可以采取一些措施使SSH更安全。其中一个方法就是借助端口碰撞(port knocking)。现在,在我们开始之前,我想明确指出,任何使用SSH的人都应该始终做两件事: 使SSH保持最新版本。 使用SSH密钥验证。 应该将以上两项都视为使用Secure Shell的标准优秀实践。话虽如此,我还是想向您介绍一种已存在一段时间的工具。其想法是在您的服务器上创建两个碰撞序列,一个打开SSH端口,一个关闭该端口。在您发送打开碰撞序列之前,SSH访问是被关闭的。发送打开序列后,您可以通过SSH连接到该机器。完成工作后,发送关闭序列,SSH将重新被锁起来。这并不完美,但结合SSH密钥验证,SSH在您的服务器上会安全得多。下面介绍如何安装和使用knockd以便在SSH上进行端口碰撞。您需要什么?我将在Ubuntu Server 20.04 上进行演示,因此您需要该操作系统的运行中实例和拥有sudo权限的用户。您还需要在客户机上拥有sudo权限的用户。至于客户端,我将在Pop!_OS上进行演示。如何安装knockd?我们要做的第一件事是在服务器和客户端上安装knockd。登录到服务器,并执行命令:sudo apt-get install knockd -y 前往客户端,执行同样的命令。安装完后,您需要注意几个配置。如何配置knockd?我们需要做的第一件事是配置knockd 服务。使用以下命令打开knockd配置文件:sudo nano /etc/knockd.conf 在该文件中,将打开序列从默认的7000,8000,9000改成您想要使用的任何端口序列。您最多可以为此配置七个端口。要配置的行在[openSSH]下:sequence= 7000,8000,9000 将端口号改成您能记住的序列。接下来,以相同的方式更改关闭序列(使用不同的端口号)。这一行在[closeSSH]下:sequence= 9000,8000,7000 接下来,您需要在[openSSH]命令行中将-A改成-I,以便它将是iptables链中的第一条规则。保存并关闭文件。接下来,我们需要找到用于SSH流量的网络接口的名称。执行命令:ip a 找到您使用的IP地址,然后找到如下所示的序列:2:ens5: 以本文为例,接口的名称是ens5。使用以下命令打开 Knockd 守护程序文件:sudo nano /etc/default/knockd 在该文件中,通过将下面行中的0改成1,使守护程序能够在引导时运行:START_KNOCKD= 接下来,将下面这行中的eth0 改成您网络接口的名称(并删除那个前导#字符):#KNOCKD_OPTS="-i eth0" 所以这一行看起来像这样:KNOCKD_OPTS="-i ens5" 保存并关闭文件。使用以下命令运行并启用knockd:sudo systemctl start knockd sudo systemctl enable knockd 如何关闭端口22?接下来,我们需要关闭端口22,这样流量无法绕过knockd 系统。执行命令:sudo ufw numbered 如果您有允许SSH流量的规则,它们将被编号并需要被删除。比如说,您的SSH规则是1和2,用以下命令删除它们:sudo ufwdelete2 sudo ufwdelete1 如何使用knockd?进入到您的客户机。我们先要做的是发送打开碰撞序列,以便允许SSH流量通过。如果您的碰撞序列是7001,8001,9001,您将执行以下命令:knock -v SERVER 7001 8001 9001 其中Server是远程服务器的IP地址。您应该会看到如下输出:hitting tcp 192.168.1.111:7001 hitting tcp 192.168.1.111:8001 hitting tcp 192.168.1.111:9001 碰撞序列后,您应该随后可以通过SSH连接到该服务器。完成远程工作后,您退出该服务器,然后发送关闭碰撞序列,就像这样:knock –v SERVER 9001 8001 7001 关闭碰撞序列后,您应该再也无法通过SSH访问该远程服务器(除非您再次发送打开碰撞序列)。这就是使用knockd以便在远程Linux服务器上更有效地为SSH访问确保安全的方法。记得将knockd安装在需要通过SSH访问那些服务器的任何客户机上。
时间2022/4/23 19点30分事件 CC攻击市场上CC攻击大家应该是再熟悉不过了,CC攻击的原理就是攻击者利用木马控制各种电脑,不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。近日我司用户就受到一种变异CC攻击,该CC不像传统CC会产生大量TCP连接,如果是光查看防火墙数据也是根本查看不出任何异常,用户也是辗转多家IDC未得到解决(如图1所示),并且被答复没有攻击并草草了事,后来客户租用我司服务器得到了完美解决。下面我们就来看下我司技术是如何处理这种变异CC攻击的。能加深大家对攻击的了解。图一据客户反馈被CC攻击了并且附上图(如图2所示),查看当前CPU和负载都是跑满情况的,这种情况基本上都是被CC导致的。图二值班技术迅速反应查看防火墙,发现连接数并不高(如图3所示),也非常稳定不像是有被CC了的痕迹。图三服务器上TOP查询是自身程序占用了全部CPU(如图4所示)。图四根据这种情况技术开始对这台服务器抓包进行分析数据包(如图5所示),发现一个IP有非常多的psh数据包,这种包是TCP三次握手成功后的传输包,不会产生大量的TCP连接。图五这边对这些数据包逐一进行分析,查看到这一个数据包下面都有几十组随机乱码类似帐号密码报文(如图6所示)。虽然抓包查看到只有几个IP在测试登录,但是一个IP每秒发送成百上千个随机账密,导致验证账号密码服务器无法响应那么多请求,服务器资源消耗殆尽,CPU跑高负载跑满。图六因为这种CC比较特殊不像传统CC那样会产生大量的TCP连接数,一般的CC防护策略对这种CC来说根本就没有任何效果,还可能会导致正常玩家被拦截,找到原因后,技术立马针对这种特殊的CC攻击的指纹特征设立了一套特殊策略,完美解决了这个CC攻击的,效果非常显著,CPU资源负载直线降低,正常人马上能登陆,达到零误封效果,客户对效果非常满意。
在安全圈里,DDoS可谓家喻户晓。从DDoS诞生开始,无数网络安全工程师就对它深恶痛绝,像Google、亚马逊等技术实力强劲的巨头公司,也无法避免遭受DDoS攻击。 可以这么说,DDoS是目前最强大、最难防御的攻击之一,属于世界级难题,没有解决办法,只能缓解。 我们不禁好奇,为什么DDoS攻击是无解的?是技术水平不够,还是其他什么原因? # 无解的DDoSDDoS的原理其实不复杂,就是利用大量肉鸡,仿照真实用户行为,使目标服务器资源消耗殆尽,最终无法为用户提供服务。 就好像一家火锅店来了一群地痞流氓,光占座不叫餐,导致正常顾客没座位,点不了餐,火锅店无法正常开店。 我们举一个例子,就可以了解为什么DDoS无法解决。 CC攻击是DDoS的一种类型,攻击者会借助代理服务器生成受害主机的合法请求。 相信大家都有过这样的经历,当某一个网站或者app在做秒杀、限时活动、抢购活动时,访问量突增,导致页面打开速度变慢,如果人数超出服务器负载,页面可能就完全打不开了。 攻击者发动CC攻击的结果,与上面的例子一模一样。对于防御方来说,很难分辨谁是真实用户,谁是攻击者的肉鸡,敌人是谁都不知道,更别说发起进攻了。 # 成本是硬伤虽然无法解决DDoS攻击,但可以采用一些技术手段,来缓解或者提高攻击的门槛。 防御方的成本主要来自购买DDoS云清洗、高防CDN等云防护产品、采用的技术手段支出的人工成本、购买硬件设备的成本等等。 同样,攻击者发动DDoS攻击,也需要付出相应的成本,比如时间成本、购买肉鸡的成本、购买0day及其他漏洞的成本、编写或购买DDoS程序的成本、甚至还可能是委托第三方发动DDoS所需要的费用等等。 防御者的防御做的越完善,所付出的成本也越高。同理,攻击者想发动更大规模的攻击,成本也越高。 如果攻击者想发动攻击的成本,高于攻击带来的收益,那么DDoS就不会发。反之,如果成本合适,那么攻击者就会发动攻击,享受攻击带来的收益。 # 缓解DDoSDDoS攻击虽然无解,但却可以采用多种手段缓解和预防,或打消攻击者发动DDoS的意图,或使攻击者的预计收益下降“入不敷出。” 常用的手段有以下几种: (1) 使用高性能网络设备 确保路由器、交换机、硬件防火墙等网络设备的性能,当DDoS发生时,有足够的性能、容量去对抗它。 (2) 定期排查服务器系统漏洞 采用最新的系统,及时打上安全补丁,并在删除未使用的服务,关闭未使用的端口,降低黑客利用漏洞发动DDoS的风险。 (3) 充足的网络带宽保证 网络带宽的大小,直接决定了抗受DDoS的能力,不过一般来说,其他技术手段和方式,比增加带宽更有效,成本也更低。 (4) 部署CDN CDN可以将网站的内容分发到多个服务器上,用户就近访问,不仅可以改善用户体验,而且还可以作为防御DDoS的一种补充手段。 (5) 使用专业的安全防护产品 专业的抗D产品,可以帮助网站过滤异常流量,即便DDoS正在进行中,公司的业务也可以正常开展不受影响。 # 后记还是成本问题,DDoS并不一样会发生,如果黑客有更好的手段达成瘫痪目标手段的话,就会使用更好的方式。 很多网站可能存在性能bug,几个简单的请求数据库系统就会瘫痪; 很多系统会有网络规划、配置bug,可能几个简单的数据包就可以瘫痪整个网络; 甚至是机房防范措施不严,或者存在漏洞,攻击者直接溜进机房关闭电源,也会瘫痪公司整体业务; 能盛多少水,不取决于木桶最高的那块板,而取决于最低的那块板。网站、app是否安全,也是如此,我们除了要采用一些手段防御DDoS攻击外,也应该关注其他方面的安全,做到全面防御。
CDN是什么?CDN是Content Delivery Network的简称,即“内容分发网络”的意思。一般我们所说的CDN加速,一般是指网站加速或者用户下载资源加速。CDN基本思路就是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。CDN核心目的就是使用户可就近访问网络,取得所需内容,解决网络拥挤的状况,明显提高用户访问网站的响应速度或者用户下载速度。从上面专业的角度来讲,可能很多小白朋友还不知道CDN是什么意思,下面小编通俗易懂的再介绍一下。CDN简单来说,就是加速,当一个网站开启了CDN加速,其给用户的感觉是访问网站速度或者下载东西的速度会明显比没有开启加速更快,变快或者下载东西变快了。为什么网站开启CDN用户访问会更快呢?因为CDN将源站内容分发至全国所有的节点,缩短用户查看对象的延迟,提高用户访问网站的响应速度与网站的可用性,解决网络带宽小、用户访问量大、网点分布不均等问题。简单来说,当网站开启CDN,用户访问该网站,并非直接访问该网站的原服务器,而是一个服务器分发的离你最近的一个服务器节点,由于服务器离你近了,所以访问速度或者下载速度会更快。CDN加速有什么用?——对访客用户的好处对于用户来说,如果一个网站开启了CDN,用户访问速度或者下载速度会比没有开启时更快。一般目前只要好一些的网站,都会开启CDN功能,主要在于提升用户体验。——对网站的好处对于网站或者站长来自,开启了CDN不仅可以提升网站打开速度,提升用户体验。更重要的是开启CDN可以减少黑客工具和服务器宽带压力。开启CDN后的网站,不同地区用户访问会是不同的服务器,而网站的真实服务器(源服务器)一般只有CDN节点回去访问获取,全国各地的用户访问的CDN节点服务器,并不直接访问源服务器,这样就可以介绍网站服务器宽带资源,降低服务器压力。另外,由于有CDN节点中间阻挡防护,可以更好的保护原服务器的安全。也就是说CDN为用户源站服务器在安全云中提供了一个替身,无论是渗透还是DDoS攻击,攻击的目标都将是CDN节点替身,进而保护了网站源站。CDN有哪些优势?1.缓存功能用户可以把图片、视频、音乐、下载等等文件缓存到CDN节点上,使用户访问直接请求CDN节点,节点不需要再把请求发送到源机上,大大的节约了源机带宽。2.智能切换节点如果有CDN节点被DDOS攻击打死,会智能切换到正常的CDN节点上或者备用的CDN节点上,避免了CDN个别节点被打死网站打不开的情况。3.隐藏源机IP网站只要添加了CDN加速,用户访问的都是CDN节点IP,源机不会直接被访问到,从而保护了源机。4.智能防护DDOS节点受到DDOS攻击都是自动拦截的,如果真的超出了节点防护,节点打封了,也不会影响到源机。当受到CC攻击时也是会有智能CC防护策略触发,拦截过滤异常IP访问。
众所周知,服务器对企业庞大的信息数据进行有力支撑,对于企业运行和开展业务起着重要的支持作用,服务器问题会带给企业带来致命的损失,因此,加强服务器维护对于企业非常重要。但是服务器作为精密设备,结构复杂,运行繁琐,日常使用中难免会出现各种问题。对于常见的服务器卡顿或网速过慢的问题,有以下几种原因,你知道如何解决吗?服务器网络卡,一般情况下,请先检查您服务器的使用情况。1、CPU使用率是否大于50%。2、网络使用率是否过高。3、内存使用率是否过高。如果出现上述情况,则表明您的服务器或网络无法承载您目前的服务,请联系技术人员调整您的资源。租用服务器后在使用过程中,客户会慢慢发现服务器不够用,那么您首先要考虑的是,您的服务器是不是已经跟不上您业务发展,就是说您的服务器配置跟不上您用户增长的速度,需要扩展服务器的配置才导致您的服务器比较卡。如果没有出现上述情况则可能由以下原因造成:1、服务器遭遇DDoS攻击导致,服务器自然会呈现出慢的假象,如果不及时防护,有可能我们的网站会出于瘫痪。需要联系服务商售后人员做DDoS防护策略。2、服务器遭遇较大的流量攻击,但服务器没有被流量牵引。3、机房网络故障,这将是大范围的故障。4、设备网卡故障、网线故障、上层交换机故障。在出现故障前,您可以对您服务器的相邻ip进行测试,如果相邻ip也同样出现丢包情况,说明是上层交换设备故障。在日常运维工作中,要及时做到以下几点,以保障服务器的流畅运行:1、及时更新系统2、删除冗余文件和账户3、根据业务需求,及时扩容总之,服务器企业来说非常重要,对于服务器出现的问题要及时找到原因,并且快速的解决。
随着 HTTPS 建站的成本下降,现在大部分的网站都已经开始用上 HTTPS 协议。大家都知道 HTTPS 比 HTTP 安全,也听说过与 HTTPS 协议相关的概念有 SSL 、非对称加密、 CA证书等,但对于以下灵魂三拷问可能就答不上了: 1.为什么用了 HTTPS 就是安全的? 2.HTTPS 的底层原理如何实现? 3.用了 HTTPS 就一定安全吗? 本文将层层深入,从原理上把 HTTPS 的安全性讲透。 HTTPS 的实现原理 大家可能都听说过 HTTPS 协议之所以是安全的是因为 HTTPS 协议会对传输的数据进行加密,而加密过程是使用了非对称加密实现。但其实,HTTPS在内容传输的加密上使用的是对称加密,非对称加密只作用在证书验证阶段。 HTTPS的整体过程分为证书验证和数据传输阶段 ① 证书验证阶段 1.浏览器发起 HTTPS 请求 2.服务端返回 HTTPS 证书 3.客户端验证证书是否合法,如果不合法则提示告警 ② 数据传输阶段 1.当证书验证合法后,在本地生成随机数 2.通过公钥加密随机数,并把加密后的随机数传输到服务端 3.服务端通过私钥对随机数进行解密 4.服务端通过客户端传入的随机数构造对称加密算法,对返回结果内容进行加密后传输 为什么数据传输是用对称加密? 首先,非对称加密的加解密效率是非常低的,而 http 的应用场景中通常端与端之间存在大量的交互,非对称加密的效率是无法接受的; 另外,在 HTTPS 的场景中只有服务端保存了私钥,一对公私钥只能实现单向的加解密,所以 HTTPS 中内容传输加密采取的是对称加密,而不是非对称加密。 为什么需要 CA 认证机构颁发证书? HTTP 协议被认为不安全是因为传输过程容易被监听者勾线监听、伪造服务器,而 HTTPS 协议主要解决的便是网络传输的安全性问题。 首先我们假设不存在认证机构,任何人都可以制作证书,这带来的安全风险便是经典的 “中间人攻击” 问题。 过程原理: 1.本地请求被劫持(如DNS劫持等),所有请求均发送到中间人的服务器 2.中间人服务器返回中间人自己的证书 3.客户端创建随机数,通过中间人证书的公钥对随机数加密后传送给中间人,然后凭随机数构造对称加密对传输内容进行加密传输 4.中间人因为拥有客户端的随机数,可以通过对称加密算法进行内容解密 5.中间人以客户端的请求内容再向正规网站发起请求 6.因为中间人与服务器的通信过程是合法的,正规网站通过建立的安全通道返回加密后的数据 7.中间人凭借与正规网站建立的对称加密算法对内容进行解密 8.中间人通过与客户端建立的对称加密算法对正规内容返回的数据进行加密传输 9.客户端通过与中间人建立的对称加密算法对返回结果数据进行解密 由于缺少对证书的验证,所以客户端虽然发起的是 HTTPS 请求,但客户端完全不知道自己的网络已被拦截,传输内容被中间人全部窃取。 浏览器是如何确保 CA 证书的合法性? 1. 证书包含什么信息? •颁发机构信息 •公钥 •公司信息 •域名 •有效期 •指纹 2. 证书的合法性依据是什么? 首先,权威机构是要有认证的,不是随便一个机构都有资格颁发证书,不然也不叫做权威机构。 另外,证书的可信性基于信任制,权威机构需要对其颁发的证书进行信用背书,只要是权威机构生成的证书,我们就认为是合法的。 所以权威机构会对申请者的信息进行审核,不同等级的权威机构对审核的要求也不一样,于是证书也分为免费的、便宜的和贵的。 3. 浏览器如何验证证书的合法性? 浏览器发起 HTTPS 请求时,服务器会返回网站的 SSL 证书,浏览器需要对证书做以下验证: 1.验证域名、有效期等信息是否正确。证书上都有包含这些信息,比较容易完成验证; 2.判断证书来源是否合法。每份签发证书都可以根据验证链查找到对应的根证书,操作系统、浏览器会在本地存储权威机构的根证书,利用本地根证书可以对对应机构签发证书完成来源验证; 3.判断证书是否被篡改。需要与 CA 服务器进行校验; 4.判断证书是否已吊销。通过CRL(Certificate Revocation List 证书注销列表)和 OCSP(Online Certificate Status Protocol 在线证书状态协议)实现,其中 OCSP 可用于第3步中以减少与 CA 服务器的交互,提高验证效率 以上任意一步都满足的情况下浏览器才认为证书是合法的。 4. 只有认证机构可以生成证书吗? 如果需要浏览器不提示安全风险,那只能使用认证机构签发的证书。但浏览器通常只是提示安全风险,并不限制网站不能访问,所以从技术上谁都可以生成证书,只要有证书就可以完成网站的HTTPS 传输。例如早期的 12306 采用的便是手动安装私有证书的形式实现 HTTPS 访问。 本地随机数被窃取怎么办? 证书验证是采用非对称加密实现,但是传输过程是采用对称加密,而其中对称加密算法中重要的随机数是由本地生成并且存储于本地的,HTTPS如何保证随机数不会被窃取? 其实 HTTPS 并不包含对随机数的安全保证,HTTPS保证的只是传输过程安全,而随机数存储于本地,本地的安全属于另一安全范畴,应对的措施有安装杀毒软件、反木马、浏览器升级修复漏洞等。 用了 HTTPS 会被抓包吗? HTTPS 的数据是加密的,常规下抓包工具代理请求后抓到的包内容是加密状态,无法直接查看。 但是,正如前文所说,浏览器只会提示安全风险,如果用户授权仍然可以继续访问网站,完成请求。因此,只要客户端是我们自己的终端,我们授权的情况下,便可以组建中间人网络,而抓包工具便是作为中间人的代理。 通常HTTPS抓包工具的使用方法是会生成一个证书,用户需要手动把证书安装到客户端中,然后终端发起的所有请求通过该证书完成与抓包工具的交互,然后抓包工具再转发请求到服务器,最后把服务器返回的结果在控制台输出后再返回给终端,从而完成整个请求的闭环。 既然 HTTPS 不能防抓包,那 HTTPS 有什么意义? HTTPS可以防止用户在不知情的情况下通信链路被监听,对于主动授信的抓包操作是不提供防护的,因为这个场景用户是已经对风险知情。 要防止被抓包,需要采用应用级的安全防护,例如采用私有的对称加密,同时做好移动端的防反编译加固,防止本地算法被破解。**# 总结** 以下用简短的Q&A形式进行全文总结: **Q: HTTPS 为什么安全? **A: 因为 HTTPS 保证了传输安全,防止传输过程被监听、防止数据被窃取,可以确认网站的真实性。 **Q: HTTPS 的传输过程是怎样的? **A: 客户端发起 HTTPS请求,服务端返回证书,客户端对证书进行验证,验证通过后本地生成用于改造对称加密算法的随机数,通过证书中的公钥对随机数进行加密传输到服务端,服务端接收后通过私钥解密得到随机数,之后的数据交互通过对称加密算法进行加解密。 **Q: 为什么需要证书? **A: 防止”中间人“攻击,同时可以为网站提供身份证明。 **Q: 使用 HTTPS 会被抓包吗? **A: 会被抓包,HTTPS 只防止用户在不知情的情况下通信被监听,如果用户主动授信,是可以构建“中间人”网络,代理软件可以对传输内容进行解密。
随着Chrome、火狐等浏览器对非HTTPS页面亮出警告及出于安全考虑,越来越多的网站开始安装SSL证书,将网络传输协议从明文传输的HTTP升级为加密传输的HTTPS。但对于HTTPS和SSL证书的功能、使用、性能,目前还存在不少理解上的误区。只有将这些误区破除,才能将HTTPS和SSL证书更好地应用于网络安全策略中,最大限度地发挥其作用。 误区1:HTTPS会使网站访问速度变慢 理论上HTTPS会使网站访问速度变慢,因为HTTPS比HTTP多出了SSL握手环节,但这个环节耗费的时间一般仅有几百毫秒,要知道100毫秒才相当于0.1秒,所以我们很难发觉速度上的变化。比较典型的是百度、淘宝等网站均实现了HTTPS,但访问速度并未下降。而有时,HTTPS反倒比HTTP更快一点,这一般发生在一些大公司的内部局域网。因为通常情况下,公司的网关会截取并分析所有的网络通信,但当它遇到HTTPS连接时就只能直接放行,因为HTTPS经过加密无法被解读,因而少了这个解读过程,所以HTTPS会更快。 误区2: HTTPS会大幅增加硬件成本 为实现HTTPS升级CPU、购买更多服务器已经成为历史。随着硬件性能的突飞猛进,HTTPS施加在硬件之上的运算压力已经越来越小,再加上合理的优化和部署,硬件成本增加几乎可以忽略不计。 误区3:只有涉及资金的网站才需要HTTPS 人们对银行、电商、金融等网站必须启用HTTPS已达成共识,但其他类型的网站是否有这个必要呢?《纽约时报》认为很有必要,因为HTTPS有助于保护读者的隐私和确保内容的真实性,它表示将让网站的全部内容都纳入HTTPS的保护下。别忘了Chrome、火狐已开始对非HTTPS页面进行警告,谷歌、百度均给予HTTPS页面更高的搜索权重。因此不论从安全还是发展的角度来讲,HTTPS对各个类型的网站都非常必要。 误区4:在登录页面部署HTTPS即可 在登录页面部署HTTPS,避免密码被截取,至于其它页面就不用了。但这种想法是危险的,因为如果仅登录页使用了HTTPS,在登录以后,其他页面就变成了HTTP。这时,页面缓存数据就暴露了。也就是说,这些缓存数据是在HTTPS环境下建立的,但却在HTTP环境下传输。如果有人劫持到这些缓存数据,密码就很可能被盗。正是基于这个原因,目前很多网站都从单一的登录页HTTPS升级为全站HTTPS。误区5:SSL证书很昂贵 既然HTTPS必不可少,我们就申请一张,但SSL证书是收费的,似乎并不便宜?首先,SSL证书的价格在网络安全产品中属于比较亲民的;其次,货比三家或多关注CA机构的促销活动,有助于申请到物美价廉的SSL证书;最后,SSL证书对数据、用户安全的保护价值远远超过它的价格。 误区6:国外的SSL证书更好用 国外品牌的SSL证书由于起步较早,所以在性能上长期领先国产SSL证书,以致大家形成了国外证书更好用的思维定式。其实CA机构颁发的SSL证书在功能上都是一样的,都能加密传输数据和认证服务器身份,只是存在浏览器兼容性上的细微差别。国产SSL证书当中也有部分CA颁发的SSL证书支持所有浏览器和操作系统,并且与国外SSL证书相比还具备更多的本土优势,比如申请、审核、签发速度快,服务更加高效率,价格更加亲民。 误区7:SSL证书可以随意申请 SSL证书只要给钱,谁都可以申请?对不起,SSL证书并不是掏钱就一定能申请到,你需要提交真实可靠的资料(如企业营业执照、组织机构代码证等),经过CA人工审核通过后才可颁发。如果是EV SSL证书,还会在此基础上追加律师函的审核。之所以如此,是因为CA要保证SSL证书被合法机构使用,防止将证书颁发给不法人员并遭利用。 误区8:有了HTTPS 网站就彻底安全了 这可以称为“HTTPS万能论”,部分企业也用HTTPS宣传自己的网站足够安全。但实际上,HTTPS是利用SSL证书满足网络通讯传输加密和服务器身份验证这两个安全需求,即防窃取、防篡改、防钓鱼,别的安全需求就满足不了了。众多网站安全问题也不可能仅靠一张SSL证书就全部解决。但传输加密和身份验证是网站安全的基础,基础都打不好,安全就是空谈。所以请记住这句话——对网络安全来说,HTTPS不是万能的,但没有HTTPS是万万不能的!
大家好,我是小陈。之前我给大家介绍了一下数据中心的发展历程和内部构造。今天,我再补充一点内容,给大家说说数据中心的建设过程。在介绍建设过程之前,我们有必要先了解一下数据中心的服务提供商。# 数据中心服务提供商数据中心虽然是基础设施,但不完全属于国有。它也可以是民营,由私企建设和运营。但是,根据国家法规,必须持有互联网数据中心经营许可证,才能够提供数据中心服务。一般来说,数据中心服务提供商,分为三类公司。第一类,是电信运营商,也就是中国移动、中国电信和中国联通。他们是大型国企,资金实力雄厚,人才云集,手里的资源很多,基建经验丰富,是国内数据中心市场的主导力量。以中国电信为例,作为国内最大的IDC服务提供商,他们拥有794个数据中心,50多万个机架,数量最多,分布最广。第二类,是云计算服务商,例如阿里、腾讯、华为等。这些服务商本身就开展云计算业务,所以自建或合建了大量的数据中心。他们对数据中心的建设和运营都非常专业,技术实力雄厚。以阿里为例,他们在全球25个地域部署了上百个云数据中心,在张北、河源、南通、乌兰察布、杭州等地拥有多个超级数据中心,投资数千亿。第三类,是专业从事数据中心的第三方服务商,例如万国数据、世纪互联、光环新网、宝信软件、中金数据、奥飞数据、数据港等。他们通过自建数据中心或者租用运营商数据中心的方式,为客户提供服务,不受限于单个电信运营商的网络及地域限制,能够提供相对均衡的网络出口。同时,他们的服务更为灵活,擅长根据客户的需求,提供定制化服务。根据销售方式的不同,第三方数据中心又分为零售型数据中心和批发型数据中心。零售型数据中心面向中小型互联网公司、一般企业等客户,提供相对标准化的服务器托管服务及网络带宽服务。而批发型数据中心,面向大型互联网公司、云计算厂商或电信运营商,提供定制化的服务,一般以模块为最小出租单位。# 数据中心的建设说完数据中心的服务提供商,我们就可以看看数据中心的建设过程了。数据中心的建设是一项专业性极强,且需要极强资源整合能力的工程。按照时间轴顺序,数据中心建设不可避免的包括如下的一系列专业项目:1、选址;2、土地、电力、水、能评、环评等;3、可行性研究4、项目立项;5、方案设计和施工图设计;6、工程施工总包招标采购,以及监理招标采购;7、专业分包的包界划分,工程分包商采购和主要设备采购;8、土建;9、机电安装;10、设备调试;11、验收交付。数据中心选址阶段,这个就不用说了,各个数据中心服务提供商会根据自己的需求,以及外部条件(气温、地质、自然灾害、电力资源、能耗指标),进行数据中心的选址规划。早期的时候,大型互联网公司对数据中心的部署方式要求是“两地三中心”。所谓“两地三中心”,就是生产数据中心、同城灾备中心、异地灾备中心。这种模式下,两个城市的三个数据中心互联互通,如果一个数据中心发生故障或灾难,其他数据中心可以正常运行并对关键业务或全部业务实现接管。后来,随着时代的发展,“两地三中心”的要求逐步演变为“异地多活”。“异地多活”,顾名思义,就是在多个地点建设多个数据中心,数据能够在三个及以上的数据中心之间进行双向同步。这是一种高可用部署架构,抗风险能力极强。选址之后,完成环评、可行性报告之类的工作,成功立项,然后就可以开始进入设计阶段了。数据中心的设计非常复杂,需要考虑的因素很多,也会使用到大量的专业设计工具。设计工作既包括楼宇和园区总体概念设计,也包括数据中心各个子系统的详细设计,需要输出每个细节的设计规划和施工图,方便后续的施工。设计完毕之后,就进入了真正的施工阶段。施工过程就不一一介绍了,无非就是土建施工、配套设备设施安装,主设备设施安装调测等。施工过程的每个细节,国家都有对应的标准进行规范和约束。凡是正规的施工单位,基本上都能满足要求。等一切都完成之后,业主会组织进行各类检查和验收。验收完成后,数据中心正式启用,转入运维阶段。什么是PPP、BOT、EPC?传统的工程建设模式,对业主来说非常复杂。业主不仅要组建包含各类专业技术人才的施工团队,还要面对极为复杂的施工流程,工作繁琐,时间周期长。正常来说,没有哪个业主会自己包办所有的工作。他们会进行招标,选择合作伙伴,完成各项建设工作。数据中心落成后,部分客户也会选择将数据中心后续的运维服务交由第三方来负责,减轻自己的负担。近年来,我们国家基建项目很多。为了方便快速施工和交付,就有一些新的工程管理模式,其中包括了PPP、BOT、代建模式、项目管理模式等。PPP模式,即Public-Private-Partnership(政府和社会资本合作),政府采取竞争性方式选择具有投资、运营管理能力的社会资本,双方按照平等协商原则订立合同,由社会资本提供公共服务,政府依据公共服务绩效评价结果向社会资本支付对价。其次是BOT模式,即Build-Operation-Transfer(建设-经营-转让),是私营企业参与基础设施建设,向社会提供公共服务的一种方式。上面这两种模式,一般适合于社会公共服务领域,往往是政府操作用于道路桥梁等基础设施建设,其项目特点往往是投资额大、建设周期长、资金回报慢,对于独立IDC运营商建设数据中心来说并不合适。建设数据中心的话,现在最流行的是代建模式和EPC。代建模式,顾名思义,就是业主招标找一个专业的代建单位,负责项目的投资管理和建设施工。建成后,交给业主,业主支付一定比例的管理费用。EPC的名气就更大了。它的全称,叫做Engineering-Procurement-Construction,就是“设计-采购-施工” 。它是一种总承包模式,业主将建设工程发包给总承包单位,由总承包单位承揽整个建设工程的设计、采购、施工,并对所承包的建设工程的质量、安全、工期、造价等全面负责。最终,总承包单位向建设单位提交一个符合合同约定、满足使用功能、具备使用条件,并经竣工验收合格的建设工程。大家如果搞过装修的话,就知道,装修里面有包清工、半包、全包等模式。EPC的话,就有点像全包。装修公司全部帮你搞定,既省心,又省事。费用方面,虽然EPC并不一定是最便宜,但采用EPC模式,业主的成本风险也会小很多。招标EPC总承包后,业主的费用是预期的。由设计、采购以及协调失误造成的费用风险,都是EPC总承包商承担。大型的总承包方可以综合调动资源,把全国各地项目零星的设备采购需求汇总后,进行集采谈判,通过规模来进行价格和供应链控制,从而控制总投资并能实现EPC合同的低报价,实现业主和EPC总承包商的合作双赢。结语好了,以上就是关于数据中心建设的一些基本介绍。再见啦,米娜桑
大家好,我叫小陈很多朋友问到了关于数据中心的问题。今天专门写一篇,与大家交流探讨一下。数据中心,英文缩写叫IDC,也就是Internet Data Center(互联网数据中心)。之所以不太直接称之为“DC”,主要是为了避免和直流电(Direct Current)混淆。而且,现在的数据中心普遍都接入互联网,以互联网业务为主,所以,叫“IDC”也更准确。从作用上来看,数据中心就是一个超大号的机房,里面有很多很多的服务器,专门对数据进行集中管理(存储、计算、交换)。根据业界机构统计,2020年全球经数据中心处理的数据流量高达15.3ZB(1ZB≈10亿TB),占全球总流量的99.35%。也就是说,几乎所有的互联网数据,都离不开数据中心的处理,由此可见其重要性。按现在比较流行的说法,数据中心是像水厂、电厂一样的重要基础设施,是数字经济的动力引擎,也是国家和社会发展的支撑底座。**# 数据中心的发展阶段** 我们先来看看数据中心的发展历史。上世纪60年代的时候,人类还处于大型机时代。那时,为了存放计算机系统、存储系统和电力设备,人们修建了机房,并将其称为“服务器农场”(Server farm)。这个“服务器农场”,被认为是数据中心的最早原型。到了90年代,随着互联网的诞生和蓬勃发展,很多公司开始推行信息化。他们建设自己的网站,还搭建了大量的邮件、FTP、OA办公自动化等服务器。有些公司将服务器放在企业内部的机房。也有些公司,因为服务器不多,但又不愿意放在办公室(噪音大、容易断电、安全性低),于是,就“托管”在运营商机房,租用运营商的场地、电力、网络带宽,让对方代为管理和维护。于是,数据中心的概念开始逐渐形成。1996年。一家名叫Exodus的美国公司(专门从事机房设施建设和带宽服务),最早提出了“IDC”这个叫法。这就是IDC数据中心发展的早期阶段。1997年,苹果公司推出了一款名叫“Virtual PC(虚拟PC)”的虚拟机软件。后来,VMWare也推出了现在大名鼎鼎的VMWare Workstation,标志着虚拟机时代的到来,为数据中心的演进打下了基础。随着时间推移,第一代数据中心的托管服务开始精细化,从完整的服务器主机托管,延伸出了网站托管,出现了虚拟主机服务。也就是说,在某一台服务器上,通过虚拟主机软件,虚拟出N个网站主机,出租给N个客户使用。除了网站之外,还出现了数据存储空间租用等多样化的服务。这就是IDC数据中心的第二个阶段。再往后,到了21世纪初,亚马逊、谷歌等公司提出了云计算,从而将数据中心带入了第三个阶段(云计算阶段),持续至今。云计算阶段,是第二阶段的升级演进。它通过虚拟化技术、容器技术,彻底实现了数据中心服务器算力资源的池化。所有的CPU、内存、硬盘等资源,都由更为强大的虚拟化软件管理,然后分配给用户使用。从物理硬件出租,进化为虚拟硬件出租,甚至软件平台出租、服务出租。IaaS、PaaS、SaaS,就这样出现在我们面前。# 数据中心的组成结构接下来,我们再看看数据中心到底由哪些部分组成。前面小陈说了,数据中心就是一个大机房。所以,从硬件种类上来说,数据中心和我们以前经常看到的企业内部机房差不多,只不过规格、档次和管理级别更high level一点。整体来看,数据中心的硬件分为两类,分别是主设备和配套设备。主设备,是真正实现计算和通信功能的设备,也就是以服务器、存储为代表的IT算力设备,以及以交换机、路由器、防火墙为代表的通信设备。配套设备,则是为了保证主设备正常运转而存在的底层基础支撑设备(也包括一些设施)。底层基础支撑设备设施,又分为多种,主要是供配电系统和散热制冷系统,另外还有消防系统、监控系统、楼宇管理系统等。主设备我们先看看主设备。数据中心最基础的主设备,当然是服务器。服务器其实也就是个高性能计算机,大家应该都见过,里面和台式机一样,是CPU、内存、主板、硬盘、显卡(GPU)、电源等。以前,服务器基本上都是Intel架构(更早的时候,还有PowerPC、SPARC等)。如今,随着国家政策变化,国产CPU崛起,占据越来越多的份额。这些国产CPU采用ARM架构,性价比更高,成本更低。服务器,一般都摆放在机架(也叫机柜)上.一个常见标准机架,高度尺寸通常是42U。U是一种表示服务器外部尺寸的单位,是unit的缩略语,1U等于4.445cm。机架宽度的话,有600mm或800mm。机架的深度有很多种,包括600mm、800mm、900mm、1000mm、1200mm等。通常来说,IT设备(服务器)机架的深度更深(1100mm或1200mm),而通信设备的深度会浅一些(600mm)。机架里面的IT设备,除了服务器之外,还有磁盘阵列这样的专业存储设备。现在到处都讲大数据,我们人类产生的数据量每年都在激增,也就增加了对存储设备的数量和性能要求。大家应该都知道,现在主流的计算机存储硬盘分为HDD和SSD两种。HDD就是我们传统的机械硬盘,而SSD是逐渐开始普及的固态硬盘。SSD属于半导体存储器,存储速率快,体积小,非常受欢迎。但是,它的价格昂贵。对于数据中心来说,出于性价比考虑,HDD仍然是主流选择。而SSD,目前主要用于高端客户、高性能需求业务。除了IT算力设备之外,就是交换机、路由器、防火墙等数据通信设备了。说到交换机,就要提到一个名词——TOR,Top of Rack。TOR交换机,是数据中心领域的常见名词。顾名思义,就是机架顶部交换机的意思。这类交换机,是数据中心最底层的网络交换设备,负责连接本机架内部的服务器,以及与上层交换机相连。事实上,机架交换机并没有说一定要放在机架顶部。它既可以在机架顶部,也可以在机架的中部或底部。之所以通常放在顶部,只是因为这样最有利于内部布线。机架再往上,就是一排机架、N排机架。将这些机架和服务器连接起来,就需要数据中心组网技术。现在最流行的数据中心组网架构,就是叶脊网络(Spine-Leaf)。这里先不介绍了.改篇分析值得一提的是,现在数据中心为了高带宽传输数据,普遍使用光纤替代网线。所以,光纤、光模块和光通信设备(OTN等),成为数据中心重要的组成部分。尤其是光模块,高速率光模块(例如400G)价格很昂贵,占了数据中心很大一块成本,制约了发展。现在还有一个比较流行的光通信名词,叫做DCI,也就是Data Center Inter-connect(数据中心互联)。现在流行分布式部署,数据中心之间的数据流量很大,对带宽要求很高。所以,运营商和云服务商就搞DCI,建设数据中心之间专门的光通信骨干网,是很大一块市场。我们国家搞的那个“东数西算”,就涉及到数据中心的互联互通,对DCI相关市场有不可忽视的刺激作用。2. 配套设备 接下来,我们看看数据中心的配套支撑设备和设施。先看供配电。供电是数据中心正常运作的基础。没有电,数据中心就是废铁。数据中心的配电设备,主要作用就是电能的通断、控制和保护。最主要的配电设备,就是配电柜。数据中心配电柜分为中压配电柜和低压配电柜。中压配电柜主要是10kV电压等级,向上接入市电,向下接低压配电柜。低压配电柜主要是400V电压等级,对电能进行进一步的转换、分配、控制、保护和监测。除了配电柜之后,为了保证紧急情况下的正常供电,数据中心还会配备大量的UPS(不间断电源)甚至柴油发电机组。“UPS+市电”是传统的供电方案。现在,更流行的是“HVDC+市电”的方案。HVDC是High Voltage Direct Current,高压直流输电。它和UPS之间的区别涉及到较为复杂的强电知识,后续有机会再专门介绍。总之,“HVDC+市电”的可靠性和安全性更高,供电效率强于“UPS+市电”,是不间断电源的主流发展趋势。我们简单说说-48V和220V。有过ICT行业实际从业经验的同学们都知道,服务器这样的IT设备通常是使用220V交流电,而核心网、无线等通信设备则更多使用的是-48V直流电。市电供电,一般都是交流。数据中心,一般既会提供-48V直流,也会提供220V交流(通过AC-DC转换和DC-AC逆变转换)。事实上,直流现在正成为更多数据中心的选择(例如谷歌),因为直流的损耗更小,对电能的利用率更高,符合现在数据中心高算力下的高能耗发展趋势。再来看看散热制冷。制冷系统是数据中心除了主设备之外的第二大耗能主体。关于数据中心的耗电数据,我在“东数西算”那篇文章中有详细介绍,这里就不多说了。目前,数据中心制冷主要包括两种方式,一种是风冷,另一种是液冷。风冷一般采用风冷空调系统。和我们家用空调一样,数据中心风冷空调也分为室内机和室外机。相对来说,技术成熟,结构简单,容易维护。液冷,是采用液体作为冷媒,进行降温散热。液体的导热能力是空气的25倍,相同体积下,液体带走的热量是空气的近3000倍。从噪音角度来看,同等散热水平下,液冷的噪音比风冷降低20-35分贝。从能耗的角度来看,液冷比风冷节约电量30%-50%。目前,液冷技术被行业普遍看好,但仍处于探索阶段。从总体来看,液冷的市场前景非常广阔,据称市场规模超过千亿。关于制冷和散热,值得一提的是,机柜池级、排级和机柜级等近端制冷方式,正在崛起,成为新建数据中心的主流选择。传统的制冷都是房间级,对整个机房进行空调制冷,这种方式制冷路径太长,效率太低,无法满足高功耗设备的散热需求,能耗也很大。机柜池级、排级和机柜级,是以一个机柜池、一排机柜或者单个机柜为中心,进行散热设计。机柜排级散热,以一排机柜为对象,进行风道设计。这种方式,气流路径明显缩短,散热效率很高。除了配电和散热制冷之外,数据中心还有一些和管理运维有关的设备设施,例如动环监控系统、楼宇自动控制系统、消防系统等。动环监控,就是动力和环境监控,实时监测和管理数据中心运行状态的。这些年,在传统动环监控系统的基础上,开始演进出了DCIM。DCIM全名叫做Data Center Infrastructure Management,是知名咨询公司Garter提出来的。它的管理范围更为全面,采用工具监控、管理和控制数据中心的所有IT主设备以及配套基础设施。数据中心的消防系统比较有意思。因为机房里都是电子设备,所以发生火灾的话,肯定不能直接喷水、泡沫或粉尘。那怎么办呢?气体灭火。出现火灾后,火灾和烟雾传感器的警铃响起,然后,机房区域可以释放氩气、氮气这样的惰性气体,剥夺火焰中的氧气,实现灭火(大约几十秒就能搞定)。3. 模块化数据中心 数据中心是一个庞大的系统,建设过程非常复杂繁琐,工期也很长。这些年,为了更快速、更灵活地部署数据中心,厂商推出了模块化数据中心的概念。说白了,就是将数据中心的结构系统、供配电系统、暖通系统、消防系统、照明系统、综合布线等进行集成,变成一个一个的“积木”。然后,将“积木”运送到现场后,进行简单吊装、搭建,就可以完成建设和部署。采用这种方式,大型数据中心的建设周期从18-24个月压缩成了6个月左右,经济效益明显。# 结语好了,以上就是关于数据中心的介绍。正如我前文所说,数据中心是数字时代重要的信息化基础实施,是算力的重要载体,直接决定了国家的数字竞争力。在“东数西算”战略的带动下,国内数据中心将迎来又一波发展热潮。根据数据统计,2022年我国数据中心业务市场规模将达到3200.5亿元,年均复合增长率高达27.0%。2025年,国内数据中心IT投资规模有望达到7070.9亿元。除了数量激增之外,数据中心正在向绿色化、智能化的方向发展,积极引入AI人工智能,提升能效,降低运营复杂度。未来,数据中心是否会出现新的形态变化,让我们拭目以待吧!
WAF是英文Web Application Firewall的简称,也称为网站应用级入侵防御系统或Web应用防火墙,是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。网络防火墙是一种用来加强网络之间访问控制的特殊网络互联设备。计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。网络防火墙作为访问控制设备,主要工作在OSI模型三、四层,基于IP报文进行检测。只是对端口做限制,对TCP协议做封堵。其产品设计无需理解HTTP会话,也就决定了无法理解Web应用程序语言如HTML、SQL语言。因此,它不可能对HTTP通讯进行输入验证或攻击规则分析。针对Web网站的恶意攻击绝大部分都将封装为HTTP请求,从80或443端口顺利通过防火墙检测。一些定位比较综合、提供丰富功能的防火墙,也具备一定程度的应用层防御能力,如能根据TCP会话异常性及攻击特征阻止网络层的攻击,通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中,但从根本上说他仍然无法理解HTTP会话,难以应对如SQL注入、跨站脚本、cookie窃取、网页篡改等应用层攻击。Web应用防火墙能在应用层理解分析HTTP会话,因此能有效的防止各类应用层攻击,同时他向下兼容,具备网络防火墙的功能。传统防火墙可保护服务器之间的信息流,而Web应用程序防火墙则能够过滤特定Web应用程序的流量。网络防火墙和Web应用程序防火墙是互补的,可以协同工作。传统的安全方法包括网络防火墙,入侵检测系统(IDS)和入侵防御系统(IPS)。它们可有效阻止开放系统互连(OSI)模型下端(L3-L4)周边的不良L3-L4流量。传统防火墙无法检测Web应用程序中的攻击,因为它们不了解在OSI模型的第7层发生的超文本传输协议(HTTP)。它们还仅允许从HTTP服务器发送和接收请求的网页的端口打开或关闭。这就是为什么Web应用程序防火墙可以有效防止SQL注入,会话劫持和跨站点脚本(XSS)等攻击。
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。以下实例中,输入的用户名必须为字母、数字及下划线的组合,且用户名长度为 8 到 20 个字符之间:if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches)){ $result = mysql_query("SELECT * FROM users WHERE username=$matches[0]");}else{ echo "username 输入异常";}让我们看下在没有过滤特殊字符时,出现的SQL情况:// 设定$name 中插入了我们不需要的SQL语句$name = "Qadir'; DELETE FROM users;";mysql_query("SELECT * FROM users WHERE name='{$name}'");以上的注入语句中,我们没有对 $name 的变量进行过滤,$name 中插入了我们不需要的SQL语句,将删除 users 表中的所有数据。在PHP中的 mysql_query() 是不允许执行多个SQL语句的,但是在 SQLite 和 PostgreSQL 是可以同时执行多条SQL语句的,所以我们对这些用户的数据需要进行严格的验证。防止SQL注入,我们需要注意以下几个要点:1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和 双"-"进行转换等。2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装6.sql注入的检测方法一般采取辅助软件或网站平台来检测,软件一般采用sql注入检测工具jsky,网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS攻击等。防止SQL注入本质就是可以看到SQL的语意发生了改变,为什么发生了改变呢?,因为没有重用以前的执行计划,因为对注入后的SQL语句重新进行了编译,因为重新执行了语法解析。所以要保证SQL语义不变,即我想要表达SQL就是我想表达的意思,不是别的注入后的意思,就应该重用执行计划。急救方法:1 参数化查询2 动态执行sql最后总结:因为参数化查询可以重用执行计划,并且如果重用执行计划的话,SQL所要表达的语义就不会变化,所以就可以防止SQL注入,如果不能重用执行计划,就有可能出现SQL注入
目前市场上全球信任的支持浏览器的 SSL证书主要有 3 种: EV SSL证书(Extended Validation SSL Certificate)、OV SSL证书(Organization Validation SSL Certificate) 和 DV SSL证书(Domain Validation SSL Certificate)。 1. OV SSL证书 OV SSL 是 Organization Validation SSL 的缩写,指需要验证网站所有单位的真实身份的标准型SSL证书,此类证书也就是正常的SSL证书,不仅能起到网站机密信息加密的作用,而且能向用户证明网站的真实身份。所以,推荐在所有电子商务网站使用,因为电子商务需要的是在线信任和在线安全。从 SSL 证书的诞生史可以看出:标准型 SSL 证书就是 OV SSL证书(Organization Validation SSL)。 如下图1所示为IE7以上浏览器的显示效果,会在地址栏旁边显示一个安全锁标志,地址栏是使用https://访问,而不是普通网站的http://访问:点击安全锁标志,“查看证书”就能此类证书的 “ 详细信息 ” – “ 主题 ”, 主题中显示 O 字段 (O 就是 Organization , O 字段用于显示单位名称 ),如下图 3 所示。 请注意: 如果您看到证书主题信息中没有“O=”,或 “O=”不是公司名称,而是网站域名,则都不是OV SSL证书。2. DV SSL证书 DV SSL 是 Domain Validation SSL 的缩写,指只验证网站域名所有权的简易型SSL证书,此类证书仅能起到网站机密信息加密的作用,无法向用户证明网站的真实身份。所以,不推荐在电子商务网站部署 DV SSL证书,因为电子商务首先需要的是在线信任,其次才是在线安全。 在IE浏览器,一样会显示安全锁标志, 点击安全锁标志,“查看证书”就能此类证书的 “ 详细信息 ” – “ 主题 ” ,就能发现:主题中没有 O 字段 (O 就是 Organization , O 字段用于显示单位名称 ) ,或 O 字段显示不是公司名称,而是网站域名,如下图 1 和图 2 所示: 3. EV SSL证书 EV SSL 是 Extended Validation SSL 的缩写,指遵循全球统一的严格身份验证标准颁发的SSL证书,是目前业界最高安全级别的SSL证书。用户访问部署了EV SSL证书的网站,不仅浏览器地址栏会显示安全锁标志,而且浏览器地址栏会变成绿色。所以,推荐所有电子商务网站都部署EV SSL证书,因为电子商务首先需要的是在线信任,其次才是在线安全。EV SSL证书,绿色安全通道,增强在线信任,促成更多在线订单! 如果使用 IE 7 浏览器访问某个网站,其地址栏变成了绿色,则此 SSL 证书就是 EV SSL 证书,您也能确信此网站的真实身份是通过权威第三方严格身份验证的,真实身份是可信的,并且所有机密信息是加密传输的。如下图所示,不仅地址栏为绿色,而且地址栏右边安全锁旁直接显示此网站的公司名称。而对于其他两种 SSL 证书,则地址栏都是白色。 4.小结 SSL 证书有两个基本功能:网站身份验证和数据加密传输,对于电子商务网站来讲,经过权威第三方验证过网站的真实身份的证明,比加密信息本身更重要,因为一个不可信的网站(或欺诈网站)也可能有 https:// 安全锁标志 ( 主要原因是市场上有不验证网站实体身份,而只验证域名所有权的 DV SSL 证书)。 所以,绝对不能认为:看到安全锁标志就认为此网站可信,只能保证机密信息是加密传输的,还要看此 SSL 证书是什么类型的证书,从而判断此网站是否真的是网站上所声称的现实世界的某个公司。推荐电子商务网站都部署EV SSL证书 或 OV SSL证书,绝对不能部署已经被欺诈网站滥用的DV SSL证书。
我们在选择服务器的时候,经常会看到单线服务器,多线服务器和BGP服务器,那这些线路的服务器有存在哪些不同呢?单线所谓的单线服务器是单网卡单个IP,指只有电信、联通或者移动一条线路。缺点:由于线路单一,所选线路为电信线路时,联通或移动的用户访问时可能会出现卡顿或访问不流畅等问题,相互之间夸运营商访问效果会比较差。但是对这方面的要求不是很高的业务可以选择。优点:单线单IP服务器的价格也会比三线和BGP服务器低一些。三线三线服务器通常指同时拥有电信、联通和移动三条线路,拥有三个网卡三个IP,这三个IP指向同一个服务器。缺点:服务器的线路决定了服务器的速度和稳定性,一旦遇到单一线路损坏时,用户则无法正常通过这一条线路访问。需要配置三个IP,进错线路的话还是可能会出现卡顿等问题。优点:如果遇到电信被打封,可以选择进入其他两条线路,好在互不影响。其速度体验会比单线、双线的更快。三线只要配置好,进对线路,效果与BGP无异。BGPBGP服务器拥有电信联通移动三条线路,这三条线路合并在一个IP上。缺点:价格方面比单线双线三线的要高一些。优点:实现了不同运营商共享同个IP的目标,保证了各服务商都能以最快的速度接入网络,自动选择最快的线路实现合理分流。在配置方面只需要配置一个IP,比三线操作更简单。对比单双三线服务器稳定性更有保障。各位看官可以根据自己的业务需求选择合适自己的服务器。
棋牌游戏很容易招到黑客攻击,尤其是对于一些比较出名的平台,风险就更高一些。究竟为什么黑客这么喜欢攻击地方性棋牌游戏呢?经过许多被攻击的案例显示,黑客之所以会选择攻击棋牌游戏平台是以下原因:1.盗卖游戏币。一般这种情况会出现在比较成熟的平台上,使用这种方式通常都是长期进行的过程。就像蛀米虫一样,慢慢的、悄悄的进行。2.勒索行为。这个是绝大部分黑客攻击平台的原因。如果出现这个原因的,黑客就不会专门去挑选平台,无论平台大小、是否成熟。做这种事的也并不是技术十分了得的黑客,只是为了贪图一些小钱的网络流氓罢了。3.游戏zuobi。在游戏行业里面,zuobi是普遍现象了;也有专门的人在研发zuobi器。对于棋牌行业来说,主要通过游戏取巧、截取、篡改游戏数据包。4.恶意竞争。棋牌市场这块大蛋糕,都想来分一杯羹。利益的驱使让很多棋牌商采用网络攻击这种恶劣的方式来争夺市场。运营商们看了可能会觉得运营棋牌游戏十分不安全,其实不然。只需要在平时多注意服务器的安全、进行日常维护,即可降低风险。针对棋牌游戏推出的游戏盾是针对棋牌APP、H5开发出的一款游戏盾!游戏盾有多组高防节点,更有玩家IP私有化自定义,摆脱DDOS攻击军备竞赛,专业防御游戏行业超大DDoS攻击分布式抗D节点优质BGP接入,针对游戏提供优质的网络环境游戏盾SDK防护功能游戏盾SDK是面向移动APP用户推出的高度可定制的网络安全解决方案,本方案中通过SDK的集成可以实现DDoS攻击的免疫和CC攻击的100%解决。游戏盾SDK是针对游戏行业面对的DDoS、CC攻击推出的针对性的网络安全解决方案,相比高防IP,除了能针对大型DDoS攻击(T级别)进行有效防御外,还具备彻底解决游戏行业特有的TCP协议的CC攻击问题能力,防护成本更低,效果更好!游戏盾在风险治理方式、算法技术上全面革新,帮助游戏行业用户用更低的成本缓解超大流量攻击和CC攻击,解决以往的攻防框架中资源不对等的问题。与传统单点防御DDoS防御方案相比,游戏盾用数据和算法来实现智能调度,将“正常玩家”流量和“黑客攻击”流量快速分流至不同的节点,最大限度缓解大流量攻击;通过端到端加密,让模拟用户行为的小流量攻击也无法到达客户端。同时,在传统防御中,黑客很容易锁定攻击目标IP,在攻击过程中受损非常小。而游戏盾的智能调度和识别,可让用户“隐形”,让黑客“显形” —— 每一次攻击都会让黑客受损一次,攻击设备和肉鸡不再重复可用。颠覆以往DDoS攻防资源不对等的状况。DDoS攻击防御可主动定位/隔离攻击者游戏盾通过大量的节点部署结合SDK的调度数据,在发生DDoS攻击的时候能够准确告知您目前你游戏中的哪一个玩家ID、IP、设备号是恶意玩家CC攻击防御100%解决,0误杀、0漏过CC攻击一直是难以解决的行业痛点,在传统的高防IP、WAF模式下总会碰到误杀、漏过的问题,碰到协议模拟类的攻击更是束手无策,对业务稳定性影响非常大。游戏盾的私有通信协议彻底改变了这一现状,通过动态的加密算法,每次数据传输都具备唯一性。只有干净的流量才能够到达您的业务服务器,0误杀、0漏过。 核心原理通过服务SDK提供的服务本地化接口,将任意IP、端口的服务本地化,并且由SDK接管所有的通信流量,进行调度和加密传输,满足抗D、防C、流量加密等业务需求。安全防御模式:每次连接远端的IP:PORT前,调用一次服务本地化接口,将服务本地化,后续使用返回的IP:PORT进行使用即可。防御架构游戏盾SDK是针对游戏行业的安全解决方案。游戏盾专为游戏行业定制,针对性解决游戏行业中复杂的DDoS攻击、游戏CC攻击等问题。游戏盾由两大模块组成:分布式抗D节点:通过分布式的抗D节点,游戏盾可以做到免疫600G以上的攻击。游戏安全网关:通过针对私有协议的解码,支持防御游戏行业特有的CC攻击。与普通的DDoS高防机房不同,游戏盾并不是通过海量的带宽硬抗攻击,而是通过分布式的抗D节点,将黑客的攻击进行有效的拆分和调度,使得攻击无法集中到某一个点上。同时基于SDK端数据、流量数据,可以通过动态的调度策略将黑客隔离!一般来说,游戏行业的CC攻击跟网站的CC攻击不同。网站类的CC攻击主要是基于HTTP或者HTTPS协议,协议比较规范,相对容易进行数据分析和协议分析。但是游戏行业的协议大部分是私有的或者不常见的协议,因此对于游戏类CC攻击的防御,德迅云安全推出了专业的游戏盾游戏盾通过在用户业务和攻击者之间建立起一道游戏业务的防火墙,根据攻击者的TCP连接行为、游戏连接后的动态信息、全流量数据,准确分辨出真正的玩家和黑客。游戏盾支持大数据分析,根据真实用户业务的特点分析出正常的玩家行为,从而直接拦截异常的客户端(协议非法)。游戏安全网关可以同SDK建立加密通信隧道,全面接管客户端和服务端的网络通信,仅放行经过SDK和游戏安全网关鉴权的流量,彻底解决TCP协议层的CC攻击(模拟协议型攻击)。
游戏盾防护方式游戏盾是通过封装登录器隐藏真实IP,需要修改业务IP换成游戏盾IP,然后在后台添加源IP和转发业务端口,玩家通过下载封装好的登录器进入游戏。是采用多机房集群部署模式,节点切换无感知,加密所有连接,实现CC零误封,避免源IP泄漏,免疫CC与DDOS攻击。游戏盾防护原理游戏盾由高防节点池组成,每个抗D节点都可以轻松防御600G以上的攻击,通过可弹性扩缩的分布式抗D节点,当发生超大流量攻击时,可根据影响范围,迅速将业务分摊到未受影响的节点。遭遇真实肉鸡发起的TCP连接与协议模拟的功能时可以通过SDK与游戏安全网关的加密隧道彻底解决CC攻击问题。并且拥有防掉线功能,通过新SocKet协议,弥补了WinSock链接失败会断开的问题,链接失败自动无缝切换。游戏盾适合哪些业务游戏盾接入之后,可以免疫攻击,多大的攻击都可以防御住。但存在人数限制。适合攻击很大但是人数不是非常多的用户。如果用户人数非常多,盾的成本也是增加很多。可以考虑根据攻击的大小与游戏在线人数,进行选择使用游戏盾还是其他的防护。如高防IP,高防服务器等。
过去的2021 Q3是僵尸网络攻击再度创造历史的一季度。Cloudflare的DDoS攻击趋势报告指出,僵尸网络Mēris对其保护的企业进行了每秒1720万次的虚假请求攻击,俄罗斯最大的搜索引擎Yandex每秒遭到2180万次攻击请求。DDoS攻击一直都是僵尸网络攻击的形式之一,而随着攻击者技术的迭代,僵尸网络的危害逐渐不止于DDoS。僵尸网络攻击危害有多大僵尸网络攻击是由远程控制的受恶意软件感染的设备,进行的大规模网络攻击。它能够将受感染设备变成僵尸网络控制的主机。与在单个机器或系统中自我复制的恶意软件不同,僵尸网络产生的威胁更大,因为它们受背后的攻击者控制在同一时间大批量进行恶意行为,好比乌央乌央的僵尸牧群。2010 年,Kneber僵尸网络控制了全球2500家知名企业和政府机构的75000台电脑,此次攻击共窃取了超过68000个登录凭据和1972个数字证书。而根据今年Cloudflare披露的数据显示,在一次DDoS攻击中,攻击者在125个国家和地区发动了20000台“肉鸡”。感染量巨大,让僵尸网络攻击成为了一种极其可怕的威胁。此外,由于僵尸网络攻击能够成倍放大或迅速调整,造成极大的破坏,所以此类攻击相比其他恶意攻击更为复杂。通过僵尸网络传播的恶意软件通常包含网络通信功能,能够允许攻击者通过庞大的受感染机器网络,路由与其他威胁参与者的通信。利用僵尸网络,攻击者足以破坏系统,分发恶意软件,“拉更多的设备下水”,并且通常用于大型破坏或开辟新的入口,进而发起第二次攻击。常见僵尸网络攻击类型具体来说,僵尸网络攻击包括以下几种常见的类型:**暴力破解** 当攻击者不知道目标设备密码时,就会通过快速、重复的密码猜测技术进行破解,因此这种攻击方式也被称为暴力猜解。在暴力破解攻击中,恶意软件直接与受影响的服务交互,获得密码尝试的实时反馈。另外,暴力破解攻击还会利用已泄露的凭据或个人身份信息来尝试破解密码。**分布式拒绝服务(DDoS)攻击** DDoS攻击是一种非常常见的僵尸网络攻击。僵尸网络中每个节点都高频反复发送无意义的流量集中攻击一个服务,使其崩溃或堵塞。2016年,Mirai僵尸网络就是分两个阶段,使得域名服务提供商Dyn瘫痪,并导致部分地区Twitter、Soundcloud等主要客户端网站性能下降和宕机。**垃圾邮件与网络钓鱼** 除了DDoS攻击,僵尸网络也会利用邮件进行钓鱼活动,诱骗员工分享敏感信息或登录凭证。攻击者感染设备后,会向设备联系人发送钓鱼信息,进一步在互联网上传播垃圾邮件,感染更多设备,从而扩大僵尸网络规模。**“砖化”攻击** 攻击者通过多个阶段发动机器人对设备进行“砖化”攻击。所谓设备砖化,就是当一台设备被恶意软件感染时,恶意软件会删除设备内容(通常是主要攻击的证据),使得设备停止工作,无法使用,俗称“变砖”。如何在僵尸网络攻击发生前预防越来越多的设备连接在一起,无形中提高了感染僵尸网络的概率。全球有超过310亿台活跃的物联网设备,而任何连接到互联网的设备都可以被感染为“肉鸡”。所以,要想应对此类攻击,就得从预防开始。预防思路上,可以从以下几个方面着手:减少攻击面。任何连接到互联网的设备都存在风险。越来越多不安全的物联网设备,提供了大量随时可访问的入口,大大增加了攻击面。而配置错误、配置协议安全性不足以及近两年来远程访问的增加,是攻击面暴露增加的另外几大因素。企业可从业务资产梳理、数据资产监控、对外开放后台、弱密码、API安全、文件传输角度出发,做好资产梳暴露面管理。增强对网络钓鱼与社工的防范。网络钓鱼和社会工程仍是获取系统和设备访问权限的主要方法,在IBM与 Ponemon Institute联合发布的《2021年数据泄露成本》报告中,网络钓鱼是给企业造成损失影响第二大的初始攻击方式。应对这种现状,企业需保证基本的网络安全操作,同时为各级员工提供持续的网络安全意识培训。例如,只有在确定新设备安全设置满足企业安全基线标准的情况下,才能将新设备添加到网络。主动关注僵尸网络.主动关注僵尸网络动态,最重要的是确保系统和设备软件最新,尤其需要监控使用较少的设备。供应商一旦发布更新,建议立即应用,保证设备获取到最新的安全更新。做好IoT物联网配置管理。更改默认设备的登录凭证,淘汰或者移除网络中旧的、未使用的设备,从而减少攻击媒介。同时,只允许合适的主机设备进行访问,也可预防僵尸网络攻击。而将物联网设备与其他关键系统进行隔离,也有助于减轻僵尸网络攻击造成的影响。另外,针对设备启用多因素身份验证,限制可访问用户数量,也是一种有效的方法。增强对网络操作的可见性。通过网络监控与分析工具,能够对设备及流量模式进行更深入的了解。如有需要,部署人工智能网络监控,可确定基线使用情况及对异常情况的监控,有助于对攻击初始阶段进行检测,让安全团队及时做出反馈。如何阻止僵尸网络攻击如果遭遇僵尸网络攻击,想要阻止此类攻击,就需要重新获得对受感染设备的控制。一方面,可以通过禁止对命令与控制服务器(C2)的访问,即可停止“肉鸡”的回连通信,阻止其执行攻击行为。另一种切断“肉鸡”网络连接的方法,就是根据需要重新格式化或重新安装系统软件。物联网设备可能需要重新安装设备固件(完全恢复出厂设置)才能恢复正常功能并移除恶意软件。但如果想要完全关闭大型僵尸网络通常需要执法单位进行。最后,对于僵尸网络攻击,早期检测才是关键。通过部署有效的安全工具,则可以实现对僵尸网络更好的检测。微步在线流量侧产品TDP,终端侧OneEDR、办公网防护侧OneDNS、免费蜜罐HFish均可针对僵尸网络提供分析与检测,同时TIP与X社区可提供僵尸网络威胁情报,帮助企业提前发现僵尸网络,将威胁扼杀在摇篮之中
想象一下有人使用不同的电话号码一遍又一遍地打电话给你,而你也无法将他们列入黑名单。最终你可能会选择关闭手机,从而避免骚扰。这个场景就是常见的分布式拒绝服务(DDoS)攻击的样子。乔布斯(Steve Jobs)推出第一款iPhone之前,DDoS攻击就已经存在了。它们非常受黑客欢迎,因为它们非常有效,易于启动,并且几乎不会留下痕迹。那么如何防御DDoS攻击呢?你能否确保对你的web服务器和应用程序提供高级别的DDoS攻击防护?在本文中,我们将讨论如何防止DDoS攻击,并将介绍一些特定的DDoS保护和预防技术DDoS攻击的类型和方法分布式拒绝服务攻击(简称DDoS)是一种协同攻击,旨在使受害者的资源无法使用。它可以由一个黑客组织协同行动,也可以借助连接到互联网的多个受破坏设备来执行。奇热这些在攻击者控制下的设备通常称为僵尸网络。有多种执行DDoS攻击的工具:例如Trinoo,Stacheldraht,Shaft,Knight,Mstream等。这些工具的可用性是DDoS攻击如此广泛和流行的原因之一。DDoS攻击可以持续数百小时DDoS攻击可能持续几分钟、几小时、甚至是几天。卡巴斯基实验室的一份报告显示,近年来时间最长的DDoS攻击之一发生在2018年1月,它持续了将近300个小时。发起DDoS攻击有两种常见方法:· 利用软件漏洞。黑客可以针对已知和未知软件漏洞,并发送格式错误的数据包,以试图破坏受害者的系统。· 消耗计算或通信资源。黑客可以发送大量合法的数据包,从而消耗受害者的网络带宽、CPU或内存,直到目标系统无法再处理来自合法用户的任何请求。虽然没有标准的DDoS攻击分类,但我们可以将其分为四大类:· 容量耗尽攻击· 协议攻击· 应用程序攻击· 0 day漏洞DDoS攻击让我们仔细研究一下每种类型的攻击。容量耗尽攻击容量耗尽攻击(Volumetric attacks)通常借助僵尸网络和放大技术,通过向终端资源注入大量流量来阻止对终端资源的访问。最常见的容量耗尽攻击类型有:· UDP洪水攻击。黑客发送用户数据报协议(UDP)包伪造受害者的源地址到随机端口。主机生成大量的回复流量并将其发送回受害者。· ICMP洪水攻击。黑客使用大量的互联网控制消息协议(ICMP)请求或ping命令,试图耗尽受害者的服务器带宽。Netscout在2018年报告了迄今为止最大的DDoS攻击之一:一家美国服务提供商的客户面临着1.7 Tbps的大规模反射放大攻击。协议攻击根据Verisign 2018年第1季度DDoS趋势报告,协议攻击针对的是协议工作方式的漏洞,这是第二大最常见的攻击媒介。最常见的协议攻击类型有:· SYN洪水攻击。黑客利用了三向握手TCP机制的漏洞。客户端将SYN数据包发送到服务器,接收SYN-ACK数据包,并且永远不会将ACK数据包发送回主机。因此,受害者的服务器留下了许多未完成的SYN-ACK请求,并最终导致崩溃。· 死亡之Ping。攻击–黑客使用简单的Ping命令发送超大数据包,从而导致受害者的系统冻结或崩溃。SYN洪水攻击是2014年用来摧毁在线赌博网站的五种攻击媒介之一。应用程序攻击应用程序攻击利用协议栈(六),协议栈(七)中的漏洞,针对特定的应用程序而不是整个服务器。它们通常针对公共端口和服务,如DNS或HTTP。最常见的应用程序攻击有:· HTTP洪水攻击。攻击者用大量的标准GET和POST请求淹没应用程序或web服务器。由于这些请求通常显示为合法流量,因此检测HTTP洪水攻击是一个相当大的挑战。· Slowloris。正如其名,Slowloris缓慢地使受害者的服务器崩溃。攻击者按时间间隔和一小部分向受害者的服务器发送HTTP请求。服务器一直在等待这些请求完成,但永远不会发生。最终,这些未完成的请求耗尽了受害者的带宽,使合法用户无法访问服务器。在2009年总统大选后,黑客专家利用Slowloris攻击来关闭伊朗的政府网站。0 day漏洞DDoS攻击除了众所周知的攻击之外,还存在0 day漏洞DDoS攻击。他们利用尚未修补的未知软件漏洞或使用不常见的攻击媒介,因此更加难以检测和防御。例如,早在2016年,攻击者利用轻型目录访问协议(LDAP)发起了放大系数高达55的攻击。现在让我们谈谈检测DDoS攻击的方法。检测DDoS攻击虽然不可能完全阻止DDoS攻击的发生,但有一些有效的做法可以帮助你检测和停止正在进行的DDoS攻击。异常检测:统计模型和机器学习算法(例如神经网络,决策树和近邻算法)可用于分析网络流量并将流量模式分类为正常或DDoS攻击。你还可以搜索其他网络性能因素中的异常,例如设备CPU利用率或带宽使用情况。基于知识的方法:使用诸如特征码分析、状态转换分析、专家系统、描述脚本和自组织映射等方法,你可以通过将流量与已知攻击的特定模式进行比较来检测DDoS。ACL和防火墙规则:除了入口/出口流量过滤之外,访问控制列表(ACL)和防火墙规则可用于增强流量可见性。特别是,你可以分析ACL日志,以了解通过网络运行的流量类型。你还可以根据特定的规则、签名和模式配置web应用程序防火墙来阻止可疑的传入流量。入侵防御和检测系统警报:入侵防御系统(IPS)和入侵检测系统(IDS)提供了额外的流量可见性。尽管误报率很高,但是IPS和IDS警报可以作为异常和潜在恶意流量的早期指示。在早期阶段检测正在进行的攻击可以帮助你减轻其后果。但是,你可以采取适当的预防措施来防范DDoS攻击,使攻击者更难淹没或破坏你的网络。如何编写一个有效的防护DDoS攻击的解决方案无论你是想创建自己的有效防护DDoS攻击的解决方案,还是要为Web应用程序寻找商业化的DDoS攻击防护系统,都要牢记以下一些基本系统要求:· 混合DDoS检测方法。基于特征码和基于异常的检测方法的组合是检测不同类型的DDoS攻击的关键。· 防御3–4级和6–7级攻击。如果你的解决方案能够检测并抵御所有三种主要类型的DDoS攻击:容量攻击、应用攻击和协议攻击,则更可取。· 有效的流量过滤。DDoS保护的最大挑战之一是区分恶意请求与合法请求。很难创建有效的过滤规则,因为涉及DDoS攻击的大多数请求看起来都好像是来自合法用户。诸如速率限制之类的流行方法通常会产生很多误报,导致阻止合法用户访问你的服务和应用程序。· SIEM集成。将防DDoS解决方案与SIEM系统良好结合非常重要,这样你就可以收集有关攻击的信息,对其进行分析,并使用它来改善DDoS的保护并防止以后发生攻击。如果满足这些要求对你来说太难了,那么考虑向专家寻求帮助。你需要一支经验丰富的开发团队,他们对网络安全、云服务和web应用程序有深入的了解,才能构建高质量的DDoS防御解决方案。像这样的团队很难在内部组织起来,但你可以随时寻求第三方团队的帮助,比如德迅云安全即使你无法阻止DDoS攻击的发生,但你有能力让攻击者更难关闭你的网站或应用程序。这就是DDoS预防技术关键的地方。你可以使用两种DDoS预防机制:常规预防措施和过滤技术。常规的DDoS防护机制是比较常见的措施,可以帮助你使Web应用程序或服务器对DDoS攻击更具弹性。这些措施包括:· 使用防火墙。虽然防火墙不能保护你的应用程序或服务器免受复杂的DDoS攻击,但它们仍然可以有效地处理简单的攻击。· 安装最新的安全补丁。大多数攻击针对特定的软件或硬件漏洞,因此及时部署所有补丁可以帮助你降低攻击风险。· 禁用未使用的服务。黑客攻击的应用程序和服务越少越好。确保禁用所有不需要和未使用的服务和应用程序,以提高网络的安全性。过滤机制使用不同的方法来过滤流量并阻止潜在的危险请求。这些机制包括入口/出口过滤,基于历史的IP过滤和基于路由器的数据包过滤。保护Web应用程序免受DDoS攻击的最佳做法除了特定的DDoS防范机制,还有几种做法可以帮你的web应用程序提供额外的DDoS保护:· 限制漏洞数量。除非迫不得已,否则不要公开你的应用程序和资源。这样,你可以限制攻击者可能针对的基础架构中的漏洞数量。你还可以禁止将互联网流量直接发送到数据库服务器和基础结构的其他关键部分。· 扩展负载。考虑使用负载平衡器和内容分发网络(CDN),通过平衡资源负载来减轻攻击的影响,这样即使在攻击期间也可以保持在线。· 仔细选择你的云提供商。寻找一个值得信赖的云服务提供商,并提供自己的DDoS缓解策略。确保他们的策略可检测和缓解基于协议,基于卷和应用程序级别的攻击。例如,一些云提供商使用anycasting网络在具有相同IP地址的多台机器之间划分大量请求。使用第三方DDoS缓解服务?–考虑将web应用程序的保护委托给第三方供应商。DDoS缓解服务甚至可以在问题流量到达受害者网络之前将其清除。你可以从基于DNS的网关服务或基于协议的解决方案中查找有问题的边界攻击。结论黑客不断使用和改进DDoS攻击来破坏特定服务、大小型企业甚至公共和非营利组织的工作。这些攻击的主要目的是耗尽受害者的资源,从而使他们的服务、应用程序或网站崩溃。虽然无法完全阻止DDoS攻击的发生,但有一些有效的DDoS攻击保护技术和方法可用于增强基础设施抵御DDoS攻击并减轻其后果。
今天德迅云安全的我给大家讲讲服务器被攻击的那些事,首页给大家讲讲我一客户的亲身经历。我有个客户开设了电商平台,最近几年电商平台俨然已经成了老百姓的生活依赖(淘宝/京东),所以我这客户的小平台发展得也还不错。直到之前那段时间日子他遇上了大麻烦,网站被攻击,服务器IP似乎也暴露了。这一年以来他的电商平台运营的还不错的,可能是客户量越来越多,客户一直认为自己只是小平台,认为没有那么多无聊的人来找他的麻烦的然后他就换了DDoS高防ip(德迅云安全名下其中一款高防产品),因为他之前一直用的是普通服务器,基本没有防护,源机IP已经暴露,现在换了高防,攻击还是可以绕过DDOs高防ip直接攻击发源机IP,我就建议他更换源机IP,并让技术帮他检查排除源站IP可能暴露的因素,是否存在源码信息泄露、是否存在某些恶意扫描情况、检查DNS解析配置等等。毕竟我这客户本身不是专业的,以往过去的网络攻击多数都是随机的,但现在越来越多的网络攻击常常专门对付一家企业或其一个部门或更小的一个部分。德迅云安全的专业人员指出:攻击者往往会搞垮与其没有直接矛盾的网站,其目的仅仅是为了扩大对第三方目标的影响。选择高防服务器或者高防产品可以让你完全避免这种突如其来的攻击。网络攻击往往只需要通过一些执行微妙的程序,就可以进行攻击。总的来说,高防服务器或者高防产品对于企业网站的运营成功和发展具有非常重的作用和意义,企业拥有高防服务器或者接入高防产品,是对企业自身的一种安全保障。然后在我的建议下,他更换了源站IP,使用了高防产品。那么该如何选择高防服务器或者高防产品呢,德迅云安全在这里建议大家:1.选择合适的防御选择服务器要根据自己的成本和日常被攻击的情况,还有机型配置,结合起来考虑,最好是选择以后可以升级防御的机房,这样如果最初选择的防御不够用,后期可以申请升级防御,节省了不少的麻烦,或者更为轻便的选择接入高防产品,减少了服务器防护选择的困难,只需要考虑机型配置,带宽即可2.服务器的稳定性要保证7*24小时不停的运作,保证所有网站正常运行,安全问题、硬件防御、软件防御、抵制恶意黑客攻击。那么哪些行业适合高防服务器或者高防产品呢?德迅云安全在这里建议大家:企业网站网站的稳定是至关重要的一个因素,对于企业网站而言也不例外。客户会通过网站来了解企业的信息,要是网站经常出现一些问题,导致网站没法访问,这就会影响到用户对企业的印象感不好。因此对于一些大型企业来说,高防服务器或者高防CDN(德迅云安全名下其中一款针对于网站的高防产品)是一个很不错的选择,能防御很多的网络攻击而保障网站正常的打开和访问。对于用户的体验感提升很有帮助。游戏行业如今最火的行业就要数游戏行业了,很多的客户群体都在玩游戏,网页游戏,手游等等都是用户钟爱的种类。但随着竞争的激烈,很多游戏商都会遭受到网络攻击,严重的时候会导致一款游戏完全不发访问,这为游戏服务商带来很大的麻烦,因此游戏服务商对于高防服务器或者游戏盾(德迅云安全名下其中一款针对于游戏的高防产品,可以达到无视攻击的情况)的钟爱可见一斑。不仅能防御同行之间的恶意竞争,也能防止互联网的网络攻击。金融行业金融行业的数据安全是很重要的,一旦遭受攻击,那会造成很大的经济损失,因此在如今网络攻击频繁的年代,高防服务器成为最理想的选择。视频行业视频行业对于服务器的配置要求高以外,对于服务器的安全也是非常重要。视频行业的都存在很多的客户资料,一旦遭受攻击那损失都很巨大,因此高防服务器或者高防ip(德迅云安全名下其中一款高防产品,兼顾域名和端口防护)就成为众多视频从业者优先考虑的首选。再来说说我这朋友的后续,他用了DDos高防ip一段时间后,平台恢复运营,也没有遭受到攻击,但是心里还有有点隐隐的担心,不知道能不能承受得住攻击。就在前天,又遇到了攻击!这攻击来得猝不及防,让他有些紧张,生怕承受不住啊! 然而他发现,除了内心的紧张之外,网站没有受到任何影响。要不是数据显示遭受攻击,他还以为是假的呢!通过德迅云安全对高防服务器、高防产品的介绍和适合行业的介绍,相信大家都对高防服务器和高防产品有了一定的认知,想知道更多全面的内容,请关注德迅云安全QQ3006013514。德迅云安全15年专注互联网IDC服务,在德迅云安全可以找到你们想要的服务器和防护产品!
市场通常的盾都以多线程转发来保证游戏数据包传输稳定,以及防止游戏掉线。这种技术主要用于网吧加速,用于客户端游戏有极大弊端。这种技术较大的弊端就是会让源服务器带宽损耗大(因为每个玩家都对源服务器发送大量的加速进程),并且对玩家本地电脑配置有一定的要求。(相信用过其他品牌盾的人知道,自己源服务器带宽不够用,或者用了盾人气少了情况)其实就是这个情况导致,人气少了不是玩家进不了游戏,就是很多电脑配置差点的遇到用盾的游戏,网络进程上千个部分玩家压根电脑网卡跑不起来,程序登录器打开就卡了(大部分不会,可是总是会有小部分的玩家电脑比较老旧)。如下是其他品牌盾:而我们公司研发的新SocKet协议,弥补了WinSock链接失败会断开的问题,链接失败自动无缝切换,完美吊打其他品牌盾。解决了源机损耗带宽大,与玩家本地配置更不上打开卡等问题智能多线节点分布,配合独家研发的VPN隧道填补技术,保证每一条线路都是优质的网络。自助EXE封装、SDK接入,支持Windows、iOS、Android系统,分钟级集成。如下就是我们德迅的游戏盾孰好孰坏其实大家看图就能明了!更多技术分享可以随时关注我们德迅网络www.idc4.com
2023年09月
发表了文章
2023-09-21 15:38:43
发表了文章
2023-09-09 16:01:53
发表了文章
2023-09-09 14:52:21
发表了文章
2023-09-02 14:49:47
2023年08月
发表了文章
2023-08-21 14:07:26
发表了文章
2023-08-20 16:58:11
发表了文章
2023-08-19 14:04:59
发表了文章
2023-08-13 13:54:58
发表了文章
2023-08-12 16:31:14
发表了文章
2023-08-06 14:14:27
发表了文章
2023-08-05 23:47:39
2023年07月
发表了文章
2023-07-30 14:53:04
发表了文章
2023-07-30 14:38:57
发表了文章
2023-07-21 14:14:26
发表了文章
2023-07-11 14:38:16
发表了文章
2023-07-11 14:19:32
发表了文章
2023-07-09 15:38:15
发表了文章
2023-07-07 15:06:54
发表了文章
2023-07-02 15:09:56
发表了文章
2023-07-02 14:48:13
2023年06月
发表了文章
2023-06-18 16:25:45
发表了文章
2023-06-16 15:12:33
2023年04月
发表了文章
2023-04-30 20:51:52
发表了文章
2023-04-23 11:28:57
2023年03月
发表了文章
2023-03-29 14:37:45
发表了文章
2023-03-02 14:04:35
2023年02月
发表了文章
2023-02-02 10:12:05
2023年01月
发表了文章
2023-01-19 09:15:59
2022年10月
发表了文章
2022-10-14 14:06:25
2022年08月
发表了文章
2022-08-26 17:01:06
发表了文章
2022-08-17 15:29:04
发表了文章
2022-08-10 14:57:40
2022年07月
发表了文章
2022-07-29 11:32:21
发表了文章
2022-07-20 10:51:33
发表了文章
2022-07-17 15:47:52
2022年05月
发表了文章
2022-05-22 22:50:36
发表了文章
2022-05-10 19:01:23
发表了文章
2022-05-08 21:59:21
发表了文章
2022-05-01 22:34:52
发表了文章
2022-05-01 22:34:04
2022年04月
发表了文章
2022-04-24 23:51:27
发表了文章
2022-04-17 22:58:53
发表了文章
2022-04-17 22:54:37
发表了文章
2022-04-11 00:28:05
发表了文章
2023-09-21
发表了文章
2023-09-09
发表了文章
2023-09-09
发表了文章
2023-09-02
发表了文章
2023-08-21
发表了文章
2023-08-20
发表了文章
2023-08-19
发表了文章
2023-08-13
发表了文章
2023-08-12
发表了文章
2023-08-06
发表了文章
2023-08-05
发表了文章
2023-07-30
发表了文章
2023-07-30
发表了文章
2023-07-21
发表了文章
2023-07-11
发表了文章
2023-07-11
发表了文章
2023-07-09
发表了文章
2023-07-07
发表了文章
2023-07-02
发表了文章
2023-07-02
