商业源码 服务器DDOS攻击 怎么整..瘫痪一天了 阿里云一来就进黑洞 封锁所有访问
DoS(Denial of Service)是一种利用合理的服务请求占用过多的服务资源,从而使合法用户无法得到服务响应的网络攻击行为。
被DoS攻击时的现象大致有:
被攻击主机上有大量等待的TCP连接;
被攻击主机的系统资源被大量占用,造成系统停顿;
网络中充斥着大量的无用的数据包,源地址为假地址;
高流量无用数据使得网络拥塞,受害主机无法正常与外界通讯;
利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使受害主机无法及时处理所有正常请求;
严重时会造成系统死机。
到目前为止,防范DoS特别是DDoS攻击仍比较困难,但仍然可以采取一些措施以降低其产生的危害。对于中小型网站来说,可以从以下几个方面进行防范:
主机设置:
即加固操作系统,对各种操作系统参数进行设置以加强系统的稳固性。重新编译或设置Linux以及各种BSD系统、Solaris和Windows等操作系统内核中的某些参数,可在一定程度上提高系统的抗攻击能力。
例如,对于DoS攻击的典型种类—SYN Flood,它利用TCP/IP协议漏洞发送大量伪造的TCP连接请求,以造成网络无法连接用户服务或使操作系统瘫痪。该攻击过程涉及到系统的一些参数:可等待的数据包的链接数和超时等待数据包的时间长度。因此,可进行如下设置:
关闭不必要的服务;
将数据包的连接数从缺省值128或512修改为2048或更大,以加长每次处理数据包队列的长度,以缓解和消化更多数据包的连接;
将连接超时时间设置得较短,以保证正常数据包的连接,屏蔽非法攻击包;
及时更新系统、安装补丁。
防火墙设置:
仍以SYN Flood为例,可在防火墙上进行如下设置:
禁止对主机非开放服务的访问;
限制同时打开的数据包最大连接数;
限制特定IP地址的访问;
启用防火墙的防DDoS的属性;
严格限制对外开放的服务器的向外访问,以防止自己的服务器被当做工具攻击他人。
此外,还可以采取如下方法:
Random Drop算法。当流量达到一定的阀值时,按照算法规则丢弃后续报文,以保持主机的处理能力。其不足是会误丢正常的数据包,特别是在大流量数据包的攻击下,正常数据包犹如九牛一毛,容易随非法数据包被拒之网外;
SYN Cookie算法,采用6次握手技术以降低受攻击率。其不足是依据列表查询,当数据流量增大时,列表急剧膨胀,计算量随之提升,容易造成响应延迟乃至系统瘫痪。
由于DoS攻击种类较多,而防火墙只能抵挡有限的几种。
路由器设置:
以Cisco路由器为例,可采取如下方法:
Cisco Express Forwarding(CEF);
使用Unicast reverse-path;
访问控制列表(ACL)过滤;
设置数据包流量速率;
升级版本过低的IOS;
为路由器建立log server。
其中,使用CEF和Unicast设置时要特别注意,使用不当会造成路由器工作效率严重下降。升级IOS也应谨慎。
路由器是网络的核心设备,需要慎重设置,最好修改后,先不保存,以观成效。Cisco路由器有两种配置,startup config和running config,修改的时候改变的是running config,可以让这个配置先运行一段时间,认为可行后再保存配置到startup config;如果不满意想恢复到原来的配置,用copy start run即可。
不论防火墙还是路由器都是到外界的接口设备,在进行防DDoS设置的同时,要权衡可能相应牺牲的正常业务的代价,谨慎行事。
利用负载均衡技术:
就是把应用业务分布到几台不同的服务器上,甚至不同的地点。采用循环DNS服务或者硬件路由器技术,将进入系统的请求分流到多台服务器上。这种方法要求投资比较大,相应的维护费用也高,中型网站如果有条件可以考虑。
以上方法对流量小、针对性强、结构简单的DoS攻击进行防范还是很有效的。而对于DDoS攻击,则需要能够应对大流量的防范措施和技术,需要能够综合多种算法、集多种网络设备功能的集成技术。
近年来,国内外也出现了一些运用此类集成技术的产品,如Captus IPS 4000、Mazu Enforcer、Top Layer Attack Mitigator以及国内的绿盟黑洞、东方龙马终结者等,能够有效地抵挡SYN Flood、UDP Flood、ICMP Flood和Stream Flood等大流量DDoS的攻击,个别还具有路由和交换的网络功能。对于有能力的网站来说,直接采用这些产品是防范DDoS攻击较为便利的方法。但不论国外还是国内的产品,其技术应用的可靠性、可用性等仍有待于进一步提高,如提高设备自身的高可用性、处理速率和效率以及功能的集成性等。
最后,介绍两个当网站遭受DoS攻击导致系统无响应后快速恢复服务的应急办法:
如有富余的IP资源,可以更换一个新的IP地址,将网站域名指向该新IP;
停用80端口,使用如81或其它端口提供HTTP服务,将网站域名指向IP:81。
18日开始,著名免费dns服务提供商的6台服务器开始受到攻击dnspod为诸多网站提供域名解析服务,其中包含暴风影音。
18日晚上20点33分59秒。在史无前例的大流量攻击下dnspod的6台解析服务器开始失效,大量网站开始间歇性无法访问,其中包括国内诸多知名网站,当然,其中也包含我的不知名网站。第一波攻击的流量在21点30分左右达到高峰,流量超过了10Gbps,如下图 ,要知道,一个电信核心机房的带宽也仅仅最多只有几十G。
18日当晚,由于dnspod耗尽了整个机房近乎3分之1的带宽资源,为了不影响机房其他用户,dnspod的电信主力dns服务器被迫离线。
19日晚上,在另一轮高强度攻击下,dnspod服务完全中断,由于暴风影音播放器客户端无法解析出服务器的IP,开始不断向网络供应商的dns服务器发送解析请求,造成当地运营商的dns服务器堵塞。
19日晚上21点左右,浙江电信dns开始瘫痪 , 之后的两个小时内北京、天津、上海、河北、山西、内蒙古、辽宁、吉林、江苏、黑龙江、浙江、安徽、湖北、广西、广东等地区的dns陆续瘫痪。
在零点之前,部分地区的运营商进行了处理,将暴风影音的服务器Ip加入dns缓存或者禁止了这个域名的解析,网络开始恢复。
截至目前为止,还有很多地区的dns服务存在问题,dnspod的也仍然没有完全恢复。
后经了解,此次事故的罪魁祸首竟然仅仅是同样在使用dnspod服务的一个私服网站,这个网站的”同行”在对其web服务器攻击不成的情况下动用大量肉鸡对其dns服务商dnspod进行了丧心病狂的攻击,其规模之大真的让人胆战心惊。
据电信部门称,五月十九日二十一点零六分开始,由于暴风影音客户端软件存在缺陷,在暴风影音域名授权服务器工作异常的情况下,导致安装该软件的上网终端频繁发起域名解析请求,引发DNS拥塞,造成大量用户访问网站慢或网页打不开。据集团反馈的信息,全国范围内各运营商在此期间也发生类似故障。对于罕见的互联网络大瘫痪,许多网民称,仿佛又回到了二00六年底。当时台湾地震造成海底通信光缆发生中断,中国内地的国际互联网访问质量受到严重影响。对于软件故障引起这样全国范围的互联网瘫痪,令业内人士大吃一惊,也引起很多网民不满。有网民表示,网络运行商不能按照合约提供网络服务,将会对网络运营商进行索赔。
此次网络瘫痪事件,再次为互联网安全敲响了警钟。
现在还不能正常进行解析的朋友可以尝试opendns,将网络设置中的dns地址修改为20867222222 和 20867220220 即可。( ckt)
——————————————————————————————————
以上文新闻
主要不是暴风的问题,暴风只是个被黑客做了靶子,通过大流量的请求解析暴风的网站,导致dns服务器崩溃而已
1、确定好服务器的规模和用途。企业首先根据自身的业务情况选择服务器的数量和规模还有性能,小型企业可以选择虚拟服务器这种,大型公司可以选择物理机视情况而定,服务器根据用途分为几种,有Web服务器、数据库服务器、邮件服务器、文件服务器这些,根据企业业务不同选择的自然也不同。
2、确定好租用服务器的配置。大概包含CPU、网络接口、带宽、IP个数、防御值、硬盘等等选项。CPU是服务器的核心组件决定服务器的性能,网络接口是与外部网络交互的组件,内存和硬盘是存储数据的等等都是企业考虑的因素。
3、确定服务器的扩展性和可靠性。服务器的扩展性决定了企业的扩容和升级能力,可靠性决定了数据的安全性,选择服务器租用的话一是有不同套餐的服务器可以选择,如果业务量增加还可以更换成其他的机子,这些都为企业剩下了不少麻烦。
支付宝在线拨测什么意思?
拨测是一种网络链路质量的测试手段。拨测,非常类似于爬虫,更准确地讲,非常类似于黑客控制“肉鸡”发起DDos攻击。这里的“肉鸡”,就是某个互联网服务的客户端,比如PC端、手机端。探测各地区用户到各个服务接入点的链路状况,这样,服务调度系统就可以根据探测结果为用户提供最佳的接入点。
拨测会占用网络资源,应该选择在空闲时间段进行;拨测也会消耗“肉鸡”的网络流量,不过一般有限制,比如手机端限制在几百KB,以免被用户发现。
云端服务真的安全吗?
首先评价一个服务安全性好不好,最基本来说,要从3方面来看。1Integrity:完整性2.Availability:可用性3.Confidentiality:机密性就云服务来说,完整性就是用户存储在云端的数据不能被篡改,所以云服务商对存储在服务器上的数据要加密(因为多用户共享同一存储容器)。可用性就是说,用户在需要用到该服务时,云端要保证可以提供稳定的服务,这个就需要比较牛X的虚拟技术来保证了,还要屏蔽网络攻击(比如DDos)等等。机密性就是保证数据被有权限的人看,公开该公开的,别啥都能被爬虫扒出来。云服务呢,也才刚刚开始,提升完善还需要一定的时间,虽然现在Amazon一家独大,但IT界大佬们也都在努力迎头赶上。竞争才刚刚开始,我们就边吃瓜边比较吧。毕竟云是以后大大趋势。
0条评论