双线服务器什么意思
双线服务器是什么意思?
随着互联网的发展,越来越多的企业和个人需要拥有一个高质量的服务器来支持它们的在线业务。其中,双线服务器因其高速和可靠性成为了众多用户的首选。那么,双线服务器到底是什么意思?下面我们来了解一下。
什么是双线服务器?
简单来说,双线服务器就是同时连接两条独立的互联网通信线路的服务器。这两条线路不仅可以提供双倍带宽,还可以实现负载均衡和故障备援。这样一来,即使其中一条线路出现问题,服务器的运行也不会受到影响。
双线服务器的优势
有了上面的了解,我们可以看出,双线服务器的优势主要在于以下几点。
首先,双线服务器可以提供双倍带宽。这意味着,当网站访问量激增时,用户仍然可以享受快速和流畅的访问体验。
其次,双线服务器可以实现负载均衡。也就是说,服务器可以自动根据不同的访问量和流量分配资源,从而防止出现过载的情况。
最后,双线服务器可以实现故障备援。这意味着,当其中一条通信线路出现问题时,另一条通信线路可以立即接管运行,从而确保网站或应用程序的持续运行。
谁适合使用双线服务器?
那么,谁适合使用双线服务器呢?一般来说,对于需要高速和稳定互联网连接的用户,双线服务器是不二选择。比如:
1、在线商家:对于这些用户,快速和流畅的网站访问是成功的关键之一。高质量的双线服务器可以确保用户在任何时候都能够顺畅地购物。
2、游戏运营商:对于在线游戏来说,稳定的互联网连接至关重要。一旦游戏出现卡顿或断线,就会影响用户体验和游戏开发商的声誉。使用双线服务器可以确保游戏始终保持流畅运行。
3、企业用户:对于企业用户来说,数据的安全和可靠性是至关重要的。双线服务器可以确保数据随时可访问,同时还可以保护数据不被黑客攻击和泄露。
总结
通过本文的介绍,我们可以看出,双线服务器是一种高速和互联网稳定性更强的解决方案。对于需要稳定和可靠网络连接的用户来说,它是非常值得考虑的一个选择。
这个还找什么啊,很简单的,M2里,选项-参数设置-经验倍数-看到这几个字了没?随便你设置多少倍哦,如果你是想设置成一天内的某个时间系统自动开启双倍经验,例如5点开启7点 结束,这个通过机器人脚本可以实现的,我QQ496177867,不会了加我!
IT行业发展到现在,安全问题已经变得至关重要,从最近的“棱镜门”事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞。
一次Linux被入侵后的分析
下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程,rootkit攻击是Linux系统下最常见的攻击手段和攻击方式。
1、受攻击现象
这是一台客户的门户网站服务器,托管在电信机房,客户接到电信的通知:由于此服务器持续对外发送数据包,导致100M带宽耗尽,于是电信就切断了此服务器的网络。此服务器是Centos55版本,对外开放了80、22端口。
从客户那里了解到,网站的访问量并不大,所以带宽占用也不会太高,而耗尽100M的带宽是绝对不可能的,那么极有可能是服务器遭受了流量攻击,于是登录服务器做详细的检测。
2、初步分析
在电信人员的配合下通过交换机对该服务器的网络流量进行了检测,发现该主机确实存在对外80端口的扫描流量,于是登录系统通过“netstat –an”命令对系统开启的端口进行检查,可奇怪的是,没有发现任何与80端口相关的网络连接。接着使用“ps –ef”、“top”等命令也没有发现任何可疑的进程。于是怀疑系统是否被植入了rootkit。
为了证明系统是否被植入了rootkit,我们将网站服务器下的ps、top等命令与之前备份的同版本可信操作系统命令做了md5sum校验,结果发现网站服务器下的这两个命令确实被修改过,由此断定,此服务器已经被入侵并且安装了rootkit级别的后门程序。
3、断网分析系统
由于服务器不停向外发包,因此,首先要做的就是将此服务器断开网络,然后分析系统日志,寻找攻击源。但是系统命令已经被替换掉了,如果继续在该系统上执行操作将变得不可信,这里可以通过两种方法来避免这种情况,第一种方法是将此服务器的硬盘取下来挂载到另外一台安全的主机上进行分析,另一种方式就是从一个同版本可信操作系统下拷贝所有命令到这个入侵服务器下某个路径,然后在执行命令的时候指定此命令的完整路径即可,这里采用第二种方法。
我们首先查看了系统的登录日志,查看是否有可疑登录信息,执行如下命令:
more /var/log/secure |grep Accepted
通过对命令输出的查看,有一条日志引起了我们的怀疑:
Oct 3 03:10:25 webserver sshd[20701]: Accepted password for mail from 6217163186 port 53349 ssh2
这条日志显示在10月3号的凌晨3点10分,有个mail帐号从6217163186这个IP成功登录了系统,mail是系统的内置帐号,默认情况下是无法执行登录操作的,而6217163186这个IP,经过查证,是来自爱尔兰的一个地址。从mail帐号登录的时间来看,早于此网站服务器遭受攻击的时间。
接着查看一下系统密码文件/etc/shadow,又发现可疑信息:
mail:$1$kCEd3yD6$W1evaY5BMPQIqfTwTVJiX1:15400:0:99999:7:::
很明显,mail帐号已经被设置了密码,并且被修改为可远程登录,之所以使用mail帐号,猜想可能是因为入侵者想留下一个隐蔽的帐号,以方便日后再次登录系统。
然后继续查看其他系统日志,如/var/log/messages、/var/log/wtmp均为空文件,可见,入侵者已经清理了系统日志文件,至于为何没有清空/var/log/secure文件,就不得而知了。
4、寻找攻击源
到目前为止,我们所知道的情况是,有个mail帐号曾经登录过系统,但是为何会导致此网站服务器持续对外发送数据包呢?必须要找到对应的攻击源,通过替换到此服务器上的ps命令查看系统目前运行的进程,又发现了新的可疑:
nobody 22765 1 6 Sep29 4-00:11:58 t
这个t程序是什么呢,继续执行top命令,结果如下:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
22765 nobody 15 0 1740m 1362m 1228 S 983 915 2892:19 t
从输出可知,这个t程序已经运行了4天左右,运行这个程序的是nobody用户,并且这个t程序消耗了大量的内存和cpu,这也是之前客户反映的网站服务器异常缓慢的原因,从这个输出,我们得到了t程序的进程PID为22765,接下来根据PID查找下执行程序的路径在哪里:
进入内存目录,查看对应PID目录下exe文件的信息:
[root@webserver ~]# /mnt/bin/ls -al /proc/22765/exe
lrwxrwxrwx 1 root root 0 Sep 29 22:09 /proc/22765/exe - /var/tmp/…/apa/t
这样就找到了进程对应的完整程序执行路径,这个路径很隐蔽,由于/var/tmp目录默认情况下任何用户可读性,而入侵者就是利用这个漏洞在/var/tmp目录下创建了一个“…”的目录,而在这个目录下隐藏着攻击的程序源,进入/var/tmp/…/目录,发现了一些列入侵者放置的rootkit文件,列表如下:
[root@webserver ]#/mnt/bin/ls -al
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 apa
-rw-r--r-- 1 nobody nobody 0 Sep 29 22:09 apatgz
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 caca
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 haha
-rw-r--r-- 1 nobody nobody 0Sep 29 22:10 kktargz-
rwxr-xr-x 1 nobody nobody 0 Sep 29 22:10 login
-rw-r--r-- 1 nobody nobody 0 Sep 29 22:10 logintgz
-rwxr-xr-x 1 nobody nobody 0 Sep 29 22:10 z
通过对这些文件的分析,基本判断这就是我们要找的程序攻击源,其中:
1)、z程序是用来清除系统日志等相关信息的,例如执行:
/z 6217163186
这条命令执行后,系统中所有与6217163186有关的日志将全部被清除掉。
2)、在apa目录下有个后门程序t,这个就是之前在系统中看到的,运行此程序后,此程序会自动去读apa目录下的ip这个文件,而ip这个文件记录了各种ip地址信息,猜想这个t程序应该是去扫描ip文件中记录的所有ip信息,进而获取远程主机的权限,可见这个网站服务器已经是入侵者的一个肉鸡了。
3)、haha目录里面放置的就是用来替换系统相关命令的程序,也就是这个目录下的程序使我们无法看到操作系统的异常情况。
4)、login程序就是用来替换系统登录程序的木马程序,此程序还可以记录登录帐号和密码。
5、查找攻击原因
到这里为止,服务器上遭受的攻击已经基本清晰了,但是入侵者是如何侵入这台服务器的呢?这个问题很重要,一定要找到入侵的根源,才能从根本上封堵漏洞。
为了弄清楚入侵者是如何进入服务器的,需要了解下此服务器的软件环境,这台服务器是一个基于java的web服务器,安装的软件有apache2063、tomcat55,apache和tomcat之间通过mod_jk模块进行集成,apache对外开放80端口,由于tomcat没有对外开放端口,所以将问题集中到apache上面。
通过查看apache的配置发现,apache仅仅处理些静态资源请求,而网页也以静态页面居多,所以通过网页方式入侵系统可能性不大,既然漏洞可能来自于apache,那么尝试查看apache日志,也许能发现一些可疑的访问痕迹,通过查看accesslog文件,发现了如下信息:
6217163186 - - [29/Sep/2013:22:17:06 +0800] "GET http://wwwxxxcom/cgi-bin/awstatsplconfigdir=|echo;echo;ps+-aux%00 HTTP/10" 200 12333 "-" "Mozilla/50 (Windows; U; Windows NT 51; pt-BR; rv:181) Gecko/20121010 Firefox/20"
6217163186 - - [29/Sep/213:22:17:35 +0800] "GET http://wwwxxxcom/cgi-bin/awstatsplconfigdir=|echo;echo;cd+/var/tmp//haha;ls+-a%00 HTTP/10" 200 1626 "-" "Mozilla/50 (Windows; U; Windows NT 51; pt-BR; rv:181) Gecko/20121010 Firefox/20"
至此,发现了漏洞的根源,原来是awstatspl脚本中configdir的一个漏洞,通过了解此服务器的应用,客户确实是通过一个Awstats的开源插件来做网页访问统计,通过这个漏洞,攻击者可以直接在浏览器上操作服务器,例如查看进程、创建目录等。通过上面第二条日志可以看出,攻击者正常浏览器执行切换到/var/tmp//haha目录的操作。
这个脚本漏洞挺可怕的,不过在Awstats官网也早已给出了修补的方法,对于这个漏洞,修复方法很简单,打开awstatspl文件,找到如下信息:
if ($QueryString =~ /configdir=([^]+)/i)
{
$DirConfig=DecodeEncodedString("$1");
}
修改为如下即可:
if ($QueryString =~ /configdir=([^]+)/i)
{
$DirConfig=DecodeEncodedString("$1");
$DirConfig=~tr/a-z0-9_/-////a-z0-9_/-////cd;
}
6、揭开谜团
通过上面逐步分析和介绍,此服务遭受入侵的原因和过程已经非常清楚了,大致过程如下:
(1)攻击者通过Awstats脚本awstatspl文件的漏洞进入了系统,在/var/tmp目录下创建了隐藏目录,然后将rootkit后门文件传到这个路径下。
(2)攻击者通过植入后门程序,获取了系统超级用户权限,进而控制了这台服务器,通过这台服务器向外发包。
(3)攻击者的IP地址6217163186可能是通过代理过来的,也可能是攻击者控制的其他肉鸡服务器。
(4)攻击者为了永久控制这台机器,修改了系统默认帐号mail的信息,将mail帐号变为可登录,并且设置了mail帐号的密码。
(5)攻击者在完成攻击后,通过后门程序自动清理了系统访问日志,毁灭了证据。
通过对这个入侵过程的分析,发现入侵者的手段还是非常简单和普遍的,虽然入侵者删除了系统的一些日志,但是还是留下了很多可查的踪迹,其实还可以查看用户下的bash_history文件,这个文件是用户操作命令的历史记录。
7、如何恢复网站
由于系统已经文件被更改和替换,此系统已经变得完全不可信,因此建议备份网站数据,重新安装系统,基本步骤如下:
(1)安装稳定版本的操作系统,删除系统默认的并且不需要的用户。
(2)系统登录方式改为公钥认证方式,避开密码认证的缺陷。
(3)安装更高版本的apache和最新稳定版本的Awstats程序。
(4)使用Linux下的Tcp_Wrappers防火墙,限制ssh登录的源地址。
如今所有主板至少自带一个千兆以太网端口,有些高档主板带有两个端口。很多用户都不知道家用环境下双网卡主板如何充分利用两个网口,其实使用链路聚合(Link aggregation)就是一个好思路。
双倍带宽的链路聚合
链路聚合是指将两条或多条物理以太网链路聚合成一条逻辑链路。所以,如果聚合两个1Gb/s端口,就能获得2GB/s的总聚合带宽(图1)。聚合带宽和物理带宽并不完全相同,它是通过一种负载均衡方式来实现的。在用户需要高性能局域网性能的时候很有帮助,而局域网内如果有NAS则更是如此。比如说我们在原本千兆(1Gb/s)网络下PC和NAS之间的数据传输只能达到100MB/s左右,在链路聚合的方式下多任务传输速度可以突破200MB/s,这其实是一个倍增。
01
链路聚合原本只是一种弹性网络,而不是改变了总的可用吞吐量。比如说如果你通过一条2Gb聚合链路将文件从一台PC传输到另一台PC,就会发现总的最高传输速率最高为1Gb/s。然而如果开始传输两个文件,会看到聚合带宽带来的好处。简而言之链路聚合增加了带宽但并不提升最高速度,但如果你在使用有多个以太网端口的NAS,NAS就能支持链路聚合,速度的提升是显而易见的。
目前家用的局域网环境不论是线缆还是网卡多数都停留在1Gb/s的水平,如果你想要真正的更高吞吐量改用更高的带宽比如10Gb/s网卡,但对于大多数家庭用户万兆网卡是不太可能的。就算我们使用普通单千兆网卡主板,通过安装外接网卡来增添一个网络端口就能实现效果。
链路聚合准备工作
首先你的PC要有两个以太网端口,想要连接的任何设备同样要有至少两个端口。除了双千兆(或一集成一独立)网卡的主板外,我们还需要一个支持链路聚合(LACP或8021ad等)的路由器。遗憾的是很多家用路由器不支持链路聚合,选择时要注意路由器具体参数,或者干脆选择一个支持链路聚合的交换机。
除了硬件方面的要求,还需要一款支持链路聚合的操作系统。我们目前广泛使用的Windows 7并没有内置的链路聚合功能,一般微软要求我们使用Windows Server,但其实Windows 81和10已经提供了支持了。其实如果操作系统不支持可以考虑使用厂商提供的具有链路聚合功能的驱动程序,比如英特尔PROSet工具。另外操作系统Linux和OS X都有内置的链路聚合功能,满足了所有先决条件后下面介绍如何实现。
测试平台
主板 华硕Rampage IV
处理器 英特尔酷睿i7-3970X
内存 三星DDR3 32GB
硬盘 三星850Pro 1TB(RAID 0)
交换机 网件ProSAFE XS708E 10GbE
网卡 双端口10GBASE-T P2E10G-2-T
线缆 CAT7
链路聚合网络配置
首先在测试中我们选用了一块双端口网卡,实际上如果用户的主板拥有双网卡可以省略这一步。由于部分品牌之间的独立网卡和普通主板中的单网卡可能会有一些网络之间的不兼容,如果想避免麻烦可以直接选用这类双接口网卡。
之后就是设置交换机了,如果我们拥有一个支持链路聚合的路由器直接去设置路由器即可。支持的标志是设备拥有管理功能允许我们可以绑定单个端口。网件ProSafe XS708E随带的一个实用工具允许绑定特定端口,界面具体取决于使用什么样的路由器或者交换机。比如网件R8500以上级别的路由器自带链路聚合功能,界面采用WEB方式管理,链路汇聚的设置可以说是相当方便(图2、3)。
02
03
链路聚合设置时分为静态或者动态,分别是Static和LACP,简单解释静态聚合就是由用户手工配置,不允许系统自动添加或删除汇聚成员中的端口。而动态聚合系统自动创建或删除,成员内端口的添加和删除是协议自动完成的。只要速率和双工属性相同、连接到同一个设备、有相同基本配置的端口,就能被动态汇聚在一起,之前我们说过尽量选用同一种网卡就是为了动态聚合的。
Windows设置过程
如果在Windows中设置,要注意家用版本只有从Windows 81开始到目前的Windows 10才支持网卡绑定功能,或者服务器版本Windows Server。以Windows 10为例,在搜索中输入PowerShell右键用管理员权限启动,打开一个DOS界面中使用“Get-BetAdapter”命令找到我们的网卡(图4),用“New-NetLbfoTeam”命令创建网卡组。不使用交换机完整的命令行(图5)是“New-NetLbfoTeam “网卡组名称” -teamingMode SwitchIndependent”,而使用有链路聚合功能交换机时后缀要改为“-teamingMode Static”或者“-teamingMode LACP”。确定之后根据系统提示输入两个网口名称,在网络界面就可以看到创建的网卡组了(图6)。
04
05
06
Windows Server的设置方法完全不同,以Windows Server 2012 R2为例,打开服务器管理器单击上面的本地服务器,会看到一个名为“网卡绑定”NIC Teaming的选项(图7)。点击显示“禁用”选项你会看到绑定配置器,两个网卡接口都已显示在适配器和接口下面(图8)。现在选择这两个接口右键选择绑定新接口,在弹出的窗口中你会看到一个字段,为新的逻辑接口命名,单击确定(图9)。为了获得最大的兼容性,选择绑定模式Teaming Mode下面的“与交换机无关”(Switch Independent)。一旦完成这步,在网络界面会看到刚命名的由两个物理接口组成的逻辑接口。如果一切正常,你的两路物理连接都会显示活动状态,你可以在下面看到传输细节。可以说Windows Server版本就是家用Windows中没有的图形窗口界面方式,比起家用版本的操作要直观得多(图10)。
07
08
09
10
OS X设置过程
在OS X中设置链路聚合要简单一点,不需要特殊工具或第三方驱动程序,功能被好地内置到默认的网络偏好设置中。打开系统偏好设置进入网络选项,点击设置齿轮图标选择管理虚拟接口(Manage Virtual Interfaces)(图11),选择新建链路聚合(New Link Aggregate)(图12)。在弹出物理接口列表中选择想要绑定的那些接口,勾选后命名并创建(图13)。
11
12
13
如果一切顺利,你绑定的两个或多个物理接口会从网络接口列表中消失,取而代之的是刚创建的那个逻辑绑定接口,如果指示灯变绿色表明已成功(图14)。想看连接性能如何可以选择那个逻辑接口,单击高级就能看到其状态,还可以配置其他选项,比如IP地址和DNS等(图16)。
14
15
16
编辑点评
可以看出只要前期工作做好,不论是在交换机路由器、Windows或者OS X中设置网卡链路聚合都不算难。文中还有几个细节没有提及首先是线缆尽量选用CAT 6以上的六类线,这样才能充分发挥每一路1Gb/s的带宽。不过在网卡链路聚合系统当中,单个传输任务的速度是如论如何也无法超过1Gb/s的带宽的,转换为兆就是125MB/s左右。真正发挥链路聚合功能的场合是多任务同时运行,这样两条1Gb/s带宽才会同时工作(图16)。
0条评论