存档

2011年11月 的存档

vps自己的linux管理面版LuManager的安装和使用

2011年11月30日 没有评论

LuManager(LUM)是基于FreeBSD、Zijidelu、Debian、Centos、Ubuntu等Linux/Unix系统的网站服务器管理软件,是目前国内市场上为数不多的同时支持Linux和Unix的网站服务管理软件(好像是唯一的?)。只要您会上网,就可以搭建和管理Linux/Unix服务器!完美支持Discuz、Phpwind、Shopex、ECShop、Ecmall、Wordpress、Dedecms、PHP168、CmsTop、Magento、Zen-Cart、Xweibo、Iweibo等常用php+mysql结构程序。还集成了常用程序的快速安装方法,如Discuz、Phpwind、ECShop、Dedecms、Xweibo、Iweibo等,安装好LuManager后,5秒内即可创建一个网站!使创建网站的门槛大大降低。LUM是从已经有6年历史的FAMP分离出来的控制面板的升级版本,我们将其命名为LuMananger,即Linux/Unix的管理者,简称LUM。

演示:http://demo.zijidelu.org:8888(用户名:zijidelu,密码:zijidelu)

LUM1.1版本的主要功能包括:负载均衡集群,CDN静态内容加速,多线路多地区智能DNS解析,云备份,多用户,多用户组,自由切换Apache和Nginx,在线安装微博/论坛/商城等软件,批量上传,批量删除,在线解压,网站和FTP流量限制,流量统计图表,SSL证书,301和302转向,防盗链,网站健康状态查看等

######—— 为什么选择LuManager:
阿里巴巴、淘宝、新浪、网易、腾讯、搜狐、百度、天涯、优酷等大访问量的网站,工商银行、建设银行、支付宝等要求高度安全的交易网站,绝大多数甚至全部使用的是Linux/Unix服务器。网易创始人丁磊起家的时候,用的就是Unix系统(FreeBSD),可以看看他写的《PC不只是便宜的工作站》。

使用Linux/Unix做服务器有什么好处?
1. 免费:LuManager所支持的系统都是免费的,如Zijidelu/FreeBSD/CentOS/Debian/Ubuntu等。
2. 开源:作为普通用户,我们不必懂。这是集成了全世界很多高手的智慧也开发的系统,一旦发现漏洞,会及时打补丁。
3. 安全:病毒对这些开源系统几乎无计可施,如果不是网站程序本身或FTP密码被盗,网站被挂木马的可能性非常小。
4. 高效:不管是LAMP还是LNMP、FAMP、FNMP,效率都非常不错,在这里,我们懒得拿别的组合来比,哈哈…
5. 稳定:两年不重启是常有的事;很久不用管而忘记服务器密码也不是什么新鲜事;在这里不得不提一下FreeBSD,它是被称作坚如磐石的稳定系统。
6. 轻便:最小化安装FreeBSD后,占用的磁盘空间只有125M左右!安装速度也快,5分钟便可以将系统装好。

为什么不使用这些系统?
1. 门槛高:这类系统多是英文的,可能是由于开源的缘故吧!Linux/Unix在开机的时候,没将开机过程用一张图片挡住,当您看到那些滚动英文,您退却了…500年后,有好心人再次向您推荐这些系统,您说了一个字:难。其实那些开机过程没几个人看得懂,那几个命令也不难学。
2. 没必要:网站规模暂时不够大,速度也还过得去,程序做得还不错…..中毒,挂马的事件暂时还没发生。
3. 不知道:根本没听过这类系统,或者以为这类系统也是用来做桌面的,装了几次桌面,但没装上五笔,于是给它们扣了一个帽子:Linux/Unix不好用。其实Linux/Unix的最强项是用来做服务器。
4. 等等…

LUM将协助您使用这些系统。

######—— LuManager杀手锏:

#——– 负载均衡
当网站访问量过大时,就需要多台服务器同时提供服务,LUM的负载均衡功能可以将多台服务器组合成一个高承载高访问量的集群,是千万级以上访问量网站的解决方案。支持后端机器宕机时自动剔除,按后端机器性能分配等高级功能。

#——– CDN静态内容加速
提供静态内容加速功能,让不同地区或线路的用户访问不同的服务器,是下载或镜像网站的解决方案(创建一个镜像网站是几秒钟的事情)。最简单的应用:可以非常轻松实现让电信用户访问电信服务器,网通用户访问网通服务器,老外就访问放在国外的服务器…可以增加任意多台服务器。支持更新缓存,用json数据格式返回删除结果。由于LUM自带了网站监控和流量统计功能,所以可以使用LUM搭建CDN服务器,对企业提供CDN服务。

#——– 多线路多地区智能DNS
智能DNS能自动判断访问者的IP地址并解析出对应的IP地址,最常见的应用就是使网通用户访问网通服务器,电信用户访问电信服务器。 LUM的智能DNS支持电信、网通、教育网、移动、铁通等多达21条线路的任意组合,可以说是无限种连接方案。结合LUM的CDN功能,可轻易搭建支撑千万级访问量的服务器环境。

#——– 云备份网站
将网站数据经过高强度压缩和加密,然后备份至远端服务器。支持多点备份和增量备份,是一种代替FTP和SSH备份的更稳定更可靠的备份方案。

#——– Nginx与Apache自由切换
每个网站都可以自由选择以下三种模式:1.完全使用Nginx,2.完全使用Apache,3.仅PHP用Apache处理(即前台Nginx,后台Apache)。并且可以选择是否使用cgi处理PHP,杜绝502错误。

#——– 在线安装常用软件
可在线安装Discuz/Phpwind/EcShop/EcGroupon/Xweibo/iWeibo等程序,会上网就会建网站!

#——– 安全可靠,防止跨站攻击
不论使用的是Apache还是Nginx,都不可以跨目录访问别的网站,当服务上的一个网站出现问题,不会危及整台服务器上的数据。进行危险操作时需提交保护密码;防止远程提交form;验证码需要点击才能显示等(不能通过机器暴力登陆,只能通过人工登陆)。

#——– 网站锁
可以将网站锁住,就算网站程序有漏洞,也不会被挂木马或中病毒。

#——– 多用户
每个用户都可以无限级添加自己的子用户,并且任何一个用户都可以成为超级管理员(更改config.php文件)。就像鸡生蛋,蛋再生鸡和寡蛋…

#——– 多用户组
每个用户都可以拥有多个用户组,并为子用户指定用户组,然后可以通过用户组控制子用户的权限。LUM的权限控制可以精确到具体行为,如可禁止某用户是否有使用301转向功能,是否有重启服务器的功能等。权限控制是递归的,如果某个父用户没有关机的权限,那么其所有子用户都没有关机的权限了(可见越后端的用户,权限越小)。

#——– SSL证书支持
可以用LUM直接生成ssl证书和证书申请文件,生成后马上就可以用(测试站点),任何人都可以创建支持SSL证书的站点,不需再用命令去操作。

#——– 文件管理器
能直接对文件或目录进行复制、上传、下载、删除、编辑、压缩、解压等操作,支持批量上传,批量删除,高强度加密压缩,支持分卷压缩。

#——– 网站监控
可以看到每个网站的连接数、请求总数、成功率等信息

#——– 301和302转向
可以设置301永久转向和302临时转向。

#——– 网站流量限制
可以设置每个访客的最大线程和最大的游览网页的速度

#——– 支持Linux和Unix系统
目前已经支持的系统有FreeBSD(Unix系),Debian,Ubuntu系列(Linux mint, 深度Linux,YLMF Linux,KUbuntu等),Redhat系列(RHEL, CentOS等)…最重要的,LUM不会破坏系统的安全保护机制,请放心使用!

#——– 强大的流量统计功能
能统计网站的最近5分钟,10分钟,半小时,3天,7天、10天、180天,本月,本年等时间段流量。每天0点30分自动统计,支持日志回滚和自动切割,不需担心日志过大的问题。并且可以生成流量统计图表。

#——– 支持套餐定制
可以对产品(FTP,虚拟主机,数据库)进行集中管理,如增加FTP的下载速度,限制FTP大小,控制FTP、网站、数据库的个数等,接下来还将开发支持限制资源使用的功能。

#——– FTP,主机,数据库分离
一个FTP下可以建N个网站,一个网站可以连接任意多个数据库,数据库和网站只相关不相连。一个用户可以有N个FTP,一个FTP下又可以有N个网站。

#——– 反向代理
只需填写被代理网址,别的都交给LUM去做,而且可以为代理网站开启静态缓存。

#——– 身份验证
可以为网站增加一个访问用户名和密码,只有通过验证的用户才能访问网站。

#——– 可选择常用软件的伪静态规则
包括Discuz、PhpWind、ShopEX、Wordpress等常用程序的伪静态规则。

#——– Memcached缓存管理
在线启动和关闭Memcached,并可设置所使用的内存大小,连接数,是否开机启动等。

#——– 在线更改系统密码
我们最终的目标是实现让用户不必懂任何一个命令即可管理成百上千台服务器,我们离目标又近了一步。

#——– 保护密码
每个用户都可以设置保护密码,如果没有保护密码,就算登陆LUM控制面板,也不能进行危险操作。

#——– 禁止直接访问phpMyAdmin
可以在后台关闭phpMyAmin的直接访问,只能通过LUM后台才能访问phpMyAmin。

#——– 禁止root用户远程登陆系统
还想通过暴力行为登陆SSH?没门!

#——– 防盗链
不仅可以设置允许链接的域名,还可以设置被盗链时的默认图片。

#——– 备份与还原
支持对网站,数据库或者普通文件夹直接打包备份或者解压还原,支持zip, tar.gz, bz2等压缩格式。

#——– 操作系统行为控制
支持在后台直接重启,关机,Nginx,Apache,MySQL,Pure-ftpd等软件的重启,重载,关闭等功能。

#——– 操作FTP和网站的文件权限互通系统
开通网站后,能过FTP上传程序即可使用,不需改文件权限。通过FTP上传的文件在网站程序中可以编辑或删除,网站生成的文件在FTP中也能编辑或删除。而且可在编辑虚拟主机时一次性将网站所有文件更改成777、775、644等权限。

#——– 在线下载远程数据
填入远程文件的网址,轻轻一点便可以将远程文件下载,然后还可以解压,然后还可以移动…

#——– 错误页控制
支持在后台控制403、404、500、501、502错误页

#——– FTP和网站目录自由定制
可以将FTP定在/home/以外的分区。

#——– 在线编辑配置文件
可在后台编辑php.ini、my.cnf、httpd.conf、nginx.conf、pure-ftpd.conf等文件。

#——– 支持Nginx和Apache扩展设置
在后台便可以操作httpd和nginx.conf文件内容,不必用ssh操作。
#——– 可查看程序进程和版本信息
在后台首页可以查看程序运行时的状态,包括进程数,程序版本等。

#——– 硬件信息
可查看CPU,硬盘,内存的等硬件信息,查看内存和硬盘的使用情况,可对服务器的性能进行评分,让您对服务器的性能了如指掌。

#——– 漂亮和人性化的操作界面
大量采用ajax无刷新技术,不仅简便,而且更符合操作习惯,操作起来就像在操作桌面应用程序。

#——– 增加保护目录
管理员可以将常用的伪静态文件存放在/home/lum_safe_files的保护目录下,升级了LUM后不丢失。

#——– 在线升级
具有指纹验证功能的在线升级功能,确保您不会因官方域名被劫持而升错文件

#——– 可为每个网站定制Nginx的http段和server段的扩展内容
再也不必通过vi来编辑nginx配置文档了。

下载和安装说明:
1. 安装系统:最小化安装系统(最好是全新安装系统,VPS用户可跳过此步骤,也可以在VPS控制面板中重装系统。如果是实体机用户,我们建议您选择ZijideluOS)。
系统下载:http://www.zijidelu.org/thread-1336-1-1.html
用最小化方式安装FreeBSD的图解教程。
Debian最小化安装图文教程
CentOS 5.4 最小化安装视频教程
使用LuManager时的分区建议
在VPS上安装LuManager的视频教程

2. 登陆系统:用超级用户root登陆系统。如果是FreeBSD,请切换到/home目录(cd /home,如果没有/home目录,则切换到/usr目录)。我们建议您用ssh工具并设置成UTF-8编码登陆服务器,因为那样可以看到中文提示。SSH工具用putty,设置UTF-8编码的方法见http://www.zijidelu.org/thread-1818-1-1.html。
3. 下载zijidelu_install.sh安装脚本:

1
wget http://down.zijidelu.org/zijidelu_install.sh(FreeBSD系统则用fetch代替wget)

4. 赋予zijidelu_install.sh可执行权限:

1
chmod 750 zijidelu_install.sh(或者chmod u+x zijidelu_install.sh)

5. 安装:

1
./zijidelu_install.sh -y(此为全自动安装,如需半自动安装,请不用-y参数,即:./zijidelu_install.sh)

6. 选择下载点:China的为中国电信下载点(默认),USA为美国下载点。选择好后回车
7. 选择您要安装的版本:选1为1.0.X,选2为1.1.X(如果是Redhat系列系统,会提示您是否用rpm包来快速安装LuNamp,建议时间比较紧或编译安装失败的用户选择rpm包进行安装)
提示:
a. 在CentOS系统上编译mysql时,在mysql-test部分,等待的时间会比较长,请耐心等待。
b. 如果在安装过程中断网,请重新执行安装便可(已经安装的会跳过)

也可以单独下载安装:

1
2
3
安装脚本网址:http://down.zijidelu.org/zijidelu_install.tar.gz
LuNamp网址:http://down.zijidelu.org/LuNamp_last.tar.gz
LuManager网址:http://down.zijidelu.org/LuManager_last.tar.gz

1. 将zijidelu_install.tar.gz通过sftp上传至服务器
2. 用root用户登陆服务器
3. 解压:

1
tar zxvf zijidelu_install.tar.gz

4. 解压zijidelu_install.tar.gz后有一个zijidelu_install目录,然后将LuNamp_last.tar.gz和LuManager_last.tar.gz放在zijidelu_install目录下
5. 切换目录:

1
cd zijidelu_install

6. 执行

1
./i.sh -y(或用./i.sh进行半自动安装),同样可以安装!

这种方法可将LuNamp和LuManager一起打包分发,也就是把zijidelu_install目录打包即可用于分发。

意外情况:
* 在某些VPS上可能会提示环境安装不成功,需要在执行zijidelu_install.sh前手动安装环境,方法如下:
Debian系统:

1
apt-get install gcc g++ ssh make bzip2 flex vim bison libncurses5-dev patch ntpdate

Centos系统:

1
yum install gcc gcc-c++ bzip2 make vixie-cron flex ncurses-devel wget patch ntp libxml2 libxml2-devel libevent m4 autoconf zip unzip gd freetype

如现提问一律按y

######—— 升级方法:
1. 用root用户登陆服务器系统。
2. 下载最新的zijidelu_update.sh:
wget http://down.zijidelu.org/zijidelu_update.sh(FreeBSD则用fetch代替wget) 。
3. 赋予可执行权限:chmod 744 zijidelu_update.sh
4. 执行:./zijidelu_update.sh -y,选择您所需要升级的版本编号(请逐一升级),然后按回车
注:升级过程中,可能会要求您输入mysql的root用户密码,请输入后回车
5. 在LUM后台编辑任意一个网站
6. 升级完成

升级失败后的还原方法:
1. 在/home/mysqls_backup目录下找到最近一次的LuManager数据库的备份文件夹(借助winscp工具使用sftp连接服务器)
2. 将数据库备份目录下的所有文件复制到/home/mysql_data/LuManager/目录下(可以使用“下载到本地,然后上传”的笨方法)
3. 执行zijidelu_update.sh升级(更准备地说,应该称为“降级”)成旧版本
4. 去LUM后台任意编辑一个网站。
5. 还原完成。

######—— 如何使用LUM(请大家不要折腾!)
让大家有更多的时间运营网站,这是我开发LUM的一个目的
所以请大家不要折腾,装好后,改三个密码:
1. 使用ssh或者在LUM后台更改系统的root用户密码;
2. 使用LUM的控制面板更改LUM后台的登陆密码;
3. 使用LUM的控制面板更改MySQL的root用户密码;

马上就可以上传程序并投入生产环境。使用过程中可能遇到的问题如下:
1. 磁盘不够:请先了解一下sftp的概念,然后用winscp或FileZilla等支持sftp的软件使用sftp方式登陆服务器,切换到/home目录,对文件进行选择性整理或删除。(sftp的用户名用root,密码即为服务器的root用户密码。由于FreeBSD不允许使用root直接远程登陆,请修改一下ssh的配置文件并重启ssh后再进行管理)。如果将备份文件和垃圾文件都清理掉了,还是磁盘不够,那我们要恭喜您:该换服务器或添加硬盘了。
2. 内存不够:如果确实不能加内存,请将每一个php-cgi端口的进程适当调节一下,调到内存够用为止。但这样会导致出现502错误或者访问稍慢,只要您能坚持,我们也能坚挺!
如果在安装或者使用软件的过程中遇到问题,欢迎提问!

######—— 帐户相关:
后台登陆地址:http://ip:8888
后台用户名和密码:zijidelu zijidelu

phpMyAdmin管理地址:http://ip:8888/pm
用户名和密码:root zijidelu(登陆后请在LuManager的帐户设置中更改mysql的root密码)
更改mysql的root密码:请在后台的帐户设置中更改,不要在phpMyAdmin中更改

######—— 相关概念:
LuNamp:LuNamp由Apache,Nginx,MySQL,Pure-Ftpd,Zend Optimizer等软件组成的自动化安装包。
LuManager:用来管理LuNamp的傻瓜化的虚拟主机,FTP,MySQL管理面板(快速记忆:Linux/Unix的管理者)
zijidelu_install.tar.gz:这是一个用来自动化安装LuNamp和LuManager的脚本程序,一般用户只需下载这个就行了,LuNamp和LuManager的下载是自动进行的。
ZijideluOS:一个基于CentOS的Linux发行版,全自动安装,集成最新的组件,与LuNamp和LuManager完美兼容。
FAMP:1.0版本于2005年发布,1.X~4.X只是一键安装包(相当于LuNamp的功能),到5.X的时候,集成了控制面板。LuManager是从FAMP分离出来的控制面板的升级版本(不带安装环境LuNamp)。

为什么前面有Lu?
Lu是zijidelu最后的最后两个字母,也是Linux和Unix的第一个字母的组合
LuNamp名称的详细说明:
L: linux, U: unix, N:nginx, A: apache, M: mysql, P: php

######—— 卸载方法:
1. 下载LuNamp_last.tar.gz,如果已经下载了,则找到该文件,一般位于zijidelu_install目录下。
2. 解压:tar xvf LuNamp_last.tar.gz
3. 切换目录:cd LuNamp
4. 执行./i.sh,然后选2

######—— 软件操作方法:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
* 关闭LUM及所有组件:lu-stop
* 启动LUM及所有组件:lu-start
* 重启LUM及所有组件:lu-restart

* 关闭MySQL:mysql-stop
* 启动MySQL:mysql-start
* 重启MySQL:mysql-restart

* 关闭Nginx:nginx-stop
* 启动Nginx:nginx-start
* 重启Nginx:nginx-restart

* 关闭apache:apache-stop
* 启动apache:apache-start
* 重启apache:apache-restart

* 关闭pureftpd:pureftpd-stop
* 启动pureftpd:pureftpd-start
* 重启pureftpd:pureftpd-restart

* 关闭LUM后台:lum-stop
* 启动LUM后台:lum-start
* 重启LUM后台:lum-restart

* 修复LUM文件权限(包括MySQL数据库权限的LUM软件本身的权限等):lu-repair

######—— 软件目录:
请看:LuNamp和LuManager的目录结构(http://www.zijidelu.org/thread-2205-1-1.html)

######—— 安装前替换组件版本:
拿替换mysql为例:
1. 当下载完成LuNamp_last.tar.gz后,手动解压,得到LuNamp目录
2. 下载最mysql(注意,下载的是以tar.gz结尾源码包,而非二进制包,例如mysql-5.5.9.tar.gz);
3. 将mysql包传至LuNamp/soft/目录下;
4. 修改LuNamp/code/mysql/mysql.sh文件,将改本号改掉(例如将5.1.6改成5.5.9)
5. 替换其它的软件包,然后执行LuNamp目录下的i.sh便可以安装(或者执行zijidelu_install目录下的i.sh,注意两个i.sh不一样,前者只安装LuNamp,后者安装LuNamp和LuManager)

######—— 升级组件:
拿升级nginx为例:
1. 下载最新版的nginx(注意以前的软件包的后缀名,如tar.gz);
2. 将nginx包传至LuNamp/soft/目录下;
3. 修改LuNamp/code/nginx/nginx.sh文件,将改本号改掉
4. 切换目录:cd LuNamp/code/nginx/
5. 执行安装./nginx.sh
6. 升级完成后,去LuManager编辑任何一个主机,然后重启Nginx便可。

分类: Linux 标签:

DDoS攻击概念(转)

2011年11月29日 没有评论

DDoS攻击概念

DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令。

 DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了 – 目标对恶意攻击包的 “消化能力”加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。
 

这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。你理解了DoS攻击的话,它的原理就很简单。如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。

 

高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。

 

DDOS的产生

DDOS 最早可追述到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模。近几年由于宽带的普及,很多网站开始盈利,其中很多非法网站利润巨大,造成同行之间互相攻击,还有一部分人利用网络攻击来敲诈钱财。同时windows 平台的漏洞大量的被公布, 流氓软件,病毒,木马大量充斥着网络,有些技术的人可以很容易非法入侵控制大量的个人计算机来发起DDOS攻击从中谋利。攻击已经成为互联网上的一种最直接的竞争方式,而且收入非常高,利益的驱使下,攻击已经演变成非常完善的产业链。通过在大流量网站的网页里注入病毒木马,木马可以通过windows平台的漏洞感染浏览网站的人,一旦中了木马,这台计算机就会被后台操作的人控制,这台计算机也就成了所谓的肉鸡,每天都有人专门收集肉鸡然后以几毛到几块的一只的价格出售,因为利益需要攻击的人就会购买,然后遥控这些肉鸡攻击服务器。

 

被DDoS攻击时的现象

被攻击主机上有大量等待的TCP连接

 

网络中充斥着大量的无用的数据包,源地址为假

 

制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯

 

利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求

 

严重时会造成系统死机

 

大级别攻击运行原理

一个比较完善的DDoS攻击体系分成四大部分,先来看一下最重要的第2和第3部分:它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别,对第4部分的受害者来说,DDoS的实际攻击包是从第3部分攻击傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。

 

有的朋友也许会问道: “为什么黑客不直接去控制攻击傀儡机,而要从控制傀儡机上转一下呢?”。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说,肯定不愿意被捉到,而攻击者使用的傀儡机越多,他实际上提供给受害者的分析依据就越多。在占领一台机器后,高水平的攻击者会首先做两件事:1. 考虑如何留好后门!2. 如何清理日志。这就是擦掉脚印,不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉,但这样的话网管员发现日志都没了就会知道有人干了坏事了,顶多无法再从日志发现是谁干的而已。相反,真正的好手会挑有关自己的日志项目删掉,让人看不到异常的情况。这样可以长时间地利用傀儡机。

 

但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程,即使在有很好的日志清理工具的帮助下,黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净,通过它上面的线索找到了控制它的上一级计算机,这上级的计算机如果是黑客自己的机器,那么他就会被揪出来了。但如果这是控制用的傀儡机的话,黑客自身还是安全的。控制傀儡机的数目相对很少,一般一台就可以控制几十台攻击机,清理一台计算机的日志对黑客来讲就轻松多了,这样从控制机再找到黑客的可能性也大大降低。

 

黑客如何组织一次DDoS攻击

步骤

这里用 “组织”这个词,是因为DDoS并不象入侵一台主机那样简单。一般来说,黑客进行DDoS攻击时会经过这样的步骤:

搜集了解目标的情况

下列情况是黑客非常关心的情报:

 

被攻击目标主机数目、地址情况 目标主机的配置、性能 目标的带宽

 

对于DDoS攻击者来说,攻击互联网上的某个站点,如http://www.zndns.com,有一个重点就是确定到底有多少台主机在支持这个站点,一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。
  以zndns为例,一般会有下列地址都是提供http://www.zndns.com服务的:61.164.113.103   61.164.113.104  61.164.113.105  ……

 

如果要进行DDoS攻击的话,应该攻击哪一个地址呢?使61.164.113.103这台机器瘫掉,但其他的主机还是能向外提供www服务,所以想让别人访问不到http://www.zndns.com的话,要所有这些IP地址的机器都瘫掉才行。在实际的应用中,一个IP地址往往还代表着数台机器:网站维护者使用了四层或七层交换机来做负载均衡,把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更复杂了,他面对的任务可能是让几十台主机的服务都不正常。

 

所以说事先搜集情报对DDoS攻击者来说是非常重要的,这关系到使用多少台傀儡机才能达到效果的问题。简单地考虑一下,在相同的条件下,攻击同一站点的2台主机需要2台傀儡机的话,攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越好,不管你有多少台主机我都用尽量多的傀儡机来攻就是了,反正傀儡机超过了时候效果更好。

 

但在实际过程中,有很多黑客并不进行情报的搜集而直接进行DDoS的攻击,这时候攻击的盲目性就很大了,效果如何也要靠运气。其实做黑客也象网管员一样,是不能偷懒的。一件事做得好与坏,态度最重要,水平还在其次。

占领傀儡机

黑客最感兴趣的是有下列情况的主机:

 

链路状态好的主机 性能好的主机 安全管理水平差的主机

 

这一部分实际上是使用了另一大类的攻击手段:利用形攻击。这是和DDoS并列的攻击方式。简单地说,就是占领和控制被攻击的主机。取得最高的管理权限,或者至少得到一个有权限完成DDoS攻击任务的帐号。对于一个DDoS攻击者来说,准备好一定数量的傀儡机是一个必要的条件,下面说一下他是如何攻击并占领它们的。

 

首先,黑客做的工作一般是扫描,随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器,像程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞 …(简直举不胜举啊),都是黑客希望看到的扫描结果。随后就是尝试入侵了,具体的手段就不在这里多说了,感兴趣的话网上有很多关于这些内容的文章。

 

总之黑客现在占领了一台傀儡机了!然后他做什么呢?除了上面说过留后门擦脚印这些基本工作之外,他会把DDoS攻击用的程序上载过去,一般是利用ftp。在攻击机上,会有一个DDoS的发包程序,黑客就是利用它来向受害目标发送恶意攻击包的。

实际攻击

经过前2个阶段的精心准备之后,黑客就开始瞄准目标准备发射了。前面的准备做得好的话,实际攻击过程反而是比较简单的。就象图示里的那样,黑客登录到做为控制台的傀儡机,向所有的攻击机发出命令: “预备~ ,瞄准~,开火!”。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令,一起向受害主机以高速度发送大量的数据包,导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击,他们不会”怜香惜玉”。

 

老道的攻击者一边攻击,还会用各种手段来监视攻击的效果,在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机,在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。

 

防范DDOS攻击的工具软件:CC v2.0

 

防范DDOS比较出色的防火墙:硬件有Cisco的Guard、Radware的DefensePro,绿盟的黑洞,傲盾硬件的KFW系列,傲盾软件的傲盾防火墙。软件有冰盾DDOS防火墙、8Signs Firewall等。

 

DDOS的主要几个攻击

SYN变种攻击

发送伪造源IP的SYN数据包但是数据包不是64字节而是上千字节这种攻击会造成一些防火墙处理错误锁死,消耗服务器CPU内存的同时还会堵塞带宽。

TCP混乱数据包攻击

发送伪造源IP的 TCP数据包,TCP头的TCP Flags 部分是混乱的可能是syn ,ack ,syn+ack ,syn+rst等等,会造成一些防火墙处理错误锁死,消耗服务器CPU内存的同时还会堵塞带宽。

针对用UDP协议的攻击

很多聊天室,视频音频软件,都是通过UDP数据包传输的,攻击者针对分析要攻击的网络软件协议,发送和正常数据一样的数据包,这种攻击非常难防护,一般防护墙通过拦截攻击数据包的特征码防护,但是这样会造成正常的数据包也会被拦截,

针对WEB Server的多连接攻击

通过控制大量肉鸡同时连接访问网站,造成网站无法处理瘫痪,这种攻击和正常访问网站是一样的,只是瞬间访问量增加几十倍甚至上百倍,有些防火墙可以通过限制每个连接过来的IP连接数来防护,但是这样会造成正常用户稍微多打开几次网站也会被封,

针对WEB Server的变种攻击

通过控制大量肉鸡同时连接访问网站,一点连接建立就不断开,一直发送发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU,这样通过限制每个连接过来的IP连接数就失效了,因为每个肉鸡可能只建立一个或者只建立少量的连接。这种攻击非常难防护,后面给大家介绍防火墙的解决方案

针对WEB Server的变种攻击

通过控制大量肉鸡同时连接网站端口,但是不发送GET请求而是乱七八糟的字符,大部分防火墙分析攻击数据包前三个字节是GET字符然后来进行http协议的分析,这种攻击,不发送GET请求就可以绕过防火墙到达服务器,一般服务器都是共享带宽的,带宽不会超过10M 所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪,这种攻击也非常难防护,因为如果只简单的拦截客户端发送过来没有GET字符的数据包,会错误的封锁很多正常的数据包造成正常用户无法访问,后面给大家介绍防火墙的解决方案

针对游戏服务器的攻击

因为游戏服务器非常多,这里介绍最早也是影响最大的传奇游戏,传奇游戏分为登陆注册端口7000,人物选择端口7100,以及游戏运行端口7200,7300,7400等,因为游戏自己的协议设计的非常复杂,所以攻击的种类也花样倍出,大概有几十种之多,而且还在不断的发现新的攻击种类,这里介绍目前最普遍的假人攻击,假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家,很难从游戏数据包来分析出哪些是攻击哪些是正常玩家。

 

以上介绍的几种最常见的攻击也是比较难防护的攻击。一般基于包过滤的防火墙只能分析每个数据包,或者有限的分析数据连接建立的状态,防护SYN,或者变种的SYN,ACK攻击效果不错,但是不能从根本上来分析tcp,udp协议,和针对应用层的协议,比如http,游戏协议,软件视频音频协议,现在的新的攻击越来越多的都是针对应用层协议漏洞,或者分析协议然后发送和正常数据包一样的数据,或者干脆模拟正常的数据流,单从数据包层面,分析每个数据包里面有什么数据,根本没办法很好的防护新型的攻击。

 

SYN攻击解析

SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。TCP协议建立连接的时候需要双方相互确认信息,来防止连接被伪造和精确控制整个数据传输过程数据完整有效。所以TCP协议采用三次握手建立一个连接。

 

第一次握手:建立连接时,客户端发送syn包到服务器,并进入SYN_SEND状态,等待服务器确认; 

 

第二次握手:服务器收到syn包,必须确认客户的SYN 同时自己也发送一个SYN包 即SYN+ACK包,此时服务器进入SYN_RECV状态;

 

第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。

 

SYN攻击利用TCP协议三次握手的原理,大量发送伪造源IP的SYN包也就是伪造第一次握手数据包,服务器每接收到一个SYN包就会为这个连接信息分配核心内存并放入半连接队列,如果短时间内接收到的SYN太多,半连接队列就会溢出,操作系统会把这个连接信息丢弃造成不能连接,当攻击的SYN包超过半连接队列的最大值时,正常的客户发送SYN数据包请求连接就会被服务器丢弃, 每种操作系统半连接队列大小不一样所以抵御SYN攻击的能力也不一样。那么能不能把半连接队列增加到足够大来保证不会溢出呢,答案是不能,每种操作系统都有方法来调整TCP模块的半连接队列最大数,例如Win2000操作系统在注册表 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters里 TcpMaxHalfOpen,TcpMaxHalfOpenRetried ,Linux操作系统用变量tcp_max_syn_backlog来定义半连接队列的最大数。但是每建立一个半连接资源就会耗费系统的核心内存,操作系统的核心内存是专门提供给系统内核使用的内存不能进行虚拟内存转换是非常紧缺的资源windows2000 系统当物理内存是4g的时候 核心内存只有不到300M,系统所有核心模块都要使用核心内存所以能给半连接队列用的核心内存非常少。Windows 2003 默认安装情况下,WEB SERVER的80端口每秒钟接收5000个SYN数据包一分钟后网站就打不开了。标准SYN数据包64字节 5000个等于 5000*64 *8(换算成bit)/1024=2500K也就是 2.5M带宽 ,如此小的带宽就可以让服务器的端口瘫痪,由于攻击包的源IP是伪造的很难追查到攻击源,,所以这种攻击非常多。

 

如何防止和减少DDOS攻击的危害

拒绝服务攻击的发展

从拒绝服务攻击诞生到现在已经有了很多的发展,从最初的简单Dos到现在的DdoS。那么什么是Dos和DdoS呢?DoS是一种利用单台计算机的攻击方式。而DdoS(Distributed Denial of Service,分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,比如一些商业公司、搜索引擎和政府部门的站点。DdoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话,那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难,如何采取措施有效的应对呢?下面我们从两个方面进行介绍。

预防为主保证安全

DdoS攻击是黑客最常用的攻击手段,下面列出了对付它的一些常规方法。

 

(1)定期扫描

 

要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。

 

(2)在骨干节点配置防火墙

 

防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。

 

(3)用足够的机器承受黑客攻击

 

这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和目前中小企业网络实际运行情况不相符。

 

(4)充分利用网络设备保护网络资源

 

所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了DdoS的攻击。

 

(5)过滤不必要的服务和端口

 

过滤不必要的服务和端口,即在路由器上过滤假IP ……只开放服务端口成为目前很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。

 

(6)检查访问者的来源

 

使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。

 

(7)过滤所有RFC1918 IP地址

 

RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DdoS的攻击。

 

(8)限制SYN/ICMP流量

 

用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DdoS效果不太明显了,不过仍然能够起到一定的作用。

寻找机会应对攻击

如果用户正在遭受攻击,他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户,很可能在用户还没回过神之际,网络已经瘫痪。但是,用户还是可以抓住机会寻求一线希望的。

 

(1)检查攻击来源,通常黑客会通过很多假IP地址发起攻击,此时,用户若能够分辨出哪些是真IP哪些是假IP地址,然后了解这些IP来自哪些网段,再找网网管理员将这些机器关闭,从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话,可以采取临时过滤的方法,将这些IP地址在服务器或路由器上过滤掉。

 

(2)找出攻击者所经过的路由,把攻击屏蔽掉。若黑客从某些端口发动攻击,用户可把这些端口屏蔽掉,以阻止入侵。不过此方法对于公司网络出口只有一个,而又遭受到来自外部的DdoS攻击时不太奏效,毕竟将出口端口封闭后所有计算机都无法访问internet了。

 

  (3)最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵,但是过滤掉ICMP后可以有效的防止攻击规模的升级,也可以在一定程度上降低攻击的级别。

   不知道身为网络管理员的你是否遇到过服务器因为拒绝服务攻击(DDOS攻击)都瘫痪的情况呢?就网络安全而言目前最让人担心和害怕的入侵攻击就要算是DDOS攻击了。他和传统的攻击不同,采取的是仿真多个客户端来连接服务器,造成服务器无法完成如此多的客户端连接,从而无法提供服务。

目前网络安全界对于DdoS的防范最有效的防御办法:

蜘蛛系统:由全世界各个国家以及地区组成一个庞大的网络系统,相当于一个虚幻的网络任何人检测到的只是我们节点服务器ip并不是您真实数据所在的真实ip地址,每个节点全部采用百M独享服务器单机抗2G以上流量攻击+金盾软防无视任何cc攻击.

无论是G口发包还是肉鸡攻击,使用我们蜘蛛系统在保障您个人服务器或者数据安全的状态下,只影响一个线路,一个地区,一个省或者一个省的一条线路的用户.并且我们会在一分钟内更换已经瘫痪的节点服务器保证网站正常状态.还可以把G口发包的服务器或者肉鸡发出的数据包全部返回到发送点,使G口发包的服务器与肉鸡全部变成瘫痪状态.试想如果没了G口服务器或者肉鸡黑客用什么来攻击您的网站

如果我们按照本文的方法和思路去防范DdoS的话,收到的效果还是非常显著的,可以将攻击带来的损失降低到最小。

注:Ddos攻击只能被减弱,无法被彻底消除。

分类: 解决方案 标签:

dedecms安全设置

2011年11月26日 没有评论

dedecms是一个非常好的CMS程序,现在最新版本是5.7。经过很多版本的升级和功能添加,dedecms仍然存在很多问题。这里不是说DEDECMS不好,相对来说dede还是很好的,简单容易用,造福了许许多多中小站长。

很久没更新博客,今天想浅谈DEDECMS安全设置。用dedecms的朋友一定有遇到过网站被挂马的事,不是每个页面中被添加很多链接就是js中被加入恶意转向。

浅谈DEDECMS安全设置:

1、尽可能的使用Linux主机纯PHP空间,Windows主机能运行ASP就多一份危险。

2、后台登录管理不要用admin为用户名 可以改成其他的。

3、data/common.inc.php文件属性(Linux/Unix)设置为644或(Windows NT)设置为只读。

4、针对uploads、data、templets 三个目录做执行php脚本限制。

5、不安装来路不明的模板,或者其他需要上传到FTP下的文件,要安装先杀毒再安装。

6、用最新版的程序,就算不是最新也一定要时刻关注官方发布的补丁及时打上补丁。

7、能不用会员系统最好不要用,可以直接删除member 会员文件夹,后台关闭会员功能。实在要用一定要设置 是否允许会员上传非图片附件 设置为否 对用户进行严格限制因为有很多垃圾注册机一天注册很多用户名。(游子推荐:删除member 会员文件夹 不用会员系统)

虚拟主机/空间配置目录执行php脚本限制方法:Apache环境和nginx环境的两种设置方法

对uploads、data、templets 三个目录做执行php脚本限制,就算被上传了木马文件到这些文件夹,也是无法运行的所以这一步很重要一定要设置。

在配置前需要确认你的空间是否支持.htaccess和rewrite,该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。

Apache环境规则内容如下:Apache执行php脚本限制 把这些规则添加到.htaccess文件中

RewriteEngine on RewriteCond % !^$

RewriteRule uploads/(.*).(php)$ – [F]

RewriteRule data/(.*).(php)$ – [F]

RewriteRule templets/(.*).(php)$ –[F]

nginx环境规则内容如下:nginx执行php脚本限制

LNMP有一个缺点就是目录权限设置上不如Apache,有时候网站程序存在上传漏洞或类似pathinfo的漏洞从而导致被上传了php木马,而给网站和服务器带来比较大危险。建议将网站目录的PHP权限去掉,当访问上传目录下的php文件时就会返回403错误。

首先要编辑nginx的虚拟主机配置,在fastcgi的location语句的前面按下面的内容添加:

location ~ /(data|uploads|templets)/.*\.(php|php5)?$ {

deny all;

}

好了就这些吧,做了这些应该不会有什么问题基本够用!建议用dedecms的朋友花点时间去设置一下。

Windows 8安装时间最短21分钟 只需点11次鼠标

2011年11月26日 没有评论

北京时间11月25日凌晨消息,在此前的各个Windows版本中,安装程序的过程都相当漫长,有时候甚至要花上一天的时间,不过微软今天承诺会在Windows 8中大幅提升安装速度。

Windows开发团队在一篇新的官方博文中表示,目前Windows 8的安装过程已经从Windows 7当中的复杂安装流程以及高达60屏的信息减少到了仅仅需要点击11下鼠标即可完成。作为对比,全新纯净安装Windows 7需要的最少时间32分钟,而Windows 8为21分钟。中等升级(21.3万个文件,77个应用),Windows 7需要时间131分钟,而Windows 8只要42分钟。重度升级(43万个文件,90个应用),Windows 7需要188分钟,而Windows 8只要46分钟。超级升级(144万个文件,120个应用程序),Windows 7需要513分钟,而Windows 8只要52分钟。

而此外,微软向下兼容的能力也依旧令人赞叹。Windows开发团队甚至还在一次会议当中展示了使用Windows 8运行一款1990年版的16位Excel文档。但是随着技术的发展,这种向下兼容的难度也越来越高。微软表示他们会依靠第三方设计人员来提供相应的支持。

分类: Windows 标签:

SSH的翻墙

2011年11月26日 没有评论

SSH的翻墙可以用的工具也不少 ,例如我们常用的SecureCRT、putty、plink.exe,不过这些工具使用起来都很不直观。第一二个设置麻烦,而且第二个在连接断开后不能自动重新连接。而第三个是命令行的工具,虽然可以用批处理启动,但是启动后会有个命令提示符的窗口。而MyEnTunnel可以说是plink.exe的GUI版,使用简单直观,所以目前大多数使用SSH翻墙的人都是用他来连接。

http://down.qiannao.com/space/file/anheiyouxia/share/2010/5/17/myentunnel-002dzh_cn.rar/.page

解压后运行myentunnel.exe,住界面如下,根据页面的内容填写相关信息,然后点击连接:

如果是首次连接一个SSH 服务器,会提示你保存key信息,点击yes即可:

连接成功后你能看到托盘有个绿色的图标: ,这就表示连接成功了。黄色表示未连接,红色表示连接已断开。
连接成功后我们就可以利用他来翻墙了,根据上文的设置,代理地址和端口为:127.0.0.1:1080
这里推荐使用firefox+AutoProxy,这样就可以在只有需要翻墙的网站才调用SSH通道翻墙浏览,正常的国内网站使用。
最新版火狐:http://www.mozilla.com/
安装好火狐后用火狐浏览并下载最新版的AutoProxy:https://addons.mozilla.org/zh-CN/firefox/addon/11009/
注:因为FishNote上有相关的图片,也为了节省时间,所以下面的AutoProxy设置直接拷贝自FishNote
下面要谈谈firefox的AutoProxy扩展,安装好这个扩展并重启firefox以后,会自动弹出这个窗口:

选中”gfwList”,再点击”确定”,这样就能得到每天自动更新的需要使用代理服务器才能访问的网站列表. 这时候你再看firefox顶部的工具栏右侧(也有可能在底部状态栏右侧)是不是有个红色”福”字的按钮?点击这个按钮就可以打开”AutoProxy首选项”,打开后,点击”代理服务器”菜单,选择”编辑代理服务器”,打开设置代理服务器的窗口:

把最右侧的”删除”复选框全部打上勾,然后点击”删除代理”按钮,我们自己再添加代理(当然,你也可以只留下一个,把剩下的删除).我把代理全部都删除了,它不爽了:

赶紧点击”添加代理”重新设置一下吧,别忘了必须选中socks5:

经过这样的设置后就可以实现按需翻墙了。
注意:MyEnTunnel只能在墙上等你上来然后带你翻过去,并不提供梯子,因此翻墙请自备梯子。

自动备份VPS数据的shell脚本(转)

2011年11月25日 没有评论

使用说明,将其保存为backup.sh,并为其添加执行权限

1
chmod +x /root/backup.sh

其中ftp账户密码自己配置。
代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
#!/bin/bash
#为backup.sh添加执行权限chmod +x /root/backup.sh
#添加脚本至crontab(自动启动程序)执行命令crontab -e,添加每天0点10分启动代码
#10 00 * * * /root/backup.sh 
 
#===========配置区开始==============
BACKUP_DATA_TEMP="/home/backup"
DB_USR="数据库用户名"
DB_PWD="数据库密码"
FTP_HOST="FTP主机名"
FTP_USR="FTP用户名"
FTP_PWD="FTP密码"
ZIP_PWD="压缩包密码"
 
#数据库文件位置
DB_PATH="/home/mysql_data"
 
#网站数据文件位置
WEB_PATH="/home/ftp/1520"
 
#其它要备份的文件夹
OTHER_PATH="/home/lum_safe_files"
 
#按周清理,设为0则按天清理
ROUND_WEEK="1"
#===========配置区结束============== 
 
FTP_FOLDER=$(date +"%Y-%m-%d")
if [ ROUND_WEEK = 1 ];then
OLD_FTP_FOLDER=$(date -d -3week +"%Y-%m-%d")
else
OLD_FTP_FOLDER=$(date -d -3day +"%Y-%m-%d")
fi
 
#在FTP空间里新建目录
ftp -v -n $FTP_HOST < $BACKUP_DATA_TEMP/$dbname.sql
mysqlhotcopy $dbname -u $DB_USR -p $DB_PWD $BACKUP_DATA_TEMP | logger -t mysqlhotcopy
#压缩数据库
zip -9 -q -r -P $ZIP_PWD $BACKUP_DATA_TEMP/$dbname.mysql.zip $BACKUP_DATA_TEMP/$dbname/
#删除sql文件
rm -rf $BACKUP_DATA_TEMP/$dbname/
#上传到FTP空间
ftp -v -n $FTP_HOST <
分类: Linux 标签:

12个免费DNS服务商

2011年11月25日 没有评论

下面将整理的12个免费DNS服务商分享出来:
1、Godaddy(www.godaddy.com)

Godaddy这个名字我相信大家应该都比较熟悉,可能有些人购买其域名或者网站空间,有些人不晓得其中还有DNS服务。请看“如何使用godaddy免费DNS解析域名”告诉你如何利用godaddyDNS服务,值得推荐。

2、DNSPARK(www.dnspark.net)

DNSPARK成立于2002年,算是一家比较老的免费DNS服务商,每个免费用户仅能添加2个域名,不过可以重复注册账号,如果有多个域名,还是推荐用其它的免费DNS解析。

3、EveryDNS(www.everydns.net)

EveryDNS目前已经被Dyn Inc收购,美国的免费DNS解析服务商,从2001年至今一直坚持提供稳定的服务。现在EveryDNS不提供免费域名注册服务,这样也使其被国内屏蔽的概率小了很多,国内用户可以放心使用。

4、ChangeIP(www.changeip.com)

一看名字就知道其提供DNS服务了,ChangeIP提供独立的免费DNS域名解析服务。另外,我们还可以利用提供百余种后缀的免费二级域名服务,支持添加设置域名转发、MX邮件记录、CNAME别名记录、A记录,还可以添加无限子域名!ChangeIP的域名转发服务有强制广告。

5、he.net(dns.he.net)

he.net成立于1994年,是美国老牌IDC,在技术领域比较强,尤其是IPV6应用。he.net这个免费DNS解析服务最多可以添加50个域名,可以设置A记录、AAAA记录、CNAME别名记录、MX邮件记录、NS记录、TXT记录、SRV记录,有5台DNS服务器供你使用,还可以添加slave、reverse(不知道是不是和IPV6有关)。

6、ZoneEdit(zoneedit.com)

美国著名的老牌免费域名DNS解析服务,成立于1999年。免费帐户最多可添加5个域名。解析类型:A记录、AAAA记录、 TXT文本记录、LOC记录、PTR记录、CNAME别名记录、MX邮件记录、网址转发、邮件转发等。界面超级简洁,速度快,稳定。

7、NameCheap(namecheap.com)

一看就知道其是一家不错的域名注册商,没错,和godaddy一样支持DNS服务。解析服务,支持的功能还挺多:网址转发(可隐藏原URL、支持301重定向)、电?邮转发、A记录、CNAME别名记录、MX邮件记录、TXT文本记录、NS记录、AAAA记录(IPV6)、动态域名解析。

8、Dnsever(Dnsever.com)

一家韩国网站,在2004年推出的域名免费DNS解析服务,界面支持朝鲜语和英文,该网站在韩国是数一数二的著名免费DNS服务商,提供的服务很稳定,支持所有英文域名,很多申请俄罗斯ru域名的喜欢用它做DNS服务器,设置记录几分钟完成解析。

网址:http://freedns.afraid.org/

9、MyDomain(mydomain.com)

MyDomain从1998年至今一直提供免费的DNS域名解析服务,现在被美国著名域名主机服务商Dotster收归旗下。MyDomain的免费域名DNS解析服务可以设置A记录、CNAME记录、MX记录、TXT记录以及NS记录,还可以设置网址转发和电邮转发。

10、FreeDNS(FreeDNS.ws)

一家美国免费域名DNS解析服务网站,界面简洁,注册简单,支持添加任何后缀的域名,支持Google Apps服务。免费域名DNS解析服务有三种模式:简单模式可直接设置IP指向、转发模式可设置301永久重定向和302临时重定向、高级模式可设置A记录、AAAA记录、CNAME记录、MX记录、PTR记录、TXT记录。

11、Sitelutions(sitelutions.com)

公司成立1995,提供免费的DNS服务,保证99.999%网络正常运行时间、支持动态DNS,网址重定向,可以在上面停放域名,免费的子域名,支持自定义域名服务器等。查询该域名的相关信息,PR值为6,域名于2002年注册,2013年到期,貌似确实挺好挺强大的样子。

12、Domain-dns(domain-dns.com)

Domain-DNS.com是BareMetal.com的一个分部,BareMetal.com本身是一家著名的网络主机和域名注册公司,坐落在加拿大的不列颠哥伦比亚省的维多利亚市。Domain-DNS.com的邮件转发服务是唯一要收费的,DNS和网页转发服务是免费的。域名可添加A、CNAME、MX、TXT记录。

分类: 网络产品 标签: ,

7z for linux安装与使用

2011年11月25日 没有评论

p7zip是Linux下一个高压缩率软件,也就是win下的7z压缩软件。很不错。linux版本的安装方式如下:

1
2
3
4
5
wget http://sourceforge.net/projects/p7zip/files/p7zip/9.20.1/p7zip_9.20.1_src_all.tar.bz2
tar jxvf p7zip_9.20.1_src_all.tar.bz2
cd p7zip_9.20.1
make
make install

命令使用参数与方法:
a 添加到压缩文件
b 基准测试,测试7z当前性能
d 从压缩文件中删除
e 从压缩文件中解压缩,但不包含目录结构(即所有各级文件都解压到一个目录里)
l 列出压缩文件的内容
t 测试压缩文件
u 更新文件到压缩文件
x 从压缩文件中解压缩,包含目录结构

例如打包根目录下www目录的文件

1
7za a vps12.7z /www

解压

1
7za x vps12.7z -o/home/www”

// -o表示输出目录,其与目录路径之间没有空格哦注意
如果要生成zip压缩包,可以直接将目标压缩包名设为vps12.zip,则它会自动使用zip算法压缩。

分类: 软件使用 标签:

域名基本知识

2011年11月22日 没有评论

什么是域名?
   从技术上讲,域名只是一个Internet中用于解决地址对应问题的一种方法。可以说只是一个技术名词。但是,由于Internet已经成为了全世界人的Internet,域名也自然地成为了一个社会科学名词。 Internet域名是Internet网络上的一个服务器或一个网络系统的名字,在全世界,没有重复的域名。域名的形式是以若干个英文字母和数字组成,由“.”分隔成几部分, 如net158.com就是一个域名,tjcity.com是一个国际域名,pcres.com.cn是一个国内域名。无论是国际或国内域名,全世界接 入Internet网的人都能够准确无误的访问到。
从社会科学的角度看,域名已成为了Internet文化的组成部分。

  从商界看,域名已被誉为“企业的网上商标”。没有一家企业不重视自己产品的标识–商标,而域名的重要性和其价值,也已经被全世界的企业所认识。1998年3月一个月内,世界上注册 了179,331个通用顶级域名(据InterNIC资料),平均每天注册5977个域名,每分钟25个! 这个记录正在以每月7%的速度增长。中国国内域名注册的数量,从96年底之前累计的300多个, 至98年11月猛增到的16644个,每月增长速度为10%。

域名有几种类型?
    域名分为顶层(TOP-LEVEL)、第二(SECOND-LEVEL)子域(SUB-DOMAIN)等。
    顶层分为几种类型,分别是:
.COM 商业性的机构或公司
.ORG 非盈利的组织、团体
.GOV 政府部门
.MIL 军事部门
.NET 从事Internet相关的网络服务的机构或公司
.XX由两个字母组成的国家代码,如中国为.CN,日本为.JP 等
     一般来说大型的或有国际业务的公 司或机构不使用国家代码。这种不带国家代码的域名也叫国际域名。这种情况下,域名的第二 层就是代表一个机构或公司的特征部分,如IBM.COM中的IBM。对于具有国家代码的域名,代表 一个机构或公司的特征部分则是第三层,如ABC.COM.CN中的ABC。

国内域名和国际域名有什么不同
国际域名是国际性域名,形式为aaa.com。
国内域名是地区性域名,形式为aaa.com.cn。
国际域名在级别上高于国内域名。
从使用角度上来看并没有太大区别。
从价格上来讲国际域名要低于国内域名。
从办理手续上来看国际域名手续要简单的多。

对于申请的域名有什么规定
域名中可以包含26个英文字母、0-9数字等连字符。
域名中的英文字母不区分大小写,不能用中文作域名。
国际域名:二级域名的长度不超过22个字符。
国内域名:三级域名的长度不超过20个字符。

谁是国际域名管理机构?
     ICANN是一个近年成立的、代替NSI公司的的非盈利机构,其主要职能包括管理因特网域名及地址系统。有关ICANN的信息可在网址 http://www.icann.org 中查询。

什么是域名地址服务器(即DNS)?
域名服务器用于把域名翻译成电脑能识别的IP地址。例如,如果有人要访问sohu的网站 (www.sohu.com), DNS就把域名译为IP地址 61.135.132.3 。这样就便于电脑查找域名所有人的网站服务器。

Internet上域名命名的一般规则是什么?
    由于Internet上的各级域名是分别由不同机构管理的,所以,各个机构管理域名的方式和域名命名的规则也有所不同。但域名的命名也有一些共同的规则,主要有以下几点:
一、域名中只能包含以下字符:
1. 26个英文字母
2. “0,1,2,3,4,5,6,7,8,9″十个数字
3. “-”英文中的连词号)
二、域名中字符的组合规则:
1. 在域名中,不区分英文字母的大小写
2. 对于一个域名的长度是有一定限制的 CN下域名命名的规则为:
一、遵照域名命名的全部共同规则
二、只能注册三级域名,三级域名用字母(A-0Z,a-z,大小写等价)、数字(0-9)和连接符(-)组成,各级域名之间用实点(.)连接,三级域名长度不得超过20个字符;
三、不得使用,或限制使用以下名称(下表列出了一些注册此类域名时需要提供的材料):
1)注册含有”CHINA”、”CHINESE”、”CN”、”NATIONAL”等 经国家有关部门(指部级以上单位)正式批准
2)公众知晓的其他国家或者地区名称、外国地名、国际组织名称不得使用
3)县级以上(含县级)行政区划名称的全称或者缩写 相关县级以上(含县级)人民政府正式批准
4)行业名称或者商品的通用名称不得使用
5)他人已在中国注册过的企业名称或者商标名称不得使用
6)对国家、社会或者公共利益有损害的名称不得使用
7)经国家有关部门(指部级以上单位)正式批准和相关县级以上(含县级)人民政府正式批准是指,相关机构要出据书面文件表示同意XXXX单位注册XXX域名。如:要申请beijing.com.cn域名,则要提供北京市人民政府的批文。

注册一个什么样的域名好?
    既然域名被视为企业的网上商标,那么,注册一个好的域名就是至关重要的了。一个好的域名往往与单位的以下信息一致:
1、单位名称的中英文缩写
2、企业的产品注册商标
3、与企业广告语一致的中英文内容,但注意不能超过20个字符
4、比较有趣的名字如:hello,howareyou,yes,168,163,等等

分类: 网络产品 标签:

MSSQL数据库的使用

2011年11月17日 没有评论
MSSQL使用帮助

1、如果您的SQL空间开通以后,请打开您本地的SQL server 企业管理器,如下图:

2、点SQL server 组右键,选择新建SQL server 注册,如下图:

3、弹出SQL server 注册向导,点下一步,如下图:

4、可用的服务器填写,您订单中的服务器IP地址,然后点添加,如下图:

5、您添加的服务器IP即可增加到右侧,然后点下一步,如下图:

6、按下图选择连接使用方式,点下一步;

7、按下图所示,按您的订单中显示的SQL用户名和密码,分别填写后,点下一步;

8、完成SQL server 注册,点击完成,如下图:

9、显示注册成功。(如果总是提示失败,请检查您的局域网是否开放了1433端口, 同时检查您的SQL链接超时时间,SQL默认超时时间为4秒,建议改成60秒—在SQL server 企业管理器=>工具=>选项=>高级。)

10、完成SQL server 注册后,在左侧列表中即可看到我们的远程服务器,如下图:

11、点击我们的远程服务器,展开,再展开数据库, 显示出服务器上的数据库列表,请找到您的订单中显示的数据库名称,点击展开,如下图:

12、在表上点击右键,选择所有任务,选择导入数据,如下图所示:

13、弹出数据导入向导,如下图:

14、选择您原来存放数据库的服务器及登陆方法,如下图所示:

15、选择目的,即为本公司的远程服务器,一般下图的内容不用修改;

16、点下一步后,按下图选择,再点下一步;

17、选择您想要导入的表、视图等数据内容,如下图所示:

18、可以点击全选,也可以手动选择;

19、选好后,点击下一步,弹出下面的图示,按提示,点下一步,完成。

20、至此,您已经设置好了数据库,然后修改您程序中的数据库链接,按您订单里面显示的服务器IP地址、数据库名、登陆用户名、登陆密码进行修改,即可进行数据库链接。

分类: 软件使用 标签: