运维部落

香港vps促销1G99元 点击购买 美国vps促销512M59元 点击购买 日本vps促销1G100元 点击购买

DDoS攻击概念(转)

2011年11月29日 没有评论

DDoS攻击概念

DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令。

 DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了 – 目标对恶意攻击包的 “消化能力”加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。
 

这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。你理解了DoS攻击的话,它的原理就很简单。如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。

 

高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。

 

DDOS的产生

DDOS 最早可追述到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模。近几年由于宽带的普及,很多网站开始盈利,其中很多非法网站利润巨大,造成同行之间互相攻击,还有一部分人利用网络攻击来敲诈钱财。同时windows 平台的漏洞大量的被公布, 流氓软件,病毒,木马大量充斥着网络,有些技术的人可以很容易非法入侵控制大量的个人计算机来发起DDOS攻击从中谋利。攻击已经成为互联网上的一种最直接的竞争方式,而且收入非常高,利益的驱使下,攻击已经演变成非常完善的产业链。通过在大流量网站的网页里注入病毒木马,木马可以通过windows平台的漏洞感染浏览网站的人,一旦中了木马,这台计算机就会被后台操作的人控制,这台计算机也就成了所谓的肉鸡,每天都有人专门收集肉鸡然后以几毛到几块的一只的价格出售,因为利益需要攻击的人就会购买,然后遥控这些肉鸡攻击服务器。

 

被DDoS攻击时的现象

被攻击主机上有大量等待的TCP连接

 

网络中充斥着大量的无用的数据包,源地址为假

 

制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯

 

利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求

 

严重时会造成系统死机

 

大级别攻击运行原理

一个比较完善的DDoS攻击体系分成四大部分,先来看一下最重要的第2和第3部分:它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别,对第4部分的受害者来说,DDoS的实际攻击包是从第3部分攻击傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。

 

有的朋友也许会问道: “为什么黑客不直接去控制攻击傀儡机,而要从控制傀儡机上转一下呢?”。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说,肯定不愿意被捉到,而攻击者使用的傀儡机越多,他实际上提供给受害者的分析依据就越多。在占领一台机器后,高水平的攻击者会首先做两件事:1. 考虑如何留好后门!2. 如何清理日志。这就是擦掉脚印,不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉,但这样的话网管员发现日志都没了就会知道有人干了坏事了,顶多无法再从日志发现是谁干的而已。相反,真正的好手会挑有关自己的日志项目删掉,让人看不到异常的情况。这样可以长时间地利用傀儡机。

 

但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程,即使在有很好的日志清理工具的帮助下,黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净,通过它上面的线索找到了控制它的上一级计算机,这上级的计算机如果是黑客自己的机器,那么他就会被揪出来了。但如果这是控制用的傀儡机的话,黑客自身还是安全的。控制傀儡机的数目相对很少,一般一台就可以控制几十台攻击机,清理一台计算机的日志对黑客来讲就轻松多了,这样从控制机再找到黑客的可能性也大大降低。

 

黑客如何组织一次DDoS攻击

步骤

这里用 “组织”这个词,是因为DDoS并不象入侵一台主机那样简单。一般来说,黑客进行DDoS攻击时会经过这样的步骤:

搜集了解目标的情况

下列情况是黑客非常关心的情报:

 

被攻击目标主机数目、地址情况 目标主机的配置、性能 目标的带宽

 

对于DDoS攻击者来说,攻击互联网上的某个站点,如http://www.zndns.com,有一个重点就是确定到底有多少台主机在支持这个站点,一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。
  以zndns为例,一般会有下列地址都是提供http://www.zndns.com服务的:61.164.113.103   61.164.113.104  61.164.113.105  ……

 

如果要进行DDoS攻击的话,应该攻击哪一个地址呢?使61.164.113.103这台机器瘫掉,但其他的主机还是能向外提供www服务,所以想让别人访问不到http://www.zndns.com的话,要所有这些IP地址的机器都瘫掉才行。在实际的应用中,一个IP地址往往还代表着数台机器:网站维护者使用了四层或七层交换机来做负载均衡,把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更复杂了,他面对的任务可能是让几十台主机的服务都不正常。

 

所以说事先搜集情报对DDoS攻击者来说是非常重要的,这关系到使用多少台傀儡机才能达到效果的问题。简单地考虑一下,在相同的条件下,攻击同一站点的2台主机需要2台傀儡机的话,攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越好,不管你有多少台主机我都用尽量多的傀儡机来攻就是了,反正傀儡机超过了时候效果更好。

 

但在实际过程中,有很多黑客并不进行情报的搜集而直接进行DDoS的攻击,这时候攻击的盲目性就很大了,效果如何也要靠运气。其实做黑客也象网管员一样,是不能偷懒的。一件事做得好与坏,态度最重要,水平还在其次。

占领傀儡机

黑客最感兴趣的是有下列情况的主机:

 

链路状态好的主机 性能好的主机 安全管理水平差的主机

 

这一部分实际上是使用了另一大类的攻击手段:利用形攻击。这是和DDoS并列的攻击方式。简单地说,就是占领和控制被攻击的主机。取得最高的管理权限,或者至少得到一个有权限完成DDoS攻击任务的帐号。对于一个DDoS攻击者来说,准备好一定数量的傀儡机是一个必要的条件,下面说一下他是如何攻击并占领它们的。

 

首先,黑客做的工作一般是扫描,随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器,像程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞 …(简直举不胜举啊),都是黑客希望看到的扫描结果。随后就是尝试入侵了,具体的手段就不在这里多说了,感兴趣的话网上有很多关于这些内容的文章。

 

总之黑客现在占领了一台傀儡机了!然后他做什么呢?除了上面说过留后门擦脚印这些基本工作之外,他会把DDoS攻击用的程序上载过去,一般是利用ftp。在攻击机上,会有一个DDoS的发包程序,黑客就是利用它来向受害目标发送恶意攻击包的。

实际攻击

经过前2个阶段的精心准备之后,黑客就开始瞄准目标准备发射了。前面的准备做得好的话,实际攻击过程反而是比较简单的。就象图示里的那样,黑客登录到做为控制台的傀儡机,向所有的攻击机发出命令: “预备~ ,瞄准~,开火!”。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令,一起向受害主机以高速度发送大量的数据包,导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击,他们不会”怜香惜玉”。

 

老道的攻击者一边攻击,还会用各种手段来监视攻击的效果,在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机,在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。

 

防范DDOS攻击的工具软件:CC v2.0

 

防范DDOS比较出色的防火墙:硬件有Cisco的Guard、Radware的DefensePro,绿盟的黑洞,傲盾硬件的KFW系列,傲盾软件的傲盾防火墙。软件有冰盾DDOS防火墙、8Signs Firewall等。

 

DDOS的主要几个攻击

SYN变种攻击

发送伪造源IP的SYN数据包但是数据包不是64字节而是上千字节这种攻击会造成一些防火墙处理错误锁死,消耗服务器CPU内存的同时还会堵塞带宽。

TCP混乱数据包攻击

发送伪造源IP的 TCP数据包,TCP头的TCP Flags 部分是混乱的可能是syn ,ack ,syn+ack ,syn+rst等等,会造成一些防火墙处理错误锁死,消耗服务器CPU内存的同时还会堵塞带宽。

针对用UDP协议的攻击

很多聊天室,视频音频软件,都是通过UDP数据包传输的,攻击者针对分析要攻击的网络软件协议,发送和正常数据一样的数据包,这种攻击非常难防护,一般防护墙通过拦截攻击数据包的特征码防护,但是这样会造成正常的数据包也会被拦截,

针对WEB Server的多连接攻击

通过控制大量肉鸡同时连接访问网站,造成网站无法处理瘫痪,这种攻击和正常访问网站是一样的,只是瞬间访问量增加几十倍甚至上百倍,有些防火墙可以通过限制每个连接过来的IP连接数来防护,但是这样会造成正常用户稍微多打开几次网站也会被封,

针对WEB Server的变种攻击

通过控制大量肉鸡同时连接访问网站,一点连接建立就不断开,一直发送发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU,这样通过限制每个连接过来的IP连接数就失效了,因为每个肉鸡可能只建立一个或者只建立少量的连接。这种攻击非常难防护,后面给大家介绍防火墙的解决方案

针对WEB Server的变种攻击

通过控制大量肉鸡同时连接网站端口,但是不发送GET请求而是乱七八糟的字符,大部分防火墙分析攻击数据包前三个字节是GET字符然后来进行http协议的分析,这种攻击,不发送GET请求就可以绕过防火墙到达服务器,一般服务器都是共享带宽的,带宽不会超过10M 所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪,这种攻击也非常难防护,因为如果只简单的拦截客户端发送过来没有GET字符的数据包,会错误的封锁很多正常的数据包造成正常用户无法访问,后面给大家介绍防火墙的解决方案

针对游戏服务器的攻击

因为游戏服务器非常多,这里介绍最早也是影响最大的传奇游戏,传奇游戏分为登陆注册端口7000,人物选择端口7100,以及游戏运行端口7200,7300,7400等,因为游戏自己的协议设计的非常复杂,所以攻击的种类也花样倍出,大概有几十种之多,而且还在不断的发现新的攻击种类,这里介绍目前最普遍的假人攻击,假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家,很难从游戏数据包来分析出哪些是攻击哪些是正常玩家。

 

以上介绍的几种最常见的攻击也是比较难防护的攻击。一般基于包过滤的防火墙只能分析每个数据包,或者有限的分析数据连接建立的状态,防护SYN,或者变种的SYN,ACK攻击效果不错,但是不能从根本上来分析tcp,udp协议,和针对应用层的协议,比如http,游戏协议,软件视频音频协议,现在的新的攻击越来越多的都是针对应用层协议漏洞,或者分析协议然后发送和正常数据包一样的数据,或者干脆模拟正常的数据流,单从数据包层面,分析每个数据包里面有什么数据,根本没办法很好的防护新型的攻击。

 

SYN攻击解析

SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。TCP协议建立连接的时候需要双方相互确认信息,来防止连接被伪造和精确控制整个数据传输过程数据完整有效。所以TCP协议采用三次握手建立一个连接。

 

第一次握手:建立连接时,客户端发送syn包到服务器,并进入SYN_SEND状态,等待服务器确认; 

 

第二次握手:服务器收到syn包,必须确认客户的SYN 同时自己也发送一个SYN包 即SYN+ACK包,此时服务器进入SYN_RECV状态;

 

第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。

 

SYN攻击利用TCP协议三次握手的原理,大量发送伪造源IP的SYN包也就是伪造第一次握手数据包,服务器每接收到一个SYN包就会为这个连接信息分配核心内存并放入半连接队列,如果短时间内接收到的SYN太多,半连接队列就会溢出,操作系统会把这个连接信息丢弃造成不能连接,当攻击的SYN包超过半连接队列的最大值时,正常的客户发送SYN数据包请求连接就会被服务器丢弃, 每种操作系统半连接队列大小不一样所以抵御SYN攻击的能力也不一样。那么能不能把半连接队列增加到足够大来保证不会溢出呢,答案是不能,每种操作系统都有方法来调整TCP模块的半连接队列最大数,例如Win2000操作系统在注册表 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters里 TcpMaxHalfOpen,TcpMaxHalfOpenRetried ,Linux操作系统用变量tcp_max_syn_backlog来定义半连接队列的最大数。但是每建立一个半连接资源就会耗费系统的核心内存,操作系统的核心内存是专门提供给系统内核使用的内存不能进行虚拟内存转换是非常紧缺的资源windows2000 系统当物理内存是4g的时候 核心内存只有不到300M,系统所有核心模块都要使用核心内存所以能给半连接队列用的核心内存非常少。Windows 2003 默认安装情况下,WEB SERVER的80端口每秒钟接收5000个SYN数据包一分钟后网站就打不开了。标准SYN数据包64字节 5000个等于 5000*64 *8(换算成bit)/1024=2500K也就是 2.5M带宽 ,如此小的带宽就可以让服务器的端口瘫痪,由于攻击包的源IP是伪造的很难追查到攻击源,,所以这种攻击非常多。

 

如何防止和减少DDOS攻击的危害

拒绝服务攻击的发展

从拒绝服务攻击诞生到现在已经有了很多的发展,从最初的简单Dos到现在的DdoS。那么什么是Dos和DdoS呢?DoS是一种利用单台计算机的攻击方式。而DdoS(Distributed Denial of Service,分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,比如一些商业公司、搜索引擎和政府部门的站点。DdoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话,那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难,如何采取措施有效的应对呢?下面我们从两个方面进行介绍。

预防为主保证安全

DdoS攻击是黑客最常用的攻击手段,下面列出了对付它的一些常规方法。

 

(1)定期扫描

 

要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。

 

(2)在骨干节点配置防火墙

 

防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。

 

(3)用足够的机器承受黑客攻击

 

这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和目前中小企业网络实际运行情况不相符。

 

(4)充分利用网络设备保护网络资源

 

所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了DdoS的攻击。

 

(5)过滤不必要的服务和端口

 

过滤不必要的服务和端口,即在路由器上过滤假IP ……只开放服务端口成为目前很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。

 

(6)检查访问者的来源

 

使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。

 

(7)过滤所有RFC1918 IP地址

 

RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DdoS的攻击。

 

(8)限制SYN/ICMP流量

 

用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DdoS效果不太明显了,不过仍然能够起到一定的作用。

寻找机会应对攻击

如果用户正在遭受攻击,他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户,很可能在用户还没回过神之际,网络已经瘫痪。但是,用户还是可以抓住机会寻求一线希望的。

 

(1)检查攻击来源,通常黑客会通过很多假IP地址发起攻击,此时,用户若能够分辨出哪些是真IP哪些是假IP地址,然后了解这些IP来自哪些网段,再找网网管理员将这些机器关闭,从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话,可以采取临时过滤的方法,将这些IP地址在服务器或路由器上过滤掉。

 

(2)找出攻击者所经过的路由,把攻击屏蔽掉。若黑客从某些端口发动攻击,用户可把这些端口屏蔽掉,以阻止入侵。不过此方法对于公司网络出口只有一个,而又遭受到来自外部的DdoS攻击时不太奏效,毕竟将出口端口封闭后所有计算机都无法访问internet了。

 

  (3)最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵,但是过滤掉ICMP后可以有效的防止攻击规模的升级,也可以在一定程度上降低攻击的级别。

   不知道身为网络管理员的你是否遇到过服务器因为拒绝服务攻击(DDOS攻击)都瘫痪的情况呢?就网络安全而言目前最让人担心和害怕的入侵攻击就要算是DDOS攻击了。他和传统的攻击不同,采取的是仿真多个客户端来连接服务器,造成服务器无法完成如此多的客户端连接,从而无法提供服务。

目前网络安全界对于DdoS的防范最有效的防御办法:

蜘蛛系统:由全世界各个国家以及地区组成一个庞大的网络系统,相当于一个虚幻的网络任何人检测到的只是我们节点服务器ip并不是您真实数据所在的真实ip地址,每个节点全部采用百M独享服务器单机抗2G以上流量攻击+金盾软防无视任何cc攻击.

无论是G口发包还是肉鸡攻击,使用我们蜘蛛系统在保障您个人服务器或者数据安全的状态下,只影响一个线路,一个地区,一个省或者一个省的一条线路的用户.并且我们会在一分钟内更换已经瘫痪的节点服务器保证网站正常状态.还可以把G口发包的服务器或者肉鸡发出的数据包全部返回到发送点,使G口发包的服务器与肉鸡全部变成瘫痪状态.试想如果没了G口服务器或者肉鸡黑客用什么来攻击您的网站

如果我们按照本文的方法和思路去防范DdoS的话,收到的效果还是非常显著的,可以将攻击带来的损失降低到最小。

注:Ddos攻击只能被减弱,无法被彻底消除。

分类: 解决方案 标签:

dedecms安全设置

2011年11月26日 没有评论

dedecms是一个非常好的CMS程序,现在最新版本是5.7。经过很多版本的升级和功能添加,dedecms仍然存在很多问题。这里不是说DEDECMS不好,相对来说dede还是很好的,简单容易用,造福了许许多多中小站长。

很久没更新博客,今天想浅谈DEDECMS安全设置。用dedecms的朋友一定有遇到过网站被挂马的事,不是每个页面中被添加很多链接就是js中被加入恶意转向。

浅谈DEDECMS安全设置:

1、尽可能的使用Linux主机纯PHP空间,Windows主机能运行ASP就多一份危险。

2、后台登录管理不要用admin为用户名 可以改成其他的。

3、data/common.inc.php文件属性(Linux/Unix)设置为644或(Windows NT)设置为只读。

4、针对uploads、data、templets 三个目录做执行php脚本限制。

5、不安装来路不明的模板,或者其他需要上传到FTP下的文件,要安装先杀毒再安装。

6、用最新版的程序,就算不是最新也一定要时刻关注官方发布的补丁及时打上补丁。

7、能不用会员系统最好不要用,可以直接删除member 会员文件夹,后台关闭会员功能。实在要用一定要设置 是否允许会员上传非图片附件 设置为否 对用户进行严格限制因为有很多垃圾注册机一天注册很多用户名。(游子推荐:删除member 会员文件夹 不用会员系统)

虚拟主机/空间配置目录执行php脚本限制方法:Apache环境和nginx环境的两种设置方法

对uploads、data、templets 三个目录做执行php脚本限制,就算被上传了木马文件到这些文件夹,也是无法运行的所以这一步很重要一定要设置。

在配置前需要确认你的空间是否支持.htaccess和rewrite,该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。

Apache环境规则内容如下:Apache执行php脚本限制 把这些规则添加到.htaccess文件中

RewriteEngine on RewriteCond % !^$

RewriteRule uploads/(.*).(php)$ – [F]

RewriteRule data/(.*).(php)$ – [F]

RewriteRule templets/(.*).(php)$ –[F]

nginx环境规则内容如下:nginx执行php脚本限制

LNMP有一个缺点就是目录权限设置上不如Apache,有时候网站程序存在上传漏洞或类似pathinfo的漏洞从而导致被上传了php木马,而给网站和服务器带来比较大危险。建议将网站目录的PHP权限去掉,当访问上传目录下的php文件时就会返回403错误。

首先要编辑nginx的虚拟主机配置,在fastcgi的location语句的前面按下面的内容添加:

location ~ /(data|uploads|templets)/.*\.(php|php5)?$ {

deny all;

}

好了就这些吧,做了这些应该不会有什么问题基本够用!建议用dedecms的朋友花点时间去设置一下。

Windows 8安装时间最短21分钟 只需点11次鼠标

2011年11月26日 没有评论

北京时间11月25日凌晨消息,在此前的各个Windows版本中,安装程序的过程都相当漫长,有时候甚至要花上一天的时间,不过微软今天承诺会在Windows 8中大幅提升安装速度。

Windows开发团队在一篇新的官方博文中表示,目前Windows 8的安装过程已经从Windows 7当中的复杂安装流程以及高达60屏的信息减少到了仅仅需要点击11下鼠标即可完成。作为对比,全新纯净安装Windows 7需要的最少时间32分钟,而Windows 8为21分钟。中等升级(21.3万个文件,77个应用),Windows 7需要时间131分钟,而Windows 8只要42分钟。重度升级(43万个文件,90个应用),Windows 7需要188分钟,而Windows 8只要46分钟。超级升级(144万个文件,120个应用程序),Windows 7需要513分钟,而Windows 8只要52分钟。

而此外,微软向下兼容的能力也依旧令人赞叹。Windows开发团队甚至还在一次会议当中展示了使用Windows 8运行一款1990年版的16位Excel文档。但是随着技术的发展,这种向下兼容的难度也越来越高。微软表示他们会依靠第三方设计人员来提供相应的支持。

分类: Windows 标签:

自动备份VPS数据的shell脚本(转)

2011年11月25日 没有评论

使用说明,将其保存为backup.sh,并为其添加执行权限

1
chmod +x /root/backup.sh

其中ftp账户密码自己配置。
代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
#!/bin/bash
#为backup.sh添加执行权限chmod +x /root/backup.sh
#添加脚本至crontab(自动启动程序)执行命令crontab -e,添加每天0点10分启动代码
#10 00 * * * /root/backup.sh 
 
#===========配置区开始==============
BACKUP_DATA_TEMP="/home/backup"
DB_USR="数据库用户名"
DB_PWD="数据库密码"
FTP_HOST="FTP主机名"
FTP_USR="FTP用户名"
FTP_PWD="FTP密码"
ZIP_PWD="压缩包密码"
 
#数据库文件位置
DB_PATH="/home/mysql_data"
 
#网站数据文件位置
WEB_PATH="/home/ftp/1520"
 
#其它要备份的文件夹
OTHER_PATH="/home/lum_safe_files"
 
#按周清理,设为0则按天清理
ROUND_WEEK="1"
#===========配置区结束============== 
 
FTP_FOLDER=$(date +"%Y-%m-%d")
if [ ROUND_WEEK = 1 ];then
OLD_FTP_FOLDER=$(date -d -3week +"%Y-%m-%d")
else
OLD_FTP_FOLDER=$(date -d -3day +"%Y-%m-%d")
fi
 
#在FTP空间里新建目录
ftp -v -n $FTP_HOST < $BACKUP_DATA_TEMP/$dbname.sql
mysqlhotcopy $dbname -u $DB_USR -p $DB_PWD $BACKUP_DATA_TEMP | logger -t mysqlhotcopy
#压缩数据库
zip -9 -q -r -P $ZIP_PWD $BACKUP_DATA_TEMP/$dbname.mysql.zip $BACKUP_DATA_TEMP/$dbname/
#删除sql文件
rm -rf $BACKUP_DATA_TEMP/$dbname/
#上传到FTP空间
ftp -v -n $FTP_HOST <
分类: Linux 标签:

12个免费DNS服务商

2011年11月25日 没有评论

下面将整理的12个免费DNS服务商分享出来:
1、Godaddy(www.godaddy.com)

Godaddy这个名字我相信大家应该都比较熟悉,可能有些人购买其域名或者网站空间,有些人不晓得其中还有DNS服务。请看“如何使用godaddy免费DNS解析域名”告诉你如何利用godaddyDNS服务,值得推荐。

2、DNSPARK(www.dnspark.net)

DNSPARK成立于2002年,算是一家比较老的免费DNS服务商,每个免费用户仅能添加2个域名,不过可以重复注册账号,如果有多个域名,还是推荐用其它的免费DNS解析。

3、EveryDNS(www.everydns.net)

EveryDNS目前已经被Dyn Inc收购,美国的免费DNS解析服务商,从2001年至今一直坚持提供稳定的服务。现在EveryDNS不提供免费域名注册服务,这样也使其被国内屏蔽的概率小了很多,国内用户可以放心使用。

4、ChangeIP(www.changeip.com)

一看名字就知道其提供DNS服务了,ChangeIP提供独立的免费DNS域名解析服务。另外,我们还可以利用提供百余种后缀的免费二级域名服务,支持添加设置域名转发、MX邮件记录、CNAME别名记录、A记录,还可以添加无限子域名!ChangeIP的域名转发服务有强制广告。

5、he.net(dns.he.net)

he.net成立于1994年,是美国老牌IDC,在技术领域比较强,尤其是IPV6应用。he.net这个免费DNS解析服务最多可以添加50个域名,可以设置A记录、AAAA记录、CNAME别名记录、MX邮件记录、NS记录、TXT记录、SRV记录,有5台DNS服务器供你使用,还可以添加slave、reverse(不知道是不是和IPV6有关)。

6、ZoneEdit(zoneedit.com)

美国著名的老牌免费域名DNS解析服务,成立于1999年。免费帐户最多可添加5个域名。解析类型:A记录、AAAA记录、 TXT文本记录、LOC记录、PTR记录、CNAME别名记录、MX邮件记录、网址转发、邮件转发等。界面超级简洁,速度快,稳定。

7、NameCheap(namecheap.com)

一看就知道其是一家不错的域名注册商,没错,和godaddy一样支持DNS服务。解析服务,支持的功能还挺多:网址转发(可隐藏原URL、支持301重定向)、电?邮转发、A记录、CNAME别名记录、MX邮件记录、TXT文本记录、NS记录、AAAA记录(IPV6)、动态域名解析。

8、Dnsever(Dnsever.com)

一家韩国网站,在2004年推出的域名免费DNS解析服务,界面支持朝鲜语和英文,该网站在韩国是数一数二的著名免费DNS服务商,提供的服务很稳定,支持所有英文域名,很多申请俄罗斯ru域名的喜欢用它做DNS服务器,设置记录几分钟完成解析。

网址:http://freedns.afraid.org/

9、MyDomain(mydomain.com)

MyDomain从1998年至今一直提供免费的DNS域名解析服务,现在被美国著名域名主机服务商Dotster收归旗下。MyDomain的免费域名DNS解析服务可以设置A记录、CNAME记录、MX记录、TXT记录以及NS记录,还可以设置网址转发和电邮转发。

10、FreeDNS(FreeDNS.ws)

一家美国免费域名DNS解析服务网站,界面简洁,注册简单,支持添加任何后缀的域名,支持Google Apps服务。免费域名DNS解析服务有三种模式:简单模式可直接设置IP指向、转发模式可设置301永久重定向和302临时重定向、高级模式可设置A记录、AAAA记录、CNAME记录、MX记录、PTR记录、TXT记录。

11、Sitelutions(sitelutions.com)

公司成立1995,提供免费的DNS服务,保证99.999%网络正常运行时间、支持动态DNS,网址重定向,可以在上面停放域名,免费的子域名,支持自定义域名服务器等。查询该域名的相关信息,PR值为6,域名于2002年注册,2013年到期,貌似确实挺好挺强大的样子。

12、Domain-dns(domain-dns.com)

Domain-DNS.com是BareMetal.com的一个分部,BareMetal.com本身是一家著名的网络主机和域名注册公司,坐落在加拿大的不列颠哥伦比亚省的维多利亚市。Domain-DNS.com的邮件转发服务是唯一要收费的,DNS和网页转发服务是免费的。域名可添加A、CNAME、MX、TXT记录。

分类: 网络产品 标签: ,

7z for linux安装与使用

2011年11月25日 没有评论

p7zip是Linux下一个高压缩率软件,也就是win下的7z压缩软件。很不错。linux版本的安装方式如下:

1
2
3
4
5
wget http://sourceforge.net/projects/p7zip/files/p7zip/9.20.1/p7zip_9.20.1_src_all.tar.bz2
tar jxvf p7zip_9.20.1_src_all.tar.bz2
cd p7zip_9.20.1
make
make install

命令使用参数与方法:
a 添加到压缩文件
b 基准测试,测试7z当前性能
d 从压缩文件中删除
e 从压缩文件中解压缩,但不包含目录结构(即所有各级文件都解压到一个目录里)
l 列出压缩文件的内容
t 测试压缩文件
u 更新文件到压缩文件
x 从压缩文件中解压缩,包含目录结构

例如打包根目录下www目录的文件

1
7za a vps12.7z /www

解压

1
7za x vps12.7z -o/home/www”

// -o表示输出目录,其与目录路径之间没有空格哦注意
如果要生成zip压缩包,可以直接将目标压缩包名设为vps12.zip,则它会自动使用zip算法压缩。

分类: 软件使用 标签:

域名基本知识

2011年11月22日 没有评论

什么是域名?
   从技术上讲,域名只是一个Internet中用于解决地址对应问题的一种方法。可以说只是一个技术名词。但是,由于Internet已经成为了全世界人的Internet,域名也自然地成为了一个社会科学名词。 Internet域名是Internet网络上的一个服务器或一个网络系统的名字,在全世界,没有重复的域名。域名的形式是以若干个英文字母和数字组成,由“.”分隔成几部分, 如net158.com就是一个域名,tjcity.com是一个国际域名,pcres.com.cn是一个国内域名。无论是国际或国内域名,全世界接 入Internet网的人都能够准确无误的访问到。
从社会科学的角度看,域名已成为了Internet文化的组成部分。

  从商界看,域名已被誉为“企业的网上商标”。没有一家企业不重视自己产品的标识–商标,而域名的重要性和其价值,也已经被全世界的企业所认识。1998年3月一个月内,世界上注册 了179,331个通用顶级域名(据InterNIC资料),平均每天注册5977个域名,每分钟25个! 这个记录正在以每月7%的速度增长。中国国内域名注册的数量,从96年底之前累计的300多个, 至98年11月猛增到的16644个,每月增长速度为10%。

域名有几种类型?
    域名分为顶层(TOP-LEVEL)、第二(SECOND-LEVEL)子域(SUB-DOMAIN)等。
    顶层分为几种类型,分别是:
.COM 商业性的机构或公司
.ORG 非盈利的组织、团体
.GOV 政府部门
.MIL 军事部门
.NET 从事Internet相关的网络服务的机构或公司
.XX由两个字母组成的国家代码,如中国为.CN,日本为.JP 等
     一般来说大型的或有国际业务的公 司或机构不使用国家代码。这种不带国家代码的域名也叫国际域名。这种情况下,域名的第二 层就是代表一个机构或公司的特征部分,如IBM.COM中的IBM。对于具有国家代码的域名,代表 一个机构或公司的特征部分则是第三层,如ABC.COM.CN中的ABC。

国内域名和国际域名有什么不同
国际域名是国际性域名,形式为aaa.com。
国内域名是地区性域名,形式为aaa.com.cn。
国际域名在级别上高于国内域名。
从使用角度上来看并没有太大区别。
从价格上来讲国际域名要低于国内域名。
从办理手续上来看国际域名手续要简单的多。

对于申请的域名有什么规定
域名中可以包含26个英文字母、0-9数字等连字符。
域名中的英文字母不区分大小写,不能用中文作域名。
国际域名:二级域名的长度不超过22个字符。
国内域名:三级域名的长度不超过20个字符。

谁是国际域名管理机构?
     ICANN是一个近年成立的、代替NSI公司的的非盈利机构,其主要职能包括管理因特网域名及地址系统。有关ICANN的信息可在网址 http://www.icann.org 中查询。

什么是域名地址服务器(即DNS)?
域名服务器用于把域名翻译成电脑能识别的IP地址。例如,如果有人要访问sohu的网站 (www.sohu.com), DNS就把域名译为IP地址 61.135.132.3 。这样就便于电脑查找域名所有人的网站服务器。

Internet上域名命名的一般规则是什么?
    由于Internet上的各级域名是分别由不同机构管理的,所以,各个机构管理域名的方式和域名命名的规则也有所不同。但域名的命名也有一些共同的规则,主要有以下几点:
一、域名中只能包含以下字符:
1. 26个英文字母
2. “0,1,2,3,4,5,6,7,8,9″十个数字
3. “-”英文中的连词号)
二、域名中字符的组合规则:
1. 在域名中,不区分英文字母的大小写
2. 对于一个域名的长度是有一定限制的 CN下域名命名的规则为:
一、遵照域名命名的全部共同规则
二、只能注册三级域名,三级域名用字母(A-0Z,a-z,大小写等价)、数字(0-9)和连接符(-)组成,各级域名之间用实点(.)连接,三级域名长度不得超过20个字符;
三、不得使用,或限制使用以下名称(下表列出了一些注册此类域名时需要提供的材料):
1)注册含有”CHINA”、”CHINESE”、”CN”、”NATIONAL”等 经国家有关部门(指部级以上单位)正式批准
2)公众知晓的其他国家或者地区名称、外国地名、国际组织名称不得使用
3)县级以上(含县级)行政区划名称的全称或者缩写 相关县级以上(含县级)人民政府正式批准
4)行业名称或者商品的通用名称不得使用
5)他人已在中国注册过的企业名称或者商标名称不得使用
6)对国家、社会或者公共利益有损害的名称不得使用
7)经国家有关部门(指部级以上单位)正式批准和相关县级以上(含县级)人民政府正式批准是指,相关机构要出据书面文件表示同意XXXX单位注册XXX域名。如:要申请beijing.com.cn域名,则要提供北京市人民政府的批文。

注册一个什么样的域名好?
    既然域名被视为企业的网上商标,那么,注册一个好的域名就是至关重要的了。一个好的域名往往与单位的以下信息一致:
1、单位名称的中英文缩写
2、企业的产品注册商标
3、与企业广告语一致的中英文内容,但注意不能超过20个字符
4、比较有趣的名字如:hello,howareyou,yes,168,163,等等

分类: 网络产品 标签:

MSSQL数据库的使用

2011年11月17日 没有评论
MSSQL使用帮助

1、如果您的SQL空间开通以后,请打开您本地的SQL server 企业管理器,如下图:

2、点SQL server 组右键,选择新建SQL server 注册,如下图:

3、弹出SQL server 注册向导,点下一步,如下图:

4、可用的服务器填写,您订单中的服务器IP地址,然后点添加,如下图:

5、您添加的服务器IP即可增加到右侧,然后点下一步,如下图:

6、按下图选择连接使用方式,点下一步;

7、按下图所示,按您的订单中显示的SQL用户名和密码,分别填写后,点下一步;

8、完成SQL server 注册,点击完成,如下图:

9、显示注册成功。(如果总是提示失败,请检查您的局域网是否开放了1433端口, 同时检查您的SQL链接超时时间,SQL默认超时时间为4秒,建议改成60秒—在SQL server 企业管理器=>工具=>选项=>高级。)

10、完成SQL server 注册后,在左侧列表中即可看到我们的远程服务器,如下图:

11、点击我们的远程服务器,展开,再展开数据库, 显示出服务器上的数据库列表,请找到您的订单中显示的数据库名称,点击展开,如下图:

12、在表上点击右键,选择所有任务,选择导入数据,如下图所示:

13、弹出数据导入向导,如下图:

14、选择您原来存放数据库的服务器及登陆方法,如下图所示:

15、选择目的,即为本公司的远程服务器,一般下图的内容不用修改;

16、点下一步后,按下图选择,再点下一步;

17、选择您想要导入的表、视图等数据内容,如下图所示:

18、可以点击全选,也可以手动选择;

19、选好后,点击下一步,弹出下面的图示,按提示,点下一步,完成。

20、至此,您已经设置好了数据库,然后修改您程序中的数据库链接,按您订单里面显示的服务器IP地址、数据库名、登陆用户名、登陆密码进行修改,即可进行数据库链接。

分类: 软件使用 标签:

使用CuteFTP软件上传文件

2011年11月15日 没有评论

CuteFTP 使用方法:[假设您的域名为:abc.com,您的FTP用户名则为:abc]

1.请先下载 http://www.newhua.com/soft/7249.htm  并安装 CuteFTP。

2. 运行 CuteFTP,点击 文件->站点管理器,弹出“站点设置新建站点”窗口;点击新建,填入FTP主机地址(您的空间IP地址),FTP站点用户名称,FTP站点密码,登陆类型选择普通,确认FTP主机地址,用户名,密码无误后点击连接。

3.连接成功以后显示如下图:左边栏为本地栏,右边栏为服务器栏,选择左边栏您需要上传的文件,点右键,选择上传即可。

分类: 软件使用 标签:

iptables防范cc攻击设置(转)

2011年11月13日 没有评论

当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。
1.系统要求
(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。
(2)iptables版本:1.3.7

2. 安装
安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit

3. 配置相应的iptables规则
示例如下:
(1)控制单个IP的最大并发连接数
iptables -I INPUT -p tcp –dport 80 -m connlimit \ –connlimit-above 50 -j REJECT
#允许单个IP的最大连接数为 30

(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数
iptables -A INPUT -p tcp –dport 80 -m recent \ –name BAD_HTTP_ACCESS –update –seconds 60 \ –hitcount 30 -j REJECT iptables -A INPUT -p tcp –dport 80 -m recent \ –name BAD_HTTP_ACCESS –set -j ACCEPT
#单个IP在60秒内只允许最多新建30个连接

4. 验证

(1)工具:flood_connect.c(用来模拟攻击)
(2)查看效果:

使用
watch ‘netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l’
实时查看模拟攻击客户机建立起来的连接数,

使用
watch ‘iptables -L -n -v | \grep<模拟攻击客户机的IP>‘
查看模拟攻击客户机被 DROP 的数据包数。

5.注意

为了增强iptables防止CC攻击的能力,最好调整一下ipt_recent的参数如下:
#cat/etc/modprobe.conf options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60 #记录1000个IP地址,每个地址记录60个数据包 #modprobe ipt_recent
当apache站点受到严重的cc攻击,我们可以用iptables来防止web服务器被CC攻击,实现自动屏蔽IP的功能。
1.系统要求
(1)LINUX 内核版本:2.6.9-42ELsmp或2.6.9-55ELsmp(其它内核版本需要重新编译内核,比较麻烦,但是也是可以实现的)。
(2)iptables版本:1.3.7

2. 安装
安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit

3. 配置相应的iptables规则

示例如下:
(1)控制单个IP的最大并发连接数
iptables -I INPUT -p tcp –dport 80 -m connlimit \ –connlimit-above 50 -j REJECT
#允许单个IP的最大连接数为 30

(2)控制单个IP在一定的时间(比如60秒)内允许新建立的连接数
iptables -A INPUT -p tcp –dport 80 -m recent \ –name BAD_HTTP_ACCESS –update –seconds 60 \ –hitcount 30 -j REJECT iptables -A INPUT -p tcp –dport 80 -m recent \ –name BAD_HTTP_ACCESS –set -j ACCEPT
#单个IP在60秒内只允许最多新建30个连接

4. 验证
(1)工具:flood_connect.c(用来模拟攻击)
(2)查看效果:
使用
watch ‘netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l’
实时查看模拟攻击客户机建立起来的连接数,

使用
watch ‘iptables -L -n -v | \grep<模拟攻击客户机的IP>‘
查看模拟攻击客户机被 DROP 的数据包数。

5.注意
为了增强iptables防止CC攻击的能力,最好调整一下ipt_recent的参数如下:

#cat/etc/modprobe.conf options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60
#记录1000个IP地址,每个地址记录60个数据包
#modprobe ipt_recent