艾銻知識 |防御DDoS攻擊實用指南 守住你的網站
2020-03-06 17:00 作者:艾銻無限 瀏覽量:
成為卓越領導者的三大法則
一家企業的成功和成長離不開優秀的管理者,更離不開卓越的領導者,管理者和領導者本質的區別,前者更多的是為了成就自己,而后者更多的是為了成就他人,
有的人因為祖輩的基因,后天環境以及所學習的內容,讓自己很容易進入領導者角色,有的人可能需要花更大的力氣和努力才能突破自身的局限,領悟成為領導者的法則,但無論是前者和后者都是在這條道路
上,只要向前,終點就不會太遠.當然對于追求完美的人來說,永遠都沒有終點,而每一個目標的達成都是一個新的起點.
那么我們普通人怎樣才能從管理者邁向卓越領導者之路呢,艾銻無限有三點建議分享給大家:
第一,不要考慮你的恐懼,而要考慮你的希望和夢想。
很多一線的伙伴,有著領導者的才華,但內心因為過往經歷或看到的,聽到的事件所影響,讓自己一想到所面對的未來,就心生恐懼,從而放棄可以爭取的機會,與人生的轉機失之交臂.
其實大部分恐懼都是頭腦的幻象,而非真實會發生的結果,但想像是可以殺死人的,我記得以前國外有一個實驗,在一個監獄里,監獄長為了懲罰一個無惡不作的重刑犯,有一天,他讓獄卒把這個重刑犯帶到一
個封閉的空間中,這間屋子不僅沒有光,而且聽不見外面的聲音,這個重刑犯被帶到這間屋子的中間,雙手和雙腳都被綁了起來,整個身體與地面平行并懸掛在空中,頭向下低著, 監獄長還給這個重刑犯帶上了
一個厚厚的頭套,讓他完全處在一個漆黑的狀態中,緊接者監獄長拿出一把匕首,快速在這個重刑犯人脖子上劃了一刀, 獄卒同時在這個人的脖子下方的地上放了一個盆, 監獄長和獄卒走后,整個屋子此刻只
能聽到盆里滴血的聲音,這個重刑犯知道自己的死期到了,也沒有掙扎,就帶著極度的恐懼聽著自己的血一滴一滴敲打在盆中,很快就暈了過去,過了一會,醒了過來,發現自己還在滴血,又嚇暈了過去,就這
樣,不斷的重復著……
一天過后,當人們打開門,這個重刑犯已經斷氣了,可他的脖子并沒有破,也沒有流血,那滴血聲音是怎么來的呢? 原來監獄長和獄卒安裝了一個滴水的龍頭, 監獄長用的是一把鈍刀,只劃破對方表皮淺淺的
一層,并沒有真正流出血來,這個重刑犯完全是被自己的恐懼嚇死的.
所以大家透過個實驗可以看到人類的自我暗示的威力有多大,很多時候不是我們沒有能力去做想做的事,而是我們內在不斷的否定,讓自己越來越恐懼去行動,從而導致最終的失敗,學會覺察內在的思想,從不
想要的想法中轉化到自己真正想要的想法上,行動力就會越來越強,自己想要的結果也會很快的達成.
第二,不要去想你的挫折,而要去想你尚未實現的潛能。
大約在公元前5世紀,有一個工匠受希臘雅典城的委托雕刻一座石像,這座雕像將矗立在神廟的頂上。
這座石像的正面很好處理,但背面因為方位的原因,非常難處理, 工匠為了能把背面處理得像正面一樣的漂亮,好幾次都從高處跌了下來,但他并沒有放棄,反而更加堅定了自己的決心,一定要實現同樣的效
果.
最終比預期時間晚了幾個月才完工,雅典城的官員因為他的超時而非常生氣,問道:“你把雕像的背面雕刻得跟正面一樣漂亮有什么用呢?又沒人看得見背面!”
這個叫菲亞迪斯的工匠回答道:“是嗎?可上帝能看見。”
這座石像就是2400年以后的今天依然矗立在雅典帕農神廟頂上的神像。
所以很多時候不是我們做不到,而是我們面對挫折和挑戰的時候,首先自我放棄,或者我們為了結果而湊合,而不是去追求卓越,追求內在真正的潛能,生命只有一次,不如大膽一點,反正我們什么也不會失去.
第三: 不要擔心你嘗試了什么,失敗了什么,而要關心你還能做什么。
策,他們被要求把預期的結果以書面形式記錄下來。9個月以后,他們必須按照預期結果對實際結果進行反饋分析。
這樣,他們很快就能知道自己在哪些方面做得很好,自己的優勢在哪里,并且也能知道自己必須在哪些方面抓緊學習以及必須改變哪些習慣。最后,他們還能知道哪些方面自己缺乏天賦并無法勝任。
德魯克自己采用這種方法至少有50年了,他說:“這種方法能夠揭示一個人的長處(一個人能夠了解自我,這可是最重要的事),并且指出哪些方面需要改進,需要哪種性質的改進,區分出是沒有能力做的事還
是根本不該嘗試的事,這樣就知道自己該如何改變.”
我們要學會運用時間工具,盡可能去做一些自己沒有做過的事,對自己有挑戰的事,不要活在自己的記憶和失敗中,而是要關注當下可以做點什么讓自己的未來有所不同,無論是圣賢還是偉大的導師他們都需要
進行反饋分析自己的思想和行為,來校正自己人生的方向和做事的標準,我們也一樣,所以學會自我反饋和邀請他人對我們進行反饋是我們快速成長的不二法門.
偉大的領導者都是活在自己的勇氣中,勇敢地追求自己的夢想,相信自己的潛能是無限的,每一次挫折都是一次學習,從來不放棄任何一次嘗試的機會,從不關心自己失敗了什么,而是想這一刻我能從失敗中學
習什么,做點什么可以讓自己的未來有所不同,你的人生又是如何做的呢?
艾銻知識 |防御DDoS攻擊實用指南 守住你的網站
一、為何要DDoS?隨著Internet互聯網絡帶寬的增加和多種DDoS黑客工具的不斷發布,DDoS拒絕服務攻擊的實施越來越輕易,DDoS攻擊事件正在成上升趨勢。出于商業競爭、打擊報復和網絡敲詐等多種因素,導致很多IDC托管機房、商業站點、游戲服務器、聊天網絡等網絡服務商長期以來一直被DDoS攻擊所困擾,隨之而來的是客戶投訴、同虛擬主機用戶受牽連、法律糾紛、商業損失等一系列問題,因此,解決DDoS攻擊問題成為網絡服務商必須考慮的頭等大事。
二、什么是DDoS?
DDoS是英文Distributed Denial of Service的縮寫,意即“分布式拒絕服務”,那么什么又是拒絕服務(Denial of Service)呢?可以這么理解,凡是能導致合法用戶不能夠訪問正常網絡服務的行為都算是拒絕服務攻擊。也就是說拒絕服務攻擊的目的非常明確,就是要阻止合法用戶對正常網絡資源的訪問,從而達成攻擊者不可告人的目的。雖然同樣是拒絕服務攻擊,但是DDoS和DOS還是有所不同,DDoS的攻擊策略側重于通過很多“僵尸主機”(被攻擊者入侵過或可間接利用的主機)向受害主機發送大量看似合法的網絡包,從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務,分布式拒絕服務攻擊一旦被實施,攻擊網絡包就會如同洪水般涌向受害主機,從而把合法用戶的網絡包沉沒,導致合法用戶無法正常訪問服務器的網絡資源,因此,拒絕服務攻擊又被稱之為“洪水式攻擊”,常見的DDoS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS則側重于通過對主機特定漏洞的利用攻擊導致網絡棧失效、系統崩潰、主機死機而無法提供正常的網絡服務功能,從而造成拒絕服務,常見的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種拒絕服務攻擊而言,危害較大的主要是DDoS攻擊,原因是很難防范,至于DOS攻擊,通過給主機服務器打補丁或安裝防火墻軟件就可以很好地防范,后文會具體介紹怎么對付DDoS攻擊。
三、被DDoS了嗎?
DDoS的表現形式主要有兩種,一種為流量攻擊,主要是針對網絡帶寬的攻擊,即大量攻擊包導致網絡帶寬被阻塞,合法網絡包被虛假的攻擊包沉沒而無法到達主機;另一種為資源耗盡攻擊,主要是針對服務器主機的攻擊,即通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無法提供網絡服務。
如何判定網站是否遭受了流量攻擊呢?可通過Ping命令來測試,若發現Ping超時或丟包嚴重(假定平時是正常的),則可能遭受了流量攻擊,此時若發現和你的主機接在同一交換機上的服務器也訪問不了了,基本可以確定是遭受了流量攻擊。當然,這樣測試的前提是你到服務器主機之間的ICMP協議沒有被路由器和防火墻等設備屏蔽,否則可采取Telnet主機服務器的網絡服務端口來測試,效果是一樣的。不過有一點可以肯定,假如平時Ping你的主機服務器和接在同一交換機上的主機服務器都是正常的,忽然都Ping不通了或者是嚴重丟包,那么假如可以排除網絡故障因素的話則肯定是遭受了流量攻擊,再一個流量攻擊的典型現象是,一旦遭受流量攻擊,會發現用遠程終端連接網站服務器會失敗。
相對于流量攻擊而言,資源耗盡攻擊要輕易判定一些,假如平時Ping網站主機和訪問網站都是正常的,發現忽然網站訪問非常緩慢或無法訪問了,而Ping還可以Ping通,則很可能遭受了資源耗盡攻擊,此時若在服務器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態存在,而ESTABLISHED很少,則可判定肯定是遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現象是,Ping自己的網站主機Ping不通或者是丟包嚴重,而Ping與自己的主機在同一交換機上的服務器則正常,造成這種原因是網站主機遭受攻擊后導致系統內核或某些應用程序CPU利用率達到100%無法回應Ping命令,其實帶寬還是有的,否則就Ping不通接在同一交換機上的主機了。
當前主要有三種流行的DDoS攻擊:
1、SYN/ACK Flood攻擊:這種攻擊方法是經典最有效的DDoS方法,可通殺各種系統的網絡服務,主要是通過向受害主機發送大量偽造源IP和源端口的SYN或ACK包,導致主機的緩存資源被耗盡或忙于發送回應包而造成拒絕服務,由于源都是偽造的故追蹤起來比較困難,缺點是實施起來有一定難度,需要高帶寬的僵尸主機支持。少量的這種攻擊會導致主機服務器無法訪問,但卻可以Ping的通,在服務器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態,大量的這種攻擊會導致Ping失敗、TCP/IP棧失效,并會出現系統凝固現象,即不響應鍵盤和鼠標。普通防火墻大多無法抵御此種攻擊。
2、TCP全連接攻擊:這種攻擊是為了繞過常規防火墻的檢查而設計的,一般情況下,常規防火墻大多具備過濾TearDrop、Land等DOS攻擊的能力,但對于正常的TCP連接是放過的,殊不知很多網絡服務程序(如:IIS、Apache等Web服務器)能接受的TCP連接數是有限的,一旦有大量的TCP連接,即便是正常的,也會導致網站訪問非常緩慢甚至無法訪問,TCP全連接攻擊就是通過許多僵尸主機不斷地與受害服務器建立大量的TCP連接,直到服務器的內存等資源被耗盡而被拖跨,從而造成拒絕服務,這種攻擊的特點是可繞過一般防火墻的防護而達到攻擊目的,缺點是需要找很多僵尸主機,并且由于僵尸主機的IP是暴露的,因此輕易被追蹤。
3、刷Script腳本攻擊:這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序,并調用MSSQLServer、MySQLServer、Oracle等數據庫的網站系統而設計的,特征是和服務器建立正常的TCP連接,并不斷的向腳本程序提交查詢、列表等大量耗費數據庫資源的調用,典型的以小博大的攻擊方法。一般來說,提交一個GET或POST指令對客戶端的耗費和帶寬的占用是幾乎可以忽略的,而服務器為處理此請求卻可能要從上萬條記錄中去查出某個記錄,這種處理過程對資源的耗費是很大的,常見的數據庫服務器很少能支持數百個查詢指令同時執行,而這對于客戶端來說卻是輕而易舉的,因此攻擊者只需通過Proxy代理向主機服務器大量遞交查詢指令,只需數分鐘就會把服務器資源消耗掉而導致拒絕服務,常見的現象就是網站慢如蝸牛、ASP程序失效、PHP連接數據庫失敗、數據庫主程序占用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火墻防護,輕松找一些Proxy代理就可實施攻擊,缺點是對付只有靜態頁面的網站效果會大打折扣,并且有些Proxy會暴露攻擊者的IP地址。
四、怎么抵御DDoS?
對付DDoS是一個系統工程,想僅僅依靠某種系統或產品防住DDoS是不現實的,可以肯定的是,完全杜絕DDoS目前是不可能的,但通過適當的措施抵御90%的DDoS攻擊是可以做到的,基于攻擊和防御都有成本開銷的緣故,若通過適當的辦法增強了抵御DDoS的能力,也就意味著加大了攻擊者的攻擊成本,那么絕大多數攻擊者將無法繼續下去而放棄,也就相當于成功的抵御了DDoS攻擊。以下為筆者多年以來抵御DDoS的經驗和建議,和大家分享!
1、采用高性能的網絡設備
首先要保證網絡設備不能成為瓶頸,因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網絡提供商有非凡關系或協議的話就更好了,當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDoS攻擊是非常有效的。
2、盡量避免NAT的使用
無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換NAT的使用,因為采用此技術會較大降低網絡通信能力,其實原因很簡單,因為NAT需要對地址往返轉換,轉換過程中需要對網絡包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用NAT,那就沒有好辦法了。
3、充足的網絡帶寬保證
網絡帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都很難對抗現在的SYNFlood攻擊,當前至少要選擇100M的共享帶寬,最好的當然是掛在1000M的主干上了。但需要注重的是,主機上的網卡是1000M的并不意味著它的網絡帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因為網絡服務商很可能會在交換機上限制實際帶寬為10M,這點一定要搞清楚。
4、升級主機服務器硬件
在有網絡帶寬保證的前提下,請盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包,服務器的配置至少應該為:P4 2.4G/DDR512M/SCSI-HD,起要害作用的主要是CPU和內存,若有志強雙CPU的話就用它吧,內存一定要選擇DDR的高速內存,硬盤要盡量選擇SCSI的,別只貪IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。
5、把網站做成靜態頁面
大量事實證實,把網站盡可能做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現在為止關于HTML的溢出還沒出現,看看吧!新浪、搜狐、網易等門戶網站主要都是靜態頁面,若你非需要動態腳本調用,那就把它弄到另外一臺單獨主機去,免的遭受攻擊時連累主服務器,當然,適當放一些不做數據庫調用腳本還是可以的,此外,最好在需要調用數據庫的腳本中拒絕使用代理的訪問,因為經驗表明使用代理訪問你網站的80%屬于惡意行為。
6、增強操作系統的TCP/IP棧
Win2000和Win2003作為服務器操作系統,本身就具備一定的反抗DDoS攻擊的能力,只是默認狀態下沒有開啟而已,若開啟的話可反抗約10000個SYN攻擊包,若沒有開啟則僅能抵御數百個,具體怎么開啟,自己去看微軟的文章吧!
guidance/secmod109.mspx
也許有的人會問,那我用的是linux和FreeBSD怎么辦?很簡單,按照這篇文章去做吧!
7、安裝專業抗DDoS防火墻
8、其他防御措施
以上的七條對抗DDoS建議,適合絕大多數擁有自己主機的用戶,但假如采取以上措施后仍然不能解決DDoS問題,就有些麻煩了,可能需要更多投資,增加服務器數量并采用DNS輪巡或負載均衡技術,甚至需要購買七層交換機設備,從而使得抗DDoS攻擊能力成倍提高,只要投資足夠深入,總有攻擊者會放棄的時候,那時候你就成功了!
相關文章
IT電腦維護外包
關閉