阿里雲伺服器清洗閥值
⑴ 阿里雲的伺服器ecs怎麼配置
第一步:收集Xshell登陸信息
登陸阿里雲管理中心,點擊「雲伺服器ECS」,點擊「實例」,看到伺服器信息頁面,點擊「管理」(如圖)在此信息中查看公網IP地址
阿里雲伺服器ECS配置全解
第二步:進入命令界面
打開 Xshell 4 ,點擊「用戶身份驗證」,輸入主機(公網IP),『確定』後輸入用戶名和密碼連接(如圖)
阿里雲伺服器ECS配置全解
第三步:更新並安裝yum源
#yum check-update 檢查可更新的所有軟體包
#yum update 下載更新系統已經安裝的軟體包
#yum install vsftpd -y 成功安裝yum源
第四步:創建FTP用戶
#service vsftpd start 啟動vsftpd
#useradd -p /alidata/www/wwwroot -s /sbin/nologin koothon 添加賬戶(此用戶名即為FTP用戶名,會在home文件下生成以用戶名命名的文件夾)
#passwd koothon 修改密碼(此密碼即為FTP的連接密碼)
確認密碼:在輸入密碼的時候,不顯示輸入的內容,兩次確認密碼一致就可以了
#chkconfig vsftpd on 設置為開機啟動
第五步:連接FTP上傳文件
登陸阿里雲下載文件:http://market.aliyun.com/proct/12-121590002-cmgj000262.html?spm=5176.7150518.1996836753.5.ngTItZ 解壓後會生成一個新的名為「sh-1.4.1」文件夾;
連接FTP解壓得到的「sh-1.4.1」文件夾上傳到根目錄下;
第六步:安裝環境
# cd /home/username 登陸伺服器進入根目錄
#chmod -R 777 sh-1.4.1 文件夾得安裝許可權
# cd sh-1.4.1 進入cd sh-1.4.1目錄
# ./install.sh 執行安裝命令
Please select the web of nginx/apache, input 1 or 2 : 1(自選nginx/apache版本:1、2);
Please select the nginx version of 1.0.15/1.2.5/1.4.4, input 1 or 2 or 3 : 3 (自選nginx版本:1、2、3)
Please select the mysql version of 5.1.73/5.5.35/5.6.15, input 1 or 2 or 3 : 3(自選mysql版本:1、2、3);
You select the version : 以下是選擇的版本:web : nginxnginx : 1.4.4php : 5.5.7mysql : 5.6.15Enter the y or Y to continue:y 輸入y或Y繼續:Ywill be installed, wait … (環境安裝中需要等待半小時左右)
看到如圖界面,那麼恭喜你環境安裝成功了!
阿里雲伺服器ECS配置全解
第七步:查看環境配置和安裝網站
#netstat -tunpl 此命令用戶查看服務及埠
在sh-1.4.1目錄輸入 #cat account.log 就能看到ftp和mysql的密碼
第四步:配置自己的網站
根據ftp用戶名密碼連接到伺服器將「phpwind」程序刪除,上傳自己的網站程序
解析已經備案域名到雲伺服器
管理資料庫http://www.xxxx.com/phpmyadmin
⑵ 阿里雲伺服器被攻擊-
根據全球 游戲 和全球移動互聯網行業第三方分析機構Newzoo的數據顯示:2017年上半年,中國以275億美元的 游戲 市場收入超過美國和日本,成為全球榜首。
游戲 行業的快速發展、高額的攻擊利潤、日趨激烈的行業競爭,讓中國 游戲 行業的進軍者們,每天都面臨業務和安全的雙重挑戰。
游戲 行業一直是競爭、攻擊最為復雜的一個江湖。 曾經多少充滿激情的創業團隊、玩法極具特色的 游戲 產品,被互聯網攻擊的問題扼殺在搖籃里;又有多少運營出色的 游戲 產品,因為遭受DDoS攻擊,而一蹶不振。
DDoS 攻擊的危害
小蟻安盾安全發布的2017年上半年的 游戲 行業DDoS攻擊態勢報告中指出:2017年1月至2017年6月, 游戲 行業大於300G以上的攻擊超過1800次,攻擊最大峰值為608G; 游戲 公司每月平均被攻擊次數高達800餘次。
目前, 游戲 行業因DDoS攻擊引發的危害主要集中在以下幾點:
• 90%的 游戲 業務在被攻擊後的2-3天內會徹底下線。
• 攻擊超過2-3天以上,玩家數量一般會從幾萬人下降至幾百人。
• 遭受DDoS攻擊後, 游戲 公司日損失可達數百萬元。
為什麼 游戲 行業是 DDoS 攻擊的重災區?
據統計表明,超過50%的DDoS和CC攻擊,都在針對 游戲 行業。 游戲 行業成為攻擊的重災區,主要有以下幾點原因:
• 游戲 行業的攻擊成本低,幾乎是防護成本的1/N,攻防兩端極度不平衡。 隨著攻擊方的手法日趨復雜、攻擊點的日趨增多,靜態防護策略已無法達到較好的效果,從而加劇了這種不平衡。
• 游戲 行業生命周期短。 一款 游戲 從出生到消亡,大多隻有半年的時間,如果抗不過一次大的攻擊,很可能就死在半路上。黑客也是瞄中了這一點,認定只要發起攻擊, 游戲 公司一定會給保護費。
• 游戲 行業對連續性的要求很高,需要7 24小時在線。 因此如果受到DDoS攻擊,很容易會造成大量的玩家流失。在被攻擊的2-3天後,玩家數量從幾萬人掉到幾百人的事例屢見不鮮。
• 游戲 公司之間的惡性競爭,也加劇了針對行業的DDoS攻擊。
游戲 行業的 DDoS 攻擊類型
• 空連接 攻擊者與伺服器頻繁建立TCP連接,佔用服務端的連接資源,有的會斷開、有的則一直保持。空連接攻擊就好比您開了一家飯館,黑幫勢力總是去排隊,但是並不消費,而此時正常的客人也會無法進去消費。
• 流量型攻擊 攻擊者採用UDP報文攻擊伺服器的 游戲 埠,影響正常玩家的速度。用飯館的例子,即流量型攻擊相當於黑幫勢力直接把飯館的門給堵了。
• CC攻擊 攻擊者攻擊伺服器的認證頁面、登錄頁面、 游戲 論壇等。還是用飯館的例子,CC攻擊相當於,壞人霸佔收銀台結賬、霸佔服務員點菜,導致正常的客人無法享受到服務。
• 假人攻擊 模擬 游戲 登錄和創建角色過程,造成伺服器人滿為患,影響正常玩家。
• 對玩家的DDoS攻擊 針對對戰類 游戲 ,攻擊對方玩家的網路使其 游戲 掉線或者速度慢。
• 對網關DDoS攻擊 攻擊 游戲 伺服器的網關,導致 游戲 運行緩慢。
• 連接攻擊 頻繁的攻擊伺服器,發送垃圾報文,造成伺服器忙於解碼垃圾數據。
游戲 安全痛點
• 業務投入大,生命周期短 一旦出現若干天的業務中斷,將直接導致前期的投入化為烏有。
• 缺少為安全而准備的資源 游戲 行業玩家多、資料庫和帶寬消耗大、基礎設施資源准備時間長,而安全需求往往沒有被 游戲 公司優先考慮。
• 可被攻擊的薄弱點多 網關、帶寬、資料庫、計費系統都可能成為 游戲 行業攻擊的突破口,相關的存儲系統、域名DNS系統、CDN系統等也會遭受攻擊。
• 涉及的協議種類多 難以使用同一套防禦模型去識別攻擊並加以防護,許多 游戲 伺服器多用加密私有協議,難以用通用的挑戰機制進行驗證。
• 實時性要求高,需要7 24小時在線 業務不能中斷,成為DDoS攻擊容易奏效的理由。
• 行業惡性競爭現象猖獗 DDoS攻擊成為打倒競爭對手的工具。
如何判斷已遭受 DDoS 攻擊?
假定已排除線路和硬體故障的情況下,突然發現連接伺服器困難、正在 游戲 的用戶掉線等現象,則說明您很有可能是遭受了DDoS攻擊。
目前, 游戲 行業的IT基礎設施一般有 2 種部署模式:一種是採用雲計算或者託管IDC模式,另外一種是自行部署網路專線。無論是前者還是後者接入,正常情況下, 游戲 用戶都可以自由流暢地進入伺服器並進行 游戲 娛樂 。因此,如果突然出現以下幾種現象,可以基本判斷是被攻擊狀態:
• 主機的IN/OUT流量較平時有顯著的增長。
• 主機的CPU或者內存利用率出現無預期的暴漲。
• 通過查看當前主機的連接狀態,發現有很多半開連接;或者是很多外部IP地址,都與本機的服務埠建立幾十個以上的ESTABLISHED狀態的連接,則說明遭到了TCP多連接攻擊。
• 游戲 客戶端連接 游戲 伺服器失敗或者登錄過程非常緩慢。
• 正在進行 游戲 的用戶突然無法操作、或者非常緩慢、或者總是斷線。
DDoS 攻擊緩解最佳實踐
目前,有效緩解DDoS攻擊的方法可分為 3 大類:
• 架構優化
• 伺服器加固
• 商用的DDoS防護服務
您可根據自己的預算和遭受攻擊的嚴重程度,來決定採用哪些安全措施。
架構優化
在預算有限的情況下,建議您優先從自身架構的優化和伺服器加固上下功夫,減緩DDoS攻擊造成的影響。
部署 DNS 智能解析
通過智能解析的方式優化DNS解析,有效避免DNS流量攻擊產生的風險。同時,建議您託管多家DNS服務商。
• 屏蔽未經請求發送的DNS響應信息 典型的DNS交換信息是由請求信息組成的。DNS解析器會將用戶的請求信息發送至DNS伺服器中,在DNS伺服器對查詢請求進行處理之後,伺服器會將響應信息返回給DNS解析器。
但值得注意的是,響應信息是不會主動發送的。伺服器在沒有接收到查詢請求之前,就已經生成了對應的響應信息,這些回應就應被丟棄。
• 丟棄快速重傳數據包 即便是在數據包丟失的情況下,任何合法的DNS客戶端都不會在較短的時間間隔內向同一DNS伺服器發送相同的DNS查詢請求。如果從相同IP地址發送至同一目標地址的相同查詢請求發送頻率過高,這些請求數據包可被丟棄。
• 啟用TTL 如果DNS伺服器已經將響應信息成功發送了,應該禁止伺服器在較短的時間間隔內對相同的查詢請求信息進行響應。
對於一個合法的DNS客戶端,如果已經接收到了響應信息,就不會再次發送相同的查詢請求。每一個響應信息都應進行緩存處理直到TTL過期。當DNS伺服器遭遇大量查詢請求時,可以屏蔽掉不需要的數據包。
• 丟棄未知來源的DNS查詢請求和響應數據 通常情況下,攻擊者會利用腳本對目標進行分布式拒絕服務攻擊(DDoS攻擊),而且這些腳本通常是有漏洞的。因此,在伺服器中部署簡單的匿名檢測機制,在某種程度上可以限制傳入伺服器的數據包數量。
• 丟棄未經請求或突發的DNS請求 這類請求信息很可能是由偽造的代理伺服器所發送的,或是由於客戶端配置錯誤或者是攻擊流量。無論是哪一種情況,都應該直接丟棄這類數據包。
非泛洪攻擊 (non-flood) 時段,可以創建一個白名單,添加允許伺服器處理的合法請求信息。白名單可以屏蔽掉非法的查詢請求信息以及此前從未見過的數據包。
這種方法能夠有效地保護伺服器不受泛洪攻擊的威脅,也能保證合法的域名伺服器只對合法的DNS查詢請求進行處理和響應。
• 啟動DNS客戶端驗證 偽造是DNS攻擊中常用的一種技術。如果設備可以啟動客戶端驗證信任狀,便可以用於從偽造泛洪數據中篩選出非泛洪數據包。
• 對響應信息進行緩存處理 如果某一查詢請求對應的響應信息已經存在於伺服器的DNS緩存之中,緩存可以直接對請求進行處理。這樣可以有效地防止伺服器因過載而發生宕機。
• 使用ACL的許可權 很多請求中包含了伺服器不具有或不支持的信息,可以進行簡單的阻斷設置。例如,外部IP地址請求區域轉換或碎片化數據包,直接將這類請求數據包丟棄。
• 利用ACL,BCP38及IP信譽功能 託管DNS伺服器的任何企業都有用戶軌跡的限制,當攻擊數據包被偽造,偽造請求來自世界各地的源地址。設置一個簡單的過濾器可阻斷不需要的地理位置的IP地址請求或只允許在地理位置白名單內的IP請求。
同時,也存在某些偽造的數據包可能來自與內部網路地址的情況,可以利用BCP38通過硬體過濾清除異常來源地址的請求。
部署負載均衡
通過部署負載均衡(SLB)伺服器有效減緩CC攻擊的影響。通過在SLB後端負載多台伺服器的方式,對DDoS攻擊中的CC攻擊進行防護。
部署負載均衡方案後,不僅具有CC攻擊防護的作用,也能將訪問用戶均衡分配到各個伺服器上,減少單台伺服器的負擔,加快訪問速度。
使用專有網路
通過網路內部邏輯隔離,防止來自內網肉雞的攻擊。
提供餘量帶寬
通過伺服器性能測試,評估正常業務環境下能承受的帶寬和請求數,確保流量通道不止是日常的量,有一定的帶寬餘量可以有利於處理大規模攻擊。
伺服器安全加固
在伺服器上進行安全加固,減少可被攻擊的點,增大攻擊方的攻擊成本:
• 確保伺服器的系統文件是最新的版本,並及時更新系統補丁。
• 對所有伺服器主機進行檢查,清楚訪問者的來源。
• 過濾不必要的服務和埠。例如,WWW伺服器,只開放80埠,將其他所有埠關閉,或在防火牆上做阻止策略。
• 限制同時打開的SYN半連接數目,縮短SYN半連接的timeout時間,限制SYN/ICMP流量。
• 仔細檢查網路設備和伺服器系統的日誌。一旦出現漏洞或是時間變更,則說明伺服器可能遭到了攻擊。
• 限制在防火牆外與網路文件共享。降低黑客截取系統文件的機會,若黑客以特洛伊木馬替換它,文件傳輸功能無疑會陷入癱瘓。
• 充分利用網路設備保護網路資源。在配置路由器時應考慮以下策略的配置:流控、包過濾、半連接超時、垃圾包丟棄,來源偽造的數據包丟棄,SYN 閥值,禁用ICMP和UDP廣播。
• 通過iptable之類的軟體防火牆限制疑似惡意IP的TCP新建連接,限制疑似惡意IP的連接、傳輸速率。
• 識別 游戲 特徵,自動將不符合 游戲 特徵的連接斷開。
• 防止空連接和假人攻擊,將空連接的IP地址直接加入黑名單。
• 配置學習機制,保護 游戲 在線玩家不掉線。例如,通過伺服器搜集正常玩家的信息,當面對攻擊時,將正常玩家導入預先准備的伺服器,並暫時放棄新進玩家的接入,以保障在線玩家的 游戲 體驗。
商用 DDoS 攻擊解決方案
針對超大流量的攻擊或者復雜的 游戲 CC攻擊,可以考慮採用專業的DDoS解決方案。目前,通用的 游戲 行業安全解決方案做法是在IDC機房前端部署防火牆或者流量清洗的一些設備,或者採用大帶寬的高防機房來清洗攻擊。
當寬頻資源充足時,此技術模式的確是防禦 游戲 行業DDoS攻擊的有效方式。不過帶寬資源有時也會成為瓶頸:例如單點的IDC很容易被打滿,對 游戲 公司本身的成本要求也比較高。
DDoS攻擊解決方案——高防IP
新式高防技術,替身式防禦,具備4Tbps高抗D+流量清洗功能,無視DDoS,CC攻擊,不用遷移數據,隱藏源伺服器IP,只需將網站解析記錄修改為小蟻DDoS高防IP,將攻擊引流至小蟻集群替身高防伺服器,是攻擊的IP過濾清洗攔截攻擊源,正常訪問的到源伺服器,保證網站快速訪問或伺服器穩定可用,接入半小時後,即可正式享受高防服務。
⑶ 阿里雲伺服器能抗ddos嗎可以抗多少流量的ddos
阿里雲伺服器能抗ddos嗎?可以抗多少流量的ddos?是部分擔心遭到DDOS攻擊的用戶比較關心的問題,因為網站遭遇到DDoS攻擊是很多用戶非常煩惱的事情,網站一旦遭到DDOS攻擊很容易導致網站無法訪問而又難以解決,阿里雲伺服器都有一定的DDoS基礎防護,下面我們一起看看!
阿里雲伺服器能抗ddos嗎?
阿里雲伺服器根據地域和配置的不同,可以免費抗一定流量的DDOS攻擊,但是超過初始黑洞觸發閾值就抗不了了,會進入黑洞。
阿里雲伺服器可以抗多少流量的ddos?
用戶在購買阿里雲伺服器之後,雲盾DDoS基礎防護會為用戶提供一定的DDoS基礎防護,各個地域默認初始黑洞觸發閾值如下表所示(單位:bps)。參考資料: DDOS防護
默認的黑洞時長是2.5個小時,黑洞期間不支持解封。 實際黑洞時長視攻擊情況而定,從30分鍾到24小時不等。黑洞時長主要受以下因素影響:
從以上信息,我們可以知道,阿里雲伺服器根據地域和配置的不同,可以免費抗一定流量的DDOS攻擊,但是超過初始黑洞觸發閾值就抗不了了,會進入黑洞,因此,如果DDOS流量過大,還是需要用戶自己採取一些措施或者付費買DDOS防護等產品。 點此進入阿里雲DDoS防護服務 :獲取更高的帶寬清洗能力並將防禦前置到網路邊緣。包含DDoS高防(新BGP)、DDoS高防(國際)、DDoS原生防護、游戲盾等
作為用戶,我們應該如何防止雲伺服器被DDOS?
我們在使用阿里雲伺服器的時候,我給出幾個建議。
1、掛cdn隱藏IP,在換成新的ip後,請務必掛cdn對真實的ip進行隱藏。參考資料: 阿里雲CDN-內容分發網路-CDN網站加速
2、cdn還可以不止套一層,可以多層一起嵌套。
3、准備多個伺服器做反向代理(配置可以不高能運行nginx就行,最好是那種空路由時間短的),每個反向代理伺服器都指向主伺服器節點,都綁定一個二級域名,都掛上不同的cdn。
4、主域名可以隨時解析到任意一個反向代理伺服器,並且可以掛免費的雲監控來實時知曉狀態,一個節點死了改解析就行。
5、在防火牆層面禁止所有的國外ip(這是大部分肉雞主要來源),可以很好的降低攻擊流量。
以上是比較簡單,低成本的方法,如果錢多的話,建議購買阿里雲高防IP和高防CDN等防禦產品,這樣針對不同場景不同的環節也有針對性的防禦方案。
⑷ 解決公司網路無法通過ssh連接阿里雲ECS的22埠
公司的出口公網IP都無法通過22埠連接阿里雲的伺服器,包括公司的ECS和個人的ECS,而且這個現象只有在阿里雲出現,在騰訊雲/滴滴雲並沒有出現。
1 .能夠ping通,且無丟包現象。
2 . telnet連接22埠被遠程中斷
由此推斷是阿里把公司的出口IP加入了22埠黑名單
控制台-雲安全中心-設置-配置白名單
封禁原因是因為公司git有大量pull/push操作等疑似攻擊的操作?但是封禁也沒必要把這個出口IP列入黑名單吧,這樣無論是個人還是公司的阿里雲伺服器都失聯了,還得去用阿里控制台自帶的遠程連接?太lj了。。。
網上找到有類似的情況,導致工作延誤,況且這是在疫情期間...大家都遠程辦公你把我IP封了..也太安全了吧。
相關案例
給這個案例發起人點贊都不行?
⑸ 如何監控linux阿里雲磁碟空間
Linux系統中需要監控磁碟各分區的使用情 況,避免由於各種突發情況,造成磁碟空間被消耗殆盡的情況,例如某個分區被Oracle的歸檔日誌耗盡,導致後續的日誌文件無法歸檔,這時ORACLE數 據庫就會出現錯誤。監控磁碟空間的使用情況,其實有許多工具,例如Nagios等,其實最簡單的還是使用Shell腳本。下面就介紹一下如何通過 Shell腳本和Crontab作業結合來實現對磁碟空間的監控、告警。
一般查看磁碟各分區的使用情況可以通過df命令來查看,網上有兩種獲取磁碟使用百分比的Shell腳本。
1:df -h | grep /dev | awk '{print $5}' | cut -f 1 -d "%"
2:df -h | grep /dev | awk '{print $5}' | sed 's/%//g'
但是這兩個命令還是有些bug,例如如下截圖所示:當顯示內容過長,導致換行時。此時上面的Shell腳本就無法獲取其值。
尤其是某些特殊情況下,完全無法准確獲取相應數據
此時只需在參數上稍微做一下調整即可
1:df -P | grep /dev | awk '{print $5}' | cut -f 1 -d "%"
2:df -P | grep /dev | awk '{print $5}' | sed 's/%//g'
下面腳本是用來監控各分區使用情況,當超過閥值(默認為90%)時,發出告警郵件,通知管理員及時處理。
#*************************************************************************
# FileName : disk_capatiy_alarm.sh
#*************************************************************************
# Author : Kerry
# CreateDate : 2013-11-07
# Description : this script is mointoring the linux disk
# capacity, if disk used more than 90%,
# then it will send a alarm email
#*************************************************************************
#! /bin/bash
email_content="/home/oracle/scripts/output/disk_sendmail.pl"
email_logfile="/home/oracle/scripts/output/diskdetail.txt";
cat /dev/null > ${email_content};
cat /dev/null > ${email_logfile};
SendMail()
{
date_today=`date +%Y_%m_%d`
subject="The server xxxxxx\'s Disk Capacity Alarm"
content="Dear All,
The server xxxx(xxx.xxx.xxx.xxx) disk capacity alarm ,please take action for it. many thanks!
"
echo "#!/usr/bin/perl" >> ${email_content}
echo "use Mail::Sender;" >> ${email_content}
echo "\$sender = new Mail::Sender {smtp => 'xxx.xxx.xxx.xxx', from => '[email protected]'}; ">> ${email_content}
echo "\$sender->MailFile({to => '[email protected]',">> ${email_content}
echo "cc=>'[email protected]'," >> ${email_content}
echo "subject => '$subject',">> ${email_content}
echo "msg => '$content',">> ${email_content}
echo "file => '${email_logfile}'});">> ${email_content}
perl ${email_content}
}
for d in `df -P | grep /dev | awk '{print $5}' | sed 's/%//g'`
do
if [ $d -gt 90 ]; then
df -h >>$email_logfile;
SendMail;
exit 0;
fi
done