❶ 我們的網路是英特網,一但關閉,有「備胎」嗎
應邀回答本行業問題。
現在互聯網的確是掌握在美國手中的,不過如果說"美國關閉中國的互聯網",我們還真是有備份的。
第一種方式如果不是到了非常嚴重的情況下,是不會有哪個國家敢做的,這個和打別國家的衛星的區別也不大了,你可以砍我的,我也可以砍你的,這個還是相互制約的。
另外一種辦法就是使用"根伺服器"這個大殺器。
全球IPV4的根伺服器,共有13個,主要是在美國,其中又分為主根伺服器和副根伺服器,主根伺服器只有1個在美國,輔根伺服器之中9個在美國,剩餘的2個在歐洲(英國和瑞典),1個在日本。
根伺服器的作用在DNS定址上。當我們訪問一個網址的時候,需要根伺服器參與域名的解析。
而如果美國啟動根伺服器這個大殺器的話,可以關閉中國用戶對互聯網的訪問,也可以讓外界的電腦無法訪問中國的網站,這個也相當於關閉了中國的互聯網了。
曾經,美國將伊拉克的域名".iq"封殺,導致了伊拉克在互聯網中消失了。
互聯網實際上是有很多大大小小的區域網組成的,而現在絕大部分用戶訪問的互聯網實際上是中國的"區域網",可以訪問"外網"的只有少部分人。
而中國有自己的鏡像伺服器,早就把這些根伺服器的內容抄了一遍,即使根伺服器關閉了,也可以通過鏡像伺服器來進行互聯網的訪問,影響的可能更多的是其他國家訪問中國的網站。
為了避免在極端的情況下受制於人,而且也是為了獲得更多的公網IP,中國一直都是IPv6的積極推進者,啟動了雪人計劃,並且在國內部署了1主根、3輔根的IPV6根伺服器,也打破了中國沒有根伺服器的 歷史 。
而現在全球已經部署了25台IPv6的根伺服器,而且國內的三大運營商已經基本的完成了IPv6的改造,現在我們大多數的終端也都是支持IPv6的,至少新的終端和設備是這樣的。
總而言之,我們在網際網路上其實是有備胎存在的,而且還不止一套,所以大家不必過分擔心。
很遺憾的說,目前來說網際網路一但關閉,我們真沒有什麼「備胎」,但是我們訪問國內的網站應該影響不大,有的朋友說有備份,那也僅僅是對國內的網站而言,對國外的網站來說,基本是封殺的乾乾凈凈了
網際網路的關閉,從技術商來說,主要是有幾種手段,其一主要是通過封鎖DNS的根伺服器來完成。全球有13台根伺服器,其中美國有一台主根伺服器和9根副根伺服器。而日本,瑞典,英國分別有三台副根伺服器,中國一台沒有。
DNS的根伺服器有什麼用?簡單的說,如果我們要訪問後綴是com或net的網站,就需要通過根伺服器來解析WWW域名對應的IPv4地址,如果根伺服器被關了,我們無法獲取這些網站的IP地址,也就無法正常的訪問網站。同樣,如果位於國外的根伺服器不讓解析中國的cn的域名,那麼外國人也無法訪問中國網站
不過沒有關系,我們國家也有鏡像DNS根伺服器,鏡像根伺服器的意思就是我們拷貝了一份根伺服器的數據到中國的鏡像根伺服器,這樣我們在訪問網站做域名解析時,就不用繞道國外的根伺服器了,直接在中國的鏡像的DNS根伺服器訪問就可以,目前我們國家有四台鏡像根伺服器,全國60%的流量實際上是到中國自己的鏡像根伺服器訪問的
是不是覺得高枕無憂了?當然不是的,我們模擬一下敵對國家的極限攻擊手段,順帶說一下,一些朋友說的切斷國外的通信光纜,根本就是很愚蠢的方法
攻擊1:M國切斷全球13台IPv4的根伺服器對中國的服務
此時中國的四台鏡像根伺服器發生作用,中國依然可以解析com這些網站,依然可以獲取IPv4地址。但是如果國外網站的IPv4地址如果變了,比如美國把聯合國的IP地址變成其他的地址,由於中國鏡像的根伺服器無法獲得美國根伺服器的最新數據,中國將無法訪問。
攻擊2:M國更換重要機構的IPv4地址
中國鏡像的根伺服器無法獲得美國根伺服器的最新數據,中國將無法訪問這些更新後的地址
攻擊3:M國屏蔽中國的cn域名
國外的用戶將無法訪問中國的所有網站,除非知道中國網站的IP地址,此時中國基本被封殺,只有通過IPv4地址直接和海外機構聯系
攻擊4:M國直接在全球IXP、ISP封殺來自中國的IP地址流量
IXP是全球互聯網交換流量的機構,全球所有運營商互相訪問的流量通過IXP轉發。ISP是運營商,例如移動電信就是ISP。這種封殺根本無需斷什麼海底光纜,只要在全球非中國的IXP和ISP的路由器上,把來自中國的流量過濾和丟棄,這樣會完全切斷中國和國外的任何溝通,中國徹底成為孤島。唯一的解決方案就是中國通過第三方國家和世界聯系
所以我們可以看到,真的有這種極限封殺,中國哪有什麼備胎?也就是保證我們在中國內部的網路訪問沒有問題罷了。以前俄羅斯做過一次極限測試,就是這種情況
至於很多人說中國的雪人計劃,中國主導「雪人計劃」於2016年在全球16個國家完成25台IPv6根伺服器架設,事實上形成了13台原有根加25台IPv6根的新格局,中國有四台根伺服器,這個計劃可以阻擋攻擊1、2、3,擋不了攻擊4
而且,目前中國的互聯網流量80%還是IPv4的,所以目前雪人計劃應該沒有任何作用。所以為了國家的安全,國家才在2017年底和2018年初兩次發文要求推進IPv6的網路建設,這也是從國家安全入手的必經之路
所以,這個問題的答案是,美國真要完全關閉中國的網路,中國一點辦法也沒有,沒有什麼備胎,只能通過第三國和世界聯系 。但是這種手段是一個雙刃劍,真到了那個地步,可能就是「不惜一戰」的階段了
目前世界上使用的是是Internet,音譯過來就是所謂的英特網。
按您這所提問的一旦關閉,是指米國吧。如果想深入了解這個問題,我們首先要了解一下這個英特網的來由。這個可以直接網路上就有介紹,或是對應網路的書本也有這些的介紹,這里我也簡要介紹一下。
英特網主要是用於信息交流或交換,這里的信息包括各種各樣,但是這個信息是如何交換或是交流的呢?這里就要做一個區分了,國與國之間的交流,國內之間的交流,省與省或是同城間的交流。
說到這里,大夥可能就會問了,為什麼要這樣區分呢?如果是網路大神就略過吧,其他的同學跟上來。
首先說省與省或是同城間的交流。我們要實現信息交流,就先得有一個IP地址,就像一個人要一個住的地方一樣,盡管這個地方隨時有可能要搬走,但在一個時刻內都會有一地址。然而這個地址是誰分配給我們的呢?是電信、移動、聯通這些電信運營商,他們分配了一個地址給咱們,這地址可以有很多人共用,如同戶口本一樣,裡面可以掛靠很多人一樣的道理,咱們拿到這個地址就可以給其他地址的人寫信了,當然,我們也得有省內或是同城其他同學的地址他們才可以收到信,否則不知道寄往何處。
那麼省與省之間,或是國與國之間也是同樣的道理,只是我們不用跑郵局寄信。
以上這些是用通訊的原理簡單的描述,接下來深入點。
只要同城或是省內的網路線路正常,而且省內間或是同城的DNS伺服器(動態域名解析伺服器)正常,盡管省外的線路中斷,都可以正常訪問,除非是一些特殊服務或是有與省外做交互的會受影響。
由此來看國與國之間的,如果我們將DNS的根伺服器(DNS根伺服器在米國)在國內做了備份,不管美國那邊發生了什麼事中斷了網路,我們都可以訪問其他國家的網端,如果我們沒有對根伺服器做備份,就像前幾年那一件事那樣,在美國的DNS根伺服器受到了攻擊,咱們國內的用戶使用DNS訪問網站時就出現訪問失敗。
那麼我們可以不用管其他國家的事情,就算我們出口國外的網路通訊電纜中斷了,我們國內也是可以正常使用網路,只是這個網路只能在國內,無法訪問國外的網站了。
總結:只要國內的網路線路或是網路服務正常,不管國外的如果,對訪問國內的伺服器不有什麼影響,如果要訪問國外的,那就用不了啦。
至於說到備胎,自從幾年前美國DNS根伺服器受攻擊造成我們網路服務中斷的事件發生之後,我們國內也開始是DNS伺服器備份,不再強依賴國外的DNS伺服器了。
希望能解開你的疑問。
一直有一個不願意被承認的現實:我們真的沒有英特網。我們現在使用的是美國的「英特網」!假如美國關閉了我們的網路,似乎比谷歌關閉安卓系統;微軟停止Windows更嚴重。那,真的如此嗎?
目前全球有13台根伺服器,其中美國有一台主根伺服器和9根副根伺服器。而日本,瑞典,英國分別有三台副根伺服器,我們的伺服器確實一台沒有,如果美國想不開,將伺服器關閉,我們確實沒有任何手段。
但是,我們真的沒有任何緩解之力嗎?顯然這種說法是不準確的。一方面美國如果關閉根伺服器,影響的不僅僅是我國,美國自己也會受波及,而且依賴網路運行的所有活動可能面臨影響,這是全球性的,美國除非和世界為敵!另一方面,不要小看我們國家的「備胎」。
所以,我們不用擔心美國關閉英特網,美國也制約不到我們。
英特網也就是我們所說的互聯網,在IPv4時代,美國屬於「霸權地位」,對互聯網擁有絕對的控制權,如果美國斷開我國的互聯網連接,會導致什麼問題呢?我國有「備胎」計劃嗎?下文具體說一說。
通常情況下,我們使用域名訪問一個網站,即DNS域名解析,將域名轉換為IP地址,才能訪問某個網站。DNS域名伺服器採用了樹狀的結構, 全球有13台根域名伺服器,唯一的1個主根伺服器位於美國 ,因此,理論上美國可以通過主根伺服器切斷任何一個國家的網路。
美國能夠隨意關閉其他國家的網路嗎?實際上不可能完全做到,如果美國關閉了我國的DNS服務,那麼只能影響到中國與國際的互通, 我國的內網是不受影響的,可以正常訪問國內所有的網站 ,況且,除非經過特殊方式,我們也很少能夠訪問到國外網站。也就是,美國關閉我國的DNS服務,影響不是很大。
目前,我國在大力推進IPv6的進程,已經實現了核心網的IPv6改造,各大互聯網巨頭可以提供IPv6接入,某些地區連接到寬頻網路,可以獲取到IPv6地址。
在IPv6時代,我國主導了「雪人計劃」, 全球有25個IPv6根伺服器國家,共同打造第六代互聯網協議,其中1台主根伺服器,3台輔根伺服器在我國 。「雪人計劃」採用了多種定址方式,打破了現有的13個根域名伺服器的局面,引入了多個根域名伺服器運營者,實現了「多邊共治」的局面,也就是,在IPv6時代,美國無法繼續維持全球互聯網霸權。
總之,即便美國關閉了我國的DNS服務,斷開了我國與互聯網的連接,也不會產生太大的影響,畢竟我們訪問網站以國內網站為主。隨著IPv6的普及,美國的在互聯網領域的「霸權地位」將會受到越來越多的挑戰。
這個說實話,對於普通用戶來說根本不會產生任何的影響。
美國關閉我國的英特網有兩種實現方式:
無論哪種方式,你我該上網上網、該聊天聊天、該 游戲 游戲 ,幾乎不會受到影響。
基本上國內用戶很少有訪問國外網站的習慣,本地應用完全能夠滿足所有需求。
不信您可以想像一下自己的上網應用:
幾乎很少使用,只是今後海淘是沒法使用了,可以和聯想thinkpad筆記本告別了!
當然,特殊職業除外,例如經常需要訪問國外網站、查找國外文獻的工作者等,不過教育專網能夠解決絕大部分的問題。
說完了普通用戶的使用習慣,來看看網路是如何實現訪問的吧!
一、DNS伺服器
這里就需要使用功能到域名解析伺服器,稱為DNS。
全球根域名伺服器絕大部分位於美國,這也就是美國能夠遏制我國互聯網的主要原因(包括一台主根伺服器,9台輔根伺服器)。
二、DNS伺服器工作原理
DNS伺服器主要是將用戶的域名解析成為具體的IP地址,用於產找具體伺服器的位置。
簡單點說,就是一個翻譯,沒有這個翻譯就無法和伺服器進行通訊。
一般用戶提出請求,會轉向本地DNS伺服器,本地DNS伺服器匹配自身條目是夠匹配。匹配則將信息反饋至用戶,否則將會向上級DNS伺服器進行查找。逐級查找無匹配後,最終才會到達美國的根域名伺服器。
結合我國用戶使用習慣,基本上在各自運營商建立的內部DNS伺服器就能夠完成解析工作。
根本沒有機會到達美國的根域名伺服器,並且我國網路管控較嚴,用戶很難具有外網訪問的許可權。民間一般通過翻牆解決。
三、具體舉例
也可以簡單的把各個國與國之間看成是一個大的互聯網,各國內部簡單看成是一個大的區域網。
當然,這樣舉例並不恰當,也就是這個意思。
因此,即便關閉也不會對我們產生任何影響。
英特網成立的初衷便是開放、共享,希望美國不會出此昏招。
您覺得英特網關閉後,是否能夠對我國造成影響呢?
在以前IPv4時代,美國對互聯網擁有絕對的控制權,我國是否有「備胎計劃,請看下文:
全球有 13台 根 域名伺服器 ,唯一的 1個主根伺服器位於美國 ,這就是美國的強大之處,想斷誰的網就斷誰的。
其實也不是想斷就全部斷掉的畢竟我們還有內網,中國互聯網,只是不能和國外的人一起,我們國家早在很久前就有布置。
名為:「雪人計劃」俗稱IPv6
雪人計劃」是2015年6月23日在國際互聯網名稱與數字地址分配機構(ICANN)第53屆會議上正式對外發布的。在IPv6時代,我國主導了「雪人計劃」,全球有25個IPv6根伺服器國家,共同打造第六代互聯網協議,其中1台主根伺服器,3台輔根伺服器在我國 隨著我國的強大,美國的在互聯網領域的「霸權地位」就會被不斷挑戰,這就是我國做的准備。
我們的網路是英特網,一但關閉,有「備胎」嗎?確實互聯網是不能叫英特網,英特網更不能叫互聯網,全球目前使用的是老美的「英特網」,在這個網上老美是擁有控制權的。但說到如果美國關閉英特網,是否就完全失去了網路訪問呢?那倒不是這樣的。
域名系統是目前所謂互聯網的關鍵,如果域名系統不同,整個網路的域名訪問就不通了。目前域名根伺服器數量被限定為13個,美國10個、英國、瑞典、日本各有一個,而主根伺服器只有一台放在美國。而管理這些根伺服器的是被美國政府授權ICANN統一管理,名譽上為國際非盈利組織,但實際上美國對其管理擁有極大發言權。
那美國把根伺服器給斷掉,是否就把我們的網路全部斷掉呢?曾經有傳言說伊拉克戰爭期間,美國授權停止伊拉克".IQ"的申請和解析,一夜之間所有".IQ"的域名就不能訪問。但事實上如果做好准備,是不會達到不能解析的,其重要的就是題主所說的「備胎」。而我們是有備胎的,所以要斷掉國內".com"、或者".com,.cn"等諸如此類域名的。
首先在運營商處,根伺服器的記錄可以緩存在遞歸伺服器中心,遞歸伺服器就可以作為根伺服器的作用。
其次建立根伺服器的鏡像。目前在國內已經建立了多個根伺服器鏡像,國內的根伺服器鏡像就可以提供服務,而不需要根伺服器。
再次即使美國通過根伺服器斷掉中國服務,最多也只是達到斷掉國內和國外的互聯互通而已,國內網基本不受影響,國內的網路該幹啥還能幹啥。
為了建立一個真正的全球互聯網,「雪人計劃」將徹底改變目前受制於美國的現狀。在全球部署了25台IPv6的根伺服器,中國就部署了1台主根伺服器和3台輔根伺服器,沖破了IPv4隻能13個根伺服器的限制。通過更多的IPv6根伺服器的架設,屬於真正的「互聯網」時代才會來臨,這樣的「備胎」真在慢慢轉正。
所謂的互聯網實質是由一些公開的網路協議和網路中的各個節點(伺服器)組成的,所以實在不能理解你說的「關閉」是怎樣一種方式,最多切斷,切斷海底光纜,切斷與國外的聯系,那麼我們國內的所有網路都還在,BATT照樣該訪問還訪問,只是我們的網路的范圍縮小了,變成了國內網,但不存在關閉這種說法。
或許你真正擔心的是我們的網路會受制於人,但這個問題其實並不需要太過擔心,國內有完整的一整套互聯網設備,有DNS有核心組件,並且實際上我們一直以來很多國外網站也都是訪問不了的,對普通網民來說真的不會有多少差別。
退一萬步說,國外勢力收回IPV4的地址所有權,我們完全可以啟用IPV6,這是個很好的契機,目前國內在推廣IPV6上並不順利,而一但國內都用上IPV6了,互聯網的命脈就已經掌握在我們自己手上了。
萬物互聯,5G真正強大的地方,還沒看到,未來,可以部分擴展網際網路功能,延伸功能,通過5G無線網路,實現電腦聯網運行,隨時,隨地都可以,聯網運行,把不同地方的電腦,連接起來,你出差外地,家裡電腦,連接上手機,跟對方撥通手機,連接到那邊電腦上,可以實現組網運行,手機當做《連接橋》實時數據共享,在外邊,啟動家裡電腦工作,我們中國,人口密度高,光纖網路,分攤成本低,尤其,美國這種,地廣人稀的國家,用無線網,成本更低,美國這些,近視,短視的傢伙,腦子拐不過這個灣子,真是,腦子又被驢踢了,等著被全世界,甩幾條街把,這總統,太愚蠢。
這樣做起來,節約資源,電腦也會,變成,共享單車。
汽車 也可以,共享了,節約 社會 資源。
難怪美國,要打壓華為,這網際網路,要退居二線了。以後,再也沒法,拿人一把了,華為乾的漂亮,人類總需要,不斷前進,美式霸權的時代,開始終結,華為敲響了霸權喪鍾。
從另一方面看,這叫,缺乏戰略思維,可以看出,川普打了亂仗了,美國外強中干,極度虛弱,已經是紙老虎了,川普在做我們的卧底。
給幾張圖看看,西方文明,隕落的步伐。
❷ 高分求解。懂routeros的進來!遭遇DDOS!
DOS(Denial of Service)攻擊是一種很簡單但又很有效的進攻方式,能夠利用合理的服務請求來佔用過多的服務資源,從而使合法用戶無法得到服務。DDOS(Distributed Denial of Service)是一種基於DOS的特殊形式的拒絕服務攻擊,攻擊者通過事先控制大批傀儡機,並控制這些設備同時發起對目標的DOS攻擊,具有較大的破壞性。
常見的DOS/DDOS攻擊可以分為兩大類:一類是針對系統漏洞的的攻擊如Ping of Death、TearDrop等,例如淚滴(TearDrop)攻擊利用在 TCP/IP協議棧實現中信任IP碎片中的包的標題頭所包含的信息來實現攻擊,IP 分段含有指示該分段所包含的是原包的哪一段信息,某些 TCP/IP協議棧(例如NT 在service pack 4 以前)在收到含有重疊偏移的偽造分段時將崩潰。另一類是帶寬佔用型攻擊比較典型的如UDP flood 、SYN flood、ICMP flood等,SYN Flood具有典型意義,利用TCP協議建連的特點完成攻擊。通常一次TCP連接的建立包括3個步驟,客戶端發送SYN包給伺服器端,伺服器分配一定的資源給這里連接並返回 SYN/ACK包,並等待連接建立的最後的ACK包,最後客戶端發送ACK報文,這樣兩者之間的連接建立起來,並可以通過連接傳送資料了。而SYN Flood攻擊的過程就是瘋狂發送SYN報文,而不返回ACK報文,伺服器佔用過多資源,而導致系統資源佔用過多,沒有能力響應別的操作,或者不能響應正常的網路請求。
從現在和未來看,防火牆都是抵禦DOS/DDOS攻擊的重要組成部分,這是由防火牆在網路拓撲的位置和扮演的角色決定的,下面以港灣網路有限公司基於NP架構開發的SmartHammer系列防火牆說明其在各種網路環境中對DOS/DDOS攻擊的有效防範。
1、基於狀態的資源控制,保護防火牆資源
港灣網路SmartHammer防火牆支持IP Inspect功能,防火牆會對進入防火牆的資料做嚴格的檢查,各種針對系統漏洞的攻擊包如Ping of Death、TearDrop等,會自動被系統過濾掉,從而保護了網路免受來自於外部的漏洞攻擊。對防火牆產品來說,資源是十分寶貴的,當受到外來的DDOS攻擊時,系統內部的資源全都被攻擊流所佔用,此時正常的資料報文肯定會受到影響。SmartHammer基於狀態的資源控制會自動監視網路內所有的連接狀態,當有連接長時間未得到應答就會處於半連接的狀態,浪費系統資源,當系統內的半連接超過正常的范圍時,就有可能是判斷遭受到了攻擊。SmartHammer防火牆基於狀態的資源控制能有效控制此類情況。
控制連接、與半連的超時時間;必要時,可以縮短半連接的超時時間,加速半連接的老化;
限制系統各個協議的最大連接值,保證協議的連接總數不超過系統限制,在達到連接上限後刪除新建的連接;
限制系統符合條件源/目的主機連接數量;
針對源或目的IP地址做流限制,Inspect可以限制每個IP地址的的資源,用戶在資源控制的范圍內時,使用並不會受到任何影響,但當用戶感染蠕蟲病毒或發送攻擊報文等情況時,針對流的資源控制可以限制每個IP地址發送的連接數目,超過限制的連接將被丟棄,這種做法可以有效抑制病毒產生攻擊的效果,避免其它正常使用的用戶受到影響。
單位時間內如果穿過防火牆的「同類」數據流超過門限值後,可以設定對該種類的數據流進行阻斷,對於防止IP、ICMP、UDP等非連接的flood攻擊具有很好的防禦效果。
2、智能TCP代理有效防範SYN Flood
SYN Flood是DDOS攻擊中危害性最強,也是最難防範的一種。這種攻擊利用TCP協議缺陷,發送大量偽造的TCP連接請求,從而使得被攻擊方資源耗盡(CPU滿負荷或內存不足)。SmartHammer系列防火牆能夠利用智能TCP代理技術,判斷連接合法性,保護網路資源。如圖http://www.hacker.cn/Files/BeyondPic/2006-5/25/701063.jpg
防火牆工作時,並不會立即開啟TCP代理(以免影響速度),只有當網路中的TCP半連接達到系統設置的TCP代理啟動警戒線時,正常TCP Intercept會自動啟動,並且當系統的TCP半連接超過系統TCP Intercept高警戒線時,系統進入入侵模式,此時新連接會覆蓋舊的TCP連接;此後,系統全連接數增多,半連接數減小,當半連接數降到入侵模式低警戒線時,系統推出入侵模式。如果此時攻擊停止,系統半連接數量逐漸降到TCP代理啟動警戒線以下,智能TCP代理模塊停止工作。通過智能TCP代理可以有效防止SYN Flood攻擊,保證網路資源安全。
3、利用NETFLOW對DOS攻擊和病毒監測
網路監控在抵禦DDOS攻擊中有重要的意義。SmartHammer防火牆支持NetFlow功能,它將網路交換中的資料包識別為流的方式加以記錄,並封裝為UDP資料包發送到分析器上,這樣就為網路管理、流量分析和監控、入侵檢測等提供了豐富的資料來源。可以在不影響轉發性能的同時記錄、發送NetFlow信息,並能夠利用港灣網路安全管理平台對接收到的資料進行分析、處理。
利用NetFlow監視網路流量。防火牆可以有效的抵禦DDOS攻擊,但當攻擊流數量超過一定程度,已經完全占據了帶寬時,雖然防火牆已經通過安全策略把攻擊數據包丟棄,但由於攻擊數據包已經占據了所有的網路帶寬,正常的用戶訪問依然無法完成。此時網路的流量是很大的,SmartHammer防火牆可以利用內置的NetFlow統計分析功能,查找攻擊流的數據源,並上報上級ISP,對數據流分流或導入黑洞路由。通過在防火牆相關介面下開啟NetFlow採集功能,並設置NETFLOW輸出伺服器地址,這樣就可以利用港灣安全管理平台對接收的資料進行分析處理。我們可以用此方法統計出每天流量的TOP TEN或者業務的TOP TEN等,以此做為標准,當發現網路流量異常的時候,就可以利用NetFlow有效的查找、定位DDOS攻擊的來源。
利用NetFlow監視蠕蟲病毒。防止蠕蟲病毒的攻擊,重要的是防止蠕蟲病毒的擴散,只有盡早發現,才可以迅速採取措施有效阻止病毒。各種蠕蟲病毒在感染了系統後,為了傳播自身,會主動向外發送特定的數據包並掃描相關埠。利用這個特性,港灣網路在安全管理平台上建立相關的蠕蟲病毒查詢模板,定期查詢,當發現了匹配的資料時,可以分析該地址是否已經感染病毒,然後採取相應的措施。
值得指出的是,防火牆在網路拓撲中的位置對抵禦攻擊也有很大影響,通常盒式防火牆被設計放置在網路的出口,這種情況下,雖然防火牆能夠抵禦從外部產生的攻擊,但一旦網路內部的PC通過瀏覽網頁、收發Email、下載等方式感染蠕蟲病毒或有人從內部發起的惡意攻擊時,防火牆是沒有防護能力的。
港灣網路的SmartHammer ESP-FW防火牆模塊可以解決此類問題,ESP-FW是港灣網路BigHammer6800系列交換機的一個安全模塊,它繼承了SmartHammer盒式防火牆的相關安全特性內置於交換機中,有效抵禦來自內部網路的攻擊。在插入了防火牆模塊後,交換機可以選擇將相關VLAN加入防火牆中,受防火牆保護。以VLAN做為保護對象的另一大優點是利於網路擴展,當有一個新增部門出現時,我們不需要再增加投資就可以使新增部門得到保護,網路部署異常靈活。這樣當內部網路中出現異常數據流時,防火牆可以有效限制該數據的轉發,保護其他VLAN不受影響。
筆者公司共有10台Web伺服器,使用Redhat Linux 9作為操作系統,分布在全國各大城市,主要為用戶提供HTTP服務。曾經有一段時間不少用戶反映有的伺服器訪問速度緩慢,甚至不能訪問,檢查後發現是受到了DDoS攻擊(分布式拒絕服務攻擊)。由於伺服器分布太散,不能採用硬體防火牆的方案,雖然IPtables功能很強大,足以應付大部分的攻擊,但Linux系統自身對DDoS攻擊的防禦力本來就弱,只好另想辦法了。
一、Freebsd的魅力
發現Freebsd的好處是在一次偶然的測試中,在LAN里虛擬了一個Internet,用一台Windows客戶端分別向一台Windows Server、Linux Server和一台Freebsd在無任何防範措施的情況下發送Syn Flood數據包(常見的DDoS攻擊主要靠向伺服器發送Syn Flood數據完成)。Windows在達到10個包的時候就完全停止響應了,Linux在達到10個數據包的時候開始連接不正常,而Freebsd卻能承受達100個以上的Syn Flood數據包。筆者決定將公司所有的Web伺服器全換為Freebsd平台。
在使用Freebsd後,的確過了一段時間的安穩日子。不過近日又有用戶再次反映網站不能正常訪問,表現症狀為用戶打開網頁速度緩慢,或者直接顯示為找不到網站。用netstat ?Ca查看到來自某IP的連接剛好50個,狀態均為FIN_WAIT 1,這是屬於明顯的DDoS攻擊,看來Freebsd沒有防火牆也不是萬能的啊,於是就想到了裝防火牆。
看了N多資料,了解到Freebsd下最常見的防火牆叫IP FireWall,中文字面意思叫IP防火牆,簡稱IPFW。但如果要使用IPFW則需要編譯Freebsd系統內核。出於安全考慮,在編譯結束後,IPFW是默認拒絕所有網路服務,包括對系統本身都會拒絕,這下我就徹底「寒」了,我放在外地的伺服器可怎麼弄啊?
大家這里一定要小心,配置稍不注意就可能讓你的伺服器拒絕所有的服務。筆者在一台裝了Freebsd 5.0 Release的伺服器上進行了測試。
二、配置IPFW
其實我們完全可以把安裝IPFW看作一次軟體升級的過程,在Windows裡面,如果要升級一款軟體,則需要去下載升級包,然後安裝;在Freebsd中升級軟體過程也是如此,但我們今天升級的這個功能是系統本身已經內置了的,我們只需要利用這個功能即可。打開這個功能之前,我們還要做一些准備工作。
下面開始配置IPFW的基本參數。
Step1:准備工作
在命令提示符下進行如下操作:
#cd /sys/i386/conf
如果提示沒有這個目錄,那說明你的系統沒有安裝ports服務,要記住裝上。
#cp GENERIC ./kernel_IPFW
Step2:內核規則
用編輯器打開kernel_IPFW這個文件,在該文件的末尾加入以下四行內容:
options IPFIREWALL
將包過濾部分的代碼編譯進內核。
options IPFIREWALL_VERBOSE
啟用通過Syslogd記錄的日誌;如果沒有指定這個選項,即使你在過濾規則中指定了記錄包,也不會真的記錄它們。
options IPFIREWALL_VERBOSE_LI
MIT=10
限制通過Syslogd記錄的每項包規則的記錄條數。如果你受到了大量的攻擊,想記錄防火牆的活動,但又不想由於Syslog洪水一般的記錄而導致你的日記寫入失敗,那麼這個選項將會很有用。有了這條規則,當規則鏈中的某一項達到限制數值時,它所對應的日誌將不再記錄。
options IPFIREWALL_DEFAULT_TO
_ACCEPT
這句是最關鍵的。將把默認的規則動作從 「deny」 改為 「allow」。這句命令的作用是,在默認狀態下,IPFW會接受任何的數據,也就是說伺服器看起來像沒有防火牆一樣,如果你需要什麼規則,在安裝完成後直接添加就可以了。
輸入完成後保存kernel_IPFW文件並退出。
❸ 海盜灣BT網站在大陸是不是被封了
是 被封了.
參考資料:
全球最大BT網站海盜灣被送上法庭
日期:2009-03-11 人氣:8 出處:中國新聞出版報 作者: 馬春茂
字體大小: 小
中
大
全球最大的BT網站海盜灣被訴侵權案近日在瑞典斯德哥爾摩一家法院開庭。海盜灣網站的4名創始人被指控為盜版活動提供幫助,使包括索尼BMG、百代以及環球、華納兄弟等國際唱片和電影公司蒙受數十億美元損失。
索尼BMG、百代等國際唱片和電影公司共提出了總額超過1000萬歐元的索賠,其中百代和環球在內的唱片公司要求賠償220萬歐元。如果被定罪,4名被告還可能面臨兩年的徒刑和每人最高18萬美元的罰款。
3月3日,此案最後一天的庭審展開,代表音樂公司、出版商、編劇的各協會分別出庭陳述,強調保護創作者利益,保護創新產業的重要性。瑞典獨立音樂協會主席強納斯、瑞典音樂出版商協會主席卡涅爾、國際唱片業協會瑞典主席盧德維格、國際出版商協會秘書長金斯、國際音樂出版商聯盟秘書長戈爾分別作相關陳述。最新的消息稱,法院已決定將在4月17日對此案作出判決。
由於案件涉及擁有超過2500萬同時在線用戶的全球最大BT網站,和百代、環球、華納兄弟等國際唱片和電影巨頭,使得此案吸引了全球唱片、電影等版權產業和互聯網行業的目光。版權律師阿卡什·薩西德瓦表示,這是目前最大的盜版訴訟之一。如果勝訴,原告打贏的將不僅僅是法律戰和商業戰,更是公關戰。娛樂業想表明,不會對這類盜版行為坐視不理。
庭上激辯
據國際唱片業協會(IFPI)調查,海盜灣網站使用戶能夠用34種語言免費下載和共享文件,今年1月同時在線用戶數量曾達到2200萬,有160萬個種子文件。
瑞典當地時間2月16日早上,案件開始審理,4名被告在陳述辯詞時均表示不服。海盜灣創始人卡爾·倫德斯特姆(Karl Lundstrom)的辯護律師皮爾·薩繆爾森(Per Samuelsson)在法庭上辯稱,「海盜灣只是數千個提供相同或者相似服務站點的其中一個,他們的服務范圍是合法的,你可以通過它找到完全合法的種子文件,也可以將它作為不法工具,服務本身無法判斷種子文件是否合法。」海盜灣創始人曾表示,該網站沒有存儲任何非法內容,僅僅是一個供用戶彼此共享內容的網路,網站中並不存有版權內容。
庭審第二天,案件即發生重大轉變。由於證據不足,對海盜灣「協助侵犯版權」的起訴被撤銷,接下來的審訊主要是關於海盜灣是否「協助下載(侵權文件)」。在案件審理中,由於起訴方無法提供有力證據證明BT種子文件與海盜灣的伺服器有關聯,法官認為僅憑一個BT種子搜索引擎無法判定海盜灣侵犯了版權。被告方表示,海盜灣沒有違反任何法律,因為它的操作是搜索引擎式的,並不提供受版權保護的文件,只是將用戶引導到文件所在的位置。
庭審的另一個焦點是,下載者在下載後是否會購買更多的音樂產品。針對海盜灣「從P2P下載最多的人正是購買正版最多的人」的說法,國際唱片業協會主席肯尼迪稱,從海盜灣下載音樂的網民在購買音樂產品上的支出較以往大為減少,因為如果他們不能免費獲得音樂產品,他們必須購買。據稱,全球音樂行業自2001年以來銷售額下滑30%以上,從2001年到2008年,網路非法下載已使得全球音樂行業銷售額從270億美元下滑至180億美元。
與權利人較勁多年
2006年5月,瑞典警方突然搜查海盜灣的數據中心,沒收了大量伺服器,這些伺服器向100多個網站提供服務。然而,突襲並未對其造成很大影響,在不到3天的時間里,海盜灣又重新開張,並且由於全世界的媒體報道提高了知名度而產生了大批新用戶。網站將部分伺服器移出瑞典,公司總部也遷到了荷蘭。不過,據報道,網站至少有一台伺服器仍然安置在瑞典境內。此後,該網站一直正常運行,針對海盜灣創始人提起的訴訟案也一直懸而未決。
在義大利,海盜灣網站曾經被義大利政府下令封殺,但不久後,法院判決恢復了對該網站的訪問,理由是海盜灣沒有分發侵權內容,不違反任何法律。之前,在義大利訪問海盜灣的用戶都會被指向到IFPI的伺服器,並閱讀到警告信息,這被認為侵犯了隱私權,義大利盜版黨還對此提出了申訴。
雙方較勁的手段也是相當多樣。今年1月,殺毒軟體公司Sophos發現了一種新木馬Troj/Qhost-AC,它沒有試圖安裝間諜軟體或惡意程序,只是屏蔽了海盜灣和另一家BT網站Mininova。很多人猜測,該木馬的製造者是美國電影協會、國際唱片業協會或其他相關的反盜版組織。
海盜灣也不甘示弱,聲稱已掌握了確實證據,證明包括索尼、百代、環球唱片等唱片電影業巨頭曾僱傭黑客入侵其伺服器。海盜灣還經常清理可疑的種子文件,以免反盜版組織利用做種或者做種伺服器來搜集證據。
海盜灣不乏支持者
瑞典曾被稱為「網上侵權天堂」,很多駐歐洲的侵權網站被迫關站後,都會移師瑞典繼續運作。在自由放任、版權法寬松、寬頻又快又便宜的便利條件下,這里平均每10人中就有1人使用BT。這為海盜灣的成長壯大提供了必要條件。
在瑞典,海盜灣還獲得了相當一部分民眾的支持。據外媒報道,2005年1月1日,IT經理理查·弗克文格(Rick Falvinge)成立了一個網站,號召那些網路下載者注冊報名,以便成立一個政黨——盜版黨(Pirate Party),參加2006年9月舉行的瑞典議會大選。這一提議出乎意料獲得了大量支持,2006年大選後,盜版黨成為了瑞典無議會席位的政黨中最大的一個。
盜版黨認為,很多企業以版權法保障自身利益,阻礙了知識流通,尤其是使網路下載受到諸多限制,主張改革版權法、廢除專利、尊重隱私。他們的觀點也得到了很多人的支持,在美國、法國、義大利等國均有人模仿成立類似組織,更有不少網民將其視為互聯網自由和分享精神的一面旗幟。
有報道稱,在2008年年底的一份民意調查中顯示,21%的瑞典人有意在即將到來的歐盟議會選舉中支持該黨派,在18歲~29歲的男性中這個數據更是高達前所未有的55%。利用互聯網的優勢,該黨派的成員同比上個季度增長了50%,超過了瑞典綠黨(Green Party)的人數。
來自民眾的支持使得此案變得微妙。事實上,就在此案審理期間,國際唱片業協會的瑞典網站還被海盜灣的支持者黑掉。因此,原告在起訴書中也不得不說明,「這不是一個政治審判,也不是剝奪人民享受知識的權利,更不是審判禁止共享技術的發展,而是指控他們為盜版行為提供方便並從中獲利。」