❶ 我们的网络是英特网,一但关闭,有“备胎”吗
应邀回答本行业问题。
现在互联网的确是掌握在美国手中的,不过如果说"美国关闭中国的互联网",我们还真是有备份的。
第一种方式如果不是到了非常严重的情况下,是不会有哪个国家敢做的,这个和打别国家的卫星的区别也不大了,你可以砍我的,我也可以砍你的,这个还是相互制约的。
另外一种办法就是使用"根服务器"这个大杀器。
全球IPV4的根服务器,共有13个,主要是在美国,其中又分为主根服务器和副根服务器,主根服务器只有1个在美国,辅根服务器之中9个在美国,剩余的2个在欧洲(英国和瑞典),1个在日本。
根服务器的作用在DNS寻址上。当我们访问一个网址的时候,需要根服务器参与域名的解析。
而如果美国启动根服务器这个大杀器的话,可以关闭中国用户对互联网的访问,也可以让外界的电脑无法访问中国的网站,这个也相当于关闭了中国的互联网了。
曾经,美国将伊拉克的域名".iq"封杀,导致了伊拉克在互联网中消失了。
互联网实际上是有很多大大小小的局域网组成的,而现在绝大部分用户访问的互联网实际上是中国的"局域网",可以访问"外网"的只有少部分人。
而中国有自己的镜像服务器,早就把这些根服务器的内容抄了一遍,即使根服务器关闭了,也可以通过镜像服务器来进行互联网的访问,影响的可能更多的是其他国家访问中国的网站。
为了避免在极端的情况下受制于人,而且也是为了获得更多的公网IP,中国一直都是IPv6的积极推进者,启动了雪人计划,并且在国内部署了1主根、3辅根的IPV6根服务器,也打破了中国没有根服务器的 历史 。
而现在全球已经部署了25台IPv6的根服务器,而且国内的三大运营商已经基本的完成了IPv6的改造,现在我们大多数的终端也都是支持IPv6的,至少新的终端和设备是这样的。
总而言之,我们在因特网上其实是有备胎存在的,而且还不止一套,所以大家不必过分担心。
很遗憾的说,目前来说因特网一但关闭,我们真没有什么“备胎”,但是我们访问国内的网站应该影响不大,有的朋友说有备份,那也仅仅是对国内的网站而言,对国外的网站来说,基本是封杀的干干净净了
因特网的关闭,从技术商来说,主要是有几种手段,其一主要是通过封锁DNS的根服务器来完成。全球有13台根服务器,其中美国有一台主根服务器和9根副根服务器。而日本,瑞典,英国分别有三台副根服务器,中国一台没有。
DNS的根服务器有什么用?简单的说,如果我们要访问后缀是com或net的网站,就需要通过根服务器来解析WWW域名对应的IPv4地址,如果根服务器被关了,我们无法获取这些网站的IP地址,也就无法正常的访问网站。同样,如果位于国外的根服务器不让解析中国的cn的域名,那么外国人也无法访问中国网站
不过没有关系,我们国家也有镜像DNS根服务器,镜像根服务器的意思就是我们拷贝了一份根服务器的数据到中国的镜像根服务器,这样我们在访问网站做域名解析时,就不用绕道国外的根服务器了,直接在中国的镜像的DNS根服务器访问就可以,目前我们国家有四台镜像根服务器,全国60%的流量实际上是到中国自己的镜像根服务器访问的
是不是觉得高枕无忧了?当然不是的,我们模拟一下敌对国家的极限攻击手段,顺带说一下,一些朋友说的切断国外的通信光缆,根本就是很愚蠢的方法
攻击1:M国切断全球13台IPv4的根服务器对中国的服务
此时中国的四台镜像根服务器发生作用,中国依然可以解析com这些网站,依然可以获取IPv4地址。但是如果国外网站的IPv4地址如果变了,比如美国把联合国的IP地址变成其他的地址,由于中国镜像的根服务器无法获得美国根服务器的最新数据,中国将无法访问。
攻击2:M国更换重要机构的IPv4地址
中国镜像的根服务器无法获得美国根服务器的最新数据,中国将无法访问这些更新后的地址
攻击3:M国屏蔽中国的cn域名
国外的用户将无法访问中国的所有网站,除非知道中国网站的IP地址,此时中国基本被封杀,只有通过IPv4地址直接和海外机构联系
攻击4:M国直接在全球IXP、ISP封杀来自中国的IP地址流量
IXP是全球互联网交换流量的机构,全球所有运营商互相访问的流量通过IXP转发。ISP是运营商,例如移动电信就是ISP。这种封杀根本无需断什么海底光缆,只要在全球非中国的IXP和ISP的路由器上,把来自中国的流量过滤和丢弃,这样会完全切断中国和国外的任何沟通,中国彻底成为孤岛。唯一的解决方案就是中国通过第三方国家和世界联系
所以我们可以看到,真的有这种极限封杀,中国哪有什么备胎?也就是保证我们在中国内部的网络访问没有问题罢了。以前俄罗斯做过一次极限测试,就是这种情况
至于很多人说中国的雪人计划,中国主导“雪人计划”于2016年在全球16个国家完成25台IPv6根服务器架设,事实上形成了13台原有根加25台IPv6根的新格局,中国有四台根服务器,这个计划可以阻挡攻击1、2、3,挡不了攻击4
而且,目前中国的互联网流量80%还是IPv4的,所以目前雪人计划应该没有任何作用。所以为了国家的安全,国家才在2017年底和2018年初两次发文要求推进IPv6的网络建设,这也是从国家安全入手的必经之路
所以,这个问题的答案是,美国真要完全关闭中国的网络,中国一点办法也没有,没有什么备胎,只能通过第三国和世界联系 。但是这种手段是一个双刃剑,真到了那个地步,可能就是“不惜一战”的阶段了
目前世界上使用的是是Internet,音译过来就是所谓的英特网。
按您这所提问的一旦关闭,是指米国吧。如果想深入了解这个问题,我们首先要了解一下这个英特网的来由。这个可以直接网络上就有介绍,或是对应网络的书本也有这些的介绍,这里我也简要介绍一下。
英特网主要是用于信息交流或交换,这里的信息包括各种各样,但是这个信息是如何交换或是交流的呢?这里就要做一个区分了,国与国之间的交流,国内之间的交流,省与省或是同城间的交流。
说到这里,大伙可能就会问了,为什么要这样区分呢?如果是网络大神就略过吧,其他的同学跟上来。
首先说省与省或是同城间的交流。我们要实现信息交流,就先得有一个IP地址,就像一个人要一个住的地方一样,尽管这个地方随时有可能要搬走,但在一个时刻内都会有一地址。然而这个地址是谁分配给我们的呢?是电信、移动、联通这些电信运营商,他们分配了一个地址给咱们,这地址可以有很多人共用,如同户口本一样,里面可以挂靠很多人一样的道理,咱们拿到这个地址就可以给其他地址的人写信了,当然,我们也得有省内或是同城其他同学的地址他们才可以收到信,否则不知道寄往何处。
那么省与省之间,或是国与国之间也是同样的道理,只是我们不用跑邮局寄信。
以上这些是用通讯的原理简单的描述,接下来深入点。
只要同城或是省内的网络线路正常,而且省内间或是同城的DNS服务器(动态域名解析服务器)正常,尽管省外的线路中断,都可以正常访问,除非是一些特殊服务或是有与省外做交互的会受影响。
由此来看国与国之间的,如果我们将DNS的根服务器(DNS根服务器在米国)在国内做了备份,不管美国那边发生了什么事中断了网络,我们都可以访问其他国家的网端,如果我们没有对根服务器做备份,就像前几年那一件事那样,在美国的DNS根服务器受到了攻击,咱们国内的用户使用DNS访问网站时就出现访问失败。
那么我们可以不用管其他国家的事情,就算我们出口国外的网络通讯电缆中断了,我们国内也是可以正常使用网络,只是这个网络只能在国内,无法访问国外的网站了。
总结:只要国内的网络线路或是网络服务正常,不管国外的如果,对访问国内的服务器不有什么影响,如果要访问国外的,那就用不了啦。
至于说到备胎,自从几年前美国DNS根服务器受攻击造成我们网络服务中断的事件发生之后,我们国内也开始是DNS服务器备份,不再强依赖国外的DNS服务器了。
希望能解开你的疑问。
一直有一个不愿意被承认的现实:我们真的没有英特网。我们现在使用的是美国的“英特网”!假如美国关闭了我们的网络,似乎比谷歌关闭安卓系统;微软停止Windows更严重。那,真的如此吗?
目前全球有13台根服务器,其中美国有一台主根服务器和9根副根服务器。而日本,瑞典,英国分别有三台副根服务器,我们的服务器确实一台没有,如果美国想不开,将服务器关闭,我们确实没有任何手段。
但是,我们真的没有任何缓解之力吗?显然这种说法是不准确的。一方面美国如果关闭根服务器,影响的不仅仅是我国,美国自己也会受波及,而且依赖网络运行的所有活动可能面临影响,这是全球性的,美国除非和世界为敌!另一方面,不要小看我们国家的“备胎”。
所以,我们不用担心美国关闭英特网,美国也制约不到我们。
英特网也就是我们所说的互联网,在IPv4时代,美国属于“霸权地位”,对互联网拥有绝对的控制权,如果美国断开我国的互联网连接,会导致什么问题呢?我国有“备胎”计划吗?下文具体说一说。
通常情况下,我们使用域名访问一个网站,即DNS域名解析,将域名转换为IP地址,才能访问某个网站。DNS域名服务器采用了树状的结构, 全球有13台根域名服务器,唯一的1个主根服务器位于美国 ,因此,理论上美国可以通过主根服务器切断任何一个国家的网络。
美国能够随意关闭其他国家的网络吗?实际上不可能完全做到,如果美国关闭了我国的DNS服务,那么只能影响到中国与国际的互通, 我国的内网是不受影响的,可以正常访问国内所有的网站 ,况且,除非经过特殊方式,我们也很少能够访问到国外网站。也就是,美国关闭我国的DNS服务,影响不是很大。
目前,我国在大力推进IPv6的进程,已经实现了核心网的IPv6改造,各大互联网巨头可以提供IPv6接入,某些地区连接到宽带网络,可以获取到IPv6地址。
在IPv6时代,我国主导了“雪人计划”, 全球有25个IPv6根服务器国家,共同打造第六代互联网协议,其中1台主根服务器,3台辅根服务器在我国 。“雪人计划”采用了多种寻址方式,打破了现有的13个根域名服务器的局面,引入了多个根域名服务器运营者,实现了“多边共治”的局面,也就是,在IPv6时代,美国无法继续维持全球互联网霸权。
总之,即便美国关闭了我国的DNS服务,断开了我国与互联网的连接,也不会产生太大的影响,毕竟我们访问网站以国内网站为主。随着IPv6的普及,美国的在互联网领域的“霸权地位”将会受到越来越多的挑战。
这个说实话,对于普通用户来说根本不会产生任何的影响。
美国关闭我国的英特网有两种实现方式:
无论哪种方式,你我该上网上网、该聊天聊天、该 游戏 游戏 ,几乎不会受到影响。
基本上国内用户很少有访问国外网站的习惯,本地应用完全能够满足所有需求。
不信您可以想象一下自己的上网应用:
几乎很少使用,只是今后海淘是没法使用了,可以和联想thinkpad笔记本告别了!
当然,特殊职业除外,例如经常需要访问国外网站、查找国外文献的工作者等,不过教育专网能够解决绝大部分的问题。
说完了普通用户的使用习惯,来看看网络是如何实现访问的吧!
一、DNS服务器
这里就需要使用功能到域名解析服务器,称为DNS。
全球根域名服务器绝大部分位于美国,这也就是美国能够遏制我国互联网的主要原因(包括一台主根服务器,9台辅根服务器)。
二、DNS服务器工作原理
DNS服务器主要是将用户的域名解析成为具体的IP地址,用于产找具体服务器的位置。
简单点说,就是一个翻译,没有这个翻译就无法和服务器进行通讯。
一般用户提出请求,会转向本地DNS服务器,本地DNS服务器匹配自身条目是够匹配。匹配则将信息反馈至用户,否则将会向上级DNS服务器进行查找。逐级查找无匹配后,最终才会到达美国的根域名服务器。
结合我国用户使用习惯,基本上在各自运营商建立的内部DNS服务器就能够完成解析工作。
根本没有机会到达美国的根域名服务器,并且我国网络管控较严,用户很难具有外网访问的权限。民间一般通过翻墙解决。
三、具体举例
也可以简单的把各个国与国之间看成是一个大的互联网,各国内部简单看成是一个大的局域网。
当然,这样举例并不恰当,也就是这个意思。
因此,即便关闭也不会对我们产生任何影响。
英特网成立的初衷便是开放、共享,希望美国不会出此昏招。
您觉得英特网关闭后,是否能够对我国造成影响呢?
在以前IPv4时代,美国对互联网拥有绝对的控制权,我国是否有“备胎计划,请看下文:
全球有 13台 根 域名服务器 ,唯一的 1个主根服务器位于美国 ,这就是美国的强大之处,想断谁的网就断谁的。
其实也不是想断就全部断掉的毕竟我们还有内网,中国互联网,只是不能和国外的人一起,我们国家早在很久前就有布置。
名为:“雪人计划”俗称IPv6
雪人计划”是2015年6月23日在国际互联网名称与数字地址分配机构(ICANN)第53届会议上正式对外发布的。在IPv6时代,我国主导了“雪人计划”,全球有25个IPv6根服务器国家,共同打造第六代互联网协议,其中1台主根服务器,3台辅根服务器在我国 随着我国的强大,美国的在互联网领域的“霸权地位”就会被不断挑战,这就是我国做的准备。
我们的网络是英特网,一但关闭,有“备胎”吗?确实互联网是不能叫英特网,英特网更不能叫互联网,全球目前使用的是老美的“英特网”,在这个网上老美是拥有控制权的。但说到如果美国关闭英特网,是否就完全失去了网络访问呢?那倒不是这样的。
域名系统是目前所谓互联网的关键,如果域名系统不同,整个网络的域名访问就不通了。目前域名根服务器数量被限定为13个,美国10个、英国、瑞典、日本各有一个,而主根服务器只有一台放在美国。而管理这些根服务器的是被美国政府授权ICANN统一管理,名誉上为国际非盈利组织,但实际上美国对其管理拥有极大发言权。
那美国把根服务器给断掉,是否就把我们的网络全部断掉呢?曾经有传言说伊拉克战争期间,美国授权停止伊拉克".IQ"的申请和解析,一夜之间所有".IQ"的域名就不能访问。但事实上如果做好准备,是不会达到不能解析的,其重要的就是题主所说的“备胎”。而我们是有备胎的,所以要断掉国内".com"、或者".com,.cn"等诸如此类域名的。
首先在运营商处,根服务器的记录可以缓存在递归服务器中心,递归服务器就可以作为根服务器的作用。
其次建立根服务器的镜像。目前在国内已经建立了多个根服务器镜像,国内的根服务器镜像就可以提供服务,而不需要根服务器。
再次即使美国通过根服务器断掉中国服务,最多也只是达到断掉国内和国外的互联互通而已,国内网基本不受影响,国内的网络该干啥还能干啥。
为了建立一个真正的全球互联网,“雪人计划”将彻底改变目前受制于美国的现状。在全球部署了25台IPv6的根服务器,中国就部署了1台主根服务器和3台辅根服务器,冲破了IPv4只能13个根服务器的限制。通过更多的IPv6根服务器的架设,属于真正的“互联网”时代才会来临,这样的“备胎”真在慢慢转正。
所谓的互联网实质是由一些公开的网络协议和网络中的各个节点(服务器)组成的,所以实在不能理解你说的“关闭”是怎样一种方式,最多切断,切断海底光缆,切断与国外的联系,那么我们国内的所有网络都还在,BATT照样该访问还访问,只是我们的网络的范围缩小了,变成了国内网,但不存在关闭这种说法。
或许你真正担心的是我们的网络会受制于人,但这个问题其实并不需要太过担心,国内有完整的一整套互联网设备,有DNS有核心组件,并且实际上我们一直以来很多国外网站也都是访问不了的,对普通网民来说真的不会有多少差别。
退一万步说,国外势力收回IPV4的地址所有权,我们完全可以启用IPV6,这是个很好的契机,目前国内在推广IPV6上并不顺利,而一但国内都用上IPV6了,互联网的命脉就已经掌握在我们自己手上了。
万物互联,5G真正强大的地方,还没看到,未来,可以部分扩展因特网功能,延伸功能,通过5G无线网络,实现电脑联网运行,随时,随地都可以,联网运行,把不同地方的电脑,连接起来,你出差外地,家里电脑,连接上手机,跟对方拨通手机,连接到那边电脑上,可以实现组网运行,手机当做《连接桥》实时数据共享,在外边,启动家里电脑工作,我们中国,人口密度高,光纤网络,分摊成本低,尤其,美国这种,地广人稀的国家,用无线网,成本更低,美国这些,近视,短视的家伙,脑子拐不过这个湾子,真是,脑子又被驴踢了,等着被全世界,甩几条街把,这总统,太愚蠢。
这样做起来,节约资源,电脑也会,变成,共享单车。
汽车 也可以,共享了,节约 社会 资源。
难怪美国,要打压华为,这因特网,要退居二线了。以后,再也没法,拿人一把了,华为干的漂亮,人类总需要,不断前进,美式霸权的时代,开始终结,华为敲响了霸权丧钟。
从另一方面看,这叫,缺乏战略思维,可以看出,川普打了乱仗了,美国外强中干,极度虚弱,已经是纸老虎了,川普在做我们的卧底。
给几张图看看,西方文明,陨落的步伐。
❷ 高分求解。懂routeros的进来!遭遇DDOS!
DOS(Denial of Service)攻击是一种很简单但又很有效的进攻方式,能够利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。DDOS(Distributed Denial of Service)是一种基于DOS的特殊形式的拒绝服务攻击,攻击者通过事先控制大批傀儡机,并控制这些设备同时发起对目标的DOS攻击,具有较大的破坏性。
常见的DOS/DDOS攻击可以分为两大类:一类是针对系统漏洞的的攻击如Ping of Death、TearDrop等,例如泪滴(TearDrop)攻击利用在 TCP/IP协议栈实现中信任IP碎片中的包的标题头所包含的信息来实现攻击,IP 分段含有指示该分段所包含的是原包的哪一段信息,某些 TCP/IP协议栈(例如NT 在service pack 4 以前)在收到含有重叠偏移的伪造分段时将崩溃。另一类是带宽占用型攻击比较典型的如UDP flood 、SYN flood、ICMP flood等,SYN Flood具有典型意义,利用TCP协议建连的特点完成攻击。通常一次TCP连接的建立包括3个步骤,客户端发送SYN包给服务器端,服务器分配一定的资源给这里连接并返回 SYN/ACK包,并等待连接建立的最后的ACK包,最后客户端发送ACK报文,这样两者之间的连接建立起来,并可以通过连接传送资料了。而SYN Flood攻击的过程就是疯狂发送SYN报文,而不返回ACK报文,服务器占用过多资源,而导致系统资源占用过多,没有能力响应别的操作,或者不能响应正常的网络请求。
从现在和未来看,防火墙都是抵御DOS/DDOS攻击的重要组成部分,这是由防火墙在网络拓扑的位置和扮演的角色决定的,下面以港湾网络有限公司基于NP架构开发的SmartHammer系列防火墙说明其在各种网络环境中对DOS/DDOS攻击的有效防范。
1、基于状态的资源控制,保护防火墙资源
港湾网络SmartHammer防火墙支持IP Inspect功能,防火墙会对进入防火墙的资料做严格的检查,各种针对系统漏洞的攻击包如Ping of Death、TearDrop等,会自动被系统过滤掉,从而保护了网络免受来自于外部的漏洞攻击。对防火墙产品来说,资源是十分宝贵的,当受到外来的DDOS攻击时,系统内部的资源全都被攻击流所占用,此时正常的资料报文肯定会受到影响。SmartHammer基于状态的资源控制会自动监视网络内所有的连接状态,当有连接长时间未得到应答就会处于半连接的状态,浪费系统资源,当系统内的半连接超过正常的范围时,就有可能是判断遭受到了攻击。SmartHammer防火墙基于状态的资源控制能有效控制此类情况。
控制连接、与半连的超时时间;必要时,可以缩短半连接的超时时间,加速半连接的老化;
限制系统各个协议的最大连接值,保证协议的连接总数不超过系统限制,在达到连接上限后删除新建的连接;
限制系统符合条件源/目的主机连接数量;
针对源或目的IP地址做流限制,Inspect可以限制每个IP地址的的资源,用户在资源控制的范围内时,使用并不会受到任何影响,但当用户感染蠕虫病毒或发送攻击报文等情况时,针对流的资源控制可以限制每个IP地址发送的连接数目,超过限制的连接将被丢弃,这种做法可以有效抑制病毒产生攻击的效果,避免其它正常使用的用户受到影响。
单位时间内如果穿过防火墙的“同类”数据流超过门限值后,可以设定对该种类的数据流进行阻断,对于防止IP、ICMP、UDP等非连接的flood攻击具有很好的防御效果。
2、智能TCP代理有效防范SYN Flood
SYN Flood是DDOS攻击中危害性最强,也是最难防范的一种。这种攻击利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)。SmartHammer系列防火墙能够利用智能TCP代理技术,判断连接合法性,保护网络资源。如图http://www.hacker.cn/Files/BeyondPic/2006-5/25/701063.jpg
防火墙工作时,并不会立即开启TCP代理(以免影响速度),只有当网络中的TCP半连接达到系统设置的TCP代理启动警戒线时,正常TCP Intercept会自动启动,并且当系统的TCP半连接超过系统TCP Intercept高警戒线时,系统进入入侵模式,此时新连接会覆盖旧的TCP连接;此后,系统全连接数增多,半连接数减小,当半连接数降到入侵模式低警戒线时,系统推出入侵模式。如果此时攻击停止,系统半连接数量逐渐降到TCP代理启动警戒线以下,智能TCP代理模块停止工作。通过智能TCP代理可以有效防止SYN Flood攻击,保证网络资源安全。
3、利用NETFLOW对DOS攻击和病毒监测
网络监控在抵御DDOS攻击中有重要的意义。SmartHammer防火墙支持NetFlow功能,它将网络交换中的资料包识别为流的方式加以记录,并封装为UDP资料包发送到分析器上,这样就为网络管理、流量分析和监控、入侵检测等提供了丰富的资料来源。可以在不影响转发性能的同时记录、发送NetFlow信息,并能够利用港湾网络安全管理平台对接收到的资料进行分析、处理。
利用NetFlow监视网络流量。防火墙可以有效的抵御DDOS攻击,但当攻击流数量超过一定程度,已经完全占据了带宽时,虽然防火墙已经通过安全策略把攻击数据包丢弃,但由于攻击数据包已经占据了所有的网络带宽,正常的用户访问依然无法完成。此时网络的流量是很大的,SmartHammer防火墙可以利用内置的NetFlow统计分析功能,查找攻击流的数据源,并上报上级ISP,对数据流分流或导入黑洞路由。通过在防火墙相关接口下开启NetFlow采集功能,并设置NETFLOW输出服务器地址,这样就可以利用港湾安全管理平台对接收的资料进行分析处理。我们可以用此方法统计出每天流量的TOP TEN或者业务的TOP TEN等,以此做为标准,当发现网络流量异常的时候,就可以利用NetFlow有效的查找、定位DDOS攻击的来源。
利用NetFlow监视蠕虫病毒。防止蠕虫病毒的攻击,重要的是防止蠕虫病毒的扩散,只有尽早发现,才可以迅速采取措施有效阻止病毒。各种蠕虫病毒在感染了系统后,为了传播自身,会主动向外发送特定的数据包并扫描相关端口。利用这个特性,港湾网络在安全管理平台上建立相关的蠕虫病毒查询模板,定期查询,当发现了匹配的资料时,可以分析该地址是否已经感染病毒,然后采取相应的措施。
值得指出的是,防火墙在网络拓扑中的位置对抵御攻击也有很大影响,通常盒式防火墙被设计放置在网络的出口,这种情况下,虽然防火墙能够抵御从外部产生的攻击,但一旦网络内部的PC通过浏览网页、收发Email、下载等方式感染蠕虫病毒或有人从内部发起的恶意攻击时,防火墙是没有防护能力的。
港湾网络的SmartHammer ESP-FW防火墙模块可以解决此类问题,ESP-FW是港湾网络BigHammer6800系列交换机的一个安全模块,它继承了SmartHammer盒式防火墙的相关安全特性内置于交换机中,有效抵御来自内部网络的攻击。在插入了防火墙模块后,交换机可以选择将相关VLAN加入防火墙中,受防火墙保护。以VLAN做为保护对象的另一大优点是利于网络扩展,当有一个新增部门出现时,我们不需要再增加投资就可以使新增部门得到保护,网络部署异常灵活。这样当内部网络中出现异常数据流时,防火墙可以有效限制该数据的转发,保护其他VLAN不受影响。
笔者公司共有10台Web服务器,使用Redhat Linux 9作为操作系统,分布在全国各大城市,主要为用户提供HTTP服务。曾经有一段时间不少用户反映有的服务器访问速度缓慢,甚至不能访问,检查后发现是受到了DDoS攻击(分布式拒绝服务攻击)。由于服务器分布太散,不能采用硬件防火墙的方案,虽然IPtables功能很强大,足以应付大部分的攻击,但Linux系统自身对DDoS攻击的防御力本来就弱,只好另想办法了。
一、Freebsd的魅力
发现Freebsd的好处是在一次偶然的测试中,在LAN里虚拟了一个Internet,用一台Windows客户端分别向一台Windows Server、Linux Server和一台Freebsd在无任何防范措施的情况下发送Syn Flood数据包(常见的DDoS攻击主要靠向服务器发送Syn Flood数据完成)。Windows在达到10个包的时候就完全停止响应了,Linux在达到10个数据包的时候开始连接不正常,而Freebsd却能承受达100个以上的Syn Flood数据包。笔者决定将公司所有的Web服务器全换为Freebsd平台。
在使用Freebsd后,的确过了一段时间的安稳日子。不过近日又有用户再次反映网站不能正常访问,表现症状为用户打开网页速度缓慢,或者直接显示为找不到网站。用netstat ?Ca查看到来自某IP的连接刚好50个,状态均为FIN_WAIT 1,这是属于明显的DDoS攻击,看来Freebsd没有防火墙也不是万能的啊,于是就想到了装防火墙。
看了N多资料,了解到Freebsd下最常见的防火墙叫IP FireWall,中文字面意思叫IP防火墙,简称IPFW。但如果要使用IPFW则需要编译Freebsd系统内核。出于安全考虑,在编译结束后,IPFW是默认拒绝所有网络服务,包括对系统本身都会拒绝,这下我就彻底“寒”了,我放在外地的服务器可怎么弄啊?
大家这里一定要小心,配置稍不注意就可能让你的服务器拒绝所有的服务。笔者在一台装了Freebsd 5.0 Release的服务器上进行了测试。
二、配置IPFW
其实我们完全可以把安装IPFW看作一次软件升级的过程,在Windows里面,如果要升级一款软件,则需要去下载升级包,然后安装;在Freebsd中升级软件过程也是如此,但我们今天升级的这个功能是系统本身已经内置了的,我们只需要利用这个功能即可。打开这个功能之前,我们还要做一些准备工作。
下面开始配置IPFW的基本参数。
Step1:准备工作
在命令提示符下进行如下操作:
#cd /sys/i386/conf
如果提示没有这个目录,那说明你的系统没有安装ports服务,要记住装上。
#cp GENERIC ./kernel_IPFW
Step2:内核规则
用编辑器打开kernel_IPFW这个文件,在该文件的末尾加入以下四行内容:
options IPFIREWALL
将包过滤部分的代码编译进内核。
options IPFIREWALL_VERBOSE
启用通过Syslogd记录的日志;如果没有指定这个选项,即使你在过滤规则中指定了记录包,也不会真的记录它们。
options IPFIREWALL_VERBOSE_LI
MIT=10
限制通过Syslogd记录的每项包规则的记录条数。如果你受到了大量的攻击,想记录防火墙的活动,但又不想由于Syslog洪水一般的记录而导致你的日记写入失败,那么这个选项将会很有用。有了这条规则,当规则链中的某一项达到限制数值时,它所对应的日志将不再记录。
options IPFIREWALL_DEFAULT_TO
_ACCEPT
这句是最关键的。将把默认的规则动作从 “deny” 改为 “allow”。这句命令的作用是,在默认状态下,IPFW会接受任何的数据,也就是说服务器看起来像没有防火墙一样,如果你需要什么规则,在安装完成后直接添加就可以了。
输入完成后保存kernel_IPFW文件并退出。
❸ 海盗湾BT网站在大陆是不是被封了
是 被封了.
参考资料:
全球最大BT网站海盗湾被送上法庭
日期:2009-03-11 人气:8 出处:中国新闻出版报 作者: 马春茂
字体大小: 小
中
大
全球最大的BT网站海盗湾被诉侵权案近日在瑞典斯德哥尔摩一家法院开庭。海盗湾网站的4名创始人被指控为盗版活动提供帮助,使包括索尼BMG、百代以及环球、华纳兄弟等国际唱片和电影公司蒙受数十亿美元损失。
索尼BMG、百代等国际唱片和电影公司共提出了总额超过1000万欧元的索赔,其中百代和环球在内的唱片公司要求赔偿220万欧元。如果被定罪,4名被告还可能面临两年的徒刑和每人最高18万美元的罚款。
3月3日,此案最后一天的庭审展开,代表音乐公司、出版商、编剧的各协会分别出庭陈述,强调保护创作者利益,保护创新产业的重要性。瑞典独立音乐协会主席强纳斯、瑞典音乐出版商协会主席卡涅尔、国际唱片业协会瑞典主席卢德维格、国际出版商协会秘书长金斯、国际音乐出版商联盟秘书长戈尔分别作相关陈述。最新的消息称,法院已决定将在4月17日对此案作出判决。
由于案件涉及拥有超过2500万同时在线用户的全球最大BT网站,和百代、环球、华纳兄弟等国际唱片和电影巨头,使得此案吸引了全球唱片、电影等版权产业和互联网行业的目光。版权律师阿卡什·萨西德瓦表示,这是目前最大的盗版诉讼之一。如果胜诉,原告打赢的将不仅仅是法律战和商业战,更是公关战。娱乐业想表明,不会对这类盗版行为坐视不理。
庭上激辩
据国际唱片业协会(IFPI)调查,海盗湾网站使用户能够用34种语言免费下载和共享文件,今年1月同时在线用户数量曾达到2200万,有160万个种子文件。
瑞典当地时间2月16日早上,案件开始审理,4名被告在陈述辩词时均表示不服。海盗湾创始人卡尔·伦德斯特姆(Karl Lundstrom)的辩护律师皮尔·萨缪尔森(Per Samuelsson)在法庭上辩称,“海盗湾只是数千个提供相同或者相似服务站点的其中一个,他们的服务范围是合法的,你可以通过它找到完全合法的种子文件,也可以将它作为不法工具,服务本身无法判断种子文件是否合法。”海盗湾创始人曾表示,该网站没有存储任何非法内容,仅仅是一个供用户彼此共享内容的网络,网站中并不存有版权内容。
庭审第二天,案件即发生重大转变。由于证据不足,对海盗湾“协助侵犯版权”的起诉被撤销,接下来的审讯主要是关于海盗湾是否“协助下载(侵权文件)”。在案件审理中,由于起诉方无法提供有力证据证明BT种子文件与海盗湾的服务器有关联,法官认为仅凭一个BT种子搜索引擎无法判定海盗湾侵犯了版权。被告方表示,海盗湾没有违反任何法律,因为它的操作是搜索引擎式的,并不提供受版权保护的文件,只是将用户引导到文件所在的位置。
庭审的另一个焦点是,下载者在下载后是否会购买更多的音乐产品。针对海盗湾“从P2P下载最多的人正是购买正版最多的人”的说法,国际唱片业协会主席肯尼迪称,从海盗湾下载音乐的网民在购买音乐产品上的支出较以往大为减少,因为如果他们不能免费获得音乐产品,他们必须购买。据称,全球音乐行业自2001年以来销售额下滑30%以上,从2001年到2008年,网络非法下载已使得全球音乐行业销售额从270亿美元下滑至180亿美元。
与权利人较劲多年
2006年5月,瑞典警方突然搜查海盗湾的数据中心,没收了大量服务器,这些服务器向100多个网站提供服务。然而,突袭并未对其造成很大影响,在不到3天的时间里,海盗湾又重新开张,并且由于全世界的媒体报道提高了知名度而产生了大批新用户。网站将部分服务器移出瑞典,公司总部也迁到了荷兰。不过,据报道,网站至少有一台服务器仍然安置在瑞典境内。此后,该网站一直正常运行,针对海盗湾创始人提起的诉讼案也一直悬而未决。
在意大利,海盗湾网站曾经被意大利政府下令封杀,但不久后,法院判决恢复了对该网站的访问,理由是海盗湾没有分发侵权内容,不违反任何法律。之前,在意大利访问海盗湾的用户都会被指向到IFPI的服务器,并阅读到警告信息,这被认为侵犯了隐私权,意大利盗版党还对此提出了申诉。
双方较劲的手段也是相当多样。今年1月,杀毒软件公司Sophos发现了一种新木马Troj/Qhost-AC,它没有试图安装间谍软件或恶意程序,只是屏蔽了海盗湾和另一家BT网站Mininova。很多人猜测,该木马的制造者是美国电影协会、国际唱片业协会或其他相关的反盗版组织。
海盗湾也不甘示弱,声称已掌握了确实证据,证明包括索尼、百代、环球唱片等唱片电影业巨头曾雇佣黑客入侵其服务器。海盗湾还经常清理可疑的种子文件,以免反盗版组织利用做种或者做种服务器来搜集证据。
海盗湾不乏支持者
瑞典曾被称为“网上侵权天堂”,很多驻欧洲的侵权网站被迫关站后,都会移师瑞典继续运作。在自由放任、版权法宽松、宽带又快又便宜的便利条件下,这里平均每10人中就有1人使用BT。这为海盗湾的成长壮大提供了必要条件。
在瑞典,海盗湾还获得了相当一部分民众的支持。据外媒报道,2005年1月1日,IT经理理查·弗克文格(Rick Falvinge)成立了一个网站,号召那些网络下载者注册报名,以便成立一个政党——盗版党(Pirate Party),参加2006年9月举行的瑞典议会大选。这一提议出乎意料获得了大量支持,2006年大选后,盗版党成为了瑞典无议会席位的政党中最大的一个。
盗版党认为,很多企业以版权法保障自身利益,阻碍了知识流通,尤其是使网络下载受到诸多限制,主张改革版权法、废除专利、尊重隐私。他们的观点也得到了很多人的支持,在美国、法国、意大利等国均有人模仿成立类似组织,更有不少网民将其视为互联网自由和分享精神的一面旗帜。
有报道称,在2008年年底的一份民意调查中显示,21%的瑞典人有意在即将到来的欧盟议会选举中支持该党派,在18岁~29岁的男性中这个数据更是高达前所未有的55%。利用互联网的优势,该党派的成员同比上个季度增长了50%,超过了瑞典绿党(Green Party)的人数。
来自民众的支持使得此案变得微妙。事实上,就在此案审理期间,国际唱片业协会的瑞典网站还被海盗湾的支持者黑掉。因此,原告在起诉书中也不得不说明,“这不是一个政治审判,也不是剥夺人民享受知识的权利,更不是审判禁止共享技术的发展,而是指控他们为盗版行为提供方便并从中获利。”