Jun
17
今天发现海外服务器IP再次被封。这是第四个IP被封了。实再耗不起了。
针对DNS服务器中的域名信息。针对域名分成四组。分别给一个IP。修改所有的域名解析记录。针对IP。
再查看再有哪个IP被封,就知道是哪组的域名,那些客户的WEB站点引起ZF的反感。就可以确认了。
再将7i24搭配上。查看其生成日志。忙活了一个上午。
今天网络故障:
1.北京网通*.*.188.*段网络故障2小时。
2.海外WEB主机IP多次被封。
3.指向服务器上抓十来个有害六合彩站点。
4.厦门双线机房故障。
5.适应网安处要求配置的ISAPI筛选器更新。
针对DNS服务器中的域名信息。针对域名分成四组。分别给一个IP。修改所有的域名解析记录。针对IP。
再查看再有哪个IP被封,就知道是哪组的域名,那些客户的WEB站点引起ZF的反感。就可以确认了。
再将7i24搭配上。查看其生成日志。忙活了一个上午。
今天网络故障:
1.北京网通*.*.188.*段网络故障2小时。
2.海外WEB主机IP多次被封。
3.指向服务器上抓十来个有害六合彩站点。
4.厦门双线机房故障。
5.适应网安处要求配置的ISAPI筛选器更新。
Jun
16
今天发现海外WEB主机服务器IP国家骨干网上被封。通过香港的服务器,美国的其他服务器访问正常。经切换IP后,又被封,无耐只能一个个去查客户放置的站点。经查发现有一个六合彩站点、五个卖监听器的站点。一起关了。
由此可知监听器此类国家非许可用品竟有如此市场。
关了六个站点后,竟又一个IP被封。可查看了所有200多个站点,大多数是国内企业站点,也大多是外文版的,没再发现什么中文的害信息啊。奇了怪了。
也不知道国家在这方面是怎么判断的。就今天就被废了四个IP地址。
真是晕。
难不成关闭的这几个站点不是被封的主要原因?
还一个站点是游戏代练的?不是会这个吧,那也太无聊了点了。应该不是。
再查~
想通过在DNS服务器上对所有查询到海外这台WEB服务器IP的所有域名做下收集,将在被封时间段内的域名做重点检查。却发现我的DNS服务器节点太多了。这么做下来可是一个浩大的工程,只能做罢。
检查海外服务器是否被屏蔽的方法:
1.确认ping不通。
2.做路由测试:windows下用tracert +IP地址。 linux下用traceroute +IP地址
若路由进行不下去的那前一个IP在www.123cha.com上查下,若发现有信息是骨干网路由,那基本就是了。
3.使用海外代理可以正常访问服务器的WEB资源。
由此可知监听器此类国家非许可用品竟有如此市场。
关了六个站点后,竟又一个IP被封。可查看了所有200多个站点,大多数是国内企业站点,也大多是外文版的,没再发现什么中文的害信息啊。奇了怪了。
也不知道国家在这方面是怎么判断的。就今天就被废了四个IP地址。
真是晕。
难不成关闭的这几个站点不是被封的主要原因?
还一个站点是游戏代练的?不是会这个吧,那也太无聊了点了。应该不是。
再查~
想通过在DNS服务器上对所有查询到海外这台WEB服务器IP的所有域名做下收集,将在被封时间段内的域名做重点检查。却发现我的DNS服务器节点太多了。这么做下来可是一个浩大的工程,只能做罢。
检查海外服务器是否被屏蔽的方法:
1.确认ping不通。
2.做路由测试:windows下用tracert +IP地址。 linux下用traceroute +IP地址
若路由进行不下去的那前一个IP在www.123cha.com上查下,若发现有信息是骨干网路由,那基本就是了。
3.使用海外代理可以正常访问服务器的WEB资源。
Jun
7
TCPDUMP数据包分析及在服务器维护过程中的作用。windump用法类似。今天特别为了测试tcpdump架设了两个虚拟机,对所述命令进行测试。以达到完全了解tcpdump的目的。环境centos 5 虚拟机用vmware。
tcpdump的选项介绍
-a 将网络地址和广播地址转变成名字;
-d 将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd 将匹配信息包的代码以c语言程序段的格式给出;
-ddd 将匹配信息包的代码以十进制的形式给出;
-e 在输出行打印出数据链路层的头部信息;
-f 将外部的Internet地址以数字的形式打印出来;
-l 使标准输出变为缓冲行形式;
-n 不把网络地址转换成名字;
-t 在输出的每一行不打印时间戳;
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv 输出详细的报文信息;
-c 在收到指定的包的数目后,tcpdump就会停止;
-F 从指定的文件中读取表达式,忽略其它的表达式;
-i 指定监听的网络接口;
-r 从指定的文件中读取包(这些包一般通过-w选项产生);
-w 直接将包写入文件中,并不分析和打印出来;
-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议;)
tcpdump -nnnv arp 查找ARP攻击时确定攻击原MAC地址时常用。
tcpdump -nnnv udp port 53 DNS服务器53端口受ARP攻击时查看攻击源时用。
tcpdump -nnnv udp and not port 53 可以确定是否有非53端口的大流量UDP攻击
tcpdump -nnnv port 80 and host 192.168.0.1 找出从192.168.0.1的80端口收到或发送的IP包。
tcpdump -nnnv ip host 210.27.48.1 and ! 210.27.48.2 获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包
tcpdump -nnnv host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) 截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信
tcpdump -nnnv host ! 192.168.15.129 and ! 192.168.15.130 and dst port 80
捕获除了主机192.168.15.129与192.168.15.130 且到本机目标80端口的数据包。
tcpdump -nnnv src 192.168.15.129 and port 53 捕获由192.168.15.129到本机53端口的数据包。不管是UDP还是TCP
信息参考:Tcpdump命令的使用与示例http://tcpdump.anheng.com.cn/news/24/586.html" target="_blank"> http://tcpdump.anheng.com.cn/news/24/586.html
超级详细Tcpdump 的用法 http://course.51cto.com/art/200512/15473.htm
Linux下的Sniffer Tcpdump的安装和使用http://unix-cd.com/vc/www/28/2007-08/8018.html 注此文中部分命令是错的。
TCPDump使用方法小结 http://softtest.chinaitlab.com/qita/746811.html
TCPDUMP高级用法http://blog.csdn.net/linyt/archive/2007/12/14/1936073.aspx
tcpdump的选项介绍
-a 将网络地址和广播地址转变成名字;
-d 将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd 将匹配信息包的代码以c语言程序段的格式给出;
-ddd 将匹配信息包的代码以十进制的形式给出;
-e 在输出行打印出数据链路层的头部信息;
-f 将外部的Internet地址以数字的形式打印出来;
-l 使标准输出变为缓冲行形式;
-n 不把网络地址转换成名字;
-t 在输出的每一行不打印时间戳;
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv 输出详细的报文信息;
-c 在收到指定的包的数目后,tcpdump就会停止;
-F 从指定的文件中读取表达式,忽略其它的表达式;
-i 指定监听的网络接口;
-r 从指定的文件中读取包(这些包一般通过-w选项产生);
-w 直接将包写入文件中,并不分析和打印出来;
-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议;)
tcpdump -nnnv arp 查找ARP攻击时确定攻击原MAC地址时常用。
tcpdump -nnnv udp port 53 DNS服务器53端口受ARP攻击时查看攻击源时用。
tcpdump -nnnv udp and not port 53 可以确定是否有非53端口的大流量UDP攻击
tcpdump -nnnv port 80 and host 192.168.0.1 找出从192.168.0.1的80端口收到或发送的IP包。
tcpdump -nnnv ip host 210.27.48.1 and ! 210.27.48.2 获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包
tcpdump -nnnv host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) 截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信
tcpdump -nnnv host ! 192.168.15.129 and ! 192.168.15.130 and dst port 80
捕获除了主机192.168.15.129与192.168.15.130 且到本机目标80端口的数据包。
tcpdump -nnnv src 192.168.15.129 and port 53 捕获由192.168.15.129到本机53端口的数据包。不管是UDP还是TCP
信息参考:Tcpdump命令的使用与示例http://tcpdump.anheng.com.cn/news/24/586.html" target="_blank"> http://tcpdump.anheng.com.cn/news/24/586.html
超级详细Tcpdump 的用法 http://course.51cto.com/art/200512/15473.htm
Linux下的Sniffer Tcpdump的安装和使用http://unix-cd.com/vc/www/28/2007-08/8018.html 注此文中部分命令是错的。
TCPDump使用方法小结 http://softtest.chinaitlab.com/qita/746811.html
TCPDUMP高级用法http://blog.csdn.net/linyt/archive/2007/12/14/1936073.aspx
Jun
4
今天DNS又再次受攻击。调整了DNS中的mydns.conf配置档中关于 缓存大小及cache时间。亦对攻击无效。
重新调整了DNS服务器各节点顺序。删除部分效率低下节点。
同时发现,在不同的IP上,受攻击时,对监听的其他IP是能正常解析的。
是以。问题不在性能。不在硬件。在配置档。在调整之前的所有旧的DNS设置过程中,发现,即使调整了MYDNS配置档中的多CPU支持。但在实际的运行环境中,除了加重对CPU的负载外。在流量监控上,发现对攻击并没有缓解的迹象。说明即便使用支持多CPU的多线程DNS,也是没用。
今天将昨天测试的那台SUN服务器上架,新增一节点。发现新服务器在使用MYDNS的过程中,数据库进程会随着MYDNS启用的线程而增加。而原来旧的DNS服务器却没有这种情况,其不论DNS的线程多少都只有一个MYSQL进程而已。
同时,今天的的测试结果显示。在注册局中,添加注册IP,其基本可以在半小时或是更短的时间内生效。是以若是再有类似的攻击。只要保证有相应的节点及服务器硬件数量。那多大的攻击都是可以抵挡的。
快下班时,攻击停了。再用nmap进行扫描发现另两台DNS节点的防火墙未开启。重起。解决。
重新调整了DNS服务器各节点顺序。删除部分效率低下节点。
同时发现,在不同的IP上,受攻击时,对监听的其他IP是能正常解析的。
是以。问题不在性能。不在硬件。在配置档。在调整之前的所有旧的DNS设置过程中,发现,即使调整了MYDNS配置档中的多CPU支持。但在实际的运行环境中,除了加重对CPU的负载外。在流量监控上,发现对攻击并没有缓解的迹象。说明即便使用支持多CPU的多线程DNS,也是没用。
今天将昨天测试的那台SUN服务器上架,新增一节点。发现新服务器在使用MYDNS的过程中,数据库进程会随着MYDNS启用的线程而增加。而原来旧的DNS服务器却没有这种情况,其不论DNS的线程多少都只有一个MYSQL进程而已。
同时,今天的的测试结果显示。在注册局中,添加注册IP,其基本可以在半小时或是更短的时间内生效。是以若是再有类似的攻击。只要保证有相应的节点及服务器硬件数量。那多大的攻击都是可以抵挡的。
快下班时,攻击停了。再用nmap进行扫描发现另两台DNS节点的防火墙未开启。重起。解决。
Jun
3
摘选自:http://zkyliufeng.blog.ccidnet.com/blog-htm-itemid-310344-uid-33670-do-showone-type-blog.html
关于此SQL注入。我所服务的公司每天几乎都至少有5例相似案例。可以证实,以下新闻有一定的依据。当然。入侵字段有所变化。
有等进一步统计得出结论。
据IDG新闻服务5月19日报道,中国大陆和中国台湾地区数以千计的网站正在遭受大规模的SQL注入攻击。由于采用了非常强的SQL注入攻击手段,因此将会给很多目标网站带来不可逆转的破坏,数以千计的网站被卷入到了这次攻击中,截止上周五已经有超过1万个服务器被植入了恶意代码,而其中的大部分都位于中国大陆,还有一少部分位于中国台湾地区。搜房网和深圳汽车大世界网都沦为了上周五的攻击目标。
关于此SQL注入。我所服务的公司每天几乎都至少有5例相似案例。可以证实,以下新闻有一定的依据。当然。入侵字段有所变化。
有等进一步统计得出结论。
据IDG新闻服务5月19日报道,中国大陆和中国台湾地区数以千计的网站正在遭受大规模的SQL注入攻击。由于采用了非常强的SQL注入攻击手段,因此将会给很多目标网站带来不可逆转的破坏,数以千计的网站被卷入到了这次攻击中,截止上周五已经有超过1万个服务器被植入了恶意代码,而其中的大部分都位于中国大陆,还有一少部分位于中国台湾地区。搜房网和深圳汽车大世界网都沦为了上周五的攻击目标。
