简介：systemctl restart network   # 重启网卡，当更新网卡配置时需要 ifconfig | less # 查看网络配置信息，当网卡较多的时候 加上 less 是比较有用的 ifconfig eth0 up    # 启用 eth0 ifconfig eth0 down  # 关闭 eth0 ifconfig eth0 add 192.168.1.2 netmask 255.255.255.0 # 给 eth0 设置 IP地址,推荐直接修改配置文件 /etc/sysconfig/network script/  route add default gw 192.168.1.1    # 设置默认网关

简介：   at   说明：at 是用来执行一次性任务的，比如下午 15:30 重启系统 语法：         # 如果没有安装 at   yum install at  或 apt get install at   # 启动   systemctl start atd   # 查看版本   at  V   # 定时任务   Ⅰ. at 20:00 2022 01 07 at>reboot   # 任务，如果没有任务了，按按回车然后 Ctrl+D 即可保存退出   Ⅱ. ping www.baidu.com >> /root/pinglog.txt | at 21:55 2022 01 06   # 查看定时任务   atq   # 删除任务   atrm 任务ID crond   说明：Linux 下用来周期性执行一系列任务的程序 语法：    # 如果没有安装 yum/dnf install crond 或 apt get install crond   启动 systemctl start crond   查看版本 crontab  V   查看任务列表 crontab  l   编辑任务 crontab  e # 这里会调用 vim 或者 vi 编辑器 0 1 ping  c 4 www.baidu.com # 时间写法为： 分 时 日 月 星期 ， 代表所有；周和日月不可同时存在 /5 * ps  ef | grep ssh # 每5分钟查一次进程并过滤出 ssh   指定任务列表文件 crontab list.txt # 文件路径要写绝对路径   删除任务 crontab  r 任务ID # 也可以直接 crontab  e ,然后删除对应的行即可   * crontab 时间 * 语法格式：分 时 日 月 星期 动作 对象 * 示例     每10分钟 /10 * /bin/bash /var/ping.sh   每天凌晨 3:10 10 3 * /bin/bash /var/ping.sh   每月 7 号 3:10 10 3 7 /bin/bash /var/ping.sh   每周一、周三 3:10 10 3 1,3 /bin/bash /var/ping.sh

简介：如何解决ddos攻击？容量耗尽型DDoS攻击（volumetric DDoS attacks）来说，它并不需多大规模即可造成影响，它只需要与你的网络管道一样大。换言之，发动一次容量耗尽型DDoS攻击要比想象中容易的多。 而在我印象里，大部分机构（当然不包括服务提供商）的公网带宽要小于1Gbps，这也意味着它们面临DDoS攻击威胁时会非常脆弱。 下面是另一项统计，根据Arbor公司发布的第十二份《全球基础设施安全报告》，41％的企业和政府机构和60％的数据中心运营商报告他们所受到的DDoS攻击超过了互联网总带宽。 历史上，发动一次DDoS攻击从未像现在这般容易，一次持续一小时的攻击甚至仅需5美元。 与此同时，很多机构对于DDoS攻击威胁却依然保留着一些错误认知。 ◆一些人认为自己不会成为攻击的目标，即便遇到DDoS攻击造成的服务中断，他们也会将之归咎于设备故障或者操作失误。 ◆而另一些人则认为仅靠防火墙、入侵防御系统(IPS)这样的基础设施以及由互联网服务提供商（ISP）/内容分发网络（CDN）提供的单层防护即可抵御威胁。 然而，指望这种防护便能远离DDoS攻击威胁终究只是美好的愿望。 ◆首先，防火墙/IPS作为状态型设备，在进行网络连接的状态检测时,易被作为DDoS攻击目标。 ◆其次，ISP/CDN提供的单层防护无法为关键业务应用程序提供足够的保护。 如今，我们人人都可能成为DDoS攻击的受害者。因此将多层防御体系DDoS防护产品作为保险性投资无疑必要且迫在眉睫。 一个显而易见的事实是，面对那些足够撑爆网络管道的资源耗尽型攻击，只有一个方法可以让你的机构免于威胁，那就是连上上游互联网服务提供商（ISP）或者安全托管服务提供商（MSSP）进行云上防御。 …… 那么具体如何处理DDoS攻击威胁呢？ 充分的准备是抵御DDoS攻击的关键，你需要完成以下两步来应对威胁。 —第一步— 在本地部署应用层阻止DDoS攻击，在本地部署环境能更有效保护那些最重要的服务。确保本地部署内嵌专用产品可以阻止外来DDoS攻击及其他威胁。这些产品部署在防火墙之前，他们也可以用于阻止“受伤”主机访问外部。 另外，由于DDoS攻击发起时毫无征兆，于是自动化便成为防范DDoS攻击中的关键。本地部署产品需要能够完成自动检测，并在察觉即将被大规模容量耗尽型DDoS攻击攻陷时，能够通过云信令（Cloud Signal）来请求云上支援。 —第二步— 下一步则是在线路被攻击流量占满或者现场安全设置被攻陷之前，在云上阻止容量耗尽型DDoS攻击。理想的系统是这样的，本地部署检测设施在受到DDoS攻击时，与上游通信，动态重新规划路由网络，将流量引入到清洗中心（scrubbing center），在那里将恶意DDoS流量清洗掉，然后干净的流量再被引出。而这正是应对大规模攻击的关键。 最后，云上和本地部署两个环境之间需要能够进行智能通信，以阻止动态多重矢量攻击。你得确保解决方案能持续获取威胁情报支持，以进行相应处理。 DDoS仅需要在规模上与你的互联网管道同等大小，便可对所在组织网络安全产生影响。为最小化DDoS攻击影响，始终开启检测和云上自动缓解清洗当是明智之选. DDoS攻击是一种最常见的网络攻击，它是通过TCP/IP协议的三次握手进行攻击的。是通过伪造大量的源IP地址，然后分别向服务器端发送大量的SYN包，这个时候服务器端会返回SYN/ACK 包，而伪造的IP端不会应答，服务器端没有收到伪造的IP的回应，会进行重试机制，3~5次并等待一个SYN的时间（30s 2min），如果超时则丢弃。通过大量的网络请求，消耗服务器的资源。完全防护这种攻击还是蛮有难度的。一般会有几种方式： 方法1： 路由器、交换机、硬件防火墙等设备采用一些知名度高、口碑好、质量高的产品，假如攻击发生的时候用流量限 制来对抗这些攻击是可行的方法。另外使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口，即在路由器上过滤假IP 方法二 在应用程序中对每个“客户端”做一个请求频率的限制，或者从网站的代码上实行优化。将数据库压力转到内存中，及时的释放资源。显示每个IP地址的请求频率，根据IP地址和User Agent字段，进行过滤。 方法三 部署CDN,CDN可以把网站的静态内容分发到多个服务器，可以进行带宽扩容，增大访问量，提高承受攻击的能力。 最简单的办法就是把网页做成静态页面的。 说起对DDOS防御问题，这个对很多站长来说都是很头疼的事儿，以为一旦被DDOS攻击，除了关闭服务器好像都没有很好的办法。这时候站长们会发现网上各个平台所谓的世界先进软防/硬防都是摆设了。 其实，就我自己的经验（我自己去年一直被人恶意CC/DDOS攻击），在被DDOS攻击后，最好的办法就是停掉DNS解析，让DDOS的攻击变成没有意义的攻击，这样攻击者购买来的攻击流量也就白白浪费了（免费的攻击流量一般都很好拦截，拦截防御不了的基本可以断定是购买来的代理流量了），然后有条件的话就变更一下服务器的IP地址，重新上线网站，不过，在上线直接一定要部署好服务器本地的防火墙安全策略，还要给新的IP地址的服务器上个免费的CDN服务（当然，收费的最好了！），比如：百度云加速、360网站卫士、又拍云等等这些有WAF功能的CDN服务。这样主要是起到隐藏服务器真实IP的目的，攻击者没有服务器的真实IP就只能针对域名来实施攻击，因为用了CDN加速，所以攻击也就是造成某个CDN节点失效而已，不会对网站整体访问率有多大的影响。服务器本身的防火墙策略也可以阻挡一部分针对域名的攻击行为，结合CDN自身的WAF防御就分解了攻击流量，服务器的负载会逐步下降。基本上我就是这么应对几次的CC/DDOS攻击的，实践证明是成功的！ 关于平时的防御你可以看看【博客网站由内而外的安全防御思路】我的博客文章，其实最重要的就是隐藏自己真实的IP地址，只有隐藏了真实的IP地址才能真正的阻挡DDOS攻击，这是基础，这也为什么我一直给站长们讲的，能用CDN就一定要用个CDN！在互联网这个“黑暗森林”里隐藏自己才是活下去的第一要素呀！

简介：什么是DDOS攻击？它的原理是什么？它的目的是什么？ 网站最头痛的就是被攻击，常见的服务器攻击方式主要有这几种：端口渗透、端口渗透、密码破解、DDOS攻击。其中，DDOS是目前最强大，也是最难防御的攻击方式之一。 那什么是DDOS攻击呢？ 攻击者向服务器伪造大量合法的请求，占用大量网络带宽，致使网站瘫痪，无法访问。其特点是，防御的成本远比攻击的成本高，一个黑客可以轻松发起10G、100G的攻击，而要防御10G、100G的成本却是十分高昂。 DDOS攻击最初人们称之为DOS（Denial of Service）攻击，它的攻击原理是：你有一台服务器，我有一台个人电脑，我就用我的个人电脑向你的服务器发送大量的垃圾信息，拥堵你的网络，并加大你处理数据的负担，降低服务器CPU和内存的工作效率。 不过，随着科技的进步，类似DOS这样一对一的攻击很容易防御，于是DDOS—分布式拒绝服务攻击诞生了。其原理和DOS相同，不同之处在于DDOS攻击是多对一进行攻击，甚至达到数万台个人电脑在同一时间用DOS攻击的方式攻击一台服务器，最终导致被攻击的服务器瘫痪。 DDOS常见三种攻击方式 SYN/ACK Flood攻击：最为经典、有效的DDOS攻击方式，可通杀各种系统的网络服务。主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持。 TCP全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序（如：IIS、Apache等Web服务器）能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此此种DDOS攻击方式容易被追踪。 刷Script脚本攻击****：这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。 如何防御DDOS攻击？ 总体来说， 可以从硬件、单个主机、整个服务器系统三方面入手。 一、硬件 增加带宽带宽直接决定了承受攻击的能力，增加带宽硬防护是理论最优解，只要带宽大于攻击流量就不怕了，但成本非常高。 2、提升硬件配置 在有网络带宽保证的前提下，尽量提升CPU、内存、硬盘、网卡、路由器、交换机等硬件设施的配置，选用知名度高、 口碑好的产品。 3、 硬件防火墙 将服务器放到具有DDoS硬件防火墙的机房。专业级防火墙通常具有对异常流量的清洗过滤功能，可对抗SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等等流量型DDoS攻击 二、单个主机 1、及时修复系统漏洞，升级安全补丁。 2、关闭不必要的服务和端口，减少不必要的系统加载项及自启动项，尽可能减少服务器中执行较少的进程，更改工作模式 3、iptables 4、严格控制账户权限，禁止root登录，密码登录，修改常用服务的默认端口 三、整个服务器系统 负载均衡使用负载均衡将请求被均衡分配到各个服务器上，减少单个服务器的负担。 2、CDN CDN是构建在网络之上的内容分发网络，依靠部署在各地的边缘服务器，通过中心平台的分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率，因此CDN加速也用到了负载均衡技术。相比高防硬件防火墙不可能扛下无限流量的限制，CDN则更加理智，多节点分担渗透流量，目前大部分的CDN节点都有200G 的流量防护功能，再加上硬防的防护，可以说能应付目绝大多数的DDoS攻击了。 分布式集群防御分布式集群防御的特点是在每个节点服务器配置多个IP地址，并且每个节点能承受不低于10G的DDoS攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态。