互联网+ 第988页

几乎所有网络流量都需要标准DNS查询，这为 DNS 攻击（例如 DNS 劫持和路径攻击）创造了机会。这些攻击可以将网站的入站流量重定向到网站的虚假副本，收集敏感的用户信息并使企业承担重大责任。防御 DNS 威胁的最著名方法之一是采用 DNSSEC 协议。, 什么是 DNSSEC？,与许多 Internet协议一样，DNS 系统的设计并未考虑到安全性，并且包含一些设计限制。这些限制与技术进步相结合，使攻击者很容易出于恶意目的劫持 DNS 查找，例如将用户发送到可以分发恶意软件或收集个人信息的欺诈性网站。,,DNS 安全扩展 (DNSSEC) 是为缓解此问题而创建的安全协议。DNSSEC 通过对数据进行数字签名来防止攻击，以帮助确保其有效性。为了确保安全查找，签名必须在 DNS 查找过程的每个级别进行。,这个签名过程类似于某人用笔在法律文件上签名；该人使用其他人无法创建的唯一签名进行签名，法院专家可以查看该签名并验证该文件是否由该人签署。这些数字签名确保数据没有被篡改。,DNSSEC 跨 DNS 的所有层实施分层数字签名策略。例如，在“google.com”查找的情况下，根 DNS 服务器将为.COM 域名服务器签署一个密钥，然后 .COM 域名服务器将为 google.com 的权威域名服务器签署一个密钥。,虽然始终首选提高安全性，但 DNSSEC 旨在向后兼容，以确保传统 DNS 查找仍然正确解析，尽管没有增加安全性。DNSSEC 旨在与SSL / TLS等其他安全措施一起使用，作为整体 Internet 安全策略的一部分。,DNSSEC 创建了一个一直到根区域的父子信任链。这个信任链不能在 DNS 的任何层受到损害，否则请求将变得容易受到路径上的攻击。,要关闭信任链，需要验证根区本身（证明没有篡改或欺诈），而这实际上是通过人工干预来完成的。有趣的是，在所谓的根区签名仪式中，来自世界各地的选定个人会面以公开且经过审核的方式签署根 DNSKEY RRset。, 涉及 DNS 的常见攻击有哪些？,DNSSEC 是一种功能强大的安全协议，但遗憾的是它目前并未被普遍采用。除了 DNS 是大多数 Internet 请求不可或缺的一部分这一事实之外，这种缺乏采用加上其他潜在的漏洞，使得 DNS 成为恶意攻击的主要目标。攻击者已经找到了许多针对和利用 DNS 服务器的方法。以下是一些最常见的：, 防御基于 DNS 的攻击的最佳方法是什么？,除了 DNSSEC，DNS 区域的运营商还可以采取进一步措施来保护其服务器。过度配置基础设施是克服DDoS 攻击的一种简单策略。简而言之，如果您的名称服务器可以处理比您预期多几倍的流量，那么基于容量的攻击就更难压倒您的服务器。,Anycast 路由是另一个可以破坏 DDoS 攻击的便捷工具。Anycast 允许多台服务器共享一个 IP 地址，因此即使一台 DNS 服务器关闭，仍然会有其他服务器启动并提供服务。另一种保护 DNS 服务器的流行策略是 DNS 防火墙。, 什么是 DNS 防火墙？,DNS 防火墙是一种工具，可以为 DNS 服务器提供许多安全和性能服务。DNS 防火墙位于用户的递归解析器和他们试图访问的网站或服务的权威名称服务器之间。防火墙可以提供速率限制服务来关闭试图压倒服务器的攻击者。如果服务器确实因攻击或任何其他原因而停机，DNS 防火墙可以通过提供来自缓存的 DNS 响应来保持运营商的站点或服务正常运行。,除了其安全功能外，DNS 防火墙还可以提供性能解决方案，例如更快的 DNS 查找和降低 DNS 运营商的带宽成本。, DNS 作为安全工具,DNS 解析器也可以配置为为其最终用户（浏览 Internet 的人）提供安全解决方案。一些 DNS 解析器提供内容过滤等功能，可以阻止已知分发恶意软件和垃圾邮件的网站，以及阻止与已知僵尸网络通信的僵尸网络保护。许多这些安全的 DNS 解析器都是免费使用的，用户可以通过更改其本地路由器中的单个设置来切换到这些递归 DNS服务之一。, DNS 查询是私有的吗？,另一个重要的 DNS 安全问题是用户隐私。DNS 查询未加密。即使用户使用像1.1.1.1这样不跟踪他们活动的 DNS 解析器，DNS 查询也会以明文形式在 Internet 上传输。这意味着拦截查询的任何人都可以看到用户正在访问哪些网站。,缺乏隐私会影响安全，在某些情况下还会影响人权；如果 DNS 查询不是私人的，那么政府审查互联网和攻击者跟踪用户的在线行为变得更容易。DNS over TLS 和 DNS over HTTPS是加密 DNS 查询的两个标准，以防止外部各方能够读取它们。还与其他组织合作以帮助提高...

DNS记录（也称为区域文件）是位于权威DNS 服务器中的指令，并提供有关域的信息，包括与该域关联的IP 地址以及如何处理对该域的请求。这些记录由一系列以 DNS 语法编写的文本文件组成。 DNS 语法只是一串字符，用作告诉 DNS 服务器该做什么的命令。所有 DNS 记录还有一个“ TTL ”，它代表生存时间，并指示 DNS 服务器刷新该记录的频率。,,您可以将一组 DNS 记录想象为 Yelp 上的企业列表。该列表将为您提供有关企业的大量有用信息，例如其位置、营业时间、提供的服务等。所有域都必须至少具有一些基本的 DNS 记录，用户才能使用domain name，并且有几个可选记录可用于其他目的。,最常见的 DNS 记录类型有哪些？,记录- 保存域 IP 地址的记录。,AAAA 记录- 包含域的 IPv6 地址的记录（与列出 IPv4 地址的 A 记录相反）。,CNAME 记录- 将一个域或子域转发到另一个域，不提供 IP 地址。,MX 记录- 将邮件定向到电子邮件服务器。,TXT 记录- 让管理员在记录中存储文本注释。这些记录通常用于电子邮件安全。,NS 记录- 存储 DNS 条目的名称服务器。,SOA 记录- 存储有关域的管理员信息。,SRV 记录- 指定特定服务的端口。,PTR 记录- 在反向查找中提供域名。,有哪些不常用的 DNS 记录？,AFSDB 记录- 此记录用于 Carnegie Melon 开发的 Andrew 文件系统 (AFS) 的客户端。AFSDB 记录用于查找其他 AFS 单元。,APL 记录- “地址前缀列表”是指定地址范围列表的实验记录。,CAA 记录- 这是“认证机构授权”记录，它允许域所有者说明哪些认证机构可以为该域颁发证书。如果不存在 CAA 记录，那么任何人都可以为该域颁发证书。这些记录也被子域继承。,DNSKEY 记录- “ DNS 密钥记录”包含用于验证域名系统安全扩展 (DNSSEC)签名的公钥。,CDNSKEY 记录- 这是 DNSKEY 记录的子副本，旨在传输给父项。,CERT 记录- “证书记录”存储公钥证书。,DCHID 记录- “DHCP 标识符”存储动态主机配置协议 (DHCP) 的信息，DHCP 是一种用于 IP 网络的标准化网络协议。,DNAME 记录- “委托名称”记录创建一个域别名，就像 CNAME 一样，但这个别名也会重定向所有子域。例如，如果“example.com”的所有者购买了域“website.net”并给它一个指向“example.com”的 DNAME 记录，那么该指针也将扩展到“blog.website.net”和任何其他子域。,HIP 记录- 此记录使用“主机身份协议”，这是一种分离 IP 地址角色的方法；该记录最常用于移动计算。,IPSECKEY 记录-“IPSEC 密钥”记录与Internet 协议安全 (IPSEC)、端到端安全协议框架和 Internet 协议套件(TCP/IP)的一部分一起使用。,LOC 记录- “位置”记录包含以经度和纬度坐标形式的域的地理信息。,NAPTR 记录- ‘名称权限指针’ 记录可以与SRV 记录结合以根据正则表达式动态创建指向的 URI。,NSEC 记录- “下一个安全记录”是 DNSSEC 的一部分，用于证明请求的 DNS...

所有 DNS 服务器都属于以下四个类别之一：递归解析器、根域名服务器、TLD 域名服务器和权威性域名服务器。在典型 DNS 查找中（当没有正在进行的高速缓存时），这四个 DNS 服务器协同工作来完成将指定域的 IP 地址提供给客户端的任务（客户端通常是一个存根解析器 – 内置于操作系统的简单解析器）。,, 什么是 DNS 递归解析器？,递归解析器（也称为 DNS 解析器）是 DNS 查询中的第一站。递归解析器作为客户端与 DNS 域名服务器的中间人。从 Web 客户端收到 DNS 查询后，递归解析器将使用缓存的数据进行响应，或者将向根域名服务器发送请求，接着向 TLD 域名服务器发送另一个请求，然后向权威性域名服务器发送最后一个请求。收到来自包含已请求 IP 地址的权威性域名服务器的响应后，递归解析器将向客户端发送响应。,在此过程中，递归解析器将缓存从权威性域名服务器收到的信息。当一个客户端请求的域名 IP 地址是另一个客户端最近请求的 IP 地址时，解析器可绕过与域名服务器进行通信的过程，并仅从第二个客户端的缓存中为第一个客户端提供所请求的记录。大多数 Internet 用户使用他们 ISP 提供的递归解析器，但还有其他可用选择；, 什么是 DNS 根域名服务器？,每个递归解析器都知道 13 个 DNS 根域名服务器，它们是递归解析器搜寻 DNS 记录的第一站。根服务器接受包含域名的递归解析器的查询，根域名服务器根据该域的扩展名（.com、.net、.org 等），通过将递归解析器定向到 TLD 域名服务器进行响应。根域名服务器由一家名为 Internet 名称与数字地址分配机构（ICANN）的非营利组织进行监督。,注意，尽管有 13 个根域名服务器，但这并不意味着根域名服务器系统中只有 13 台计算机。根域名服务器有 13 种类型，但在世界各地每个类型都有多个副本，它们使用 Anycast 路由来提供快速响应。如果您将根域名服务器的所有实例加在一起，您将有 632 台不同的服务器（截至 2016 年 10 月）。,, 什么是 TLD 域名服务器？,TLD 域名服务器维护共享通用域扩展名的所有域名的信息，例如 .com、.net 或 url 中最后一个点之后的任何内容。例如，.com TLD 域名服务器包含以“.com”结尾的每个网站的信息。如果用户正在搜索 google.com，则在收到来自根域名服务器的响应后，递归解析器将向 .com TLD 域名服务器发送查询，后者将通过针对该域的权威性域名服务器（见下文）进行响应。,TLD 域名服务器的管理由 Internet 编号分配机构（IANA）加以处理，其为 ICANN 的一个分支机构。IANA 将 TLD 服务器分为两个主要组：,对于基础设施域实际上存在第三个类别，但该类别几乎从不使用。此类别是为 .arpa 域创建的，该域是在创建新式 DNS 时使用的过渡域；其当今主要是具有历史意义。, 什么是权威性域名服务器？,当递归解析器收到来自 TLD 域名服务器的响应时，该响应会将解析器定向到权威性域名服务器。权威性域名服务器通常是解析器查找 IP 地址过程中的最后一步。权威名称服务器包含特定于其服务域名的信息，权威性域名服务器包含特定于其所服务的域名的信息，并且它可为递归解析器提供在 DNS A 记录中找到的服务器的 IP 地址，或者如果该域具有 CNAME 记录（别名），它将为递归解析器提供一个别名域，这时递归解析器将必须执行全新 DNS 查找，以便从权威性域名服务器获取记录（通常为包含 IP 地址的 A 记录）。DNS 分发权威性域名服务器，这些域名服务器带有 Anycast 路由，可使其变得更可靠。, ,所有 DNS 服务器都属于以下四个类别之一：递归解析器、根域名服务器、TLD 域名服务器和权威性域名服务器。在典型 DNS 查找中（当没有正在进行的高速缓存时），这四个 DNS 服务器协同工作来完成将指定域的...

        美美国Linux服务器的Linux系统是建站用户常用的操作系统之一，纯命令的系统模式可以有效减少系统负担，同时其简洁的指令操作模式深受美国Linux服务器用户的青睐，本文小编就带来美国Linux服务器的基础指令教程。,        cd切换目录,        cd..返回上册目录,        pwd显示当前目录的绝对路径,        ls显示列表目录或文件：,        1）ls -a现实隐藏目录或文件,        2）ls -R递归显示目录或文件,        3）ls -t按时间顺序显示目录或文件,        4）ls -l显示目录或文件的详细信息,        5）ls -F显示美国Linux服务器文件类型,        r  读权限  w 写权限  x 执行权限  – 无权限,        u 拥有者  g 同组人  o 其他人  a 所有人,        chmod 修改权限，+-来修改，多次用逗号隔开,        mkdir 创建目录,        mkdir -p创建文件中的文件,        touch 创建目录,        cp 复制文件,        cp -r 复制目录,        mv 移动,        man 美国Linux服务器命令使用手册,        rm 删除文件,        rm -r 删除目录,        rm –f强制删除,        rm –i询问是否删除,        ifconfig -a 查找IP地址,        sudu passwd+用户名 修改美国Linux服务器用户名密码,        su+用户名 切换用户,        *  代表一个或多个字符,        ？代表任意一个字符,        【】表示闭区间 可以包括一个范围,        ；可以连接两个命令,        |将前一个指令的结果传送到后面的命令再执行,        | more 分页查看信息,        cal  显示日历 月份在前，年在后,        cat >文件名 写入覆盖,        cat >>文件名 追加写入,        gedit  等于鼠标双击显示文件内容，用于美国Linux服务器桌面,        cat  显示文本内容，用于美国Linux服务器虚拟机,        cat +两个或多个文件+>+～/文件名 把两个或多个文件合并到一个文件,        cat  /dev/null >清空文件内容,        tar -cvf 压缩文件 c为创建，f为指定备份文件， v为细节过程,        tar -xvf x从备份文件还原文件 fv同上,        以上内容就是关于美国Linux服务器的基础指令教程，希望能帮助到有需要的美国Linux服务器用户们。,        现在vsping科技合作的美国VM机房的美国Linux服务器所有配置都免费赠送防御值 ，可以有效防护网站的安全，以下是部分配置介绍：, , ,        vsping科技已与全球多个国家的顶级数据中心达成战略合作关系，为互联网外贸行业、金融行业、IOT行业、游戏行业、直播行业、电商行业等企业客户等提供一站式安全解决方案。持续关注vsping科技官网，获取更多IDC资讯！,, ,        美美国Linux服务器的Linux系统是建站用户常用的操作系统之一，纯命令的系统模式可以有效减少系统负担，同时其简洁的指令操作模式深受美国Linux服务器用户的青睐，本文小编就带来美国Linux服务器的基础指令教程。,        cd切换目录,        rm -r 删除目录

        美国网站服务器最常见的攻击莫过于DDoS攻击了，DDoS攻击是分布式拒绝服务攻击的其中一种攻击类型，主要攻击原理是黑客通过大量合法的请求来占用大量美国网站服务器的网络资源，以达到美国网站服务器网络瘫痪，无法正常服务的目的。黑客在对美国网站服务器发起DDoS 攻击时通常使用的是常见的协议和服务，这种协议和服务类型上是很难对攻击类型进行区分的。下面小编就来分享下美国网站服务器DDoS攻击常见的类型。,        1：基于ARP,        美国网站服务器ARP协议是无连接的协议，当收到黑客发送来的ARP应答时它将接收ARP应答包中所提供的信息并更新ARP缓存，因此含有错误源地址信息的ARP请求和含有错误目标地址信息的ARP应答，都会使美国网站服务器上层应用忙于处理这种异常而无法响应外来请求，使得目标美国网站服务器丧失网络通信能力并产生拒绝服务。,        2：基于ICMP,        基于ICMP的原理是黑客向一个子网的广播地址发送多个ICMP Echo请求数据包，并将源地址伪装成想要攻击的目标美国网站服务器的地址。这样该子网上的所有美国网站服务器均对此ICMP Echo请求包作出答复，向被攻击的目标美国网站服务器发送数据包而使该美国网站服务器受到攻击，导致网络阻塞。,        3：基于IP,        美国网站服务器TCP/IP协议中的IP数据包在网络传递时可以分成更小的片段，到达目的地后再进行合并重装，而在实现分段重新组装的进程中会存在漏洞且缺乏必要的检查，所以黑客利用IP报文分片后重组的重叠现象攻击美国网站服务器，从而引起美国网站服务器内核崩溃。,        4：基于应用层,        美国网站服务器应用层包括SMTP，HTTP，DNS等各种应用协议，其中SMTP定义了如何在两个美国网站服务器间传输邮件的过程，而基于标准SMTP的邮件服务器在客户端请求发送邮件时，是不会对其身份进行验证的，所以黑客利用邮件服务器持续不断地向目标美国网站服务器发送垃圾邮件，大量侵占美国网站服务器资源。,        以上内容就是关于美国网站服务器DDoS攻击常见的类型的结哦少，美国网站服务器DDoS攻击类型多且较复杂，基于了解攻击的分类有助于更快地找出应对策略。,        现在vsping科技合作的美国VM机房的美国网站服务器所有配置都免费赠送防御值 ，可以有效防护网站的安全，以下是部分配置介绍：, , ,        vsping科技已与全球多个国家的顶级数据中心达成战略合作关系，为互联网外贸行业、金融行业、IOT行业、游戏行业、直播行业、电商行业等企业客户等提供一站式安全解决方案。持续关注vsping科技官网，获取更多IDC资讯！,, ,        美国网站服务器最常见的攻击莫过于DDoS攻击了，DDoS攻击是分布式拒绝服务攻击的其中一种攻击类型，主要攻击原理是黑客通过大量合法的请求来占用大量美国网站服务器的网络资源，以达到美国网站服务器网络瘫痪，无法正常服务的目的。黑客在对美国网站服务器发起DDoS 攻击时通常使用的是常见的协议和服务，这种协议和服务类型上是很难对攻击类型进行区分的。下面小编就来分享下美国网站服务器DDoS攻击常见的类型。,        1：基于ARP,

拒绝服务（DDoS）攻击和分布式拒绝服务（DDoS）攻击都是恶意的行为，利用大量互联网流量淹没目标服务器、服务或网络，破坏它们的正常运作。,DoS 攻击通过从单一机器（通常是一台计算机）发送恶意流量来实现这种破坏。形式可以非常简单；通过向目标服务器发送数量超过其有效处理和响应能力的ICMP（Ping）请求，发动基本的 Ping 洪水攻击。,,另一方面，DDoS 攻击使用一台以上的机器向目标发送恶意流量。这些机器通常是僵尸网络（感染了恶意软件的计算机或其他设备的集合）的一部分，因而可以由单个攻击者进行远程控制。在其他情形中，多名个体攻击者可以串通起来，一起从各自的个体计算机发送流量来发动 DDoS 攻击。,DDoS 攻击在现代互联网中更为普遍，破坏性也更强，原因有二。首先，现代安全工具已经发展为能够阻止一些普通的 DoS 攻击。其次，DDoS 攻击工具已经变得相对廉价且易于操作。, DoS/DDoS 攻击工具如何分类？,市面上有诸多工具可以通过调整来发动 DoS/DDoS 攻击，或者明确设计用于此类目的。前一类工具通常是“压力源”，宣称的用途是帮助安全研究人员和网络工程师对自己的网络进行压力测试，但也可用来发动真正的攻击。,有些是专门的，只专注于OSI 模型的特定层，而另一些则旨在允许多个攻击向量。攻击工具的类别包括：, 低速缓慢攻击工具,顾名思义，此类攻击工具仅使用少量数据，而且运行速度非常慢。设计用于通过多个连接发送少量数据，以便尽可能确保目标服务器端口长时间处于打开状态；这些工具将不断占用服务器资源，直到服务器无法维持其他连接为止。独特之处在于，即使不使用僵尸网络这样的分布式系统，低速缓慢攻击有时也可能会得逞，并且通常由一台机器来发动。, 应用程序层 (L7) 攻击工具,这类工具以 OSI 模型的第 7 层为目标，基于互联网的请求（例如 HTTP）在这一层上发生。恶意用户可以利用某种 HTTP 洪水攻击，通过 HTTP GET 和 POST 请求淹没目标，从而发起攻击流量，使其很难与实际访问者提出的正常请求区分开来。, 协议和传输层 (L3/L4) 攻击工具,此类工具深入协议堆栈，利用 UDP 等协议向目标服务器大规模发送流量，例如在 UDP 洪水攻击期间。虽然单独使用通常不起作用，但此类攻击常常以 DDoS 攻击的形式出现，增加参与攻击的机器数量可加大攻击效果。, 常用的 DoS/DDoS 攻击工具有哪些?,一些常用的工具包括：, 低轨道离子炮 (LOIC),LOIC 是一款开源压力测试应用程序。提供了对用户友好的所见即所得型界面，可被用来发动 TCP 和 UDP 协议层攻击。鉴于原始工具广为流传，现已演化出多种衍生工具，可被用来通过 Web 浏览器发动攻击。, 高轨道离子炮 (HOIC),此类攻击工具用于取代 LOIC，不仅扩展了功能，还新增了自定义项。采用 HTTP 协议后，HOIC 可以发起难以缓解的针对性攻击。这款软件设计为集合至少 50 人就能发起协同攻击。, 懒猴,Slowloris 是一款针对目标服务器发动低速缓慢攻击的应用程序。只需占用相对有限数量的资源，便可产生破坏性效果。, R.U.D.Y（死亡之子）,R.U.D.Y. 也是一款低速缓慢攻击工具，它的设计可使用户运用简洁的点击式界面来轻松发动攻击。此类攻击会打开多个 HTTP POST 请求，并尽可能确保这些连接长时间处于打开状态，从而慢慢压垮目标服务器。, 如何防御 DoS/DDoS 工具？,既然 DoS 和 DDoS 攻击采取多种不同的形式，缓解它们也需要不同的策略。阻止 DDoS 攻击的常见策略有：, ,拒绝服务（DDoS）攻击和分布式拒绝服务（DDoS）攻击都是恶意的行为，利用大量互联网流量淹没目标服务器、服务或网络，破坏它们的正常运作。,DoS 攻击通过从单一机器（通常是一台计算机）发送恶意流量来实现这种破坏。形式可以非常简单；通过向目标服务器发送数量超过其有效处理和响应能力的ICMP（Ping）请求，发动基本的 Ping 洪水攻击。,Slowloris 是一款针对目标服务器发动低速缓慢攻击的应用程序。只需占用相对有限数量的资源，便可产生破坏性效果。

域名系统（DNS）服务器是互联网的“电话簿“；互联网设备通过这些服务器来查找特定 Web 服务器以便访问互联网内容。DNS 洪水攻击是一种分布式拒绝服务（DDoS）攻击，攻击者用大量流量淹没某个域的 DNS 服务器，以尝试中断该域的 DNS 解析。如果用户无法找到电话簿，就无法查找到用于调用特定资源的地址。通过中断 DNS 解析，DNS 洪水攻击将破坏网站、API 或 Web 应用程序响应合法流量的能力。很难将 DNS 洪水攻击与正常的大流量区分开来，因为这些大规模流量往往来自多个唯一地址，查询该域的真实记录，模仿合法流量。, DNS洪水攻击的工作原理,,域名系统的功能是将易于记忆的名称转换成难以记住的网站服务器地址，因此成功攻击 DNS 基础设施将导致大多数人无法使用互联网。DNS 洪水攻击是一种相对较新的基于 DNS 的攻击，这种攻击是在高带宽物联网（IoT）僵尸网络（如 Mirai）兴起后激增的。DNS 洪水攻击使用 IP 摄像头、DVR 盒和其他 IoT 设备的高带宽连接直接淹没主要提供商的 DNS 服务器。来自 IoT 设备的大量请求淹没 DNS 提供商的服务，阻止合法用户访问提供商的 DNS 服务器。,DNS 洪水攻击不同于 DNS 放大攻击。与 DNS 洪水攻击不同，DNS 放大攻击反射并放大不安全 DNS 服务器的流量，以便隐藏攻击的源头并提高攻击的有效性。DNS 放大攻击使用连接带宽较小的设备向不安全的 DNS 服务器发送无数请求。这些设备对非常大的 DNS 记录发出小型请求，但在发出请求时，攻击者伪造返回地址为目标受害者。这种放大效果让攻击者能借助有限的攻击资源来破坏较大的目标。,, 如何防护 DNS 洪水攻击？,DNS 洪水对传统上基于放大的攻击方法做出了改变。借助轻易获得的高带宽僵尸网络，攻击者现能针对大型组织发动攻击。除非被破坏的 IoT 设备得以更新或替换，否则抵御这些攻击的唯一方法是使用一个超大型、高度分布式的 DNS 系统，以便实时监测、吸收和阻止攻击流量。, ,域名系统（DNS）服务器是互联网的“电话簿“；互联网设备通过这些服务器来查找特定 Web 服务器以便访问互联网内容。DNS 洪水攻击是一种分布式拒绝服务（DDoS）攻击，攻击者用大量流量淹没某个域的 DNS 服务器，以尝试中断该域的 DNS 解析。如果用户无法找到电话簿，就无法查找到用于调用特定资源的地址。通过中断 DNS 解析，DNS 洪水攻击将破坏网站、API 或 Web 应用程序响应合法流量的能力。很难将 DNS 洪水攻击与正常的大流量区分开来，因为这些大规模流量往往来自多个唯一地址，查询该域的真实记录，模仿合法流量。, DNS洪水攻击的工作原理,

拒绝服务 (DoS) 攻击是一种网络攻击，其中恶意行为者旨在通过中断设备的正常运行来使其目标用户无法使用计算机或其他设备。DoS 攻击的功能通常是通过请求淹没或淹没目标计算机，直到无法处理正常流量，从而导致对其他用户的拒绝服务。DoS 攻击的特点是使用单台计算机发起攻击。分布式拒绝服务 (DDoS) 攻击是一种来自许多分布式来源的 DoS 攻击，例如僵尸网络 DDoS 攻击。,, DoS 攻击如何运作？,DoS 攻击的主要焦点是使目标机器的容量过度饱和，从而导致对其他请求的拒绝服务。DoS 攻击的多个攻击向量可以根据它们的相似性进行分组。,DoS 攻击通常分为两类：, 缓冲区溢出攻击,一种攻击类型，其中内存缓冲区溢出会导致机器消耗所有可用的硬盘空间、内存或 CPU 时间。这种形式的利用通常会导致行为迟缓、系统崩溃或其他有害的服务器行为，从而导致拒绝服务。, 洪水袭击,通过使用大量数据包使目标服务器饱和，恶意行为者能够使服务器容量过度饱和，从而导致拒绝服务。为了使大多数 DoS 洪水攻击成功，恶意行为者必须拥有比目标更多的可用带宽。, 有哪些具有历史意义的 DoS 攻击？,从历史上看，DoS 攻击通常利用网络、软件和硬件设计中存在的安全漏洞。由于 DDoS 攻击具有更大的破坏能力并且在可用工具的情况下相对容易创建，因此这些攻击已变得不那么普遍。实际上，大多数 DoS 攻击也可以转化为 DDoS 攻击。,一些常见的历史性 DoS 攻击包括：, 如何判断计算机是否正在遭受 DoS 攻击？,虽然很难将攻击与其他网络连接错误或大量带宽消耗区分开来，但某些特征可能表明攻击正在进行中。,DoS 攻击的指标包括：,DDoS 攻击和 DOS 攻击有什么区别？,DDoS 和 DoS 之间的区别在于攻击中使用的连接数。一些 DoS 攻击，例如Slowloris等“低速和慢速”攻击，其强大之处在于其简单性和有效所需的最低要求。DoS 利用单一连接，而 DDoS 攻击利用许多攻击流量来源，通常以僵尸网络的形式。一般来说，许多攻击在本质上是相似的，可以尝试使用更多的恶意流量来源。, ,拒绝服务 (DoS) 攻击是一种网络攻击，其中恶意行为者旨在通过中断设备的正常运行来使其目标用户无法使用计算机或其他设备。DoS 攻击的功能通常是通过请求淹没或淹没目标计算机，直到无法处理正常流量，从而导致对其他用户的拒绝服务。DoS 攻击的特点是使用单台计算机发起攻击。分布式拒绝服务 (DDoS) 攻击是一种来自许多分布式来源的 DoS 攻击，例如僵尸网络 DDoS 攻击。,,

第一类用户，银行、金融、证券等行业。裸金属服务器具有资源独占的特性。所以，它非常适合一些对安全隔离要求较高的场景。这些行业对业务部署有合规要求，不允许你和别人合租，数据在物理上必须隔离。所以，他们是裸金属服务器的首要客户。,第二类用户，是那些对性能有极致要求的用户。例如超级计算、航空航天、宇宙观测甚至高能物理等科学研究场景，他们要处理的数据量空前巨大，对计算过程的稳定性要求也很高，所以，更青睐裸金属服务器。,第三类用户，就是游戏开发。在线游戏业务对系统性能要求也很高，且要求服务足够稳定，所以，也会倾向使用裸金属服务器。,,第一类用户，银行、金融、证券等行业。裸金属服务器具有资源独占的特性。所以，它非常适合一些对安全隔离要求较高的场景。这些行业对业务部署有合规要求，不允许你和别人合租，数据在物理上必须隔离。所以，他们是裸金属服务器的首要客户。,第二类用户，是那些对性能有极致要求的用户。例如超级计算、航空航天、宇宙观测甚至高能物理等科学研究场景，他们要处理的数据量空前巨大，对计算过程的稳定性要求也很高，所以，更青睐裸金属服务器。,

僵尸网络（botnet）是指一组受到恶意软件感染并遭到恶意用户控制的计算机。术语“僵尸网络”由“机器人（bot）”和“网络（network）”两个词组合而成，每台受感染设备被称为“机器人”。僵尸网络可用于完成非法或恶意的任务，包括发送垃圾邮件、窃取数据、投放勒索软件、欺诈性点击广告或发动分布式拒绝服务（DDoS）攻击。,虽然某些恶意软件（如勒索软件）会对设备所有者产生直接影响，但 DDoS 僵尸网络恶意软件的可见性可能各不相同；一些恶意软件用于完全控制设备，另一些恶意软件则以后台进程的形式偷偷运行，同时默默等待攻击者或“僵尸牧人”发出指令。,自我传播的僵尸网络通过各种不同的渠道招募额外的机器人。感染途径包括利用网站漏洞、木马恶意软件和破解弱身份验证以获得远程访问。一旦获得访问权限，所有这些感染方法都会导致在目标设备上安装恶意软件，从而允许僵尸网络的操作员进行远程控制。一旦设备被感染，它可能会尝试通过在周围网络中招募其他硬件设备来自我传播僵尸网络恶意软件。,虽然无法确定特定僵尸网络中机器人的确切数量，但根据估算，复杂僵尸网络的机器人总数从几千一直延伸到百万以上。,, 僵尸网络因为什么原因而诞生？,使用僵尸网络的原因多种多样，包括激进主义和国家赞助的破坏活动，许多攻击纯粹是为了牟利。在线招募僵尸网络服务所需的费用相对较低；特别是，对比可能造成的损失，价格优势尤为显着。另外，创建僵尸网络的门槛也足够低，因而成为某些软件开发人员的牟利手段，在监管和执法力度有限的地区应用尤其广泛。综合以上，提供招募出租的在线服务迅速风靡全球。, 如何控制僵尸网络？,僵尸网络的核心特征是能够接收僵尸牧人（bot herder）发出的更新指令。由于能够与网络中每个机器人进行通讯，攻击者可改变攻击手段、更改目标IP 地址、终止攻击或进行其他自定义行动。僵尸网络设计各不相同，但控制结构可分为两大类：, 客户端/服务器僵尸网络模型,客户端/服务器模型模拟传统远程工作站的工作流程，其中每台机器都连接到集中式服务器（或少数集中式服务器），以便访问信息。在这种模型中，每个机器人将连接到命令和控制中心（CnC）资源（例如 Web 域或 IRC 通道），以便接收指令。通过使用这些集中式存储库向僵尸网络传达新命令，攻击者只需修改每个僵尸网络从命令中心获取的原始资源，即可向受感染机器传达最新指令。控制僵尸网络的集中式服务器可以是攻击者自有及操控的设备，也可以是一台受感染的设备。,目前已发现大量流传甚广的集中式僵尸网络拓扑，包括：,星形网络拓扑,,多服务器网络拓扑,,分层网络拓扑,,在以上各类客户端/服务器模型中，每个机器人均连接命令中心资源（如 Web 域或 IRC 通道）以接收指令。鉴于使用这些集中式存储库向僵尸网络传达新命令，攻击者只需从一个命令中心修改各个僵尸网络占用的原始资源，即可向受感染机器传达最新指令。,同时，利用有限数量的集中来源即可向僵尸网络发送最新指令，这种简便性成为此类机器的又一漏洞；若要移除使用集中式服务器的僵尸网络，只需中断这台服务器便可。在这一漏洞的驱使下，僵尸网络恶意软件创建者不断发展，探索出一种不易受到单一或少量故障点干扰的新模型。, 点对点僵尸网络模型,为规避客户端/服务器模型漏洞，最近恶意用户一直使用分散式对等文件共享组件设计僵尸网络。在僵尸网络中嵌入控制结构，消除采用集中式服务器的僵尸网络的单点故障，缓解攻击的难度随之提高。P2P 机器人可以同时是客户端和命令中心，协同相邻节点传播数据。,点对点僵尸网络会维护受信任的计算机列表，僵尸网络可根据列表往来通信并更新其恶意软件。限制机器人连接的其他机器数量，使每个机器人仅对相邻设备公开，这使得跟踪和缓解难度相应增高。由于缺乏集中式命令服务器，点对点僵尸网络更容易受到僵尸网络创建者以外的其他用户的控制。为防止失控，分散式僵尸网络通常经过加密以限制访问。,,没有人会通过后院用来观察喂鸟器的无线 CCTV 摄像头操作网上银行业务，但这并不意味着此类设备无法发出必要的网络请求。IoT 设备的强大能力，加上安全防护薄弱或配置不当，为僵尸网络恶意软件招募新机器人加入攻击队伍创造了机会。IoT 设备持续增长，DDoS 攻击随之掀开新篇章，因为很多设备配置不当，很容易受到攻击。,如果 IoT 设备漏洞硬编码到了固件中，更新难度将进一步加大。为降低风险，应更新装有过期固件的 IoT 设备，因为自初始安装设备开始默认凭证通常保持不变。很多廉价硬件制造商并不会因提高设备安全性而获得奖励，因而僵尸网络恶意软件用于攻击 IoT 设备的漏洞始终存在，这项安全风险仍未消除。, 禁用僵尸网络的控制中心：,如果可以识别控制中心，禁用按照命令和控制模式设计的僵尸网络也会变得更加轻松。切断故障点的头节点可以使整个僵尸网络进入离线状态。因此，系统管理员和执法人员可集中精力关闭这些僵尸网络的控制中心。如果命令中心所在的国家/地区执法力度较弱或不愿做出干预，实施难度将进一步加大。, 避免个人设备感染：,对于个人计算机，若要重新获得对计算机的控制权，可以采用以下策略：运行防病毒软件、使用安全备份重新安装软件，或者在重新格式化系统后使用初始状态的计算机重新启动。对于 IoT 设备，则可采用以下策略：刷新固件、恢复出厂设置或以其他方式格式化设备。如果这些方案不可行，设备制造商或系统管理员有可能提供其他策略。, 创建安全密码：,对于许多易受攻击的设备，减少对僵尸网络漏洞的暴露可以像将管理凭据更改为默认用户名和密码以外的其他内容一样简单。创建一个安全密码会使暴力破解变得困难，创建一个非常安全的密码会使暴力破解几乎不可能。例如，感染Mirai恶意软件的设备将扫描 IP 地址以寻找响应设备。一旦设备响应 ping 请求，机器人将尝试使用预设的默认凭据列表登录找到的设备。如果更改了默认密码并实施了安全密码，机器人将放弃并继续寻找更易受攻击的设备。, 仅允许通过可信方式执行第三方代码：,如果采用手机的软件执行模式，则仅允许的应用可以运行，赋予更多控制来终止被认定为恶意的软件（包括僵尸网络）。只有管理软件（如内核）被利用才会导致设备被利用。这取决于首先具有安全内核，而大多数 IoT 设备并没有安全内核，此方法更适用于运行第三方软件的机器。, 定期擦除/还原系统：,在过了设定的时间后还原为已知良好状态，从而删除系统收集的各种垃圾，包括僵尸网络软件。如果用作预防措施，此策略可确保即使恶意软件静默运行也会遭到丢弃。, 实施良好的入口和出口过滤实践：,其他更高级的策略包括网络路由器和防火墙的过滤实践。安全网络设计的一个原则是分层：您对可公开访问的资源的限制最少，同时不断加强您认为敏感的事物的安全性。此外，任何跨越这些边界的东西都必须受到审查：网络流量、USB 驱动器等。质量过滤实践增加了 DDoS 恶意软件及其传播和通信方法在进入或离开网络之前被捕获的可能性。, ,僵尸网络（botnet）是指一组受到恶意软件感染并遭到恶意用户控制的计算机。术语“僵尸网络”由“机器人（bot）”和“网络（network）”两个词组合而成，每台受感染设备被称为“机器人”。僵尸网络可用于完成非法或恶意的任务，包括发送垃圾邮件、窃取数据、投放勒索软件、欺诈性点击广告或发动分布式拒绝服务（DDoS）攻击。,虽然某些恶意软件（如勒索软件）会对设备所有者产生直接影响，但 DDoS 僵尸网络恶意软件的可见性可能各不相同；一些恶意软件用于完全控制设备，另一些恶意软件则以后台进程的形式偷偷运行，同时默默等待攻击者或“僵尸牧人”发出指令。,为规避客户端/服务器模型漏洞，最近恶意用户一直使用分散式对等文件共享组件设计僵尸网络。在僵尸网络中嵌入控制结构，消除采用集中式服务器的僵尸网络的单点故障，缓解攻击的难度随之提高。P2P 机器人可以同时是客户端和命令中心，协同相邻节点传播数据。