演習(xí)!請勿緊張:)唉���,我說那邊那位��,你在辦公室里藏消防斧和登山繩���,而且,還盯著旁邊的玻璃���,你想做什么����?
多年以前,有家小網(wǎng)站�����,被黑客洗了備份服務(wù)器���,然后主服務(wù)器上的災(zāi)情信號被激活�,主服務(wù)器趕緊從備份服務(wù)器上恢復(fù)數(shù)據(jù)�����,也被洗�。我MSN上一位網(wǎng)管說,除了ESPN之外��,誰做熱備就是犯罪?�。ㄋ忉屨fESPN和很多電視臺簽了合同�����,斷一秒就可能賠很多錢)�����。
假定�����,百度象其他大網(wǎng)站一樣���,服務(wù)器用Free BSD的操作系統(tǒng)�,還修改內(nèi)核重新編譯�,自己寫服務(wù)器管理軟件,N多臺DNS服務(wù)器把各地來的請求分發(fā)給為不同區(qū)域服務(wù)的檢索服務(wù)器�����,而且DNS服務(wù)器也都是分好組的����,遇忙轉(zhuǎn)移最多需要一次,遇忙到一定程度時啟動包的深度檢測��,丟棄來源可疑包�����,并且降低網(wǎng)站響應(yīng)比例,總帶寬怎么也買個20G以上(據(jù)說他們在理想大廈時辦公網(wǎng)絡(luò)與機房連接使用的20G光纖)�。
這樣的網(wǎng)站,怎么黑���?
如果真如百度CTO說過的那樣�����,用Syn flood就可以黑掉這樣架構(gòu)的網(wǎng)站����,我MSN上那些做安全的估計會去理想國際19層試試從那兒跳到12層天臺會不會平安無事的����。簡直是對常識的顛覆啊����!哦,他們是用消防斧砸碎玻璃然后用登山繩溜下來的��,我什么也沒看見����。
話說回來�����,這樣架構(gòu)的網(wǎng)站,真有人認為用Syn flood能黑掉��,我覺得應(yīng)該發(fā)給他一把長梯子讓他在月圓的時候嘗試一下登月��。嗯�,其實呢,要黑這樣架構(gòu)的網(wǎng)站�,還是制造災(zāi)情信號代價低點,而且是在DNS服務(wù)器這個環(huán)節(jié)�����,讓DNS服務(wù)器不停地遇忙���,請求分發(fā)不下去����,區(qū)域DNS服務(wù)器之間頻繁轉(zhuǎn)發(fā)請求���,無視用戶……當(dāng)然嘛�����,制造災(zāi)情信號之前��,需要拿到服務(wù)器權(quán)限�����,否則���,怎么從內(nèi)部攻破呢�?權(quán)限的獲得一般通過管理的漏洞�,所以,安全的最大挑戰(zhàn)其實來自管理����。
[b] 解釋一哈,黑客黑某個系統(tǒng)的時候�����,都要和現(xiàn)有的相同系統(tǒng)進行比對��,然后才知道出現(xiàn)某個反饋是到哪一步,而大網(wǎng)站一般使用自己設(shè)計的系統(tǒng)(自己改免費操作系統(tǒng)用���、免費數(shù)據(jù)庫)�����,然后用自己寫的業(yè)務(wù)系統(tǒng)去對服務(wù)器什么的進行管理,一般來說���,已經(jīng)出現(xiàn)過的攻擊都已經(jīng)考慮在安全策略里�����,DRDOS并不是才出現(xiàn)的����,只要災(zāi)情到一定程度就對包進行深度檢測和降低響應(yīng)比例(縮短半連接等待時間)�����,而有冗災(zāi)系統(tǒng)轉(zhuǎn)移其他服務(wù)能力過來���,根本不會造成服務(wù)的中斷�。DRDOS如果是一種新鮮的才出現(xiàn)的攻擊��,不能防還好說,如果不是���,那么……百度的帶寬����,因為要支持爬蟲��,所以保守估計也在50G以上��,而據(jù)說這次黑客動用的肉機僅兩萬臺�����,可能實現(xiàn)那樣的攻擊效果嗎���?由于前面說過的采用自己的操作系統(tǒng)和數(shù)據(jù)庫的原因�,實際上這些服務(wù)器和一般服務(wù)器相比�,已經(jīng)成為黑盒,不好模擬的�,那么從業(yè)務(wù)系統(tǒng)一端攻擊的代價會小很多。[/b]
