流量

1、什么是DDOS攻击 　　 DDoS攻击是Distributed Denial of Service的缩写，翻译成中文就是分布式拒绝服务。即不法黑客组织通过控制服务器等资源，发动对包括国家骨干网络、重要网络设施、政企或个人网站在内的互联网上任一目标的攻击，致使目标服务器断网，最终停止提供服务。 2、攻击手段 　　1.通过使网络过载来干扰甚至阻断正常的网络通讯； 　　2.通过向服务器提交大量请求，使服务器超负荷； 　　3.阻断某一用户访问服务器； 　　3.阻断某服务与特定系统或个人的通讯； 3、如何应对DDOS攻击 　　防止DDoS攻击有很多种方法，比如使用高防服务器、 CDN 加速、DDoS清洗等。但是由于经费的限制，我们整不起那些个高大上的玩意，所以只能在我们现有的材料上加工加工来达到应对DDoS攻击的目的。 4、方法 DDOS流量攻击：频繁的发送请求，造成宽带占用，其他客户端无法访问 Nginx解决DDOS流量攻击，利用limit_req_zone限制请求次数 limit_conn_zone限制连接次数 修改nginx.conf文件 　　 　　$binary_remote_addr：二进制远程地址； 　　zone=one:10m：定义zone名字叫one，并为这个zone分配了内存，用来存储会话（二进制远程地址），1m内存可以保存16000会话； 　　rate=1r/s

记录类型 云解析DNS支持A、CNAME、MX、TXT、SRV、AAAA、NS、CAA记录类型。 您可以参阅 添加解析记录 操作文档。 记录类型功能描述 A IPV4记录，支持将域名映射到IPv4地址使用 AAAA IPV6记录，支持将域名映射到IPv6地址使用 CNAME 别名记录，支持将域名指向另外一个域名 MX 电邮交互记录，支持将域名指向邮件服务器地址 TXT 文本记录，是任意可读的文本DNS记录 SRV 服务器资源记录，用来标识某台服务器使用了某个服务，常见于微软系统的目录管理 NS 名称服务器记录，支持将子域名委托给其他DNS服务商解析 CAA CAA资源记录，可以限定域名颁发证书和CA（证书颁发机构）之间的联系 智能解析 智能解析支持根据用户的地理位置来智能返回解析结果，您可以参阅 智能DNS解析 操作文档。 解析线路功能默认必填项，在DNS查询过程中，如未匹配到智能解析线路时，云解析DNS则返回默认线路下的解析结果运营商线路解析线路支持按运营商设置（例如联通、移动），实现用户通过客户指定的运营商智能返回解析结果。运营商省份解析线路支持按省份地区设置（例如联通北京），实现用户通过客户指定的省份地区智能返回解析结果。境外线路解析线路支持设置为境外，实现用户通过客户指定的境外智能返回解析结果。境外大洲解析线路支持设置为境外大洲（例如亚洲、欧洲）

你是否在为系统的数据库来一波大流量就几乎打满CPU，日常CPU居高不下烦恼？ 你是否在各种NoSql间纠结不定，到底该选用那种最好？ 今天的你就是昨天的我，这也是写这篇文章的初衷。 这篇文章是我好几个月来一直想写的一篇文章，也是一直想学习的一个内容，作为互联网从业人员，我 们要知道关系型数据库（MySql、Oracle）无法满足我们对存储的所有要求，因此对底层存储的选型，对每种存储引擎的理解非常重要。 同时也由于过去一段时间的工作经历，对这块有了一些更多的思考，想通过自己的总结把这块写出来分享给大家。 结构化、非结构化和半结构化数据 文章的开始，聊一下结构化数据、非结构化数据与半结构化数据，因为数据特点的不同，将在技术上直接影响存储引擎的选型。 首先是结构化数据，根据定义结构化数据指的是由二维表结构来逻辑表达和实现的数据，严格遵循数据格式与长度规范，也称作为行数据，特点为：数据以行为单位，一行数据表示一个实体的信息，每一行数据的属性是相同的。例如： 因此关系型数据库完美契合结构化数据的特点，关系型数据库也是关系型数据最主要的存储与管理引擎。 非结构化数据， 指的是数据结构不规则或不完整，没有任何预定义的数据模型，不方便用二维逻辑表来表现的数据，例如办公文档（Word）、文本、图片、HTML、各类报表、视频音频等。 介于结构化与非结构化数据之间的数据就是半结构化数据了

<部分文字来源网络> 很多用户在第一次购买阿里云服务器的时候纠结于云服务器配置到底应该怎么选？服务器的配置有高有低，不同配置的服务器能够承受的流量是不同的，所以，这是影响同时在线访问数量的原因之一。下面针对目前主要的个人和企业网站类型做一个配置推荐（仅个人意见），对于新手用户来说，如果不知道如何选择自己的阿里云服务器配置，可以参考以下推荐购买： 首先先说说带宽，宽带的大小不仅影响网站的并发访问量还影响着客户对网站的访问速度和访问体验。假若服务器保证的最大带宽是5M (即5Mbit/s )，相应服务器的数据最高传输速度应为5Mbit/s x 1024/8=640KB，1分钟流量大约640 x 60=38400KB。假设毎个用户1分钟内始终占用10KB的流量，即该1分钟内支持占用这样的流量的同时在线访问人数为3840人(视频类大流量网站不在此例)。但是，并不能保证每个用户在1分钟内只有一次到该站的链接，假如每个用户在1分钟内有两次或以上到该站的链接(每个链接始终占用10KB的流量)，那么支持在线人数应该在2000以下。所以根据网站访问量和业务类型推荐以下购买类别（ 仅个人意见 ）： 一：普通的个人小型网站，个人博客等小流量网站 可选择低配置的阿里云服务器 推荐配置：CPU：1核、内存1G或2G、硬盘40G、带宽：1M或2M 二：论坛、门户类网站 论坛、门户类网站，用户活跃性与访问量较高

了解使用wireshark进行恶意流量分析，培养流量分析的思维和能力，本次实验涉及知识包括善用搜索引擎、技术分析文章整合、snort日志分析、以及关于Locky ransomware和Angler EK部分攻击流量特征。 试根据给出的数据包等文件，分析解答如下问题 Q1:用户的姓名？ Q2：用户windows机器的主机名？ Q3:用户windows主机的ip地址？ Q4:用户电脑的mac地址？ Q5:用户被感染了哪些恶意文件？ 打开wireshark 上方的菜单，统计-》ipv4 statics->all address,如图所示 可以看到通信流量基本全部是由10.0.21.136发起的，所以用户主机的ip地址是10.0.21.136 那么主机名该如何找到呢？我们先来看看数据包都有哪些协议。 我们知道NetBIOS是Network Basic Input/Output System的简称，一般指用于局域网通信的一套API，它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法。所以通过NBNS协议我们可以找到主机名 所以选中一条nbns的数据 红框定位的就是mac地址及主机名 那么使用者的姓名呢？ 在电脑自带的通信过程中，一般人是不会设置完整的姓名的，题目既然这么问说明要从其他地方入手，比如用户在网站注册，或者他的邮件的名字，都有可能是姓名

通过该实验了解恶意流量分析的基本技能，本次实验涉及包括：从数据包导出文件，hash计算、virurtotal使用、trickbot恶意软件，bootp，kerberos等。 本次任务需要你查出主机受感染的时间、主机的信息（ip，mac，hostname ,user account name），感染什么类型的恶意软件，感染源，受感染的指标（ip,域名，端口，url，文件hash等） 前面的分析经验告诉我们，首先看http,https 的流量，基本大多数的攻击流程都是通过网页挂马或者钓鱼之类的活动诱使受害者主机有意或无意地下载恶意软件，然后在主机上打开其他端口通信或者伪装为正常浏览通信，或者通过dhcp,icmp等隧道通信。不论怎样，最开始的步骤 一定是和http,https有关的，所以先过滤出对应的流量。 在上图中可以看到第二条通过http get方式获取到恶意二进制程序 第三条流量是使用myexternal.com网站查询出口ip 第二个框起来的就是在tcp 447 449端口上的加密通讯流量，我们可以尝试将其作为ssl解密，具体步骤如下： 选择analyze->decode as 点击左下角加号 每个列都可以双击后选择所需的配置 配置如下所示，然后点击ok 前面提到通过http get方式拿到了恶意二进制文件，我们可以尝试将其导出 file->export->http

通过该实验了解恶意流量取证分析方法，主要涉及torrent流量的知识，包括tracer，bittorrent,Deluge等。 背景： 你收到网络上10.0.0.201的bittorrent流量警报。 Torrent流量通常与受版权保护的内容的文件共享相关联;当然，也有一些torrent流量是合法的。 我们需要分析分析这个数据包，解答下列问题： 10.0.0.201的mac地址是多少 10.0.0.201的host name是什么 10.0.0.201的user account name是什么 10.0.0.201的系统版本 10.0.0.201de torrent活动发生的时间 10.0.0.201下载了什么torrent文件 10.0.0.201使用了那个torrent客户端 10.0.0.201上的torrent客户端分享了哪个文件（做种）？ 首先还是过滤出nbns 的流量，来获取hostname 当然，也可以使用dhcp 接下来要找到user account name，自然是通过kerberos协议 kerberos.CNameString中CNameString代表windows的host name和user account name，那么怎么区分这两个呢？ 我们先把它过滤出来再看 按照上图的方式依次展开，然后就能看到CNameString的值，右键，将其应用为列

网络应用中服务器不可避免的会受到DD攻击，高防IP就是是针对互联网服务器在遭受大流量的DDoS攻击后导致服务不可用的情况下产生的，用户可以通过配置高防IP，将攻击流量引流到高防IP，确保源站的稳定可靠。（无需转移数据，理论上任何主机都可以使用高防ＩＰ来防护ＤＤＯＳ攻击。） 高防ip是指高防机房所提供的ip段，主要是针对网络中的DDoS攻击进行保护。在网络世界中，ip就相当于服务器的门牌号，无论是访问还是管理服务器，都是通过ip来进行。同理，如果一个网络攻击者想对目标进行DDoS攻击，都需要知道目标的ip地址，并用大量的无效流量数据对该IP的服务器进行请求,导致服务器的资源被大量占用，无法对正确的请求作出响应。同时，这些大量的无效数据还会占用该IP所在服务器的带宽资源，造成信息的堵塞。 用户使用高防IP，把域名解析到高防IP上(web业务只要把域名指向高防IP 即可。非web业务，把业务IP换成高防IP即可)同时在高防IP上设置转发规则;所有公网流量都会走高防IP，通过端口协议转发的方式将用户的访问通过高防IP转发到源站IP，同时将恶意攻击流量在高防IP上进行清洗过滤后将正常流量返回给源站IP，从而确保源站IP稳定访问的防护服务。 因而通常用户的服务器都是针对ip来进行防御和管理，如果该ip出现异常流量时，机房中的硬件防火墙的策略仅仅只能设置很少的策略来帮助各别用户去进行防御

网络分流器 1 . 与流量相关的L2-3层高级测试技术探讨 戎腾网络分流器: 对于一个L2-3层网络设备，最基本、最重要的测试是流量转发性能测试。作为一个网络转发设备，首先要保证可以高速、低时延、稳定地转发流量。 相关的性能测试通常是通过流量生成器（一般是硬件测试仪表，可以发出线速的流量）来生成相应的流量让被测试设备承受不同的负载，检验其表现。通常会测试被测设备的容量（比如吞吐量），以及处理业务的特征如何（比如时延）。以交换机为例，不同的交换机由于采用了不同的硬件架构，性能表现会有所不同；同一个交换机在不同负载时会有不同的表现（例如重载时延和轻载时延的差异）；交换机配置的不同也会引起不同的表现。 为了尽量独立、公正（不受厂家的技术指标影响），IETF测试标准化工作组（BMWG）针对交换机的测试公布了下面这些主要的RFC（如RFC1242、RFC2544、RFC2285、RFC2889、RFC2432、RFC3918、RFC5180等）。这些RFC定义了测试标准的术语和方法，其中最重要的两个测试规范是RFC2544和RFC2889。 我们不去讨论RFC2544和RFC2889的内容，只是来探讨一下这两个规范中的测试方法是否足够，在测试过程中是否考虑了如下内容： （1）包长的选择是否过于简单？ （2）可以随机变换发包间隔（发包速率）吗？ （3）发包序列是否灵活多变？ （4

网络分流器｜移动互联网采集器｜100G LTE核心网采集器 戎腾网络研制的RTL9807流量采集设备是采用新一代NPS多核处理平台加高性能交换芯片，基于ATCA架构的高性能3G/LTE采集分流设备。专为3G/LTE核心网络设计，支持2/3/4G核心网的多接口信令解码，并支持用户面数据的信息关联。集采集、过滤、分组转发、信息关联等特性于一体，以满足IDC监管、网络监控、数据取证、内容审计等各类应用的大流量数据分流场景 网络分流器 RTL9807流量采集设备 产品特性 支持4G网络的S1-MME、S1-U、S10/S11、S5/S8等接口和3G网络Gn接口的GTPv1-C、GTPv2-C、GTP-U和SCTP报文的解析、关联。 用户关联 用户数据报文与用户信息自动关联，可给每个数据报文打上用户的IMSI、手机号、设备号和基站号等信息标签。 信令关联 支持按用户的多接口信令关联，还原完整用户信息，支持上下线、基站切换、电话、短信等XDR信息的输出。 流分类 支持按掩码五元组、IMSI/ECGI、精确五元组、灵活五元组和DPI规则对流量进行分类。 多运营商 同时支持联通、移动和电信三大运营商的数据处理，可按运营商分别对数据分流，互不干扰。 典型应用 移动互联网采集器方案｜戎腾网络 S1-MME、S10/11、S5/S8和Gn多接口信令按用户关联，输出XDR信息。 S1-U