ddos防护和cdn缓存,SSL证书?
中科三方:5种导致”SSL证书不被信任”的原因
很多网站管理人员都会遇到这样的困惑:自己的网站明明已经安装了SSL证书,为什么在客户访问的时候,浏览器仍然会发出告警提示呢?究其原因主要有以下五种情况。
1. 证书不是可信任的CA机构颁发
对证书有了解的朋友应该都明白,SSL证书可以分为自签名证书和付费证书两种,自签名证书就是可以自己给自己颁发数字证书,同样可以实现网站的HTTPS化,然而这种证书成本较低,然而不受浏览器信任,因此在客户访问的时候,系统会发出不信任的告警提示。
因此,为了保障网站的安全和用户的访问体验,网站尤其是企业网站应该购买可信任的政府颁发机构所颁发的数字证书,这一点十分重要。目前全球比较知名的CA颁发机构主要有赛门铁克、CFCA、Geotrust、Globalsign等。
2. 数字证书信任链配置错误
我们常用的SSL证书,基本上很少是CA机构颁发的根证书,大部分都是二级证书,如果不配置中级CA,操作系统就无法确定SSL证书的真正颁发者是谁。这个时候我们的证书和被受到信任的根证书就存在一个中间证书,这个叫中级证书颁发机构CA。
如果我们只安装了最终的域名证书,而没有安装中间证书导致证书链不完整,系统就无法回溯根证书的颁发机构,就会被系统判定为不可信任。为了解决这个问题,我们需要在服务器端配置安装SSL证书时,同样要使得我们的证书链完整,才能正常使用。
3. 证书和域名不匹配
多数情况下我们的证书颁发机构都会为我们的域名做完整的匹配,但有些时候某些证书颁发机构可能会疏忽。当我们为自己的域名比如sfn.cn申请数字证书的时候,我们的CSR当中仅定义了sfn.cn这一个主域名,并未添加更多域名DNS记录。那么当你证书颁发的时候访问www.sfn.cn就不会受到信任,会提示你该证书不是这个域名的。这个时候需要联系证书颁发机构或证书提供商进行重新签发并包含该域名。
4. 证书已经过了有效期
SSL证书都是有效期限的,如果证书已经过期,在用户访问网站的时候,系统也会发出告警提示。可以在浏览器的Internet选项中点击查看证书的有效期限,如果已经过了有效期,需要及时向域名服务商联系并进行续费操作,以保证网站的正常运行和访问。
5.客户端不支持SNI协议
这种情况只会发生在客户使用的操作系统是Windows XP SP2以下,Android4.2以下等较低的系统版本中。SNI协议就是让多个支持SSL证书的域名共享同一个独立IP地址的技术,现在已经被几乎所有主流操作系统和浏览器支持了。在很多年以前,SSL证书是需要绑定到独立IP地址使用的,由于IPv4地址池的逐渐不够分配,SNI技术应运而生了。
怎么搭建影视网站?
关于一个网站,我们可以分为内外2个部分,第一个部分就是网站的模板、构架及内容这一个部分我们称之为网站内部。第二个部分则是网站的RP及链接有效点击量。这一个部分我们称之为网站的外部。
一、网站内部
1、网站系统
当前许多人筛选马克思CMS、也许飞飞CMS等等,筛选哪一个网站系统都没关系,当前CMS有许多,一切的都是后台采集影片基本数据,只需在后台设置一下目地点/API这些,就可获得大量数据。所以我们要尽可能在这些方面与别人有所区分,坚决不用后台默认的。网站CMS采集的片子是最泛滥的,也是一个网站最首要的,所以我们要花点时刻去细心完美它。还有就是模板,有能力的话,尽量把模板改得越是面目全非越好,这样,才能极大减少与其他电影站的雷同性,给用户以最新体验。
2、网站构架
如果你仅仅花许多的时间去完美网站CMS和模板,而没再加入其它有差别化、自己独有的内容,要想完成10万IP的目标,还是很难的,需要花的时刻很长,可能要坚持两年甚至更长的时间,两年后的互联网可否有电影站的立足之地都不能确定了。所以,要求新求变,比别人做上更多,为网友供应更周全的效力,才能在激烈的竞赛中留住用户。在此,我建议加入内容资讯系统,除了做在线观看的视频内容,还要做新闻资讯内容,使用资讯内容抢流量,把用户吸引到网站来,再在内容里加上对应的片子在线观看的网址,让用户浏览资讯内容后再去观看视频,这样可以增加大量游客的停留时间。
3、网站内容
当然最重要的是网站的内容,对于电影站来说就是资源的采集,但正是采集导致我们的电影站具有极大的雷同性,在我们采集资源的时候,我们可以变通一下,采集回来之后,用伪原创工具伪原创一下,这样,百度就会认为你是原创,从而更喜欢收录你的网站,没有伪原创工具的,不用我教了吧,百度一下。
其次就是要尽量保持每天都更新一下自己的网站,不要一高兴就更新了,然后很久没更新,所话说关一天门,歇3天客就是这个道理。而且这样非常不利于你的网站的SEO。
二、网站外部
1、网站RP
网站的RP,说白了就是百度对你网站的认可程度。RP高,百度收录量及展示量都会增大,反之则基本很少有收录。那我们怎么提高网站的RP呢?最行之有效的方法如下:
a. 口碑:这是最好的方法,用户告诉另一个用户你的网站好。Google和百度的用法就是我朋友告诉我的。当然,对于新网站来说,这种方法行之尚早。
b.去问答类网站影响力比较大的网站提问和回答。比如百度问答、天涯问答、SOSO问答、360问答等。但要注意的是在这类网站做推广一定要隐蔽,这时就需要我们自己开动脑筋,想一想怎么才能把我们要推广的链接巧妙的结合在问题或者答案里。可以有针对性的设计一些问题,从而有针对性的提供应对帮助,把自己的网站推广宣传出去。
c.去论坛、贴吧做推广。如天涯论坛、百度贴吧等其实这才是最直接也是最有效的推广手段,特别适合这样的娱乐站推广,但是要注意发帖子的时候也要隐蔽的发送我们的链接不然会被K掉。最最最最重要的是不要用一些太有色的标题去欺骗大家,态度要诚恳,相信大家会接纳你的。
d.选关键词。关键词的选取十分重要。很多新手站长选取关键词直接选取流量很大的关键词,这其实是很不明智的。流量大的关键词都被各大高RP的网站占用了,当用户输入这些关键词时很难或者根本就不会注意到我们的网站,这个时候,我们就应该选择一些中等流量的关键词,先把网站流量搞上去,在做大的关键词。这样我们的网站才能良好的发展。利用关键词结合以上方法,可以更有效的提高网站人气和RP。
e.友情链接。其实友情链接能给我们的网站所提供的流量基本可以忽略,那我们为什么要花费时间和精力去做这个呢?因为只有多做友情链接,才能提高网站的收录速度多被蜘蛛发现我们的网站,这样才能更好的在搜索引擎中展示我们的网站。
2、链接有效点击量
a.域名的选择。域名的选择很重要,一定要选择简短好记的,如本人的电影站名字就叫886影片,域名则是886yp.com。简短好记,很方便用户二次三次N次光临。
b.有效点击量。只有一个好记的域名显然是不够的,有时候我们会发现,我们的网站展现量很好但是点击量很低。这样我们就要找找我们自己的原因了。例如,一个卖食品的网站,在一个卖骨灰盒的网站做展示链接,这样的展示链接其实是完全无效的。谁在买骨灰盒时候会去逛逛食品站么?所以,我们做展示链接最好到我们客户群体集中的地方做展示,这样我们的点击量自然就会上升很多。
CDN的发展趋势和作用?
在视频、电子商务、游戏等市场的推动下,CDN已经成为我国互联网基础设施中不可或缺的一部分,行业进入高速发展阶段。随着人工智能、大数据、云计算、物联网、虚拟现实、区块链等技术不断发展进步,CDN将成为支撑这些技术落地应用的重要网络平台,将带动CDN市场规模进一步扩张。同时,5G时代即将来临,新兴通讯技术的应用也将拉动市场对CDN的需求,我国CDN行业将进入新的发展阶段。预计到2022年,我国CDN市场规模将达到1358.6亿元,发展前景广阔。
而且网络安全是网站发展的前提条件。频繁的网络层DDoS攻击和应用层DDoS攻击每天都在发生。攻击之下的门户网站性能急剧下降,无法正常处理用户请求,造成用户访问失散,严重影响企业形象。近些年伴随着盗链、内容窃取、篡改等攻击行为的发生使企业损失严重,并且超过80%的攻击采用DDOS混合攻击,安全问题早已“防不胜防”。
为了抵御DDOS攻击,客户可能会通过购买抗D设备、WAF设备等方式来提高系统抗攻击的能力,但是这种退让策略的效果并不好,一方面由于这种方式需要消耗高额的成本,另一方面传统的通过增加网络带宽资源的方案也只是在应对小规模流量攻击时防御效果明显,面对大规模攻击时则力不从心,并且存在一定的局限性。所以不能从根本上防护DDOS攻击。
CDN网络节点分布的特性是天然的抗D平台,其具有按需防护、简化源服务器基础架构、减少IT规划等优势将会是未来安全发展的趋势。基于CDN平台的源站隐藏、攻击监控、访问控制、智能拦截等技术手段为客户网站提供事前监控、事中防护、事后管理的全过程安全防护。此外,还可利用CDN网络为网站提供优质的加速服务。
用防火墙可以防御DDoS吗?
相信不少站长或多或少都经历过DDoS攻击(DDoS攻击是通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的),一旦你的网站被人DDoS攻击后,网站就会无法被访问了,严重时服务器都能卡死。
如果网站遇到DDoS攻击时,该如何解决呢?相信大家都知道,要靠防火墙(防火墙是位于内网和外网之间的屏障隔离技术)来处理一部分攻击流量。 这是不是就说明防火墙可以防御DDoS呢?其实没有这么简单。
首先我要说的是,不是有所防火墙都可以有效抵御DDoS攻击。DDoS攻击和其它攻击不同,它本身也算是一种合法的网络请求!
防火墙种类很多,主要有:软件防火墙(软防)、硬件防火墙。这两类防火墙在对待DDoS时的表现也不同。
1、软件防火墙(软防)
我们一般用户都接触过软件防火墙,像Windows上的“防火墙”、Linux上的“iptables”等。它们以软件的形式时刻检查系统上的所有数据包,然后决定放行哪些数据包或者拦截哪些数据包。
软防在应对小流量DDoS时,可以搞得住。但一旦遇到大流量的DDoS,软防是抗不住的,可以把系统资源消耗尽,服务器直接卡死。
从成本上说,软防成本很低。
2、硬件防火墙(硬防)
和防软不同,硬防是把防火墙程序做到硬件芯片中,由单独的硬件执行防护功能,减少了CPU的负担,性能上比软防高出很多,当然了,成本也比软防高得多。
综上,不管是软防还是硬防,其原理上都差不多;但是软防是基于系统的,硬防是基于硬件的。在面对稍大的DDoS时,软防基本上是无能为力的,而硬防也不是能抗得住所有的DDoS,不同配置的硬防能承受的DDoS流量不同。假设硬防只能抗住1G的流量,而你的网站受到了2G的DDoS流量,硬防也是白搭!
最后,结合我近10年的从业经验,将一些经验分享给大家,尽可能减少网站被DDoS的可能,主要措施有:
禁用服务器的ICMP响应,这样别人无法通过Ping来判断你的服务器IP是否存活;
网站启用CDN来隐藏后端服务器的真实IP,CDN本身也带有一定的抗洪能力;
一旦受到DDoS时,将域名解析至 127.0.0.1 ,你懂的 ~
我是科技领域创作者,十年互联网从业经验,欢迎关注我了解更多科技知识!如果大家有不同看法,欢迎在下方评论区发表自己的观点 ~
有什么办法解决吗?
大规模DDos流量清洗
关于服务器被人攻击的处理,当然先要分两种情况,如果是大规模DDos抢注攻击的话,一般对付办法不多,根本办法是通过运营商做流量清洗,分布式部署系统分流。用一些基于公有云的防护手段(费钱,效果一般般),一些安全公司昂贵的设备(作用也不大,有钱就可以多买)。
一般性防护手段一般性防护手段,通过硬防或者软防火墙比如iptables,主要要限制服务器端口访问,除了必须的80,443以外其他端口一律不对外开放。
关于对外开放端口限制和检测的访问,我的原创文章都提过几篇介绍过:
「安全扫描」看好你的大门,企业安全端口扫描实践
基本上就是在外面扫描你服务器ip,看都开了那些端口,对不该开放端口开放的话就封禁掉。主要对外开放的危险端口有 所有udp端口(比如最近大规模针对github的攻击,就用对外开放的memcache udp 11211 udp端口进行的反射式攻击),tcp重点关注端口: 21(ftp),22(ssh) 23(telnet),2181(zookeeper),3306(mysql),6379(redis),8161和61616(mq),11211(memcache),27017/27018(mongodb),9200(elasticsearch)还有其他的根据企业部署情况来增加。
在服务上查看开放的监听端口情况使用命令:
netstat -ntualp
Local地址 类似于 0.0.0.0:3306和 :::22的监听的服务器就要重点关注,一般除了web都不应该对外开放。
对web服务:
1、注意升级所用程序的版本,有漏洞的要及时升级(比如dedecms,struts2的漏洞等),部署的时候注意权限设置,不给多余的权限。
2、部署必要的waf系统,安利下笔者有个开源免费的waf,有需要的可以联系我。
3、部署时候精良先通过CDN或者自己用nginx返乡代理来对用户,不直接把php 应用、tomcat应用服务器对外,这样即可以提高访问效率,增加访问并发,还可以低于短期大流量访问的冲击。
如果服务器被人攻击,挂马了,怎么排除和解决常见异常情况:异常的流量、异常tcp链接(来源端口,往外发的端口)、异常的访问日志(大量的ip频繁的访问个别文件)。
如果部署了监控系统的话(强烈建议部署zabbix,并增加对系统添加专门安全items),可以方便通过zabbix监控图和趋势对比了解这些信息:
利用last,lastb发现异常的用户登录情况,ip来源。
利用lastlog,/var/log/message,/var/log/secure,日志等,是否权限已经被攻陷。
用history 发现shell执行情况信息。
用top,ps,pstree等发现异常进程和服务器负载等情况。
用netstat -natlp发现异常进程情况。用w命令发现当前系统登录用户的情况。
如果发现异常用户,立即修改用户密码,pkill -kill -t tty 剔除异常用户。然后进行进一步处理。
发现异常进程,立即禁止,冻结禁止。
发现一个恶意进程后通过 ls -al /proc/Pid (Pid为具体的进程号),发现进程的启动路径,启动的文件所在目录等信息。
如果发现异常连接数,通过iptables封禁相关端口或者ip
iptables -I INPUT -s ip -j DROP
iptables -I OUTPUT -p tcp --dport 25 -j DROP
iptables -I INPUT -p tcp --dport 25 -j DROP
对清理移动木马,杀掉进程
首先清理掉木马创建的cron 计划项和启动项。
ls -al /etc/proc/Pid/ 找的恶意木马文件。
恶意进程的执行目录和文件
最后用一条命令 kill -9 所有的进程ID && rm -rf 所有涉及的文件和目录。
更多信息可以关注笔者的文章或者咨询笔者:
「系统安全」当网站发生异常,出现安全事故,如何进行排查处置?
「WEB安全」单行命令查杀Webshell(php为例)
