来自 防护 2021-07-18 04:22 的文章

服务器高防_cc防护喷雾怎么用_免费试用

服务器高防_cc防护喷雾怎么用_免费试用

Mosh是一个聪明的ssh替代品,看起来对于典型的devops用户来说非常有用。但是,它是一个使用全新协议的全新工具,因此,它没有受到ssh/sshd多年来的严格审查,因此,在您的基础设施中部署它是一个未知的风险,无论它有多有用。然而,使用CloudPassage的GhostPorts,您可以在很大程度上减轻这些风险,从而允许您将此工具引入您的世界。背景Mosh本质上是ssh的无状态替代品。因此,ddos攻击以及防御方法,您可以直接进入服务器而不是ssh,即使您更改了IP地址、脱离网络或关闭了您的笔记本电脑很长一段时间,您的连接仍然是加密和工作的。如果你想登录多台主机的话,就连登录windows的各种工具都要知道。对于mosh,你的shell会话永远不会因为你的孩子关闭了你的笔记本电脑或者你跳上了火车回家。但有一个陷阱。加密的mosh协议基于UDP,默认情况下它位于特定的端口范围(60000-61000)。而这个协议,虽然是由一些聪明人写的,但绝对还没有经过这个冷酷无情的世界的审核。没有人发现任何严重的错误,但是已经发现了一个经过身份验证的DOS漏洞,而且几乎可以肯定还会有更多的漏洞出现。因此,有安全意识的人由于未知的风险水平,开始使用这个工具的速度非常慢,就像他们在采用新的加密算法、网络服务器或新的操作系统时一样。解决方案!有一种方法可以让你既吃又吃蛋糕!mosh存在两种风险:听你的会话的人可能会解密或欺骗协议,因为它的密码或协议有缺陷。攻击者可能能够利用正在运行的mosh服务器中的漏洞进入您的系统。1的攻击者数量非常少。人们必须既知道自己的弱点,又能嗅出你的包裹。政府和ISP很可能会进行此类攻击,以及有动机的攻击者(如APT),他们能够花费足够的资源来利用您家中或咖啡店或您工作的任何地方的其他系统,游戏cc防御软件,但您的花园式黑客将很难发动这种攻击。另一方面,#2的攻击者数量相当庞大。互联网上任何一个有漏洞的人都可以开始在端口60000-61000上闲逛,然后点击paydirt,就像他们当年对sshd漏洞和端口22所做的那样。这就是鬼怪们进来的地方!我们可以通过将UDP端口60000-61000置于防火墙规则之后来减轻风险2,该规则只允许重影用户进入。我们现在已经把攻击者的范围从互联网上的每个人都限制在那些能嗅到我们的包的人身上。在许多情况下,这种风险降低水平可能足以在您的环境中使用此工具。怎么做!让我们举个例子。首先,ddos防御有局域网攻击怎么办,在系统上安装CloudPassage Halo守护进程,并让Ghostports正常工作。接下来,防御ddos系统,在系统上安装mosh。有关于,那么就去那里,根据你的系统跟踪它们。在我的例子中,只需在服务器上说"yum-y install mosh",在我的笔记本电脑上说"port install mosh"。现在,将主机放入一个组中,并为该组设置一个防火墙策略,允许在UDP端口60000-61000上使用ghostported用户,在端口22上使用ssh,如下所示:现在,你应该可以在鬼影里说"摩西"用户名@yourhost.foo.com"并且像您通常通过ssh进行身份验证一样(实际上,mosh实际上使用ssh进行身份验证,ddos攻击防御必须有带宽,这就是为什么您需要打开端口22)。维奥拉!你现在有一个shell会话,当你关闭你的笔记本电脑或回家或去你当地的咖啡店时不会死亡,而且随机攻击者不能攻击你的mosh服务器!你所要做的就是在你的IP改变时重新挂载,你的会话就会恢复正常。结论因此,这是一个例子,在这个例子中,有一些风险的工具通过使用cloudpassion鬼魂端口变得风险更小。显然,您需要进行自己的风险评估,并根据您的风险承受能力水平进行衡量,但对于高度流动的管理员来说,这种缓解措施可以让您将此工具引入并使他们的日子过得愉快。玩得高兴!