一、先说ARP欺骗攻击
如果要发起ARP欺骗攻击,首先要与网站为同一个机房、同一个IP段、同一个VLAN的服务器的控制权,采用入侵别的服务器的方式。拿到控制权后利用程序伪装被控制的机器为网关欺骗目标服务器。这种攻击一般在网页中潜入代码或者拦截一些用户名和密码。对付这类攻击比较容易,直接通知机房处理相应的被控制的机器就可以了。
二、CC攻击
相对来说,这种攻击的危害大一些。主机空间都有一个参数 IIS 连接数,当被访问网站超出IIS 连接数时,网站就会出现Service Unavailable 。攻击者就是利用被控制的机器不断地向被攻击网站发送访问请求,迫使IIS 连接数超出限制,当CPU 资源或者带宽资源耗尽,那么网站也就被攻击垮了。对于达到百兆的攻击,防火墙就相当吃力,有时甚至造成防火墙的CPU资源耗尽造成防火墙死机。达到百兆以上,运营商一般都会在上层路由封这个被攻击的IP。
针对CC攻击,一般的租用有防CC攻击软件的空间、VPS或服务器就可以了,或者租用章鱼主机,这种机器对CC攻击防御效果更好。
三、流量攻击
就是DDOS攻击,这种攻击的危害是最大的。原理就是向目标服务器发送大量数据包,占用其带宽。对于流量攻击,单纯地加防火墙没用,必须要有足够的带宽和防火墙配合起来才能防御。如果想防御10G 的流量攻击,那就必须用大约20G 的硬件防火墙加上近20G 的带宽资源。
网站被被攻击了,我们应该怎么解决呢?
首先查看网站的服务器
当我们发现网站被攻击的时候不要过度惊慌失措,先查看一下网站服务器是不是被黑了,找出网站存在的黑链,然后做好网站的安全防御,具体操作分为三步
1、开启IP禁PING,可以防止被扫描。
2、关闭不需要的端口。
3、打开网站的防火墙。
详细可以参考:https://zhidao.baidu.com/question/1822578283509362588.html
1、DDOS攻击如果是ddos攻击的话,危害性最大。原理就是想目标网站发送大量的数据包,占用其带宽。解决方式:一般的带宽加防火墙是没有用的,必须要防火墙与带宽的结合才能防御。流量攻击的不同,你制定的防火墙开款资源也不同。比如10G的流量要20G的硬件防火墙加上20G的带宽资源。2、CC攻击cc攻击的危害性相比上面的这种来说,要稍微大一些。一般cc攻击出现的现象是Service Unavailable 。攻击者主要利用控制机器不断向被攻击网站发送访问请求,迫使IIS超出限制范围,让CPU带宽资源耗尽,到最后导致防火墙死机,运营商一般会封这个被攻击的IP。针对cc攻击,一般拥有防cc攻击的软件空间,在很多VPS服务器上面租用,这种机器对于防cc的攻击会有很好的效果。3、ARP攻击说明如果对别的网站进行ARP攻击的话,首先要具备和别人网站是同一个机房,同一个IP,同一个VLAN服务器控制权。采用入侵方式的攻击,只要拿到控制权后,伪装被控制的机器为网关欺骗目标服务器。这种攻击一般是网页中潜入一些代码进行拦截,让用户名和密码。Flannel网络是croeOS开发的容器网络解决方案,flannel为每一个主机分配一个子网,容器从这个子网中分配ip,这些ip可以在主机间进行路由,容器不需要NAT和端口映射,就能完成跨主机通讯。
由图可知,flannel会分配subnet结构网络,以此分配网段。每一个的subnet都会从一个更大的IP地址进行划分,flannel会在每一个主机上运行flanneld的客户端,职责是联系etcd,分配子网;flannel会用etcd进行存储数据(配置信息、网络关系……);数据是如何在etcd间转发(由backend实现);
Flannel实质上是一种overlay的网络类型,表示的是在一个网络应用层当中,不依靠ip地址传递消息,而是采用一种映射机制,把ip地址映射到某个资源定位上,也就将tcp的数据包包装到另外一种数据包上进行传输,目前支持udp、Vxlan、vps等转发方式。
Flannel采用etcd存储配置数据的子网和配置信息,flannel启动后,后台会首先检索配置和正在使用的子网列表,然后会从中间选择一个子网,尝试去注册,etcd也会存储主机对应的ip地址,flannel使用etcd的监视功能,监视子网下的所有变化信息,并且维护一个路由表,从而提高性能。
Docker0:数据从原容器发出后,经过主机的docker0网卡,再转发到flannel1的网卡(p2p网卡:udp封装、按路由投递)
到另一台主机,先解udp封装,相反操作,
Flannel网卡只支持docker0网卡向容器内进行转发
跨主机网络有:Pipwork、flannel、Weave 、Open、vSwitch、calico……
Weave:在每个宿主机上不止一个特殊的路由的容器,不同主机间的route连接 在一起,route连接所有普通的ip,并通过udp包发送到其他主机的普通容器上,解决了网络的问题,以然是单机。
Flannel:针对K8s设计的,为了集群中所有节点重新规划ip地址的使用规则,同一个内网且不重复的ip地址
Calio:性能和效率低
Flannel工作原理:每个主机配置ip段和子网的个数,flannel使用etcd维护和分配这些子网中实际ip地址之间的映射,对于数据路径上flannel采用udp封装ip数据包,转发到远程主机上
Udp封装:原始数据在起始节点flannel上进行udp封装,投递到目的节点后,被另一端的flanneld还原成原始数据包,两边docker服务感觉不到这个过程。
每个节点上的docker会使用不同的ip地址段:随机生成的地址段去注册,与网络通讯第一定律违背(1个vlan=一个广播域=1个网段),这是因为,flannel通过etcd分配的每个节点可用的ip地址段后,偷偷修改docker的启动参数,在运行flannel服务的节点上,可以查看docker服务进程当中会多出几个参数,为bip,它限制了所有容器获得ip地址的范围,这个范围是由flannel自动分配的,由flannel保存在etcd中的记录,保证他们不会重复,也就意味着,虽然不同网段,但是etcd把这个路由做好了,并且限制了每个容器能够得到的地址是在一个固定的范围内。
为什么发送节点的数据会从docker0路由到flannel0这快虚拟网卡上:数据包从容器A到容器B,(两者地址段不同),数据包从docker0出来后,就会被投递到flannel0上,目标节点上由于投递的地址是一个容器,所以目的地址一定会落在docker0上,即p2p
必须先启动host1的才能启动host2的
ping测试
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)