看“针对VPS的攻击方法”顺带翻到的内容……


honker90 发表于 2012-10-10

上午在t00ls看到vps攻击方法,那我就来说下vps为什么这么脆弱吧,仅代表个人想法,不是很全面,欢迎各种牛补充。

一说起vps大家都会联想到“廉价的服务器”、可以防止被跨站(和虚拟空间对比)、拥有独立的控制主机的权限、可以自由安装第三方软件等等好处,这里就不一一举例了。

众所周知vps是从是服务器上虚拟出来的,但是即使是虚拟出来的,每个VPS都可分配独立公网IP地址、独立操作系统、独立超大空间、独立内存、独立CPU资源、独立执行程序和独立系统配置等。

最近几天某个黑客小组针对国内安全站点、黑客站点进行了大规模的ARP攻击,根据了解:90sec、t00ls使用的均是vps,值得欣慰的是两站都有ssl(即https),在安全性上有提升;t00ls在被ARP劫持时大家看到的被劫持的页面是http但并不是htpps,这就是ssl的优势所在。

可能有的朋友会说可以在vps上用arptables+策略来防御arp。其实个人感觉这样设置和windows平台上装软件arp防火墙的效果是一样的,只要发的包够大够快,那么arp防火墙那就可以直接无视或者穿透。常用arp劫持人家首页的黑阔们可能更加了解这么对付这些arp防火墙,一个用于发包一个用于嗅探,这样arp防火墙就来不及处理这些包,那么就达到了劫持的目的。(即使是机房在交换机绑定mac和ip的情况下也是可以达到欺骗效果的)

大多数arp防火墙是基于NDIS中间层驱动模式,在这里要说的是大多数vps并不拥有系统底层驱动的权限,这就是为什么t00ls说vps一被DDOS就挂,一被ARP就休克的原因(可能也有其他原因)。那些所有的高防VPS其实靠的是机房硬防。

那么到底有没有方法彻底防御ARP攻击?在这里我的回答是:没用绝对的防御,尤其是在vps上进行防御arp。

有的朋友会选择CDN,这的确是一个不错的选择,只要你的节点够多!另外也要推荐的是“云防火墙”,配合cdn使用效果会更好些,可以减少一些风险。

摘自:http://www.unhonker.com/concerned-about/浅析vps为何这么脆弱.html

站长评论:

我本人不赞同文中这种看法,我个人认为,文中讲的太片面了……

如果IDC商配置正确的话,vps 完全等于独立服务器,其基本防御效果完全等于独立服务器,不存在什么 vps 比独立服务器防御差的说法,完全扯不上……

什么强行改IP之类的,基本都是母服务器设置问题,标准设置的vps网络根本不会存在这种问题的。

还取决于你vps自身安全配置情况,安全做的好的话,这些事情根本不会发生的……

(PS:本站用的也是vps,每天有无数人以各种方式“检测”本站,C段被Arp无数次,这台vps已使用一年多了,依然屹立不倒……)

留言评论(旧系统):

佚名 @ 2012-12-17 20:51:00

CDN 是个不错的选择

本站回复:

CDN 后端被找到,一样还是一个烂摊子……

期待帮忙 @ 2013-07-24 20:04:11

(PS:本站用的也是vps,每天有无数人以各种方式“检测”本站,C段被Arp无数次,这台vps已使用一年多了,依然屹立不倒……) 大牛啊,我之前用了西部数码云主机,结果旁边别人一个vps被黑,那人通过C段Arp了我的vps,整了半天西部数码绕来绕去都没有给个解决,自己搞了一个通宵都没搞定,后来那黑客来跟我说是c段arp,请问核总该怎么设置vps被arp呢?谢谢。

本站回复:

装个 Arp 防火墙即可,例如“金山贝壳ARP防火墙 v2.0”:http://lcx.cc/?i=1771

期待帮忙 @ 2013-07-24 20:39:10

搜了一通,发现金山贝壳ARP防火墙不是只支持win系统吗?我vps用的是linux centos,百度谷歌搜了半天只看到这边有“C段被Arp”这么一个相关文章,没找到其他相关资料,听当初黑我的人说,要网关和服务器双向arp和mac绑定,但是网关在主机商哪里,问他们绑定他们说已经绑过了,但是还是被黑了,怎么知道他们是否骗人呢。何况刚才看了文章有说双向绑定也没用,这可怎么办呢?谢谢 金山贝壳ARP防火墙 产品特色: 支持所有windows操作系统,包括Windows 2000、XP、2003、Vista以及Windows 7

本站回复:

Linux 的话,参考:http://lcx.cc/?i=3588