摘要:
我们需要在CentOS7系统上安装并配置NTP服务。可以使用以下命令安装NTP软件包:yuminstall-yntp安装完成后,编辑NTP配置文件/etc/ntp.conf,添加以... 我们需要在 CentOS 7 系统上安装并配置 NTP 服务。可以使用以下命令安装 NTP 软件包:
yum install -y ntp
安装完成后,编辑 NTP 配置文件
/etc/ntp.conf
,添加以下内容:
restrict default kod nomodify notrap nopeer noqueryrestrict -6 default kod nomodify notrap nopeer noqueryrestrict 127.0.0.1restrict ::1server 0.centos.pool.ntp.org iburstserver 1.centos.pool.ntp.org iburstserver 2.centos.pool.ntp.org iburstserver 3.centos.pool.ntp.org iburst这些配置项可以有效限制 NTP 服务器对外提供的功能,降低被攻击者利用的风险。
为进一步加强 NTP 服务器的防御能力,我们需要配置防火墙规则,仅允许可信的 NTP 客户端访问 NTP 服务器。可以使用以下 iptables 规则:
iptables -A INPUT -p udp --dport 123 -m state --state NEW -j ACCEPTiptables -A INPUT -p udp --dport 123 -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -A INPUT -p udp --dport 123 -j DROP这些规则允许已建立的 NTP 会话通过,拒绝未授权的 NTP 查询请求。
NTP 服务器还支持身份验证机制,可以进一步提高安全性。我们可以生成一个预共享密钥,并在 NTP 配置文件中启用身份验证:
mv /etc/ntp.keys /etc/ntp.keys.bakntp-keygen -Mecho "keys /etc/ntp.keys" >> /etc/ntp.confecho "trustedkey 1" >> /etc/ntp.conf这样,只有能提供正确密钥的 NTP 客户端才能与 NTP 服务器进行时间同步。
为及时发现和应对 NTP 攻击,我们还需要监控 NTP 服务器的运行状态。可以使用以下命令定期检查 NTP 服务器的负载情况:
ntpq -pntpstat发现 NTP 服务器负载异常,可以采取相应的措施,如临时关闭 NTP 服务,或调整防火墙规则等。
通过以上几个步骤,我们可以有效地保护 CentOS 7 时间服务器,防御 NTP 放大攻击,确保关键业务系统的正常运转。
如何在 CentOS 中设置 NTP 服务器
1. LinuxNTP 客户端主机需要 ntpupdate 软件包来和服务器同步时间。 可以轻松地使用 yum 或 apt-get 安装这个软件包。 安装完软件包之后,用服务器的 IP 地址运行下面的命令。 # ntpdate <server-IP-address>基于 RHEL 和 Debian 的系统命令都相同。 2. Windows如果你正在使用 Windows,在日期和时间设置(Date and Time settings)下查找网络时间(Internet Time)。 3. Cisco 设备如果你想要同步 Cisco 设备的时间,你可以在全局配置模式下使用下面的命令。 # ntp server <server-IP-address>来自其它厂家的支持 NTP 的设备有自己的用于网络时间的参数。 如果你想将设备和 NTP服务器同步时间,请查看设备的说明文档。
服务器如何做防御?
服务器防攻击怎么防?壹基比小喻来教你们。 一些常见的服务器攻击如木马病毒等都是可以通过平常的安全维护以及防火墙来解决,而不一般的服务器攻击,如三大无解攻击方式:ddos攻击、cc攻击和arp欺骗。 这种攻击无法防御,只有使用ddos云防护才能有效防止这些攻击。 那么,杭州速联具体说一说服务器防攻击的手段吧。 手段一:使用ddos云防护。 流量攻击通常是一种十分粗暴的手段,即消耗带宽或者消耗服务器资源或者是不断请求服务器来打垮服务器,以致服务器无法正常运转。 当面对这种攻击的时候,唯有ddos云防护能防止此种攻击,将攻击流量引到高防节点上面,以确保源服务器不收攻击的影响。 手段二:日常安全维护。 另一种服务器攻击方式比较常见,即中了木马病毒等等,比如说今年的“wanna cry”勒索病毒等等。 而预防这样的攻击,最好的办法是日常打开防火墙,检查日志,安装安全狗软件、修补漏洞等等。 只要有着ddos云防护以及日常安全运维的双重保障,服务器防攻击基本已经做好了,安全还算比较有保障的,一般是不会受到攻击影响的。 同时,也要保持一颗平常心,网络攻击偶尔也会遇见的,只要能积极应对解决,就没问题,而不是一味去责怪服务商所给的服务器不给力。 杭州速联提供DDOS、CC防御解决服务及方案,无论在流量清洗能力、CC攻击防护能力均处于国内先进水平,提供各类高防服务器租用。
服务器如何防止DNS放大攻击措施?
在过去的18个月里,互联网上的DNS放大攻击(DNS amplification attacks)急剧增长。 这种攻击是一种数据包的大量变体能够产生针对一个目标的大量的虚假的通讯。 这种虚假通讯的数量有多大?每秒钟达数GB,足以阻止任何人进入互联网。 与老式的“smurf attacks”攻击非常相似,DNS放大攻击使用针对无辜的第三方的欺骗性的数据包来放大通讯量,其目的是耗尽受害者的全部带宽。 但是,“smurf attacks”攻击是向一个网络广播地址发送数据包以达到放大通讯的目的。 DNS放大攻击不包括广播地址。 相反,这种攻击向互联网上的一系列无辜的第三方DNS服务器发送小的和欺骗性的询问信息。 这些DNS服务器随后将向表面上是提出查询的那台服务器发回大量的回复,导致通讯量的放大并且最终把攻击目标淹没。 因为DNS是以无状态的UDP数据包为基础的,采取这种欺骗方式是司空见惯的。 在2005年之前,这种攻击主要依靠对DNS实施60个字节左右的查询,回复最多可达512个字节,从而使通讯量放大8.5倍。 这对于攻击者来说是不错的,但是,仍没有达到攻击者希望得到了淹没的水平。 最近,攻击者采用了一些更新的技术把目前的DNS放大攻击提高了好几倍。 当前许多DNS服务器支持EDNS。 EDNS是DNS的一套扩大机制,RFC 2671对次有介绍。 一些选择能够让DNS回复超过512字节并且仍然使用UDP,如果要求者指出它能够处理这样大的DNS查询的话。 攻击者已经利用这种方法产生了大量的通讯。 通过发送一个60个字节的查询来获取一个大约4000个字节的记录,攻击者能够把通讯量放大66倍。 一些这种性质的攻击已经产生了每秒钟许多GB的通讯量,对于某些目标的攻击甚至超过了每秒钟10GB的通讯量。 要实现这种攻击,攻击者首先要找到几台代表互联网上的某个人实施循环查询工作的第三方DNS服务器(大多数DNS服务器都有这种设置)。 由于支持循环查询,攻击者可以向一台DNS服务器发送一个查询,这台DNS服务器随后把这个查询(以循环的方式)发送给攻击者选择的一台DNS服务器。 接下来,攻击者向这些服务器发送一个DNS记录查询,这个记录是攻击者在自己的DNS服务器上控制的。 由于这些服务器被设置为循环查询,这些第三方服务器就向攻击者发回这些请求。 攻击者在DNS服务器上存储了一个4000个字节的文本用于进行这种DNS放大攻击。 现在,由于攻击者已经向第三方DNS服务器的缓存中加入了大量的记录,攻击者接下来向这些服务器发送DNS查询信息(带有启用大量回复的EDNS选项),并采取欺骗手段让那些DNS服务器认为这个查询信息是从攻击者希望攻击的那个IP地址发出来的。 这些第三方DNS服务器于是就用这个4000个字节的文本记录进行回复,用大量的UDP数据包淹没受害者。 攻击者向第三方DNS服务器发出数百万小的和欺骗性的查询信息,这些DNS服务器将用大量的DNS回复数据包淹没那个受害者。 如何防御这种大规模攻击呢?首先,保证你拥有足够的带宽承受小规模的洪水般的攻击。 一个单一的T1线路对于重要的互联网连接是不够的,因为任何恶意的脚本少年都可以消耗掉你的带宽。 如果你的连接不是执行重要任务的,一条T1线路就够了。 否则,你就需要更多的带宽以便承受小规模的洪水般的攻击。 不过,几乎任何人都无法承受每秒钟数GB的DNS放大攻击。 因此,你要保证手边有能够与你的ISP随时取得联系的应急电话号码。 这样,一旦发生这种攻击,你可以马上与ISP联系,让他们在上游过滤掉这种攻击。 要识别这种攻击,你要查看包含DNS回复的大量通讯(源UDP端口53),特别是要查看那些拥有大量DNS记录的端口。 一些ISP已经在其整个网络上部署了传感器以便检测各种类型的早期大量通讯。 这样,你的ISP很可能在你发现这种攻击之前就发现和避免了这种攻击。 你要问一下你的ISP是否拥有这个能力。 最后,为了帮助阻止恶意人员使用你的DNS服务器作为一个实施这种DNS放大攻击的代理,你要保证你的可以从外部访问的DNS服务器仅为你自己的网络执行循环查询,不为任何互联网上的地址进行这种查询。 大多数主要DNS服务器拥有限制循环查询的能力,因此,它们仅接受某些网络的查询,比如你自己的网络。 通过阻止坏蛋利用循环查询装载大型有害的DNS记录,你就可以防止你的DNS服务器成为这个问题的一部分。