以前一致认为 HTTP 协议是建立在 tcp 协议之上的,如果禁了 tcp 协议之后,那么就不能访问网站了,现在我尝试把 TCP 协议禁了之后网站也能访问,看来如果网站不是需要保持长连接需要 tcp 协议,那么可以把它禁了,这样,网站安全性就更进一步了
推荐书目
› 高性能网站建设进阶指南
› High Performance Web Sites
› Google Hacks: Tips & Tools for Finding and Using the World's Information
关于 Google SEO 最好的一本书
› High Performance Web Sites
› Google Hacks: Tips & Tools for Finding and Using the World's Information
关于 Google SEO 最好的一本书
This topic created in 3578 days ago, the information mentioned may be changed or developed.
Supplement 1 · Aug 18, 2016
问题总算研究清楚了:理论和实践上是可以“拒绝” TCP 协议的,这种方式是在进入后端服务器之前要设置一个代理服务器,这个代理服务器替代后端服务器进行三次握手之后才把访问内容传递到后端服务器,这样,后端对于 SYN Flood 类型的 DDOS 攻击完全无视,当然要求这代理服务器能辨别哪些流量属于 SYN Flood ,比如在第一次握手以及第二次握手在限定时间内没有得到反映时立马丢弃
最后,感谢回复“哈哈哈哈哈”的同学
最后,感谢回复“哈哈哈哈哈”的同学
Supplement 2 · Aug 19, 2016
本帖有一些同音字,比如开头的“一致”实际为“一直”,本帖实则是一个分享贴,虽然有错误,但对个体的防护有很大的启发与借鉴作用,具体措施本人不再提供
 |
1
justfly Aug 18, 2016
什么鬼
|
 |
2
aprikyblue Aug 18, 2016 via Android
什么鬼
|
 |
3
hahiru Aug 18, 2016 via Android
蛤?
|
|
4
aprikyblue Aug 18, 2016 via Android
你确定。。不是禁错了??
|
 |
5
woshisongzhe OP @aprikyblue 我在阿里云后台禁的
|
 |
6
just1 Aug 18, 2016 via Android
消失的 2 楼
我猜是浏览器缓存 |
 |
7
Hanxv Aug 18, 2016 via Android
你确定不是缓存?
HTTP 就是建立在 TCP 协议之上,它需要可靠传输。如果使用 UDP ,你能想象你的网站会是什么样子么? 还扯淡,安全性。传输都不可靠,你还敢说安全。 |
|
8
woshisongzhe OP @just1 不是缓存,我测试了好几次了,也重启了服务器
|
 |
9
cloverstd Aug 18, 2016
一个河,你把桥给撤了,你咋过去
|
 |
10
bdbai Aug 18, 2016 via Android
楼主试试 telnet 你服务器的 80 端口,把请求手打进去看看情况。
|
|
11
woshisongzhe OP @Hanxv 之前我就只开放 tcp ,其他的都封了
我昨晚开始封了 TCP 之后发现网站也能访问 TCP 协议是指握手之后才进行数据传输,所说 http 协议是建立在 TCP 上,但 HTTP 是无状态响应 |
 |
12
jasonyang9 Aug 18, 2016
恭喜 LZ 发现外星科技。强烈建议抓包看看到底是什么鬼
|
 |
13
rock_cloud Aug 18, 2016
用 curl 试试?
|
|
14
woshisongzhe OP @bdbai 提示‘不是内部命令。。。。’
|
 |
15
0TSH60F7J2rVkg8t Aug 18, 2016
楼主从哪里访问的?访问地址确定不是运营商给返回的缓存页面吗?
|
 |
16
iyaozhen Aug 18, 2016 via Android
楼主也是叼啊。去 17ce 啥的测试下,你会发现全国都红了。
|
 |
17
rphoho Aug 18, 2016  1
0.0 火钳刘明
|
 |
18
derpc Aug 18, 2016 via iPhone
瓜子饮料可乐
|
 |
19
cocochan Aug 18, 2016 2
|
|
20
bdbai Aug 18, 2016 via Android
@woshisongzhe Windows 需要启用功能, Linux 从包管理器装。
无状态跟 TCP 没关系吧。 |
 |
21
jasontse Aug 18, 2016 via iPad
mark 等真相
|
 |
22
RobertYang Aug 18, 2016 via Android
难道你是 QUIC ? 23333
|
 |
23
xmh51 Aug 18, 2016
坐等真相 阿里云被打脸?? 后台 tcp 被禁 网站还能访问 23333
|
 |
24
dndx Aug 18, 2016
楼主这不是高级黑吧。
|
 |
25
wsy2220 Aug 18, 2016 via Android
火钳刘明
|
|
26
woshisongzhe OP @jasonyang9 我现在在服务器外套了个均衡负载,但是我把内外网出入口的 tcp 也都封了,但是也是可以访问,感觉非常奇怪,难道通过阿里云的控制端封禁无效?但是我设置其他的比如 22 端口只留下白名单等设置也都有效
@ahhui 直接通过浏览器输入网址以及通过 app 链接都能获取到结果,包括查询数据库等都能获取到正确结果 @iyaozhen 测了,不过访问的是均衡负载的 ip ,但是我明明把所以内外网的出入口的 tcp 全都封了,也能访问到网站,真是奇了怪了 @xmh51 我刚才直接把域名指向后端服务器,吃完饭回来发现又访问不了,但是通过均衡负载那个域名还能访问,问题是我内网也把它给封了的,难道 tcp 对内外不起作用还是说内网采取的不是 TCP 协议? |
 |
27
jy01264313 Aug 18, 2016
什么鬼,没听懂?
|
 |
28
Citrus Aug 18, 2016
阿里云的负载均衡分七层和四层,目测楼主配了一个七层 HTTP 负载均衡然后把四层全封死了。。。这样不能访问才奇怪呢。。。
|
|
29
Citrus Aug 18, 2016
不过楼主这从现象推原因的逻辑也是挺牛逼的。快去证伪万有引力和牛顿定律吧!
|
 |
30
crab Aug 18, 2016
那你 80 端口监听用啥协议啊
|
 |
31
zealic Aug 18, 2016
阿里云的防火墙我就不说了,各种逻辑不通顺,封了的端口可以继续访问,出口流量配置允许所有流量无效,必须配置指定的外部入站随机端口端 40000+ 允许才能正常工作
|
 |
32
UnisandK Aug 18, 2016
验证到后来楼主变成了阿里黑。。
|
|
33
woshisongzhe OP |
|
34
zealic Aug 18, 2016
@woshisongzhe 阿里走的是双向流量收费,本身内网 NAT 貌似也是要收费的;由于它定制了操作系统在内部加入了一些 agent 和内部系统通信和动态更新,所以对于网络防火墙限制有许多例外,总体来说非常恶心。
|
|
35
woshisongzhe OP @zealic 问题是他们宣称的单向收费(收取出口流量),但是目前也就是在研究研究,先不管那么多了
|
 |
36
FreeDog Aug 18, 2016
那个防火墙不是只针对 CentOS 有效吗?之前看到的提示是那样子,所以就没有用它
|
 |
37
qzy168 Aug 18, 2016
ban 了 TCP 还能访问网站是什么原理?
|
 |
38
whahugao Aug 18, 2016
马克一下 坐等下文
|
|
39
woshisongzhe OP @qzy168 现在的情况是,直接指向 ECS 是访问不了网站的,但是通过均衡负载即使后段的内网出入口封了 tcp 后还是能访问,我怀疑是均衡负载的内网 ip 直接与后端的服务器绑上了,无论后端怎么封,都是可以通过均衡负载访问,因为均衡负载没有设置封禁 tcp
|
 |
40
mengzhuo Aug 18, 2016
哈哈哈哈 今日最佳笑话!!!
|
 |
41
intsilence Aug 18, 2016
哈哈哈哈哈。
|
 |
42
iamzhuyi Aug 18, 2016 via Android
楼主是宋喆
|
 |
43
goodryb Aug 18, 2016
哈哈哈哈哈哈哈哈,楼主 NB
|
 |
44
9hills Aug 18, 2016
看到后来,发现『拒绝』 TCP 协议的办法就是做一个七层的转发。。。。。。
喂喂,这个还用发现么 |
|
45
woshisongzhe OP @9hills 假如没有现成的七层转发你这么做?
|
|
46
woshisongzhe OP @9hills 另外,阿里云的 7 层负载不负责给你防 DDOS ,流量过来照样给你导进来
|
 |
47
oska874 Aug 18, 2016
好奇,怎么禁掉 tcp ?
|
 |
48
liyvhg Aug 18, 2016 via Android
楼主试一下
sudo iptables -I INPUT -p tcp -j DROP 彻底丢掉 TCP 的包,温馨提示:提前做好备份 |
|
49
woshisongzhe OP |
|
50
liyvhg Aug 18, 2016 via Android
@woshisongzhe 估计阿里云自己做了一些控制,放开了常用端口
|
|
51
9hills Aug 18, 2016
@woshisongzhe 7 层负载均衡会把 SYN flood 给你导进来?
|
|
52
woshisongzhe OP @9hills 客服工单就这么回复:不具有防 DDOS 功能
|
|
53
woshisongzhe OP @liyvhg 据我深入了解,均衡负载可以从另一方来说是替换了原 ECS 的公网 ip ,导致你对这个 ECS 怎么设置只要通过均衡负载访问的都无效
|
 |
54
usernametoolong Aug 18, 2016
从上到下看了一遍。。。。。真的是。。。。。
无言以对。。。。。。。。 |
|
55
justfly Aug 18, 2016
大致看明白了 一台阿里云主机本来有外网 IP 后来在上面加了一个负载均衡 就把原来外网 IP 网卡的 tcp 禁掉了,然后去访问负载均衡器发现能访问。所以得出帖子的结论。
|
 |
56
crazycen Aug 19, 2016 via iPhone
看了评论回复,发现是伪证!
|
 |
57
veelog Aug 19, 2016 via Android
传输层都被禁用了,应用层是如何通信的???
|
|
58
woshisongzhe OP |
Select Language