分布式拒绝服务攻击(DDOS)是目前常见的网络攻击方法,它的英文全称为Distributed Denial of
Service?简单来说,很多DoS攻击源一起攻击某台服务器就形成了DDOS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者将攻击程序通过代理程序安装在网络上的各个“肉鸡”上,代理程序收到指令时就发动攻击。
随着DDOS攻击的成本越来越低,很多人就通过DDOS来实现对某个网站或某篇文章的“下线”功能,某篇文章可能因为内容质量好,在搜索引擎有较高的排名,但如果因为DDOS导致网站长时间无法访问,搜索引擎则会将这篇文章从索引中删除,网站的权重也会降低,因为达到了“下线”文章的目的。
对付DDOS不太容易,首先要找一个靠谱的主机供应商,我之前有个主机供应商,一发现某个IP被DDOS,就主动屏蔽这个IP好几天,实际上就是硬件和技术能力不足的表现。
国外的主机供应商也未必靠谱,比如之前有次被DDOS,我就把博客转到Dreamhost的空间,事实表明Dreamhost的防DDOS的能力不敢恭维,DDOS来了之后,Dreamhost对付DDOS倒是不客气,直接把中国地区的IP全给屏蔽了。
一般来说,DDOS是需要花钱和带宽的,解决DDOS也需要花钱和带宽,那么,如果服务器被DDOS了,我们应该怎么办呢?
1、保证服务器系统的安全
首先要确保服务器软件没有任何漏洞,防止攻击者入侵。确保服务器采用最新系统,并打上安全补丁。在服务器上删除未使用的服务,关闭未使用的端口。对于服务器上运行的网站,确保其打了最新的补丁,没有安全漏洞。
2、隐藏服务器的真实IP地址
不要把域名直接解析到服务器的真实IP地址,不能让服务器真实IP泄漏,服务器前端加CDN中转(免费的CDN一般能防止5G左右的DDOS),如果资金充裕的话,可以购买高防的盾机,用于隐藏服务器真实IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,服务器上部署的其他域名也不能使用真实IP解析,全部都使用CDN来解析。
总之,只要服务器的真实IP不泄露,5G以下小流量DDOS的预防花不了多少钱,免费的CDN就可以应付得了。如果攻击流量超过10G,那么免费的CDN可能就顶不住了,需要购买一个高防的盾机来应付了,而服务器的真实IP同样需要隐藏。
2018年5月15日星期二
2018年5月14日星期一
特朗普突然发推 中兴通讯事件迎来重大转机
中兴通讯出现重大进展,特朗普突然发布推文称:“我和习主席正携手合作,为中国的通信巨头中兴通讯提供一条快速重返经营正轨的道路。(中兴受制裁)使得太多的工作岗位在中国流失了。我已经指示美国商务部尽快完成手续。”
北京时间13日晚23点左右(美国当地时间13日上午11点左右),特朗普发布的这条推文,估计对于中兴通讯的8万员工以及31万股民来说,是一场酣畅淋漓的及时雨。
这则短短的推特有两点意见引人注目:第一,特朗普要求美商务部协助恢复中兴在美国的商业活动;第二,之所以考虑放弃7年禁止美国公司给中兴提供设备,原因是涉及中国人的大量就业。
据美国媒体报道中引用的数据,中兴通讯公司大约牵涉到8万名员工。此前,中兴曾发布通告称,由于美国的制裁,该公司的主要业务几乎停滞。特朗普在推特中首次提到,因考虑到中国人的就业问题,而放弃对中兴的制裁。
之前,中兴通讯一直在试图解决华盛顿在4月对其实施的封锁,在制裁发生后的一份声明中,中兴通讯表示:“本公司及相关方积极与美国政府相关部门沟通,推动美国政府调整或取消拒绝令,推动事情向好的方向发展。”中兴通讯在于港交所发布的公告中表示。中兴通讯还在公告中称,公司现金充足,在合法合规前提下坚守商业信用。该公司股票自禁令实施后一直停牌。
4月16日,美国商务部以“中兴违反了美国限制向伊朗出售美国技术的制裁条款”为由,宣布未来7年将禁止美国公司向中兴通讯销售零部件、商品、软件和技术。禁令一出,不仅中兴陷入有史以来的最大危机、处在生死存亡境地,社会上还出现了关于中国自主产权芯片的大讨论。而在前不久,中兴官网及天猫等电商平台,还相继下架了中兴手机等商品,截止目前,中兴官网依然处于“网站改版”页面中,而中兴商城的相关服务也尚未恢复。
而对于禁令的解除,目前美国商务部的正式文件还未下发,而中兴方面目前同样没有任何回应,对于事态的后续发展,我们将持续关注。
腾讯做了哪些恶?
在知乎上看到一个问题“腾讯做了哪些恶?”,让我想起了早先的一件事,于是就有了这篇文章,本文主要讲述我经历过的腾讯QQ浏览器针对我博客干过的一件缺德事。
时间是2017年10月25日,当时不知道是什么情况,国内的网络突然实施了2天端口白名单政策,2天后就恢复正常了,因为这事情对国内用户上网影响挺大,因此我在我博客上专门写了篇文章,标题是《中国部分网络开启国外端口白名单》,由于事情非常敏感,这文章我也琢磨了半天,小心翼翼地不涉及敏感内容。
结果第二天有人告诉我,通过手机QQ浏览器访问我博客的那篇文章,会提示一则警告信息“该网站可能存在非法内容,建议开启手机管家,全面保护手机安全”。
当时我听了后,不相信腾讯还有这种操作?一个知名互联网企业,再Low也不可能不要脸吧,结果我在我iPhone手机上安装了一个QQ浏览器,访问那篇文章,打开页面后我就惊呆了,QQ浏览器还真的给提示我“该网站可能存在非法内容,建议开启手机管家,全面保护手机安全”,腾讯啊腾讯,你推广流氓软件也就罢了,但吃相也不要这么难看吧?
讲到这里,可能有人会说,这可能是“上面”下令的,不该腾讯背锅,实际上,如果是“上面”下令的话,应该会直接找我来删文才对,“上面”的人经常找我删文,什么样的文章会被删除我很清楚,而且后来“上面”也没找我删文,这个锅“上面”不背。
实际上,浏览器只是一个浏览网页的工具,浏览什么页面是用户自己的事情,不可能用户浏览一个非法网站,管理部门就去惩罚浏览器,没有这种先例,要真这么干的话微软的IE早被罚出去了,腾讯这么主动审查,就是为了推广自家的所谓“安全软件”。
我当时就在Twitter上发了这么一条信息:QQ浏览器称我的博客“该网站可能存在非法内容,建议开启手机管家,全面保护手机安全” 。我可以负责任地告诉大家,安装腾讯手机管家才是你手机的最大安全威胁,不仅不会给你安全,还会窃取你得隐私,比安装一个木马病毒更可怕。
后来过了几天,可能腾讯也觉得这么干不妥,就把那条提示信息去掉了,现在访问那篇文章的话,显示是正常的。
自那以后,我自己电脑和手机就彻底不再安装QQ浏览器和腾讯安全管家之类的软件了。
2018年5月11日星期五
Google Duplex:逆天AI黑科技
Google近日在2018年度的开发者大会(Google I/O 2018)上,展现了一项极为逆天的人工智能黑科技:Google Duplex。这是在个人助理 Google Assistant 中新增加的人工智能技术,通过Google Duplex,可以为用户虚拟一个助理秘书的角色,给发廊、饭馆等商业店面打电话,帮用户预约时间。
Google Duplex 能够扮演一个真正的数字助理,它不仅能够拨打电话,还可以与对方保持自然的交谈,预约美发沙龙和餐厅都不是什么难事。Google Duplex 能够在特定的情况或某个领域内进行自然对话,掌握人类口音上的细微差别,而结果是相当惊人的。
在会议上,全场最炫酷的一幕是Google Duplex两则真实电话录音展示自动预订功能,用户只需要把需求告诉Assistant,AI就会在后台自动给商家打电话预订。在现场展示中,Duplex 不仅用自然流畅的语音和电话另一头的人类完成了交流,对方根本没有意识到打电话来的居然是个“AI”,其对话的自然流畅程度几乎已经可以以假乱真。而且第二则录音中它还成功地处理了意料之外的发展状况,不仅理解了“无需预定”,还主动询问了等位的时间。
以下是预订功能的工作原理:假设您想预约理发。只需通过Google Home询问谷歌助理Assistant,或从Android手机或iPhone应用程序中发信息告诉它什么时候去哪里。如果您在星期天中午想要吃点东西,那么Assistant会问你是否有备选,以防万一时间不够用——它清楚中午到下午2点之间的时间范围更合适。
如果此前用户使用过像OpenTable这样的自动在线预订服务,Assistant将默认使用该系统进行预约。但是,如果不以这种方式进行自动预订——而且许多小业务不会这样做——谷歌助理Assistant将会替你打电话。预定成功后,Assistant将会和你确认此次行程,并将其添加到日历中。
Google Duplex的目标是让Google的人工智能与用户一道完成一天的工作:如今在Assistant的帮助下,用户可以从智能扬声器Google Home中获取早间新闻,通过将手机摄像头对准花朵得知物种名称,在回家之前打开房间内的恒温器等等。
但是如果Google的实验成为现实,Assistant将真正成为用户的数字助理。
相比国内的所谓智能AI产品,谷歌数字助理Google Duplex简直把同行们甩出几条大街,令人震惊,不过对于中国用户来说,我还期望能有这样一种用于接电话的AI人工智能助理,针对所有打进来手机的电话进行人工智能识别,通过模拟人工相互对话,来确认对方是否骚扰广告电话,对于主人设置的不想接听的电话,进行礼貌的回绝,然后将正常的电话转交给主人进行接听。
原文链接:《Google Duplex:逆天AI黑科技》
Google Duplex 能够扮演一个真正的数字助理,它不仅能够拨打电话,还可以与对方保持自然的交谈,预约美发沙龙和餐厅都不是什么难事。Google Duplex 能够在特定的情况或某个领域内进行自然对话,掌握人类口音上的细微差别,而结果是相当惊人的。
在会议上,全场最炫酷的一幕是Google Duplex两则真实电话录音展示自动预订功能,用户只需要把需求告诉Assistant,AI就会在后台自动给商家打电话预订。在现场展示中,Duplex 不仅用自然流畅的语音和电话另一头的人类完成了交流,对方根本没有意识到打电话来的居然是个“AI”,其对话的自然流畅程度几乎已经可以以假乱真。而且第二则录音中它还成功地处理了意料之外的发展状况,不仅理解了“无需预定”,还主动询问了等位的时间。
以下是预订功能的工作原理:假设您想预约理发。只需通过Google Home询问谷歌助理Assistant,或从Android手机或iPhone应用程序中发信息告诉它什么时候去哪里。如果您在星期天中午想要吃点东西,那么Assistant会问你是否有备选,以防万一时间不够用——它清楚中午到下午2点之间的时间范围更合适。
如果此前用户使用过像OpenTable这样的自动在线预订服务,Assistant将默认使用该系统进行预约。但是,如果不以这种方式进行自动预订——而且许多小业务不会这样做——谷歌助理Assistant将会替你打电话。预定成功后,Assistant将会和你确认此次行程,并将其添加到日历中。
Google Duplex的目标是让Google的人工智能与用户一道完成一天的工作:如今在Assistant的帮助下,用户可以从智能扬声器Google Home中获取早间新闻,通过将手机摄像头对准花朵得知物种名称,在回家之前打开房间内的恒温器等等。
但是如果Google的实验成为现实,Assistant将真正成为用户的数字助理。
相比国内的所谓智能AI产品,谷歌数字助理Google Duplex简直把同行们甩出几条大街,令人震惊,不过对于中国用户来说,我还期望能有这样一种用于接电话的AI人工智能助理,针对所有打进来手机的电话进行人工智能识别,通过模拟人工相互对话,来确认对方是否骚扰广告电话,对于主人设置的不想接听的电话,进行礼貌的回绝,然后将正常的电话转交给主人进行接听。
原文链接:《Google Duplex:逆天AI黑科技》
相关文章:
2018年5月10日星期四
使用Google Cloud SDK来配置Google App Engine
Google App Engine 是一个脱离了基础架构束缚的全面托管型平台,功能十分强大,当今最成功的一些公司都纷纷在 App Engine 上运行他们的应用。
之前我曾经介绍过使用Google App Engine SDK来更新Google App Engine的工程,目前Google App Engine有了一个新的SDK:Google Cloud SDK,使用这个SDK能更快更高效地进行维护和更新。下面我就介绍一下Google Cloud SDK的简单使用方法。
先从这个地址来下载安装SDK环境,包括下载并安装 Python 2.7, 下载并安装 Google Cloud SDK。
使用 gcloud init --skip-diagnostics 来初始化并登陆Google账户,选择一个工程。支持socks5代理,用户可以在初始化的时候把代理设置上。
使用 gcloud config set project my-project 可以选择另外一个工程。
在 app.yaml 文件所在目录下,使用 gcloud app deploy 来发布当前目录工程。
使用 gcloud app browse 来查看工程的显示效果。
之前我曾经介绍过使用Google App Engine SDK来更新Google App Engine的工程,目前Google App Engine有了一个新的SDK:Google Cloud SDK,使用这个SDK能更快更高效地进行维护和更新。下面我就介绍一下Google Cloud SDK的简单使用方法。
先从这个地址来下载安装SDK环境,包括下载并安装 Python 2.7, 下载并安装 Google Cloud SDK。
使用 gcloud init --skip-diagnostics 来初始化并登陆Google账户,选择一个工程。支持socks5代理,用户可以在初始化的时候把代理设置上。
使用 gcloud config set project my-project 可以选择另外一个工程。
在 app.yaml 文件所在目录下,使用 gcloud app deploy 来发布当前目录工程。
使用 gcloud app browse 来查看工程的显示效果。
2018年5月5日星期六
微信小游戏正式发布原创保护四大措施
腾讯微信今天晚上发布公告称,正式发布小游戏原创保护措施,持续维护小游戏开发者的合法权益。
四大措施如下:
(一)在名称保护上,通过建立名称保护库,对知名游戏IP名称提前保护,避免恶意抢注及混淆;提供了名称申诉机制,开发者可对线上侵权名称进行投诉。
(二)在侵权处理上,提供侵权投诉入口。用户可以在小游戏的右上角点击“…”查看侵权投诉指引,可直接将侵权证据提供至notice_miniprogram@tencent.com进行投诉。
(三)在技术上,通过技术比对等方式,对恶意侵权行为进行发现和处理。
(四)在长期运营上,同一主体或同一游戏如存在多次侵权情况,将会判定为恶意违反平台运营规范,对其主体及旗下小游戏将会被加重处理,并纳入黑名单。
已出现的部分侵权行为,已作出如下处理:
(一)通过名称保护机制,已在注册环节针对名称侵权情况处理了百余次。
(二)收到投诉,发现“最强投篮”小游戏侵犯某游戏App权益,目前已下架处理。
(三)通过技术比对,发现弹球大师、方块大战贪吃蛇、最新欢乐六边形等三款小游戏涉嫌恶意侵权,目前已下架处理。
2018年5月4日星期五
推特用户密码被明文泄漏
今天登录推特的时候,系统发布一则“重要更新”,言辞含糊,说因为系统BUG,要求用户“出于高度谨慎之目的”修改密码。
在推特的官方博客里详细介绍了这个BUG,用户修改密码的主要原因是,此前发生的一个故障导致部分用户的账号密码以纯文本的形式出现在了该公司的内部网络上。
推特称,经内部调查发现,并无迹象表明这些密码已被公司内部人员盗取或滥用。尽管如此,推特仍敦促所有用户“出于高度谨慎之目的”而考虑更改密码。
该公司并未透露总共有多少用户的账号密码受到了影响。
外媒报道称,正常情况下,密码等敏感的个人数据应以HASH(散列)的形式进行存储,利用字母和数字的组合来保护密码本身的内容。但推特的故障则导致用户密码以纯文本形式公开存储在公司内部的一个日志上,没有进行任何HASH(散列)处理。
所谓“HASH”(散列),就是把任意长度的输入(又叫做预映射, pre-image),通过散列算法,变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,所以不可能从散列值来确定唯一的输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。
推特在博文里称:“我们近日发现了一个bug,该bug导致密码无遮掩地被存储在一个内部日志上。我们已经修复了这个bug,没有迹象表明密码被任何人盗取或滥用。作为预防措施,用户应考虑在所有使用过同一密码的服务上更改密码。”
该公司指出,目前“并无理由认为这些密码信息离开过推特的系统”,也并无理由认为这些无保护的密码已被黑客获取,但未知的风险仍旧存在。推特建议用户更改密码以作为一种预防措施。
推特对此事件的解释如下:“我们利用一种所谓‘bcrypt’(注:这是专门为密码存储而设计的一种算法)的功能,通过所谓的‘散列’进程来掩蔽密码,这种程序会用存储在推特系统内部的一系列随机数字和字母来替代真实的密码,从而使得我们的系统能在不暴露用户密码的情况下验证账号身份凭证,这是一种行业标准。由于受到一个bug的影响,密码在散列进程完成之前被写入了一个内部日志。我们自己发现了这个错误,并已实施了计划来防止这个bug再次发生。”
微评:我原以为只有CSDN这模样的才会明文存储密码,没想到啊没想到,推特这浓眉大眼的家伙也开始明文存储密码了。