服务器ping丢包或不通时链路测试说明

当客户端访问目标服务器出现 ping 丢包或 ping 不通时，可以通过mtr工具进行链路测试来判断问题来源。本文先介绍了进行链路测试的相关工具，然后对测试结果分析及测试步骤进行了说明。

Linux 环境下链路测试工具介绍

mtr （My traceroute）也是几乎所有 Linux 发行版本预装的网络测试工具。他把 ping和 traceroute 的功能并入了同一个工具中，所以功能更强大。mtr 默认发送 ICMP 数据包进行链路探测。可以通过 -u 参数来指定使用 UDP 数据包用于探测。相对于 traceroute 只会做一次链路跟踪测试，mtr 会对链路上的相关节点做持续探测并给出相应的统计信息。所以，mtr能避免节点波动对测试结果的影响，所以其测试结果更正确，建议优先使用。

用法说明：

mtr [-hvrctglspni46] [—help] [—version] [—report]                   [—report-cycles=COUNT] [—curses] [—gtk]                   [—raw] [—split] [—no-dns] [—address interface]                   [—psize=bytes/-s bytes]                   [—interval=SECONDS] HOSTNAME [PACKETSIZE]

示例输出：

[root@liuxw-test ~]# mtr 125.94.39.249                             My traceroute  [v0.75]liuxw-test.jcloud.local (0.0.0.0)                      Wed Aug 30 10:23:38 2017Resolver error: Answered class does not match queried class.ields   quit                                       Packets               Pings Host                                Loss%   Snt   Last   Avg  Best  Wrst StDev 1. 10.254.2.254                      0.0%    32    0.8   0.8   0.6   1.2   0.1 2. 100.127.228.13                    0.0%    32    1.1   1.2   1.0   1.6   0.2 3. ??? 4. 105.96.135.219.broad.fs.gd.dynam  0.0%    32    3.9   4.0   2.0   6.4   1.6 5. 113.108.208.209                   0.0%    32    8.4   6.7   4.8   8.9   1.4 6. 202.97.65.101                     0.0%    32   42.5  42.5  40.8  44.8   1.2 7. 220.181.0.198                    74.2%    32   37.6  37.7  37.6  37.7   0.0 8. 220.181.0.106                    74.2%    32   40.2  40.2  40.2  40.3   0.1 9. 218.30.28.161                    96.8%    32   40.4  40.4  40.4  40.4   0.010. 180.149.140.34                   15.6%    32   40.1  40.2  39.7  47.0   1.411. 101.200.109.129                   0.0%    32   42.0  41.7  40.7  43.5   0.612. 106.11.130.189                    0.0%    32   40.9  41.1  40.6  44.2   0.813. ???14. 123.57.221.198                    0.0%    31   44.7  40.7  40.4  44.7   0.8

常见可选参数说明：

-r 或 —report：以报告模式显示输出。

-p 或 —split：将每次追踪的结果分别列出来，而非如 —report统计整个结果。

-s 或 —psize：指定ping数据包的大小。

-n 或 —no-dns：不对IP地址做域名反解析。

-a 或 —address：设置发送数据包的IP地址。用于主机有多个IP时。

-4：只使用 IPv4 协议。

-6：只使用 IPv6 协议。

另外，也可以在 mtr 运行过程中，输入相应字母来快速切换模式，比如：

？或 h：显示帮助菜单。

d：切换显示模式。

n：切换启用或禁用 DNS 域名解析。

u：切换使用 ICMP或 UDP 数据包进行探测。

返回结果说明：

默认配置下，返回结果中各数据列的说明：

第一列（Host）：节点IP地址和域名。如前面所示，按n键可以切换显示。

第二列（Loss%）：节点丢包率。

第三列（Snt）：每秒发送数据包数。默认值是10，可以通过参数 -c 指定。

第四列（Last）：最近一次的探测延迟值。

第五、六、七列（Avg、Best、Wrst）：分别是探测延迟的平均值、最小值和最大值。

第八列（StDev）：标准偏差。越大说明相应节点越不稳定。

Windows环境下链路测试工具介绍

WinMTR 是 mtr 工具在 Windows 环境下的图形化实现，但进行了功能简化，只支持 mtr部分参数的调整设置。WinMTR 默认发送ICMP 数据包进行探测，无法切换。WinMTR 可以从其官方网站下载获取。和 mtr 一样，相比 tracert，WinMTR 能避免节点波动对测试结果的影响，所以测试结果更正确。所以，在 WinMTR 可用的情况下，建议优先使用 WinMTR 进行链路测试。

用法说明：

WinMTR 无需安装，直接解压运行即可。操作方法非常简单，说明如下：

1.如下图所示，运行程序后，在 Host 字段输入目标服务器域名或 IP（注意前面不要包含空格）。

2.点击 Start 开始测试（开始测试后，相应按钮变成了 Stop）。

3.运行一段时间后，点击 Stop 停止测试。

4.其它选项说明：

Copy Text to clipboard：将测试结果以文本格式复制到粘贴板。

Copy HTML to clipboard：将测试结果以 HTML 格式复制到粘贴板。

Export TEXT：将测试结果以文本格式导出到指定文件。

Export HTML：将测试结果以 HTML 格式导出到指定文件。

Options：可选参数，包括：

Interval（sec）：每次探测的间隔（过期）时间。默认为 1 秒。

Ping size(bytes)： ping 探测所使用的数据包大小，默认为 64 字节。

Max hosts in LRU list： LRU 列表支持的最大主机数，默认值为 128。

Resolve names：通过反查 IP 以域名显示相关节点。

返回结果说明：

默认配置下，返回结果中各数据列的说明：

第一列（Host）：节点IP地址和域名。如前面所示，按n键可以切换显示。

第二列（Loss%）：节点丢包率。

第三列（Snt）：每秒发送数据包数。默认值是10，可以通过参数 -c 指定。

第四列（Last）：最近一次的探测延迟值。

第五、六、七列（Avg、Best、Wrst）：分别是探测延迟的平均值、最小值和最大值。

第八列（StDev）：标准偏差。越大说明相应节点越不稳定。

浅谈DDos攻击与防御

最近重新拜读了道哥的经典力作《白帽子讲Web安全》一书，发觉好书看一遍是不够的，每次品味都有不同的味道。道哥此书侧重于企业安全，即所讲所写偏重企业内部的安全建设，而不是针对某些漏洞大书特书。再次细读，深感需要做点笔记加强加强记忆，于是便以本篇开始，记录一些曾经看过的经典书籍的笔记。本篇主要用于记录《白帽子讲Web安全》读后感之DDos攻击与防御相关的知识。本篇记录的绝大部分内容来自《白帽子讲Web安全》，感谢道哥！

DDos简介

DDos又叫分布式拒绝服务，全称Distributed Denial of Service，利用DDos造成的攻击称为拒绝服务攻击，其原理就是利用大量的请求造成资源过载，导致服务不可用。
DDos攻击从层次上可分为网络层攻击与应用层攻击，从攻击手法上可分为快型流量攻击与慢型流量攻击，但其原理都是造成资源过载，导致服务不可用。

网络层DDos攻击

网络层DDos攻击包括SYN flood、UDP flood、ICMP flood等。

SYN flood攻击

SYN flood攻击主要利用了TCP三次握手过程中的bug，我们知道TCP三次握手过程是要建立连接的双方发送SYN，SYN+ACK，ACK数据包，而当攻击方随意构造源ip去发送SYN包时，服务器返回的SYN+ACK就不能得到应答（因为ip是随意构造的），此时服务器就会尝试重新发送，并且会有至少30s的等待时间，导致资源饱和服务不可用，此攻击属于慢型dos攻击。

UDP flood攻击

由于udp是一种无连接的协议，因此攻击者可以伪造大量的源IP地址去发送udp包，此种攻击属于大流量攻击。正常应用情况下，UDP包双向流量会基本相等，因此在消耗对方资源的时候也在消耗自己的资源。

ICMP flood攻击

此攻击属于大流量攻击，其原理就是不断发送不正常的ICMP包（所谓不正常就是ICMP包内容很大），导致目标带宽被占用，但其本身资源也会被消耗。并且目前很多服务器都是禁ping的（在防火墙在可以屏蔽icmp包），因此这种方式已经落伍。

网络层DDos防御

网络架构上做好优化，采用负载均衡分流。
添加抗DDos设备，流量清洗。
限制单ip请求频率。
防火墙等防护设置禁止icmp包等

网络层的DDos攻击究其本质其实是无法防御的，我们能做得就是不断优化自身的网络架构，以及提升网络带宽。

应用层DDos攻击

应用层DDos攻击不是发生在网络层，是发生在TCP建立握手成功之后，应用程序处理请求的时候。

CC攻击

CC攻击还有一段比较有趣的来历，据说当时绿盟为了防御DDos攻击研发了一款产品，叫做“Collapasar”，能够有效的防御SYN flood攻击。然而黑客为了挑衅，研发了一款Challenge Collapasar工具（简称CC）。
CC攻击的原理，就是针对消耗资源比较大的页面不断发起不正常的请求，导致资源耗尽。因此在发送CC攻击前，我们需要寻找加载比较慢，消耗资源比较多的网页，比如需要查询数据库的页面、读写硬盘文件的等。通过cc攻击，使用爬虫对某些加载需要消耗大量资源的页面发起http请求。

slowloris

这是由于webserver中间件漏洞引发的拒绝服务攻击，其原理是以极低的速度往服务器发送HTTP请求。apache等中间件默认会设置最大并发链接数，而这种攻击就是会持续保持连接，导致服务饱和不可用。slowloris有点类似基于HTTP协议的SYN flood攻击。

poc

构造以下畸形http请求包

GET / HTTP/1.1\r\n

Host: Victim host\r\n

User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.503l3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; MSOffice 12)\r\n

Content-Length: 42\r\n

完整的http请求头结尾应该是两次的\r\n\r\n，这里少了一次，因此服务器将会一直等待。

HTTP POST DOS

其原理是在发送HTTP POST包时，指定一个非常大的Content-Length值，然后以极低的速度发包，保持连接不断，导致服务饱和不可用。

poc

构造以下畸形http请求包

GET / HTTP/1.1\r\n

Host: Victim host\r\n

User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.503l3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; MSOffice 12)\r\n

Content-Length: 9999999999\r\n\r\n

Slow Read attack

Slow Read attack攻击方式是采用调整TCP协议中的滑动窗口大小，来对服务器单次发送发送的数据大小进行控制，使得服务器需要对一个回应分成很多个包来发送。

Server Limit Dos

这是由于cookie导致的dos攻击，当然其原理还是基于webserver的特性。apache默认最大的http包头长度为8192字节，如果超出此长度，则会返回4xx错误。如果我们利用存储型xss漏洞，将一个超长的cookie写入客户端页面，则用户再访问此页面后，由于请求头加载了恶意的超长cookie，导致其不能访问该站的页面（除非清空cookie）

ReDos

这是由于代码写得有缺陷，导致使用正则时，会出现大量占用资源的情况，导致服务不可用，这是利用了正则表达式在匹配时的某些特性决定的。

应用层DDos防御

判断User-Agent字段（不可靠，因为可以随意构造）
网页中镶嵌js代码（不可靠，因为爬虫也可携带浏览器引擎，或者执行js代码）
针对ip+cookie，限制访问频率（由于cookie可以更改，ip可以使用代理，或者肉鸡，也不可靠)
关闭apache最大连接数等，合理配置中间件，缓解ddos攻击。
页面中添加验证码，比如搜索数据库时。
编写代码时，尽量实现优化，并合理使用缓存技术，减少数据库的读取操作。

应用层的防御有时比网络层的更难，因为导致应用层被dos攻击的因素非常多，有时往往是因为程序员的失误，导致某个页面加载需要消耗大量资源，有时是因为中间件配置不当等等。而应用层DDos防御的核心就是区分人与机器（爬虫），因为大量的请求不可能是人为的，肯定是机器构造的。因此如果能有效的区分人与爬虫行为，则可以很好地防御此攻击。

无线DDOS

@更新于2017年5月31日
参考：http://www.freebuf.com/articles/wireless/135598.html

Auth Flood攻击

Auth Flood攻击：即身份验证洪水攻击。该攻击目标主要针对那些处于通过验证、和AP建立关联的关联客户端，攻击者将向AP发送大量伪造的身份验证请求帧（伪造的身份验证服务和状态代码），当收到大量伪造的身份验证请求超过所能承受的能力时，AP将断开其他无线服务连接。

Deauth Flood攻击

Deauth Flood攻击即为取消验证洪水攻击，它旨在通过欺骗从AP到客户端单播地址的取消身份验证帧来将客户端转为未关联/未认证的状态。对于目前的工具来说，这种形式的攻击在打断客户无线服务方面非常有效和快捷。一般来说，在攻击者发送另一个取消身份验证帧之前，客户端会重新关联和认证以再次获取服务。攻击者反复欺骗取消身份验证帧才能使所有客户端持续拒绝服务。

Association Flood攻击

Association Flood攻击即为关联洪水攻击。在无线路由器或者接入点内置一个列表即为连接状态表，里面可显示出所有与该AP建立连接的无线客户端状态。它试图通过利用大量模仿和伪造的无线客户端关联来填充AP的客户端关联表，从而达到淹没AP的目的。
由于开放身份验证（空身份验证）允许任何客户端通过身份验证后关联。利用这种漏洞的攻击者可以通过创建多个到达已连接或已关联的客户端来模仿很多客户端，从而淹没目标AP的客户端关联表。

Disassociation Flood攻击

Disassociation Flood攻击即为取消关联洪水攻击，和deauthenticaiton flood攻击表现方式很相似。它通过欺骗从AP到客户端的取消关联帧来强制客户端成为未关联/未认证的状态。一般来说，在攻击者发送另一个取消关联帧之前，客户端会重新关联以再次获取服务。攻击者反复欺骗取消关联帧才能使客户端持续拒绝服务。
Disassociation Broadcast攻击和Disassociation Flood攻击原理基本一致，只是在发送程度及使用工具上有所区别，前者很多时候用于配合进行无线中间人攻击，而后者常用于目标确定的点对点无线DOS，比如破坏或干扰指定机构或部门的无线接入点等。

RF Jamming攻击

RF Jamming攻击即为RF干扰攻击。该攻击是通过发出干扰射频达到破坏正常无线通信的目的。而前面几种攻击主要是基于无线通信过程及协议的。RF为射频，主要包括无线信号发射机及收信机等。

原文：https://thief.one/2017/05/10/1/

1000M千兆独享大带宽服务器价格表

一下内容为2020年11月12日整理，价格为当月服务器价格，可能包含部分促销价格。最新报价请联系QQ：28575315

以下服务器带宽均为独享不限流量机型！

南阳机房移动线路1000M报价

移动（河南） L5630*2/16G/1T(240G SSD)/1000M 3500元/月
移动（河南） E5-245L*2/32G/2T/1000M 4000元/月

河南联通线路1000M报价

联通（河南） L5630*2/16G/1T(240G SSD)/1000M 6500元/月
联通（河南） E5-2650*2/32G/2T(480G SSD)/1000M 7000元/月

镇江电信线路1000M报价

电信（江苏） L5520*2/16G/1T(240G SSD)/1000M 8500元/月
电信（江苏） E5-2650*2/32G/1T(240G SSD)/1000M 9000元/月

以上为默认机型配置，可选SSD固态硬盘、内网交换机等等。

独享带宽、不限流量、高速线路

适用于各类搭建CDN节点、下载站服务器、流媒体视频站服务器、以及各种需求大量带宽的业务场景。

业务咨询QQ：28575315

千兆带宽服务器测速

wordpress安装插件提示需要FTP权限解决办法

前两天上传一个wordpress程序做个测试站，然后安装插件时候提示需要FTP权限，网页上出来一个登陆FTP的界面。

出现这个问题的原因是网站文件权限不对的问题，wordpress的程序没有权限下载插件文件并存储。

我们只需要登录自己的服务器然后打开网站根目录将整个网站目录设置为755权限即可！

宝塔面板上权限可以如下图设置：

如果服务器使用的不是宝塔面板基本操作原理都是一样的，就是把目录给他755的权限，使其可以自行下载安装插件。

linux系列服务器可使用以下命令修改文件夹权限

sudo chown -R www /www/wwwroot/homedt.cn/*

命令解释

-R后面的www就是权限归属的用户组，可根据自己的实际情况调整，一般默认都是www

/www/wwwroot/homedt.cn/*就是我的网站目录后面的星号意思是代表所有文件。

命令输入时注意中间的空格，每个参数之间都有空格。

seafile6.2.9破解版pro企业版本下载

Seafile 是一款开源的企业云盘，注重可靠性和性能。支持 Windows, Mac, Linux, iOS, Android 平台。支持文件同步或者直接挂载到本地访问。

此文件是pro版本的破解版，最新的6.2.9

免费开源版和pro企业版功能区别

Seafile 安装脚本

这里的安装脚本可以帮助您快速的安装好 Seafile 服务器，并配置好 MariaDB, Memcached, WebDAV, Ngnix 和开机自动启动脚本。

使用步骤

安装干净的 16.04 或 CentOS 7 系统，并做好镜像 (如果安装失败需要还原到镜像)。

切换成 root 账号 (sudo -i)

获取安装脚本

Ubuntu 16.04（适用于 6.0.0 及以上版本）:

wget https://raw.githubusercontent.com/haiwen/seafile-server-installer-cn/master/seafile-server-ubuntu-16-04-amd64-http

CentOS 7:

wget https://raw.githubusercontent.com/haiwen/seafile-server-installer-cn/master/seafile-server-centos-7-amd64-http

运行安装脚本并指定要安装的版本 (6.0.13)

bash seafile-server-ubuntu-16-04-amd64-http 6.0.13

脚本会让你选择要安装的版本, 按照提示进行选择即可:

如果要安装专业版, 需要先将下载好的专业版的包 seafile-pro-server_6.0.13_x86-64.tar.gz 放到 /opt/ 目录下
如果是安装开源版，安装脚本在执行过程中会检查**/opt目录下是否有指定版本号的安装包，如果存在则会安装此包，否则会从 Seafile 网站下载。所以，为了避免因下载失败而导致安装中断，您可以提前下载好安装包放到/opt/**目录下。

如果安装脚本出错

如果安装脚本出错，您需要重置虚拟机到干净的镜像。

启动关闭服务

自动安装脚本会在系统中安装开机自动启动脚本。您也可以使用该脚本来关闭/启动 Seafile 服务，命令如下：

Ubuntu 16.04:

service seafile-server stop
service seafile-server start

CentOS 7:

service seafile stop
service seahub stop

service seafile start
service seahub start

其他高级配置

备份 mysql

拷贝 db-backup 目录到 /opt/seafile
修改 db-backup/db_backup.sh 中的 USER PASSWD
执行 crontab -e 并添加内容 0 1 * * * /opt/seafile/db-backup/db_backup.sh (每天凌晨1：00进行备份)

配置邮件发送

参考 http://manual-cn.seafile.com/config/sending_email.html

升级和其他问题

版本升级

切换为 root 用户
关闭 seafile-server 相关服务
下载高版本的安装包到 /opt/seafile 目录，并解压
进入安装包下的 upgrade 目录，执行相关的升级脚本，具体可参考 http://manual.seafile.com/deploy/upgrade.html
启动 seafile-server 相关服务

下载地址：

https://wl.cheshirex.com/data/seafile-pro-server_6.2.9_x86-64-1000.tar.gz

联邦在线现提供“视频CDN节点大带宽服务器”租用

视频CDN服务器需要大量的带宽来满足视频分发的需求，一般节点服务器带宽都是100M起，1000M/1G带宽很常见。长期以来，市面上大带宽服务器的价格都比较高昂。动辄上万元的服务器费用让开发者不堪重负。

联邦在线独家推出华中地区南阳机房100M、1000M独享带宽的服务器，价格低廉，速度快延时低。

该机房地处华中地区，作为CDN节点面向全国访问延时都是最优的位置。

该机房由两栋支撑维护中心以及两栋仓储中心，电力电池室机房1400平方米，变配电室600平方米。数据中心拟建总规模约20.7万平方米，分三期进行建设，一期计划建设总规模为6.7万平方米，安装服务器机架约5600架，以1000G（可根据需求调增或调减）高速物理光纤直接接入CMNET骨干网络，能够提供各种丰富的宽带IP网络资源以及全面的网络应用、网络安全、流量分析、负载均衡、存储备份、客户自维护等全方位服务。

机房硬件设施完善，采用多条电力线路接入，并且配备专用电力电池室，即便市电停电也不影响服务器的正常访问请求。

现机房提供以下大带宽机型：

L5630*2/16G

E5-2450*2/32G

硬盘可选1T、2T、4T、6T、10T等不同大小的机械硬盘。

固态可选120G、240G、480G、960G等

硬盘可增加多块。

并且提供服务器内网之间的互联互通。是多节点CDN的最佳选择！

租用联系QQ：28575315

机房介绍：https://www.homedt.cn/nyyd

Fikker CDN3.7.6-linux_全功能破解版下载

重要提示！FIKKER主控0DAY漏洞！：https://www.homedt.cn/1614.html

破解说明：

安装7Zip解压：（这条命令只在centos7上有用其他的大家百度搜索安装7z的方法）
yum install -y p7zip

乌班图的：apt install p7zip-full

下载包：
wget https://wl.cheshirex.com/uploads/201807315212192578537.7z

解压包：
7za x 201807315212192578537.7z

进入目录：
cd fikkerd-3.7.6-linux-x86-64/

写入权限：
chmod +x ./bin/fikkerd

执行启动：
sh fikkerd.sh start

后台：{ip}:6780
密码：123456

yum install -y p7zip 这条命令只在centos7上有用

UBUNTU最好用apt install p7zip-full
p7zip的话 -bash: 7za: command not found

[root@li894-84 ~]# yum install -y p7zip
No package p7zip available.
Error: Nothing to do

centos 7 使用最新源才行，其他版本的不行。
用下面的编译吧。

wget http://nchc.dl.sourceforge.net/project/p7zip/p7zip/9.20.1/p7zip_9.20.1_src_all.tar.bz2
tar -jxvf p7zip_9.20.1_src_all.tar.bz2
cd p7zip_9.20.1
make
make install

执行启动：
./fikkerd.sh install && ./fikkerd.sh start