Web服务器

本文将为您描述Windows Server Install Apache PHP MySQL(图文详解)，Windows下Apache+PHP+MySQL搭建web服务器的方法 环境准备： Windows Server 2012mysql-5.7httpd-2.4php-5.6 （记得官网下载时看好版本x64 VC11）Apache（httpd）apache 官网下载网址 下载之后新建一个wamp目录然后解压进去 然后开始修改默认配置，进入 Apache24 目录，找到 \wamp\Apache24\conf\httpd.conf 用编辑器打开 找到 Define SRVROOT 将后面引号中的值 修改为你存放 Apache24 的 绝对路径（我这里是F盘） #示例Define SRVROOT "F:/wamp/Apache24"按需打开 apache mod_rewrite 模块 LoadModule rewrite_module modules/mod_rewrite.so将 AllowOverride None 修改为 AllowOverride All #查找<Directory "${SRVROOT}/htdocs">AllowOverride None#修改为AllowOverride All继续安装Apache服务，打开cmd窗口（参照官网文档） 找到 Apache24 目录下 httpd.exe 文件的绝对路径然后 后面跟上  httpd.exe -k install -n Apache2.4 安装成功，在Apache24目录下找到 ApacheMonitor.exe 双击运行（F:\wamp\Apache24\bin\ApacheMonitor.exe） 桌面右下角出现 图标，双击打开窗口界面，  点击 Start 开始运行 ...

在诸多的DDoS攻击事件中，放大攻击的流行度占了百分之五十左右，攻击难度系数只是占中间部分，但它的影响力较大。这意味着它的防护和缓解比较复杂。那么就有人想要知道什么是NTP放大攻击？NTP的防御措施是怎么样的呢？接下来小编我就分享下NTP放大攻击的操作过程以及防御措施。 那首先就要知道什么是NTP呢?NTP协议(network time protocol)是计算机时间同步化的一种协议，它可以使计算机与时钟源进行同步化并且提高精准度的时间校正，它主要是采用层次化时间的分布模型。网络体系结构的组成是由主时间服务器、从时间服务器和客户机，主时间服务器主要布置在根节点，负责与高精度时间源进行同步，为其他节点提供时间服务，各客户端由从时间服务器经主服务器获得时间同步。 其次NTP放大攻击原理是什么？NTP协议是基于UDP协议的123端口进行通信，但是由于UDP协议的无连接性具有不安全性的缺陷，攻击者就会利用NTP服务器的不安全性能漏洞发起DDoS攻击。攻击者攻击的步骤是先寻找攻击对象或者互联网中支持NTP放大攻击的服务器资源；然后通过伪造IP地址向NTP服务器发送monlist的请求报文，为了增加攻击的强度，monlist指令会监控响应 NTP 服务器并且将其返回进行时间同步的最近多个客户端的IP地址，通常NTP服务器与大量的客户端进行交互时，一个不超过64字节的请求数据包可以触发100个482个字节响应的数据包，因此它具有放大数百倍的功能。从而这些大流量就会阻塞网络，导致网络不通，造成了分布式拒绝服务。 然后NTP放大攻击的防御措施是：1.对NTP服务器进行合理的管理和配置，将全部的NTP服务软件升级到最新的版本；2.在配置文件中添加noquery参数来限制客户端的monlist等信息查询请求；3.通过防火墙对UDP试用的123端口进行限制，只允许NTP服务于固定IP进行通信；4.运用足够大的带宽，硬抗NTP服务产生的放大型流量攻击。5.使用DDoS防御产品，将入口异常访问请求进行过滤清洗，然后将正常的访问请求分发给服务器进行业务处理。

在DDOS防护过程中，流量清洗是必不可少的技术操作。那么精准的流量清洗具体是通过什么样的方式实现的呢?其中会有多种的技术方式辨识。昨天给大家分享了流量清洗过程中必要的技术手段中的三个，攻击特征匹配、IP信誉检查、协议完整性检测。今天的内容主要分享速度检查与限制、TCP代理和验证、客户端真实性验证的技术手段。 1、通过对请求数据包发送的速度检查与限制来进行清洗。一部分攻击在数据包上是没有特别明显的攻击特性，同时也没有办法进行特征匹配。但在请求数据包发送的频率和速度上会有着明显的差异。比如在受到SSL DDoS攻击时，会在同一个SSL会话中进行加密密钥的多重协商。正常情况下是不会反复多重协商加密密钥的。所以在流量清洗的时候，如果发现SSL会话中的密钥协商次数超过了特定的阈值，会直接中断这个会话并且把来源加入黑名单中。或者是慢速的POST请求攻击时，客户端和服务器之间会以低速率进行互相数据传输。在清洗过程中发现HTTP请求长时间没有完成传输，就会中断会话，这种一般是通过速度检查和限制来进行清洗的。相比UDP洪水攻击等是没有明显的特征，此种是通过大流量攻击，流量清洗的缓解技术是限制流量速度。 2、针对TCP协议代理和验证：如SYN Flood洪水攻击的方式是利用了TCP协议的弱点，将被攻击的服务器连接表占满，使其无法创建新的连接而达到拒绝服务的目的。那么在SYN请求达到一定数量清洗后，就会回复一个SYN+ACK数据，等待客户端回复。确定SYN请求是正常的用户，客户端就会对SYN+ACK进行响应，同时流量清洗技术会代替用户并且保护服务器建立了TCP连接，然后将连接加入信任列表当中。这样用户端和服务端之间可以进行正常的数据通信。如果SYN请求来自攻击者，通常不会对SYN+ACK响应，所以只是单方面的连接，流量清洗技术会暂时保留一段时间这个单方面的连接，经过一定的短的时间就丢弃它。所以相比保护服务器，流量清洗技术会对连接表进行优化，也能处理很大的连接请求。因此清洗设备保护了服务器，也不会使其消耗任何的连接资源，性能不会受影响。 3、流量清洗过程中还会对客户端真实性验证，主要是对客户端的程序以及应答模式的相互验证。以此来检查客户端能否完成特定的功能和确认请求数据是否来自真实的客户端。在页面的WEB服务中，通过检查客户端是否支持JavaScript来验证请求来源是否是真实的浏览器客户端。在收到HTTP请求是，流量清洗技术会试用JavaScript等脚本语言发送简单的运算操作。一般对真实的浏览器请求会进行正确的运算结果返回，这个时候流量清洗将验证后的请求跳转到Web服务器上的正常资源位置，以此不影响正常的用户访问。如果是攻击工具发送的，是不会返回正常的运算结果，因此流量清洗技术会直接丢弃这样请求，不会让其跳转到Web服务器的连接，服务器也不会受到影响。 DDoS攻击的防御技术随着攻击的提升也在增强中。从最初的拒绝服务变为了分布式拒绝服务，而且还在变异中，所以缓解的技术也是越来越深奥。墨者安全我力所能及的分享一些关于DDOS攻防的技术，网络安全方面的知识以及见解，对此大家有各自的观点可以相互交流。

遇见DDoS攻击的时，目前的防护技术中避免不了的会出现流量清洗过滤等词，客户都会很疑惑流量清洗，是怎么清洗的，会不会把正常的访问请求一起过滤清洗掉呢？这是站在客户角度最关心的一个问题，这种想法很正常，因为谁都不想损失客户嘛。那接下来分享下DDoS防御中流量清洗的技术方法吧。 流量清洗的意思是全部的网络流量中区分出正常的流量和恶意的流量，将恶意流量阻断和丢弃，而只将正常的流量回源给源服务器。墨者安全一般建议选择优秀的流量清洗设备。有些漏报率太高的，对大量的正常请求过程中会造成中断，有可能会影响到业务的正常运行，相当于优秀的清洗设备，可以降低漏报率以及误报率，在不影响业务正常运行的情况下可以将恶意攻击流量最大化的从网络流量中去除。但是做到这一步需要用到准确而高效的清洗技术。如： 1、攻击特征的匹配：在发动DDoS攻击过程中是需要借助一些攻击工具的，比如僵尸网络等。同时网络犯罪分子为了提高发送请求的效率，攻击工具发出的数据包通常是编写者伪造并固化到工具当中的。因此每种攻击工具所发出的数据包都有一些特征存在。那么流量清洗技术将会利用这些数据包中的特征作为指纹依据，通过静态指纹技术或者是动态指纹技术识别攻击流量。静态指纹识别的原理是预先将多种攻击工具的指纹特征保存在流量清洗设备中的数据库，因此所有的访问数据都会先进行内部数据库比对，如果是符合的会选择直接丢弃。动态指纹识别清洗设备对流过的网络数据包进行若干个数据包学习，然后将攻击特征记录下来，后续有访问数据命中这些特征的直接丢弃。 2、IP信誉检查：IP信誉机制是互联网上的IP地址赋予一定的信誉值.有一些经常用来当作僵尸主机的，会发送垃圾邮件或被用来做DDOS攻击的IP地址。会被赋予较低的信誉值.说明这些IP地址可能成为网络攻击的来源。所以当发生DDOS攻击的时候会对网络流量中的IP信誉检查，所以在清洗的时候会优先丢弃信誉低的IP，一般IP信誉检查的极端情况是IP黑名单机制。 3.协议完整性验证：为提高发送攻击请求的效率，大多数的都是只发送攻击请求，而不接收服务器响应的数据。因此.如果采取对请求来源进行交替严重，就可以检测到请求来源协议的完整性，然后在对其不完整的请求来源丢弃处理。在DNS解析的过程中，攻击方的工具不接收解析请求的响应数据，所以不会用TCP端口进行连接。所有流量清洗设备会利用这种方式区分合法用户与攻击方，拦截恶意的DNS攻击请求。这种验证方式也适用于HTTP协议的Web服务器。主要是利用HTTP协议中的302重定向来验证请求，确认来源是否接收了响应数据并完整实现了HTTP协议的功能。正常的合法用户在接收到302 重定向后会顺着跳转地址寻找对应的资源。而攻击者的攻击工具不接收响应数据，则不会进行跳转，直接会被清洗拦截，WEB服务器也不会受到任何影响。 针对精准的流量清洗还需要很多种的精确技术，比如速度检查与限制、协议代理和验证、客户端真实性验证等技术方法。因为时间原因，剩下的三种方法后续分享给大家。

一：什么是 CGI？服务器端编程语言如（如php/java）与Web服务器之间传递信息的协议，约定了http头、表单等信息的传递接口；二：FastCGI 是什么？本质上是协议，升级版的 CGI，回到题目，起什么作用，规范作用，所有协议的作用都是规范。注意不是进程，Nginx 根据此协议拓展了一个模块，也叫FastCGI，但是重要的话说三遍，FastCGI 与 CGI 都是协议，不是进程；FastCGI 与 CGI 都是协议，不是进程；FastCGI 与 CGI 都是协议，不是进程；相比于CGI,它的优点有如下：1、监听，不用每收到一个请求就加载配置文件，临时起个进程处理，而是常驻在内存的进程，一有请求就能立即处理；2、一 master 多 worker，和 Nginx类似，worker 与机器的内核数量相等且一一绑定的话，会提高性能，有效地利用 CPU 资源；3、平滑启动，这一点 Nginx 也具备，当修改配置文件后，worker 会及时地更新配置。三：那么，php-fpm 是什么？是一个命令行的工具，也叫进程管理器，运行时会有若干个 php-fpm 进程。其特点如下1、实现了 FastCGI 协议；2、用来管理 php 解释器（php-cgi）的，而 FastCGI 协议的优点，上面三点已经讲得很明确了。画外音：是不是有点绕，就比如说你(php解释器)不听话，老师（计算机）怎么管都管不利索，然后呢，老师说你要不再不听说，就告诉你爸（FastCGI），让你爸收拾你，你一想万一被老爸一脚踹墙根(老师能做到，能实现 FastCGI 协议)，那还得了，就乖乖听话，你就从叛逆少年就变成好好学生了，从此平步青云，迎娶白富美，走上人生巅峰，拯救全人类，最后开着地球去银河系旅游，好了，老板叫我，先把地球停这，你们继续开。关于 Nginx 与 服务器端编程语言的交互Nginx 要想与服务器端脚本语言传递信息，就得用 FastCGI 模块配置详情：http://www.nginx.cn/doc/stand…关于 Nginx 的反向代理与负载均衡；这两个一般是放在一块说的，反向代理不单独配置。配置详情：http://www.nginx.cn/doc/stand…如果想要更自由地配置 Nginx 怎么办？有办法，Nginx 模块大全在此，随便用，良心推荐。Nginx 模块大全：http://www.nginx.cn/doc/拓展问题：Nginx 是一个进程，php-fpm 也是一个进程，他们之间是通过什么方式通信的呢？进程间的通信都有哪些，应用场景分别是什么？哈哈，至少三种（管道、信号、socket）;数据结构有什么用？（太 TM 有用，每本计算机相关的专业书不提这个，就像会死）。作为一个 PHP 程序员，应该去学数据结构吗？觉得应该。而且应该用 C 学，因为只有不断学习，才能突破40岁就没用的魔咒，很多人说程序员40岁失业就找不到工作，我就不信，成为专家，在40岁还能为生计发愁？各位怎么想的，如果有错误的地方，帮忙纠正一下。