中企智导股权系统VG5.03S技术优势说明

       股权众筹平台面临的协议安全威胁

       威胁股权众筹系统的风险来自不同层面，从网络层、源码系统层到应用层，协议都可能形成对系统直接或间接的源码i2ctools 源码威胁，目前行业常见的协议针对Web应用的攻击有：

       ●  缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令。

       ●  Cookie假冒——精心修改cookie数据进行用户假冒。源码

       ●  认证逃避——攻击者利用不安全的协议证书和身份管理。

       ●  非法输入——在动态网页的源码输入中使用各种非法数据，获取服务器敏感数据。协议

       ●  强制访问——访问未授权的源码网页。

       ●  隐藏变量篡改——对网页中的协议隐藏变量进行修改，欺骗服务器程序。源码

       ●  拒绝服务攻击——构造大量的协议非法请求，使Web服务器不能响应正常用户的访问。

       ●  跨站脚本攻击——提交非法脚本，其他用户浏览时**用户帐号等信息。

       ●  SQL注入——构造SQL代码让服务器执行，获取敏感数据。

       ●  URL 访问限制失效——黑客可以访问非授权的浙江白酒溯源码资源连接强行访问一些登陆网页、历史网页。

       ●  被破坏的认证和 Session 管理——Session token 没有被很好的保护 在用户推出系统后，黑客能够盗窃 session。

       ●  DNS攻击——黑客利用DNS漏洞进行欺骗DNS服务器，从而达到使DNS解析不正常，IP地址被转向导致网站服务器无法正常打开。

       中企智导安全研发中心依托强大安全技术资源优势，不断跟踪、挖掘、分析行业内新出现的各种漏洞信息和最新安全风险，从软件开发需求、架构设计、代码编译、数据库、服务器等各个方面，打造目前行业内最全面的股权众筹系统安全防护体系，中企智导安全盾甲确保股权众筹平台的安全稳定。

       一、系统安全架构

       网络安全

       ●  网络安全，基于硬件防火墙，简单ssm购物源码杜绝网络攻击，为系统提供第一层防护，特别是高防IP特别针对目前流行的DDOS攻击进行防护。

       ●  防注入,CC攻击等安全机制保障网站安全稳定运行，防护多种DDoS类型攻击，包括但不限于以下攻击类型 ICMP Flood、UDP Flood、TCP Flood、SYN Flood、ACK Flood 等

       ●  对t) == 1 //n-used可能会因为“本地确认”机制而向前推进

           (state == NUD_FAILED ||time_after(now, n-used + n-parms-gc_staletime))) {

           *np = n-next;

           n-dead = 1;

           write_unlock(n-lock);

           neigh_release(n);

           continue;

           }

           if (atomic_read(n-refcnt) == 1 //n-used可能会因为“本地确认”机制而向前推进

           (state == NUD_FAILED ||time_after(now, n-used + n-parms-gc_staletime))) {

           *np = n-next;

           n-dead = 1;

           write_unlock(n-lock);

           neigh_release(n);

           continue;

           }

       如果在实验中，你的处于stale状态的表项没有被及时删除，那么试着执行一下下面的命令：

       [plain] view plaincopyprint?ip route flush cache

       ip route flush cache然后再看看ip neigh ls all的结果，注意，不要指望马上会被删除，因为此时垃圾回收定时器还没有到期呢...但是我敢保证，不长的时间之后，该缓存表项将被删除。

五.第一个问题的解决

       在启用keepalived进行基于vrrp热备份的群组上，很多同学认为根本不需要在进入master状态时重新绑定自己的MAC地址和虚拟IP地址，然而这是酷盒9.5源码根本错误的，如果说没有出现什么问题，那也是侥幸，因为各个路由器上默认配置的arp超时时间一般很短，然而我们不能依赖这种配置。请看下面的图示：

       如果发生了切换，假设路由器上的arp缓存超时时间为1小时，那么在将近一小时内，单向数据将无法通信(假设群组中的主机不会发送数据通过路由器，排出“本地确认”，毕竟我不知道路由器是不是在运行Linux)，路由器上的数据将持续不断的法往原来的master，然而原始的matser已经不再持有虚拟IP地址。

       因此，为了使得数据行为不再依赖路由器的配置，必须在vrrp协议下切换到master时手动绑定虚拟IP地址和自己的MAC地址，在Linux上使用方便的arping则是：

       [plain] view plaincopyprint?arping -i ethX -S 1.1.1.1 -B -c 1

       arping -i ethX -S 1.1.1.1 -B -c 1这样一来，获得1.1.1.1这个IP地址的master主机将IP地址为...的ARP请求广播到全网，假设路由器运行Linux，则路由器接收到该ARP请求后将根据来源IP地址更新其本地的ARP缓存表项(如果有的话)，然而问题是风口全景指标源码，该表项更新的结果状态却是stale，这只是ARP的规定，具体在代码中体现是这样的，在arp_process函数的最后：

       复制代码

       代码如下:

       if (arp-ar_op != htons(ARPOP_REPLY) || skb-pkt_type != PACKET_HOST)

           state = NUD_STALE;

           neigh_update(n, sha, state, override ? NEIGH_UPDATE_F_OVERRIDE : 0);

           if (arp-ar_op != htons(ARPOP_REPLY) || skb-pkt_type != PACKET_HOST)

           state = NUD_STALE;

           neigh_update(n, sha, state, override ? NEIGH_UPDATE_F_OVERRIDE : 0);

       由此可见，只有实际的外发包的下一跳是1.1.1.1时，才会通过“本地确认”机制或者实际发送ARP请求的方式将对应的MAC地址映射reachable状态。

       更正：在看了keepalived的源码之后，发现这个担心是多余的，毕竟keepalived已经很成熟了，不应该犯“如此低级的错误”，keepalived在某主机切换到master之后，会主动发送免费arp，在keepalived中有代码如是：

       复制代码

       代码如下:

       vrrp_send_update(vrrp_rt * vrrp, ip_address * ipaddress, int idx)

           {

           char *msg;

           char addr_str[];

           if (!IP_IS6(ipaddress)) {

           msg = "gratuitous ARPs";

           inet_ntop(AF_INET, ipaddress-u.sin.sin_addr, addr_str, );

           send_gratuitous_arp(ipaddress);

           } else {

           msg = "Unsolicited Neighbour Adverts";

           inet_ntop(AF_INET6, ipaddress-u.sin6_addr, addr_str, );

           ndisc_send_unsolicited_na(ipaddress);

           }

           if (0 == idx debug ) {

           log_message(LOG_INFO, "VRRP_Instance(%s) Sending %s on %s for %s",

           vrrp-iname, msg, IF_NAME(ipaddress-ifp), addr_str);

           }

           }

           vrrp_send_update(vrrp_rt * vrrp, ip_address * ipaddress, int idx)

           {

           char *msg;

           char addr_str[];

           if (!IP_IS6(ipaddress)) {

           msg = "gratuitous ARPs";

           inet_ntop(AF_INET, ipaddress-u.sin.sin_addr, addr_str, );

           send_gratuitous_arp(ipaddress);

           } else {

           msg = "Unsolicited Neighbour Adverts";

           inet_ntop(AF_INET6, ipaddress-u.sin6_addr, addr_str, );

           ndisc_send_unsolicited_na(ipaddress);

           }

           if (0 == idx debug ) {

           log_message(LOG_INFO, "VRRP_Instance(%s) Sending %s on %s for %s",

           vrrp-iname, msg, IF_NAME(ipaddress-ifp), addr_str);

           }

           }

六.第二个问题的解决

       扯了这么多，在Linux上到底怎么设置ARP缓存的老化时间呢？

       我们看到/proc/sys/net/ipv4/neigh/ethX目录下面有多个文件，到底哪个是ARP缓存的老化时间呢？实际上，直接点说，就是base_reachable_time这个文件。其它的都只是优化行为的措施。比如gc_stale_time这个文件记录的是“ARP缓存表项的缓存”的存活时间，该时间只是一个缓存的缓存的存活时间，在该时间内，如果需要用到该邻居，那么直接使用表项记录的数据作为ARP请求的内容即可，或者得到“本地确认”后直接将其置为reachable状态，而不用再通过路由查找，ARP查找，ARP邻居创建，ARP邻居解析这种慢速的方式。

       默认情况下，reachable状态的超时时间是秒，超过秒，ARP缓存表项将改为stale状态，此时，你可以认为该表项已经老化到期了，只是Linux的实现中并没有将其删除罢了，再过了gc_stale_time时间，表项才被删除。在ARP缓存表项成为非reachable之后，垃圾回收器负责执行“再过了gc_stale_time时间，表项才被删除”这件事，这个定时器的下次到期时间是根据base_reachable_time计算出来的，具体就是在neigh_periodic_timer中：

       复制代码

       代码如下:

       if (time_after(now, tbl-last_rand + * HZ)) {

           struct neigh_parms *p;

           tbl-last_rand = now;

           for (p = tbl-parms; p; p = p-next)

           //随计化很重要，防止“共振行为”引发的ARP解析风暴

           p-reachable_time =neigh_rand_reach_time(p-base_reachable_time);

           }

           ...

           expire = tbl-parms.base_reachable_time 1;

           expire /= (tbl-hash_mask + 1);

           if (!expire)

           expire = 1;

           mod_timer(tbl-gc_timer, now + expire);

           if (time_after(now, tbl-last_rand + * HZ)) {

           struct neigh_parms *p;

           tbl-last_rand = now;

           for (p = tbl-parms; p; p = p-next)

           //随计化很重要，防止“共振行为”引发的ARP解析风暴

           p-reachable_time =neigh_rand_reach_time(p-base_reachable_time);

           }

           ...

           expire = tbl-parms.base_reachable_time 1;

           expire /= (tbl-hash_mask + 1);

           if (!expire)

           expire = 1;

           mod_timer(tbl-gc_timer, now + expire);

       可见一斑啊！适当地，我们可以通过看代码注释来理解这一点，好心人都会写上注释的。为了实验的条理清晰，我们设计以下两个场景：

       1.使用iptables禁止一切本地接收，从而屏蔽arp本地确认，使用sysctl将base_reachable_time设置为5秒，将gc_stale_time为5秒。

       2.关闭iptables的禁止策略，使用TCP下载外部网络一个超大文件或者进行持续短连接，使用sysctl将base_reachable_time设置为5秒，将gc_stale_time为5秒。

       在两个场景下都使用ping命令来ping本地局域网的默认网关，然后迅速Ctrl-C掉这个ping，用ip neigh show all可以看到默认网关的arp表项，然而在场景1下，大约5秒之内，arp表项将变为stale之后不再改变，再ping的话，表项先变为delay再变为probe，然后为reachable，5秒之内再次成为stale，而在场景2下，arp表项持续为reachable以及dealy，这说明了Linux中的ARP状态机。那么为何场景1中，当表项成为stale之后很久都不会被删除呢？其实这是因为还有路由缓存项在使用它，此时你删除路由缓存之后，arp表项很快被删除。

七.总结

       1.在Linux上如果你想设置你的ARP缓存老化时间，那么执行sysctl -w net.ipv4.neigh.ethX=Y即可，如果设置别的，只是影响了性能，在Linux中，ARP缓存老化以其变为stale状态为准，而不是以其表项被删除为准，stale状态只是对缓存又进行了缓存；

       2.永远记住，在将一个IP地址更换到另一台本网段设备时，尽可能快地广播免费ARP，在Linux上可以使用arping来玩小技巧。

Keepalived原理与使用

       部署与配置

       安装部署可选择在镜像站下载安装或通过官网下载源码编译安装。

       使用yum install keepalived或tar -zxvf keepalived-2.2.7.tar.gz、cd keepalived-2.2.7及./configure --prefix=/usr/local/keepalived --sysconf=/etc完成安装。

       针对可能出现的依赖错误，按照提示安装对应依赖包。

       完成安装后，需通过cd xxxx/keepalived-2.2.7/keepalived/etc将keepalived注册为系统服务，实现开机启动。

       主服务器配置（Master）

       完整的keepalived配置主要包含全局定义、VRRP实例定义及虚拟服务器定义三大部分。

       虚拟服务器定义用于健康监测与流量分发，区别于nginx等反向代理服务，keepalived专注于四层流量分发。

       若仅为高可用配置，虚拟服务器定义块非必要。

       生产环境配置备服务器

       配置完成后重启keepalived服务，实现高可用部署。

       VIP无法ping通

       若配置了vrrp_strict，防火墙会自动生成规则，导致无法ping通主节点VIP。可调整配置避免生成该规则，但生产环境不建议开启此功能。

       非抢占模式下，未绑定VIP

       keepalived部署分为抢占与非抢占模式。选择模式依据需求，稳定性要求高时，建议使用非抢占模式。

       非抢占模式下，需配置以避免VIP无法绑定。

       同一网段下，virtual_router_id（VRID）不能重复

       VRID用于标识不同的VRRP组，同一网段下不能重复使用，否则可能引起错误。