尊敬的用户:

您好！

外界安全研究人员发现：Linux底层函数库glibc再现重大安全漏洞。

漏洞成因在于glibc中处理DNS查询的代码存在栈溢出漏洞，远端攻击者可以通过DNS服务回应特定构造的DNS响应数据包，造成风险。

[受影响系统]

CentOS6 所有版本

CentOS7 所有版本

SUSE Linux Enterprise Server 11 SP3

SUSE Linux Enterprise Server 12

Ubuntu Server 14.04.1 LTS 32位

Ubuntu Server 14.04.1 LTS 64位

Ubuntu Server 12.04 LTS 64位

Debian

[漏洞编号]

CVE-2015-7547

[漏洞修复方法]

根据系统发行版，按照如下更新glibc之后，请务必确定发行版对应glibc的版本，建议在更新后重启系统。

CentOS系统

官方说明链接：https://www.linuxos.pro/cve-2015-7547-linux-glibc-bug-vulnerability/

centos 5.10：不受影响

centos 5.8：不受影响

centos 6.X：需要升级到版本： >= glibc-2.12-1.166.el6_7.7

centos 7.X：需要升级到版本：>= glibc-2.17-106.el7_2.4

步骤：

1. 同步源： yum makecache

2. 升级 glib： yum update glibc

3. 检查版本：rpm -q glibc

Debian系统

官方说明链接：https://security-tracker.debian.org/tracker/CVE-2015-7547

debian 6：需要升级 libc6 到 >= 2.11.3-4+deb6u11

debian 7：需要升级 libc6 到 >= 2.13-38+deb7u10

步骤：

1. 检查 libc6 版本： dpkg -l libc6

2. 对于 debian7，注意需要添加安全补丁源

2. 同步源：apt-get update

3. 升级 libc6：apt-get install libc6

4. 再次检查 libc6 版本：dpkg -l libc6

ubuntu系统

官方说明链接：http://www.ubuntu.com/usn/usn-2900-1/

ubuntu 12：需要升级 libc6 到 >= 2.15-0ubuntu10.13

ubuntu 14：需要升级 libc6 到 >= 2.19-0ubuntu6.7

1. 检查 libc6 版本：dpkg -l libc6

2. 同步源：apt-get update

3. 升级 libc6 包：apt-get install libc6

4. 再次验证 libc6 版本：dpkg -l libc6

重新注册dts.dll文件,在运行里输入命令：
(x64)
regsvr32 "C:Program FilesMicrosoft SQL Server100DTSBinndts.dll"
(x86)
regsvr32 "C:Program Files (x86)Microsoft SQL Server100DTSBinndts.dll"

重新打开管理器，创建维护计划，ok！！

注：如果C盘没有找到dts.dll 请检查其他盘有没有这个文件

北京时间9月26日消息，据外媒报道，网络安全专家警告称，Linux系统中广泛存在Bash软件中发现的一项潜伏了20年的安全漏洞，严重性可能超过今年年初的“心脏流血”漏洞。

安全专家表示，Bash是一款在很多Unix电脑中用于控制命令提示符的软件，黑客可以借助Bash中的漏洞完全控制目标系统。美国国土安全部下属的美国电脑紧急响应团队US-CERT发出警告称，这一漏洞可能影响基于Unix的操作系统，包括Linux和苹果Mac OS X。

网络安全公司Trail of Bits CEO丹·奇诺(Dan Guido)表示，黑客可以借助“心脏流血”漏洞窃取电脑信息，但却无法完全控制电脑。但是“这项新漏洞的破解方法也更容易，你只需要复制/粘贴一行代码即可。”

  供职于网络安全公司Rapid7的工程师托德·贝尔德斯利(Tod Beardsley)警告称，该漏洞的严重性达到了“10级”，意味着它的影响在各类漏洞中处于最高级别，而它的破解难度却“很低”，因此只需要借助相对简单的方式即可发起攻击。

  对此，US-CERT建议电脑用户通过软件厂商获取系统升级。该机构还表示，红帽等Linux系统开发商已经准备好了这样的更新，但并未提及OS X的升级问题。苹果发言人尚未对此置评。

据了解，今年4月发现的“心脏流血”漏洞存在于OpenSSL开源加密软件中。由于全球约有三分之二的网站使用OpenSSL，导致数百万网民的用户数据面临威胁。因为影响范围巨大，还迫使数十家科技公司针对数百款使用OpenSSL的产品开发了安全补丁。

  DDOS由于技术难度低并且很难溯源等特点，被大量用于互联网，不管是暴利行业里的博彩、灰产，还是竞价里面的化妆品、成人用品网站，都非常容易受到DDOS攻击的威胁。DDOS攻击伴随着互联网的兴起与发展，成为了目前最难以被解决的互联网问题之一。而目前我国也把互联网安全作为国家安全之一，未来将对互联网安全进行严格的监控与管控。而对于企业或网站管理员而言，被DDOS攻击我们应该怎么办?是急需解决的重大问题。

　　高防服务器

　　高防服务器是一直以为防御DDOS攻击的主力军，绝大部分被DDOS攻击后找到的也是高防服务器，无论是互联网从业人员还是IDC从业人员，对于高防服务器的普及以及认可度都已经非常高了。高防服务器也在相当长的时间里承担了防御DDOS攻击的任务。但技术在革新时间在继续，高防服务器由于其一些劣势，正在慢慢的被高防云防御所淘汰，高防云防御是近几年才出现的新鲜产物，小编随机询问了多家IDC或正在做高防服务器的从业人员，发现其对于云防御的概念几乎没有了解。可见云防御虽然各方面有相当大的优势，但普及或还是一个重大问题。

　　高防云防御的优势：

　　省心省力

　　1、无需更换服务器

　　2、无需转移数据文件

　　3、无需担心数据泄露

　　4、无需担心未来部署

　　5、部署简单操作方便

　　无论是否使用过高防服务器，但作为网站管理人员，使用服务器这是必要的，我们都知道网站要想365*7*24小时为用户提供服务，必须得把我们的网站文件放置到服务器，之后才能够提供正常的服务。所以我们想要使用高防服务器，第一步也同样如此，必须把原服务器的所有文件及内容转移至高防服务器。整个时间成本、人力成本极度上升，而与此同时，由于我们的网站并不是为防御而生，而是为用户提供服务，所以服务器自身的访问速度，地域的部署也成了比较棘手的问题。同时还有一点不得不担心，就是整个数据迁移到高防服务器是否安全?

　　云防御则没有这些担心，云防御全程采用的是“只防御，不干预”的原则。你原来使用的是A服务器，现在依然是使用A服务器。仅仅只需要改一条域名解析，解析到云安全厂商所提供的CNAME地址，就可以实现云防御。而之后的防御攻击原理则是，所有攻击、请求都将通过云防御系统，云防御系统过滤以后再到达我们的真实服务器A。我们原来无论使用任何的架构、服务器都不需进行任何的变动，云防御仅仅只是在我们前方做了一个防御罩。

　　效果更好

　　1、防御攻击量更大

　　2、防御效果更强

　　有句话说的好，效果好才是真的好，不管更换服务器再麻烦，如果高防服务器的效果真正的好，我相信绝大部分用户依然会继续选择高防服务器，高防服务器的防御能力取决于什么?取决于你这台高防服务器所在机房的带宽，相信有过了解的朋友都知道，许多连名字都没有听过的公司或IDC，声称自己防个几百G轻轻松松，几百G是什么概念呢?几百G基本上是一个省的带宽总和。但一个连名字都没有听过的公司随随便便就能够防御这么多?这个地方其实猫腻就大了，这个带宽或许是真实的，但他是整个机房的实际总带宽(甚至往上乘个几倍也属正常)，而你所使用的高防服务器只不过是其中一个小点罢了，至少70%以上的带宽是用于正常提供服务的，而并不是用于防御。这就能够解释为什么数字很大，但很多时候防不了攻击的原因。

　　另外一点，在使用高防服务器之前我们必须得知道高防服务器能防御什么?简单来讲高防服务器可以防御DDOS攻击，但千万要区别开，这里的DDOS攻击并不包含CC攻击，高防服务器并没有防御CC攻击的能力，正是因为如此，许多用户在购买高防服务器后依然没有防御成功，可能绝大部分原因就是所受攻击是CC。CC攻击虽然也是DDOS的一种，但由于其技术特点不同，导致高防服务器并没有防御此攻击的能力。所以一部分高防服务器自行安装了防火墙用于防御此攻击，但效果可见一斑，我们在此不赘述。

　　而云防御不仅能够很好的防御CC攻击，并且由于“云”的存在，能够借助其他网站所产生的大数据，进行协同防御CC攻击，简单一个例子，当服务了80万个网站时，攻击这80万其中一个网站，云防御平台就可以在短时间内做出响应，提前在其他70多万个网站上面做出部署与方案。由于采用云架构，云防御能够防御更大的DDOS攻击，云防御系统为用户提供了若干服务器节点，当攻击发生之时，若干服务器节点将同时做出回应并防御，其中任何一个节点出现故障并不会影响网站的正常使用。

　　未来高防服务器将被淘汰?

　　高防服务器经历了许许多多的迭代与升级，最终形成了目前的防御能力，而云防御其实也正是在高防服务器的原始架构下升级而来，当有用户问到小编，是否云防御未来将淘汰高防服务器，是否淘汰高防服务器只是时间问题?小编无法回答，但小编更相信，高防服务器未来最终将全部升级为云防御，并不是他消失了，而是升华。

　　分布式拒绝服务攻击(DDoS)是一种特殊形式的拒绝服务攻击。它是利用多台已经被攻击者所控制的机器对某一台单机发起攻击，在带宽相对的情况下，被攻击的主机很容易失去反应能力。作为一种分布、协作的大规模攻击方式，分布式拒绝服务攻击(DDoS)主要瞄准比较大的站点，像商业公司，搜索引擎和政府部门的站点。由于它通过利用一批受控制的机器向一台机器发起攻击，来势迅猛，而且往往令人难以防备，具有极大的破坏性。

　　对于此类隐蔽性极好的DDoS攻击的防范，更重要的是用户要加强安全防范意识，提高网络系统的安全性。专家建议可以采取的安全防御措施有以下几种。

　　1.及早发现系统存在的攻击漏洞，及时安装系统补丁程序。对一些重要的信息(例如系统配置信息)建立和完善备份机制。对一些特权账号(例如管理员账号)的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。

　　2.在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。建立边界安全界限，确保输出的包受到正确限制。经常检测系统配置信息，并注意查看每天的安全日志。

　　3.利用网络安全设备(例如：防火墙)来加固网络的安全性，配置好这些设备的安全规则，过滤掉所有可能的伪造数据包。

　　4.与网络服务提供商协调工作，让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。

　　5.当用户发现自己正在遭受DDoS攻击时，应当启动自己的应付策略，尽可能快地追踪攻击包，并且及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡从已知攻击节点的流量。

　　6.如果用户是潜在的DDoS攻击受害者，并且用户发现自己的计算机被攻击者用作主控端和代理端时，用户不能因为自己的系统暂时没有受到损害而掉以轻心。攻击者一旦发现用户系统的漏洞，这对用户的系统是一个很大的威胁。所以用户只要发现系统中存在DDoS攻击的工具软件要及时把它清除，以免留下后患。

　　DNS主要使用的是UDP协议，但是在某些特殊情况下，DNS也会根据网络环境选择使用TCP协议。因为攻击者在对目标服务器进行分布式拒绝服务攻击的过程中，非常喜欢使用UDP/DNS协议。

　　由于DNS协议是一个十分重要的网络协议，对于网络从业人员而言，其高可用性是最重要的考虑因素。为了打破该协议的可用性，恶意攻击者可以向DNS解析器发送大量伪造的查询请求。值得注意的是，目前互联网中存在着上百万开放的DNS解析器，其中还有很多属于家庭网关。DNS解析器会认为这些伪造的查询请求是真实有效的，并且会对这些请求进行处理，在处理完成之后，便会向请求源返回DNS响应信息。如果查询请求的数量非常的多，DNS服务器很有可能会发送大量的DNS响应信息。这也就是我们常说的放大攻击，因为这种方法利用的是DNS解析器中的错误配置。如果DNS服务器的配置出现错误，那么DNS解析器很可能会在接收到一个非常小的DNS查询请求之后，向目标主机返回大量的payload。在另一种类型的攻击中，攻击者还可以通过向DNS服务器发送不符合规则的查询请求来进行攻击。

　　一个典型的DNS交换信息是由请求信息组成的。DNS解析器会将用户的请求信息发送至DNS服务器中，在DNS服务器对查询请求进行处理之后，服务器会将响应信息返回给DNS解析器。但值得注意的是，响应信息是不会主动发送的。

　　攻击者需要在请求信息抵达DNS解析器之前部署FortiDDoS，它可以作为一个开放的DNS解析器，或者作为DNS查询请求的查询服务器。

　　这是一种内嵌于网络中的设备，它每秒可以处理数百万次查询请求，而且还可以将查询信息和相对应的响应信息记录在内存表之中。

　　如果服务器在没有接收到查询请求之前，就已经生成了对应的响应信息，那么服务器就应该直接丢弃这一响应信息。这种机制能够有效地缓解反射攻击所带来的影响。

　　云主机服务器租用服务器托管虚拟主机域名注册网站建设随着云计算技术的发展，如今，数据中心的互连技术和服务正在采用云计算技术，逐渐走入人们的视线，走入人们的生产个工作。在这一过程中，企业需要了解云数据中心互连技术如何提高流量交付，以及如何选择正确的设备和服务。 什么是云计算数据中心互连?

　　随着云计算技术的发展，如今，数据中心的互连技术和服务正在采用云计算技术，逐渐走入人们的视线，走入人们的生产个工作。在这一过程中，企业需要了解云数据中心互连技术如何提高流量交付，以及如何选择正确的设备和服务。

　　什么是云计算数据中心互连?

　　云数据中心互连技术就是用于连接数据中心和移动大量数据和高速的数据流量。这将采用路由或第3层交换技术，通常使用城域以太网、光纤接口，以及专用光纤或波长服务。云计算数据中心互连技术将其概念扩展到云端：云计算数据中心互连包含用于将企业数据中心与其交互的云资源相连接的设备和服务。

　　如今，互联网是数据中心用来连接云服务的默认方法。但是，当一个企业的后端流量在数据中心和战略性即服务应用之间来回流动时，全球互联网的能力可能成为一个重大障碍。全球互联网与专用网络相比，网络延迟更大，变化更大，除此之外，还有更多的数据包丢失。这些问题被更新的微服务体系结构所放大。这些依赖于系统组件之间复杂的通信网络。这意味着单个交易有时需要在内部和外部组件之间进行数十次往返。其结果是整个系统的性能很差。

　　为了缓解这些问题，加强安全性，并降低风险，企业可以选择实施一种云计算数据中心互连形式，从而使全球互联网脱离这样的恶性循环。

　　企业使用云数据中心可以做些什么呢?

　　Nemertes Research公司将交换服务市场分为三组：基于运营商的，基于主机的，以及独立的。

　　运营商交换服务通过运营商的服务云将交换机与客户的广域网相连。换句话说，运营商交换机要求企业拥有运营商自己的WAN。例如，AT&T NetBond公司将把客户的多协议标签交换广域网连接到亚马逊或微软公司的网络，从而不仅允许直接流向数据中心，而且还允许直接流向任何与多协议标签交换相连的站点。其成本可能基于管道的数量和大小，或移动的数据量，并可能包括其他费用之上的与场地或距离有关的费用。

　　正如其名称所示，主机交换服务与特定云数据中心有关。企业必须成为供应商的客户，或客户的客户。Equinix Cloud Exchange是基于主机托管的交换服务的一个很好的例子。往往是通过物理端口和虚拟连接的数量和容量支付费用。有时供应商提供“买断”价格，企业每月支付固定费用就可以创建无限数量的虚拟连接。

　　尽管全球互联网一直是云计算服务交付的骨干，但并不总是企业最好的选择。当全球互联网不再是理想的选择时，云数据中心互连技术和服务将为企业提供更好的选择。

　　将数据中心连接到云数据中心的企业通常会看到性能和可靠性的显着提升。除了减少威胁攻击外，云计算数据中心互连技术(CDCI)还可以使云计算的成本更具可预测性和可管理性。

　　无论企业在整合云服务时采取何种策略，将云计算数据中心互连技术和服务选项进行混合匹配都是有意义的。如果企业与云计算服务提供商之间的关系强大，并且可能持续三年或更长时间的合作，则应承诺实现直接云连接。如果企业的云计算提供商合作时间较短，或者是一种实验性服务或生成的数据流量较小，则WAN-CX交换可能是一种更好的选择。

  Web防火墙，主要是对Web特有入侵方式的加强防护，如DDOS防护、SQL注入、XML注入、XSS等。由于是应用层而非网络层的入侵，从技术角度都应该称为Web IPS，而不是Web防火墙。这里之所以叫做Web防火墙，是因为大家比较好理解，业界流行的称呼而已。由于重点是防SQL注入，也有人称为SQL防火墙。

　　防止网页被篡改是被动的，能阻断入侵行为才是主动型的，前边提到的IPS/UTM等产品是安全通用的网关，也有专门针对Web的硬件安全网关，国内的如：绿盟的Web防火墙，启明的WIPS(web IPS)，国外的有imperva的WAF(Web Application Firewall)等。

　　Web防火墙，主要是对Web特有入侵方式的加强防护，如DDOS防护、SQL注入、XML注入、XSS等。由于是应用层而非网络层的入侵，从技术角度都应该称为Web IPS，而不是Web防火墙。这里之所以叫做Web防火墙，是因为大家比较好理解，业界流行的称呼而已。由于重点是防SQL注入，也有人称为SQL防火墙。

　　Web防火墙产品部署在Web服务器的前面，串行接入，不仅在硬件性能上要求高，而且不能影响Web服务，所以HA功能、Bypass功能都是必须的，而且还要与负载均衡、Web Cache等Web服务器前的常见的产品协调部署。

　　Web防火墙的主要技术的对入侵的检测能力，尤其是对Web服务入侵的检测，不同的厂家技术差别很大，不能以厂家特征库大小来衡量，主要的还是看测试效果，从厂家技术特点来说，有下面几种方式：Ø

　　代理服务：

　　代理方式本身就是一种安全网关，基于会话的双向代理，中断了用户与服务器的直接连接，适用于各种加密协议，这也是Web的Cache应用中最常用的技术。代理方式防止了入侵者的直接进入，对DDOS攻击可以抑制，对非预料的“特别”行为也有所抑制。Netcontinuum(梭子鱼)公司的WAF就是这种技术的代表。Ø

　　特征识别：

　　识别出入侵者是防护他的前提。特征就是攻击者的“指纹”，如缓冲区溢出时的Shellcode，SQL注入中常见的“真表达(1=1)”…应用信息没有“标准”，但每个软件、行为都有自己的特有属性，病毒与蠕虫的识别就采用此方式，麻烦的就是每种攻击都自己的特征，数量比较庞大，多了也容易相象，误报的可能性也大。虽然目前恶意代码的特征指数型地增长，安全界声言要淘汰此项技术，但目前应用层的识别还没有特别好的方式。Ø

　　算法识别：

　　特征识别有缺点，人们在寻求新的方式。对攻击类型进行归类，相同类的特征进行模式化，不再是单个特征的比较，算法识别有些类似模式识别，但对攻击方式依赖性很强，如SQL注入、DDOS、XSS等都开发了相应的识别算法。算法识别是进行语义理解，而不是靠“长相”识别。Ø

　　模式匹配：

　　是IDS中“古老”的技术，把攻击行为归纳成一定模式，匹配后能确定是入侵行为，当然模式的定义有很深的学问，各厂家都隐秘为“专利”。协议模式是其中简单的，是按标准协议的规程来定义模式;行为模式就复杂一些

　　Web防火墙最大的挑战是识别率，这并不是一个容易测量的指标，因为漏网进去的入侵者，并非都大肆张扬，比如给网页挂马，你很难察觉进来的是那一个，不知道当然也无法统计。对于已知的攻击方式，可以谈识别率;对未知的攻击方式，你也只好等他自己“跳”出来才知道。