全球主机交流论坛

标题: 用户私自绑定IP给IDC造成的影响 [打印本页]

作者: Zeddicus 时间: 2012-8-18 22:09
标题: 用户私自绑定IP给IDC造成的影响
在这个问题上我是必然站在IDC这边的，不是因为我和蛋关系好，而是我很清楚这里头的工作量。

话说我做客服的那阵子，已经遇到不少，大致上是这样的：

1.客户开通VPS后反应无法SSH，各种重启各种设置，无法登陆，关机后IP可以PING。

2.咨询机房，看看他们IP分配有没有出错。

3.不是机房的问题，基本上可以确定IP被别的用户私自绑定。

4.用一个IP PING着那个被占用的IP

5.在母鸡上用tcpdump找出私自绑定的VPS（用户多的话较为漫长）

6.SUSPEND私自绑定IP的VPS

头头尾尾加起来，1-2个小时总是要的。笨点的技术还得折腾半天。这还只是一个IP被偷的情况。

先不说用户体验，这样搞起来就有阴影了。

有些人觉得不就一个IP，偷了就偷了。偷1个，就会有2个，会有N个。小偷一次得手，就会有2次，N次。

作者: 360安全卫士 时间: 2012-8-18 22:10
我晕。。。。目测楼主蛋已残

作者: Zeddicus 时间: 2012-8-18 22:11

360安全卫士发表于 2012-8-18 22:10
我晕。。。。目测楼主蛋已残

阿门，看了一下蛋还完好。我只是出来说句公道话。

作者: 360安全卫士 时间: 2012-8-18 22:12

Zeddicus 发表于 2012-8-18 22:11
阿门，看了一下蛋还完好。我只是出来说句公道话。

你妹。。。用得着发这么多帖子么。。。

作者: Kvm 时间: 2012-8-18 22:12
纯xen的其实要揪出占用IP的还是很快的

xenserver的接触的都忘记了

作者: 落霞孤鹜 时间: 2012-8-18 22:13
拿钱提供服务，剩下的是你们销售和技术，售后问题

作者: Zeddicus 时间: 2012-8-18 22:14

360安全卫士发表于 2012-8-18 22:12
你妹。。。用得着发这么多帖子么。。。

我看着给小偷打不平的人痛心疾首啊

作者: 360安全卫士 时间: 2012-8-18 22:15

Kvm 发表于 2012-8-18 22:12
纯xen的其实要揪出占用IP的还是很快的
xenserver的接触的都忘记了

哇，K妹好了？来亲个

作者: Kvm 时间: 2012-8-18 22:15

360安全卫士发表于 2012-8-18 22:15
哇，K妹好了？来亲个

要舔，额

作者: woaijay987 时间: 2012-8-18 22:17
Xencenter 查一下下来，大约3分钟。

作者: Zeddicus 时间: 2012-8-18 22:18

woaijay987 发表于 2012-8-18 22:17
Xencenter 查一下下来，大约3分钟。

好吧没用过这玩意。

作者: liucou 时间: 2012-8-18 22:22
没技术就不要做idc,人家能解决的问题自己为什么解决不了？

作者: Zeddicus 时间: 2012-8-18 22:44

liucou 发表于 2012-8-18 22:22
没技术就不要做idc,人家能解决的问题自己为什么解决不了？

偷IP本就可耻，和IDC有无技术无关。技术再牛，遇上垃圾也蛋疼。

作者: domin 时间: 2012-8-18 23:53

Zeddicus 发表于 2012-8-18 22:44
偷IP本就可耻，和IDC有无技术无关。技术再牛，遇上垃圾也蛋疼。

有关. 限制随便绑定IP即可解决.

作者: Jetso 时间: 2012-8-18 23:57
错别字-> 反"应" = 反"映"

作者: Zeddicus 时间: 2012-8-18 23:59

guiplee 发表于 2012-8-18 23:56
咋偷？求科普

ifup

作者: zl5 时间: 2012-8-19 00:01

这个东西检查，检查就出来了

作者: domin 时间: 2012-8-19 00:05
很多人都不知道, 如果只是偷IP还好, arp攻击的话就麻烦了, 密码啥的一下子就泄露了. 这个才是最严重的问题.

作者: qiqi13245 时间: 2012-8-19 00:05

domin 发表于 2012-8-18 23:53
有关. 限制随便绑定IP即可解决.

0v0 ARP劫持继续

作者: 我心碎不了 时间: 2012-8-19 00:05
扯，对某家从来没好感。

作者: domin 时间: 2012-8-19 00:06

qiqi13245 发表于 2012-8-19 00:05
0v0 ARP劫持继续

既然是解决, 就是从限制arp和绑定mac等手段上进行, 限制后arp劫持不了, 自然也绑不了IP.
这种问题在我做VPS前就已经全部想过, 而且全部解决掉才正式出售VPS.

作者: 誓誓 时间: 2012-8-19 00:54
标题: RE: 用户私自绑定IP给IDC造成的影响

domin 发表于 2012-8-19 00:06
既然是解决, 就是从限制arp和绑定mac等手段上进行, 限制后arp劫持不了, 自然也绑不了IP.
这种问题在我做 ...

这才是真正做IDC的！！而不是一味的为自己错误找借口，值得学习，值得信赖！

作者: loveminds 时间: 2012-8-19 01:07

domin 发表于 2012-8-18 23:53
有关. 限制随便绑定IP即可解决.

机房白名单在，乱绑了ip也没用

作者: loveminds 时间: 2012-8-19 01:07
我试过某国内IDC的，跨9个C段居然能绑上

作者: domin 时间: 2012-8-19 01:22

loveminds 发表于 2012-8-19 01:07
机房白名单在，乱绑了ip也没用

偷了别人的IP总会对别人造成影响, 而且都说了关键不是绑IP, 而是ARP卸持的问题.

作者: LMVPS 时间: 2012-8-19 01:24
(, 下载次数: 1)

Solusvm 防止偷IP

作者: 我累了 时间: 2012-8-19 01:28
本帖最后由我累了于 2012-8-19 01:33 编辑

兄弟你看下我下午发过后就不说了，因为在国人眼里偷东西是合理的，也就是说当他们自己某天被偷了自然就了解这个道理了，这就好比xenserver不能限 in带宽，只能限制out，也说是IDC技术问题，机房分下来的IP如果做VL是不可以在其他母机上，不过在这个母机上范围IP堪舆随便绑定，我们说的是xenserver，人家又说是技术问题，
**要是什么技术都会并且牛到都能把人家软件全部给改了，我他妈卖什么vps啊
这就是说卖B的知道自己B疼，不卖B的永远不知道B有多疼

问题1，绑架其他人IP造成其他人vps无法通不能使用。
问题2，加大IDC处理工作时间，虽然说时间不常可依然要人去处理吧。
问题3，如果都这样你偷来他偷的去还能继续下去吗，干脆把母机的也偷了这样大家玩玩
问题4，如果你花钱买的东西被人家用了你会怎么想，例如你安装一个带宽10M 别人跑你家口上接个线去用你同意吗？

哎不想说粗话这是没这个让我觉得做人难。

作者: domin 时间: 2012-8-19 01:30

LMVPS 发表于 2012-8-19 01:24
Solusvm 防止偷IP

我开始用solusvm的时候就研究它的安全问题, 发现根本不防偷IP或者ARP攻击之类的, 联系他们技术他们说没办法, 然后我跟某家老总谈过可能的解决方案, 然后自己研究最后解决掉了, 把完整的解决方案提交给solusvm, 他们才把这个功能做上去, 不然到现在可能还都没有这功能.所以我说, 任何系统都能做到防偷IP, 只是技术的问题而已, 我认为要做到基本完善的安全才可以出售, 不然根本不能提供安全的环境给客户.说什么VPS用户隔离是安全的啥都是浮云.

作者: 我累了 时间: 2012-8-19 01:36

domin 发表于 2012-8-19 01:30
我开始用solusvm的时候就研究它的安全问题, 发现根本不防偷IP或者ARP攻击之类的, 联系他们技术他们说没办 ...

问题你也是发给solusvm，而不是商家自己就更新了。
我们用的是国人的xs，人家不更新这个我们怎么更新自己就更新了？
要知道xs很多主要功能是+密的代码托管在他那的。

作者: domin 时间: 2012-8-19 01:38

我累了发表于 2012-8-19 01:36
问题你也是发给solusvm，而不是商家自己就更新了。
我们用的是国人的xs，人家不更新这个我们怎么更新自己 ...

怎样解决这是你的问题.
我就是认为, IDC出售的产品至少要完善安全. 就像虚拟主机那样, 你不解决好跨站怎么敢出售给客户? 同样道理, 不解决好偷IP, ARP攻击, 怎么敢出售给客户.

作者: 我累了 时间: 2012-8-19 01:40

domin 发表于 2012-8-19 01:38
怎样解决这是你的问题.
我就是认为, IDC出售的产品至少要完善安全. 就像虚拟主机那样, 你不解决好跨站怎 ...

对你这个问题笑而不语了，这个问题是IDC问题？？？

作者: domin 时间: 2012-8-19 01:45

我累了发表于 2012-8-19 01:40
对你这个问题笑而不语了，这个问题是IDC问题？？？

当然. 这是基本的安全问题. 你出售虚拟主机,允许跨站攻击, 不是IDC的问题? 你出售VPS, 允许跨VPS ARP攻击, 不是IDC的问题? 别推卸责任了.

作者: 我累了 时间: 2012-8-19 01:50

domin 发表于 2012-8-19 01:45
当然. 这是基本的安全问题. 你出售虚拟主机,允许跨站攻击, 不是IDC的问题? 你出售VPS, 允许跨VPS ARP攻击 ...

这和问题和盗IP是一个道理吗可笑无知

作者: domin 时间: 2012-8-19 01:52

我累了发表于 2012-8-19 01:50
这和问题和盗IP是一个道理吗可笑无知

偷IP就是因为没对ARP进行限制. 可以偷IP就可以进行ARP攻击. 技术不足就别搞IDC.

作者: qiqi13245 时间: 2012-8-19 02:51

domin 发表于 2012-8-19 00:06
既然是解决, 就是从限制arp和绑定mac等手段上进行, 限制后arp劫持不了, 自然也绑不了IP.
这种问题在我做 ...

0v0 ARP只要是同一子网除非强制绑定都可以ARP到的

方法也很简单子网改到255。255.255.0

作者: domin 时间: 2012-8-19 02:52

qiqi13245 发表于 2012-8-19 02:51
0v0 ARP只要是同一子网除非强制绑定都可以ARP到的

可以实现ARP不到. 具体我懒得说.

作者: 我累了 时间: 2012-8-19 02:55
本帖最后由我累了于 2012-8-19 02:58 编辑

domin 发表于 2012-8-19 01:52
偷IP就是因为没对ARP进行限制. 可以偷IP就可以进行ARP攻击. 技术不足就别搞IDC. ...

问题我做的还北京不错，请问怎么办，虽然不多服务着不到2000个vps，就目前1000个早已经过了，怎么难道关门吗？
跑来我是不做的因为我还知道什么叫道德。
卖掉更不可能因为用户不是商品我不可能把他们卖来卖去

作者: qiqi13245 时间: 2012-8-19 02:58

domin 发表于 2012-8-19 02:52
可以实现ARP不到. 具体我懒得说.

0v0 还是简单 mac绑定直接netsniffer
子网划分直接0 你总不可能去改变机房的VLAN吧

作者: domin 时间: 2012-8-19 03:13

qiqi13245 发表于 2012-8-19 02:58
0v0 还是简单 mac绑定直接netsniffer
子网划分直接0 你总不可能去改变机房的VLAN吧
...

母鸡上过滤arp包即可.

欢迎光临全球主机交流论坛 (https://lilynana.eu.org/)