站务联系
那么,阿里云的内网通还是不通呢?如果你有阿里云的机器,而且你在经典网络下,你自己可以检测。用 `nmap` 命令扫呗!
你看,我个人在阿里云上的 VM 在 10.25.0.0/16 这个网关。我随意扫一下,一堆机器都扫下来了:
$ nmap -v -sT 10.25.6.0/24 --open
你还可以扫个更大的网关(专扫redis):
$ nmap -v -sT 10.25.0.0/16 -p 6379 --open
关于我扫至的redis一堆,然后用 redis-cli 可以登上,不过大多数都须要password,那些不需要的我就不帖下来了。要穷举一下密码的事我也就不干了。(另外,还发觉有租在阿里云上建SVN,嗯,没有验证,代码没拉了,因为代码库很大了)
好!那么问题来了,我们暂且觉得阿里云在经典网络下的各个住户都是隔离开的,那么为何会有那么多的用户能被扫下来?可以 ping 通,可以 telnet,甚至可以 login !
最关键的问题是——这为黑客搭了一个高速公路啊(说铁路都不为过)。
我打五笔,行文也快,所以,文中一定会有使你惊讶的错别字,见谅!
(全文完)
以下为耗子姐的《科普一下公有云的网路》文章~
@一乐老师发了一篇微博()说了一下由于一个安全问题的疏失中招的事。
但是,一台个人机器幸好设置,如果你是企业用户,你的机器多了,那么,安全组这些设置或许还会是一个噩梦。原因如下:
所以,在这么的经典网络下,对于你的机器的安全组的管理,完全是无法管的,因为是静态的,而且随着机器数据越来越多,管理上去还是十分复杂的,所以配置错误这种事么,基本上是高机率的。
VPC
真正解决网段多住户相互隔离的方案应当是VPC,VPC这个词应当只是AWS发明进去的,全称叫Virtual Private Cloud。这个方案使用户自己定义自己的网段网路,你可以定成:172.13.x.x,你也可以定义成192.168.x.x,随便你定。就算是不同的房客定义成了相似的私有网路也没有问题。定义完后,就可以使你的虚拟机加入你定义的VPC网路。
