Sep 26, 2010

在没有代理服务器和VPN的情况下,如何同时解决DNS劫持和DNS污染的问题

我们知道,某些国家为了某些目的,对DNS进行了某些操作,导致使用ISP的正常上网设置无法通过域名取得正确的IP地址。常用的手段有:DNS劫持和DNS污染。关于DNS劫持和DNS污染的区别,请查找相关文章。对付DNS劫持的方法很简单,只需要把系统的DNS设置改为为国外的DNS服务器的IP地址即可解决。但是对于DNS污染,一般除了使用代理服务器和VPN之类的软件之外,并没有什么其它办法。但是利用我们对某些国家DNS污染的了解,还是可以做到不用代理服务器和VPN之类的软件就能解决DNS污染的问题,从而在不使用代理服务器或VPN的情况下访问原本访问不了的一些网站。当然这无法解决所有问题,当一些无法访问的网站本身并不是由DNS污染问题导致的时候,还是需要使用代理服务器或VPN才能访问的。

我们知道,DNS污染的数据包并不是在网络数据包经过的路由器上,而是在其旁路产生的。所以DNS污染并无法阻止正确的DNS解析结果返回,但由于旁路产生的数据包发回的速度较国外DNS服务器发回的快,操作系统认为第一个收到的数据包就是返回结果,从而忽略其后收到的数据包,从而使得DNS污染得逞。而某些国家的DNS污染在一段时期内的污染IP却是固定不变的,从而可以忽略返回结果是这些IP地址的数据包,直接解决DNS污染的问题。

程序从这里下载,运行后设置自己的dns为本地就行了

下面说一下这个小程序的具体工作流程:首先程序启动后,会从文本文件dnsfilter.properties中读取配制,然后去一个不存在的DNS服务器——但这个IP地址却是国外的——中进行DNS查询被劫持的域名,然后返回的IP地址就是被劫持的IP,被记录下来,之后正常的 DNS查询中,就自动把这些IP地址过滤了。这个程序以后会不定期更新,或许也会出.NET版本,请在Google Reader上关注更新: https://www.google.com/reader/shared/lehui99 。

对于高级用户,可以手动用文本编辑器修改配置文件dnsfilter.properties:
BindToIP:小程序启动后作为DNS服务期绑定53端口,这里指定绑定的IP地址
DnsServer:国外的DNS服务器,可以设置为OpenDNS或Google DNS服务器的IP地址
ResponseTimeout:DNS查询返回超时的时间(毫秒)
TestDnsServer:测试DNS服务器,请指定一个不存在的DNS服务期,但要求IP是国外的
TestRespTimeout:测试DNS服务器的查询返回超时时间(毫秒),也就是DNS劫持的旁路回复超时时间
TestCount:测试DNS服务器的次数,为了得到所有被劫持的IP地址,需要一定的测试次数

Sep 25, 2010

Cisco type-7 password decryption

思科设备中type-7的密码是一种非常弱的加密方式,生产环境下不建议大家使用,原因嘛,看下面的解密方法就知道了:

1. Cisco IOS
没想到吧,IOS自己都可以完成解密。找一台空设备或者在模拟器上
R1#config t
R1(config)#key chain show-me-the-password
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string 7 1100540318000C031067263D65232226
然后在命令行下"show key chain"。然后自己找吧。

2. 在线方式
推荐这个网页,十分方便啊……

3. 破解软件
这个已经不能叫做破解了。下载这个软件就可以了。

4. 脚本
如果没有GUI,在命令行下使用脚本也可以完成。

#!/usr/bin/perl -w
# $Id: ios7decrypt.pl,v 1.1 1998/01/11 21:31:12 mesrik Exp $
#
# Credits for original code and description hobbit@avian.org,
# SPHiXe, .mudge et al. and for John Bashinski
# for Cisco IOS password encryption facts.
#
# Use of this code for any malicious or illegal purposes is strictly prohibited!
#
@xlat = ( 0x64, 0x73, 0x66, 0x64, 0x3b, 0x6b, 0x66, 0x6f, 0x41,
0x2c, 0x2e, 0x69, 0x79, 0x65, 0x77, 0x72, 0x6b, 0x6c,
0x64, 0x4a, 0x4b, 0x44, 0x48, 0x53 , 0x55, 0x42 );
while (<>) {
if (/(password|md5)\s+7\s+([\da-f]+)/io) {
if (!(length($2) & 1)) {
$ep = $2; $dp = "";
($s, $e) = ($2 =~ /^(..)(.+)/o);
for ($i = 0; $i < length($e); $i+=2) {
                    $dp .= sprintf "%c",hex(substr($e,$i,2))^$xlat[$s++];
                }
                s/7\s+$ep/$dp/;
            }
        }
        print;

Sep 21, 2010

KOF 98 Editor 0.1

闲手动改麻烦,自己写的工具,不过还差的很远,BUG很多,而且还不能修改……囧

不过马上要去香港考CCIE Security,短时间内可能没时间更新了……囧囧

下载地址

对于出差的人,你们有福了

向打包帝膜拜

Sep 15, 2010

出口路由器升级工程 Part.1

9月7号凌晨完成了两台出口路由器的升级工作——由Cisco GSR12008升级到Juniper T1600。前后分两次完成,中间由于机房供电的问题,拖了大概有半年左右。

下面是一个简化的拓扑,首先升级的是R1,然后是R2。第一次升级从2点开始,一直搞到7点才完工。第二次同样的时间开始,结果3:20就完成了。
比较两次实施方案,不能不说第一次方案过于小心了,为了保护一点点的流量费了很大的力气,浪费了很多时间。现在回想起来,觉得十分的不值得。

我觉得还是有必要再重新审视一下这次的方案。

一. 基本情况介绍

整个网络总结下来有以下特点:

1. 与出口路由器(图中的R1与R2相连的城域网设备,以下称为R3,R4)向城域网下各个分机房发送默认路由;

2. R3,R4使用默认路由指向与自己相连的出口路由器;

3. 出口路由器使用BGP接入互联网;

4. 出口路由器通过一系列的静态路由指向城域网;

5. 整个网络使用了MPLS/VPN,所有用户的流量都在一个VPN内部;

6. 城域网的四台路由器知道MPLS/VPN内部所有的路由;

7. R3,R4为各个MP-BGP的邻居的RR;

其他详细的信息,可以参看后面给出的配置以及gns3上的模拟文件来使用。

Sep 10, 2010

GNS3实验拓扑

为了方便在电脑上做实验,结合自己CCIE的实验拓扑,修改成了以下这个拓扑。

 图片点击可放大

 图片点击可放大
 
 图片点击可放大

图片点击可放大

除此之外,Sw3的Fa0/9连接到ACS服务器,Sw4的Fa0/9连接到TestPC。

有了这个拓扑,基本上CCIE R/S,SP,Security的实验都可以完成。同时在一些情况下可以用来测试方案。

GNS3的文件下:点此下载

Sep 9, 2010

Virtual WAN Optimization – Blue Coat presentation

简单明了的介绍了virtualized WAN Optimization。

Sep 6, 2010

Rockbox使用感受

实在是对ipod的格式支持感到无语了,我大量的音乐都是ape格式的,要放进去还要转码。同时itunes在windows上简直就是傻瓜,每次用都弄得我欲仙欲死……

想到以前装过rockbox,不过由于电池使用时间的问题卸载了。去google了一圈回来,发现电池时间大有改善。于是重新ipod上装了rockbox,感觉非常的好。我个人想要的功能全有了。

总结下来,有如下一些优点:
  1. 播放列表非常好用。原版系统还需要itunes(或者其他软件)才能创建,实在太麻烦了。而且那傻瓜的同步功能,不说也罢。
  2. 支持格式多。这个也就属于废话了,原版能支持几个格式……
  3. 文件管理功能。如果你发现放进去的不喜欢,直接在rockbox里面删除了就行了,itunes再次无视。
  4. 传输方便。插上数据线,直接像U盘一样把需要的东西复制进去就行了,itunes……苹果你能不要这么烦吗?
  5. 其他。杂七杂八的一些功能吧,总的来说只要不是忠实苹果粉,都能体会到rockbox的好处。
缺点嘛,就是默认的字体不支持中文。不过我基本很少听中文歌,对我也不太所谓。即使需要安装字体,官方也提供了很好用的工具。

如果你有ipod,而且对那个无聊透顶的系统和工作方式感到厌倦,那么推荐你使用rockbox。

Twitter Delicious Facebook Digg Stumbleupon Favorites More

 
Powered by Blogger