Dec 14, 2010

Important Points to Know About IPV6

We are slowly approaching the implementation of IPv6 in a mass scale and thus we must be ready to learn some significant differences over IPv4. Also, some IP addressing terms will start to appear with increasing frequency in our day to day work. So let’s see some notable concepts that you need to know about IPv6.
– IPv6 addresses are 128 bits long and are expressed in hexadecimal numbers.
– IPv4 addresses are 32 bits long and are represented as four octets separated by periods. Each octet of the address is represented in decimal, taking a possible value between 0 and 255.
Example: 192.168.1.1
–  IPv6 addresses are 128 bits long and are expressed in hexadecimal numbers. Every four hexadecimal characters are separated by a colon.
Example: 2001:75b: a12c: 6: c0: a8: 1:1
– IPv6 uses different IP address types. One of those types is the link local address that configures itself at every interface that has enabled the IPv6 protocol. The local link interface addresses always begin with FE80.
– Similarly, multicast addresses always start with FF0x (the x represents a hexadecimal digit letter between 1 and 8).
Zeros at the beginning of each portion of the address may be deleted. IPv6 addresses are expressed as 32 hexadecimal digits separated into 8 groups of 4 digits separated by a colon. When one of these 8 groups of digits begins with zero, it can be eliminated.
For example:
FE80: CD00: 0000: 0CDE: 1234: 0000: 5678: 0009
If we delete the zeros at the beginning of each section the address becomes:
FE80: CD00: 0: CDE: 1234: 0: 5678: 9
–  When there are zeros in several positions, they may also be deleted.
We often find addresses that have multiple sections of zero. These sections can also be suppressed to a single zero.
For example:
FE80: CD00: 0000:0000:0000:0000:0010:0127
In this scenario we can eliminate consecutive groups of zeros and also suppress leading zeros in some groups. Thus, the address becomes:
FE80: CD00 :: 10:127
The double colon expression :: tells the operating system that everything between them are all zeros.
You must be careful because you can delete an entire section only when fully made up with zeros. Also remember that the double colon expression :: can be used only once in each IP address representation.
– There is only one loopback address. IPv4 has reserved the entire network 127.0.0.0 / 8 (it is customary to use address 127.0.0.1) as the loopback address to point to the local machine.
In IPv6 there is also a loopback address, but in this case is only one and represented with :: 1
Or to put it in the conventional way (full format):
0000:0000:0000:0000:0000:0000:0000:0001
– No subnet mask is needed.
In IPv4, each port is identified by an IP address and subnet mask.
In IPv6 you can also implement subnets but this is not necessary. Of the total of 128 bits that make up an address, the first 48 identify the network prefix, the next 16 are the subnet ID, and the last 64 are the interface identifier. Since 16 bits are reserved for the local portion of subnets, in an IPv6 network it is possible to generate 65536 subnets.
– DNS service is also available in IPv6.
In IPv4 DNS service uses the A records to map IP addresses to names. In IPv6 AAAA records are used (also called Quad A). The domain ip6.arpa is used for reverse name resolution.
– IPv6 addresses can connect over IPv4 networks.
The design of IPv6 allows multiple forms of transition, enabling the development of IPv6 networks even when the route must pass through IPv4 networks. These transitional forms use tunneling over IPv4 networks. The two most popular technologies for this are Teredo and 6to4.The basic idea is that IPv6 packets are encapsulated within IPv4 packets to traverse these networks.
– Many vendors are already able to use IPv6.
Microsoft operating systems from Windows Vista and Windows 7 have IPv6 installed by default together with IPv4 (also can be installed on Windows XP, but is not there by default).
Also, Unix and Linux operating systems support IPv6 for years.
Regarding network vendors, Cisco IOS supports IPv6 many years ago, but it is not enabled by default and needs to be explicitly enabled with the command “ipv6 unicast routing”.
– Windows support for IPv6 has some peculiarities.
When a client wants to address a specific port, for example, an IP Address and Port number in Internet Explorer is separated by a colon:
http://172.16.100.1:8543
In IPv6, as the colon is part of the description of the IP address, the IP and Port separation is done using square brackets:
http:// [FE80: CD00: 0: CDE: 1234:0:2567:9AB]: 8543
This format is not supported on Windows machines because when you use colons this is interpreted as referencing an internal drive in the computer.
To solve this problem, Microsoft has established a special domain for the IPv6 address representation in Windows machines. In this way, if you reference an IPv6 address using Universal Naming Convention, the digits must be separated by dashes instead of colons and at the end of the address you must add the domain name “ipv6-literal.net”.
An example, instead of:
http:// [FE80: CD00: 0: CDE: 1234:0:2567:9AB]
You should use:
http://FE80-CD00-0-CDE-1234-0-2567-9AB.ipv6-literal.net

Qos Interview Questions?

1. What is QOS and why it is required?
2. What is layer2 qos and layer3 qos?
3. What is tail drop?
4. Describe methods of QOS?
5. What is hardware QOS and Software QOS?
6. Difference between a policer and a shaper?
7. What is token bucket algorithm?
8. Where to define the markings?
9. Does QOS increase the load of the equipment?
10. What is TOS and IP DSCP?
11. what are the different classes available?
12. How to calculate the decimal value of classess?
13. What is the difference between priority and bandwidth command?
14. What is low latecy queueing?
15. what is class based weighted fair queuing?
16. What is first in first out queue (FIFO)?
17. What is fair queue?
18. If I give teh ip precendence five to data traffic, what will happen?

Dec 13, 2010

Ubuntu下ssh服务的安全增强

原文地址:http://www.td2.us/blog/2010-11/103.html 

虽然ssh将联机的封包通过加密的技术来进行资料的传递,能够有效地抵御黑客使用网络侦听来获取口令和秘密信息,但是仍然不乏大量入侵者进行密码尝试或其他手段来攻击ssh服务器以图获得服务器控制权。Ubuntu下面一些配置将进一步加强其安全性:
    1.修改sshd服务器的配置文件/etc/ssh/sshd_config,将部分参数参照如下修改,增强安全性。
Port 4321
系统缺省使用22号端口,将监听端口更改为其他数值(最好是1024以上的高端口,以免和其他常规服务端口冲突),这样可以增加入侵者探测系统是否运行了sshd守护进程的难度。
ListenAddress 192.168.0.1
对于在服务器上安装了多个网卡或配置多个IP地址的情况,设定sshd只在其中一个指定的接口地址监听,这样可以减少sshd的入口,降低入侵的可能性。
PermitRootLogin no
如果允许用户使用root用户登录,那么黑客们可以针对root用户尝试暴力破解密码,给系统安全带来风险。
PermitEmptyPasswords no
允许使用空密码系统就像不设防的堡垒,任何安全措施都是一句空话。
AllowUsers sshuser1 sshuser2
只允许指定的某些用户通过ssh访问服务器,将ssh使用权限限定在最小的范围内。
AllowGroups sshgroup
同上面的AllowUsers类似,限定指定的用户组通过ssh访问服务器,二者对于限定访问服务器有相同的效果。
Protocol 2
禁止使用版本1协议,因为其存在设计缺陷,很容易使密码被黑掉。
禁止所有不需要的(或不安全的)授权认证方式。
X11Forwarding no
关闭X11Forwarding,防止会话被劫持。
MaxStartups 5
sshd服务运行时每一个连接都要使用一大块可观的内存,这也是ssh存在拒绝服务攻击的原因。一台服务器除非存在许多管理员同时管理服务器,否则上面这个连接数设置是够用了。
注意:以上参数设置仅仅是一个示例,用户具体使用时应根据各自的环境做相应的更改。
    2.修改sshd服务器的配置文件/etc/ssh/sshd_config的读写权限,对所有非root用户设置只读权限,防止非授权用户修改sshd服务的安全设置。
chmod 644 /etc/ssh/sshd_config
    3.设置TCP Wrappers。服务器默认接受所有的请求连接,这是非常危险的。使用TCP Wrappers可以阻止或允许应用服务仅对某些主机开放,给系统在增加一道安全屏障。这部分设置共涉计到两个文件:hosts.allow和hosts.deny。
将那些明确允许的请求添加到/etc/hosts.allow中。如系统仅允许IP地址为192.168.0.15和10.0.0.11的主机使用sshd服务,则添加如下内容:
sshd:192.168.0.15 10.0.0.11
将需要禁止使用的信息添加到/etc/hosts.deny中。如对除了在hosts.allow列表中明确允许使用sshd的用户外,所有其他用户都禁止使用sshd服务,则添加如下内容到hosts.deny文件中:
sshd:All
注意:系统对上述两个文件的判断顺序是先检查hosts.allow文件再查看hosts.deny文件,因此一个用户在hosts.allow允 许使用网络资源,而同时在hosts.deny中禁止使用该网络资源,在这种情况下系统优先选择使用hosts.allow配置,允许用户使用该网络资 源。
    4.尽量关闭一些系统不需要的启动服务。系统默认情况下启动了许多与网络相关的服务,因此相对应的开放了许多端口进行LISTENING(监听)。我们知 道,开放的端口越多,系统从外部被入侵的可能也就越大,所以我们要尽量关闭一些不需要的启动服务,从而尽可能的关闭端口,提供系统的安全性。

Dec 10, 2010

凯撒的加密术

原文地址: http://songshuhui.net/archives/46557

送上开场诗一首:我用相思作玉杯,真情当酒意相随,爱心已醉何时醒,你似蝴蝶梦里飞。

你可以把这首诗发给你女友,聪明的她一定能看出这是首藏头诗,从而明白你的心意。其实,藏头诗就是一种加密术,它通过坐标变换的方式隐藏了秘密,这个例子虽然很简单,但它反映出了加密术的本质–变换坐标系。

加密术最早应用于古代战争,当时是靠士兵随身携带的信件来传递情报,但总是免不了被敌方俘虏,从而使情报落入敌手,这对作战部队而言可是生死悠关的 大事。传说当时的凯撒大帝有一个能加密的办法,就在写命令前做一个对应表,明码:A B C D E F….W X Y Z,密码:D E F G H I….Z A B C,如果他想写BABY,就用EDEB来表示。

当大将收到了EDEB这个密码后,向前推3个字母,就得到了明文。这个对应表的移位数是3,当然别的数也可以,作战前由凯撒定好移位数后通知大将 们,战时就可以进行保密通信了。这种加密方式其实就是把坐标系横移了3格。但是,这种简单的加密方法也很容易被敌方猜到,敌人从1到25推25次,得到 25组新编码,必有一种编码是真实的情报内容,把这组编码区别出来非常容易,因为其它24组都是毫无意义的字母组合,只有这一组是有意义的句子,找个识字 的人就可以看得出来。
既然这种加密手段并不安全,那凯撒该怎么办呢?有个聪明人给他出了个主意,对应表不按字母顺序写,搞个乱序的。例如A对Q,B对F,随意配对,只要 保证26个明密码一一对应没有重复就行了。每次出征前,凯撒就会搞个非常杂乱的明密码对应表,然后发给大将。这招很不错,敌人即使截获了密文,由于不知道 明密码对应表,也很难搞明白,这其实也是坐标系统的一种变换,这种方法被后人称为“单表系统”。

这种乱序的加密术比顺序的安全多了,但它还是有一个明显的漏洞。以英文为例,一篇文档里每个字母的出现次数是不同的,例如E出现的次数最多,甚至可 以搞出个频次表来,如果一份密文中R出现的次数最多,那这个R会不会就是E呢?这个猜想很合理,即使代表的不是E,那它代表的也应是明文中出现次数较多的 字母。按照这种思路试试吧,卖糕的,密码解开了。

现在又轮到加密方纠结了,他们想,破解方是在拿明密文中字母出现的频次做文章,如果我们能把频次的区别消除掉,他们不就没办法了吗?道理虽然很好,但怎样才能消除这种频次的差别呢,毕竟明文中字母的频次就是不一样,这本身没法改变啊。

功夫不负有心人,有一天加密方终于找到了解决问题的关键,这个关键就是“多表”,每个明文都对应多个密文,例如图上的A分别对应着XGV,这三个密 文的选择取决于明文的位置,A在第一位时选X,第二位时选G,第三位时选V。将整个一段明话按三位一段进行分组后就可以加密了。这个例子是三维的,维数还 可以更多,那就更难破译了。这种多表系统非常有效,但其实还是有统计规律可循的,只是短短一段密文是不足以找到规律的。

这种对应规律相对固定的多表系统,还是给破解带来了突破口。随着技术的发展,人们开始尝试用机械改良这种多表系统,通过引入更多的变化来增大破解的难度。二战期间德军有一种 加密转轮机,四个轮子负责把输入的明码置乱成密码,其对应规律是动态变化的,使破译难度大大增加。有一个负责管理加密转轮机的德军军官汉斯.施密特,为了 钱与盟军情报人员勾搭上了,他提供了该机的技术资料,得到了相当于现在1千万法郎的报酬,后来他害怕了想退出,但已经由不得他了,他先后与盟军情报人员接 头34次,波兰顶级数学家里杰斯基等人在这些绝密情报的帮助下终于将该转轮机完全破解。

还是回到凯撒吧,他当然知道自己的加密术并不很安全,送情报的士兵被抓后受刑不过就会把密信交出来,如果防止传令兵被俘后泄露情报呢?有人又给他出 了一招:把一批士兵的头发剃光,并用火烙铁在脑顶上烙上不同的印迹,并对哪个兵烙上什么样的疤做好记录,被烙的士兵一头雾水,不明白这是为什么。大战之 前,凯撒召集大将,并要求他们牢记一组对应关系,梅花疤代表“马上率部向我驰援”,三角疤代表“固守阵地”等等。

战斗中凯撒被围困了,情况很危机,他拿来了记录本,把烙梅花疤的几个人都点了出来,命令他们沿不同的路线到大将处报到,“不用我们传个口信或带个情 报吗?”这些人很不解,“不用,你们到大将处报个到就算完成了任务”凯撒说到。这些人出发了,有的人成功地找到了大将报到,大将二话不说,立即给他剃头查 疤。也有的人被俘,严刑拷打也问不出情报,因为他的确不知道情报。距离剃头烙疤的时间已经很久了,士兵新长出的头发已经遮盖了烙疤,敌人也轻易察觉不到这 个蹊跷。
加密后的密文即使摆在敌人面前,他们也搞不清楚其真实内容,但让他们知道了这是件隐藏着重要情报的密文,就会拼命破解,这总归不是好事。如果密文摆 在他们面前,他们竟然毫无察觉,那当然更好了,这就是隐写术。凯撒给传令兵头上烙疤就是隐写术的鼻祖。谍报小说里经常会介绍到这样的场景,潜伏者用淀粉水 写情报,晾干后再在上面写一封信作为掩护,收信者并不关注信的内容,而是在信纸上涂上一层碘,淀粉水情报就会变成蓝色显示出来了。这样的一封信,即使让特 务机关拆开审查,只要不知道这个门道,那什么也查不出来。

很多加密术看起来非常巧妙,但随着计算机的诞生,这些被称为古典密码术的方法全部失效,因为它们根本抵挡不住计算机的穷举分析。现代密码学的思路跟 古典密码术非常不同,它是先找出一个数学难题,然后把加密方法归结到这个难题,若解不出这个数学难题就破解不了他的密码。隐写术也逐渐脱离了物理和化学反 应,而是与加密术结合了起来,把秘密隐藏在数据中,现代密码学更加引人入胜,且等以后慢慢道来。

Dec 9, 2010

IIDX高手《灼熱Beach Side Bunny》AAA过关录像

说实话,虽然自己以前玩儿VOS在本地还是小有名气,但是看到这个还是傻了⋯⋯

Ten more science stunts for Christmas

能解释几个,有些还是不明白。求真相~

Dec 8, 2010

使用网页代理翻墙的优点和风险

网页代理简 单易用,你无需安装任何软件,如果 在未过滤地区没有可靠的联系人,你甚至 可以使用公开的网页代理。私人网页代理可以定制,从而满足使用者的不同需要,并且更不易被审查机构发现和屏蔽。但是网页代理也有潜在的风险 。它们一般只允许网页浏览(HTTP),所以无法用于电子邮件和即时通讯服务。很多网页代理都不支持多媒体(如YouTube),或者无法加密(SSL, 安全套接协议层)。有些需要认证 的网络服务(如网络电子邮件)通过网页代理无法使用全部功能,你的密码和其它信息可能被监视或被盗。

网页代理还可能 被屏蔽或拦截。公开网页代理的网址通常广为人知,可能被屏蔽。私人网页代理需要使用者在未屏蔽地区有联系人。网络运行商可以拦截未经加密的网页代理通讯内容,所以关键词过滤对未加密网页代理可能依然有效。

网页代理使用者需要记住,网页代理提供者可以读取自己的通讯内容,记录使用网页代理的IP地址。如果这些信息会给你带来危险,你应该谨慎选择网页代理。

什么是网页代理(WEB PROXY)?

有的被屏蔽网站在本地 无法直接访问,你可以通过网页代理访问。通常,网页代理都有一个表单,你可以在表单里提交想要访问的网址。然后网页代理就会显示你要的页面,但是不会让你和被请求网站之间建立直接联系。

在使用网页代理时,你不需要安全 软件或改变计算机设置。相反,你首先找到网页代理的网址 ,然后输入你想要访问的网址,接着点击"提交"按钮(或类似按钮)。任何计算机都可以使用网页代理,包括网吧里的计算机。

免费网页代理包括 CGIProxy, PHProxy以及Zelune等。所有网页代理都提供相同的基本功能,但有些代理的特定功能(比如访问视频)更强。

你可以从 http://www.peacefire.org/circumventor/ 加入邮件列表 ,或在任何一个搜索引擎里搜索"免费网页代理",然后就可以找到类似 http://www.proxy.org/ 这样的网页代理。 Proxy.org逐一列出了数千个免费的网页代理。

(如果你所在的国家不限制网络访问,并且你愿意帮助其他人绕开审查,你可以在自己的网站或家庭计算机上安装一个网页代理脚本。)

使用网页代理的风险

你应该意识到使用网页代理存在着一些风险,尤其当你使用网页代理是由那些你不甚了解的组织和人员所维护时,这种风险会很大,如果你使用代理来浏览美国国 家公共电台 npr.org这样的公共站点时,你面临的唯一风险只是有人可能会知道你正在使用代理浏览这个站点上的新闻。但是如果你使用代理来进行私人通信或者登录网 页邮箱,网上银行,和网上购物这类应用时,别人可能会盗取并滥用你的个人信息,其中包括个人密码。尤其当你使用的这些服务本身未对信息加密,或者你使用的 代理阻不准你对信息的加密,这种可能性会更大。

缺乏隐私

规避过滤和封锁的系统并不一定具备匿名性(尽管这些系统的名称中可能会包含"匿名"这类的字样!)。如果你与网页代理之间链接并没有加密(很多免费 网页代理就是这样的),代理的运营者或者像互联网服务提供商(ISP)的中间人都可截取并分析通信的内容。在这种情况下,虽然你成功的绕过了封锁,但是网 络运营商还是可以知道你正在使用网页代理,而且还可以知道你所访问的网站以及内容。

那些对链接并不加密的网页带有时候也会使用其他的方式来规避网络过滤。比如,它们使用的一个简单技术就是ROT-13,这类代理会把当前网址链接中 的字母用标准字母表中的字母按照一定规则替换掉。(你可以访问 http://www.rot13.com/ 自己尝试一下),当用ROT-13规则转换后, http://ice.citizenlab.org 网址就变成了uggc://vpr.pvgvmrayno.bet,它可以让关键词过滤器无法识别。这可以帮助你访问目标站点,不过它的弱点也很明显:会 话(session)的内容仍然可以起被侦测到,而且使用这种方法加密的网址很容易就会被反向破解出来。


广告,病毒以及恶意软件

一些人架设网页代理是为了赚钱。他们可以网页上出售广告,而然一些不良的代理运营者会使用恶意软件来感染用户的计算机。这类恶意软会劫持你的计算机来发送垃圾邮件和商业广告,甚至用于其他非法目的。

而确保你计算机免受病毒侵害的一个重要方法就是保持软件的更新(其中包括操作系统的更新),以及使用最新的杀毒软件。你也可以使用火狐浏览器的 广告屏蔽插件 AdBlockPlus来屏蔽广告。 ( http://www.adblockplus.org/ ).要想了解更多避免此类风险的信息,用户可以访问StopBadware ( http://www.stopbadware.org/ )网站。ATunnel.com网站的运营者就是通过出售广告来提供免费服务的。它是一个典型的依靠广告支撑的代理服务器。

Cookie和脚本

Cookie和脚本的使用也有风险。用户可以禁止掉许多站点的Cookie和脚本,但是其他许多站点(比如像MySpace这类的社交站点)也需要使用 Cookie和脚本。在开启这些此类选项时要小心,因为即便你重启后,Cookie也会保存在计算机中,所以别人可以通过cookie知道你访问了哪些站 点。应对此问题的一个办法就是有选择的使用Cookie。在火狐3.0版本的浏览器中,你可以告诉浏览器在浏览器关闭之后自动清除Cookie,(同样 的,你也可以告诉浏览器在关闭之后自动清除你的浏览记录)

一些站点和广告商甚至使用这一机制来追踪你使用代理的时段。如果你想保持网络访问的匿名性,这个问题可是一个不小的麻烦,因为这会给你留下一些把柄。比如,别人可以知道公开访问某个站点的人与匿名访问其他站点的人是同一个人。

最后要提醒读者牢记:代理运营者可以看到一切内容

尽管你与这些网页代理之间链接是安全的(加过密的),但是代理的所有者在信息解密之后还是可以看到你的内容的。另一个安全方面的顾虑就越是代理提供者可能会保留的日志文件。当局可能会获得这些日志文件,但是具体如何,这要取决于代理提供者和代理服务器所处的地区。

dd-wrt pptp设置

一直以来都希望让家里的电脑能永远保持互联的状态,前几天买了台路由器刷DD-WRT,终于能够如愿。

自己用的版本是v24 sp2。开始打算使用openvpn,不过这样就成了三层的VPN。L2TP又没有看到可以设置的,最后决定用PPTP。

不过也不是那么顺利,看了无数人十分高效的成功经验后,我的PPTP还是无法正常工作。终于,昨晚在搞了很久以后,发现只要只要将PPTP里面的强制认证关闭就可以了⋯⋯真无奈⋯⋯

Dec 6, 2010

不错的介绍DNS的视频

非常易懂~当然,是在你英语听力没问题的前提下

Dec 2, 2010

TAS-FC《合金装备(潜龙谍影)》23分33秒77 最速通关

Metal Gear 早期在FC上的版本。这个游戏我很小的时候就开始玩儿,无奈英语看不懂,完全没法玩儿……

Dec 1, 2010

异型对铁血战士连技讲解视频

国外的玩家制作的介绍《异性对铁血战士》连招视频。这个游戏在中国不火,不过自己在模拟器上玩儿过,觉得还是很有意思的

Twitter Delicious Facebook Digg Stumbleupon Favorites More

 
Powered by Blogger