OpenDNS和Google DNS，不一定真的适合我们

为什么不用？用了解析速度快，能防ISP劫持，能翻墙，能这能那。真的是这样吗？ 1.大家最关注的，翻墙，防止DNS被劫持。 资深不资深的玩家肯定都知道某墙的事情。用了OpenDNS之类后，真的能防止被某墙劫持域名吗？恐怕太小看某墙了吧。只要是DNS的UDP包经过旁路设备，直接就会被篡改。不信？看看结果 正常请求一个被劫持的域名，当然是劫持没商量了 $ dig hen.bao.li ; <<>> DiG 9.6.0-APPLE-P2 <<>> hen.bao.li ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50859 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;hen.bao.li. IN A ;; ANSWER SECTION: hen.bao.li. 85697 IN A 78.16.49.15 ;; Query time: 0 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Mon Dec 7 23:18:48 2009 ;; MSG SIZE rcvd: 44 $ dig hen.bao.li ; <<>> DiG 9.6.0-APPLE-P2 <<>> hen.bao.li ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<-...

Read more »

UTF-8、Unicode和BOM问题

经常遇到的问题是，使用了BOM编码后，PHP脚本执行错误，或使用fileStream读取并转换为XML会报错"The markup in the document following the root element must be well-formed."。 一、介绍 UTF-8 是一种在web应用中经常使用的一种 Unicode 字符的编码方式，使用 UTF-8 的好处在于它是一种变长的编码方式，对于 ANSII 码编码长度为1个字节，这样的话在传输大量 ASCII 字符集的网页时，可以大量节约网络带宽。 UTF- 8签名（UTF-8 signature）也叫做BOM（Byte Order Mark），是UTF编码方案里用于标识编码的标准标记。BOM，是UTF编码方案里用于标识编码的标准标记，在UTF-16里本来是FF FE，变成UTF-8就成了EF BB BF。这个标记是可选的，因为UTF8字节没有顺序，所以它可以被用来检测一个字节流是否是UTF-8编码的。微软做这种检测，但有些软件不做这种检测， 而把它当作正常字符处理。微软在自己的UTF-8格式的文本文件之前加上了EF BB BF三个字节, windows上面的notepad等程序就是根据这三个字节来确定一个文本文件是ASCII的还是UTF-8的, 然而这个只是微软暗自作的标记, 其它平台上并没有对UTF-8文本文件做个这样的标记。也就是说一个UTF-8文件可能有BOM，也可能没有BOM。 只有一个BOM，是不会有问题的。如果多个文件设置了签名，在二进制流中就会包含多个UTF-8签名，也就是导致XML转换失败的"root...

Read more »

使用GeoIP在Wireshark中显示IP的地理位置

本来想直接贴视频，结果发现搞不定～～ 那还是贴地址吧： http://www.securitytube.net/Setting-up-GeoIP-to-Track-IP-Address-Locations-in-Wireshark-video.a...

Read more »

Cisco ISP Essentials

思科网站上下载的免费电子书，不过我忘记下载链接了……囧 点...

Read more »

PPTP和L2TP的区别

PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似，但是仍存在以下几方面的不同： 1.PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），桢中继永久虚拟电路（PVCs),X.25虚拟电路（VCs）或ATM VCs网络上使用。 2.PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道。 3.L2TP可以提供包头压缩。当压缩包头时，系统开销（overhead）占用4个字节，而PPTP协议下要占用6个字节。 4.L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时，可以由IPSEC提供隧道验证，不需要在第2层协议上验证隧道。 总之，对于一般的使用者来说，L2TP有更强的穿透率，更好的压缩，更好的加密（双层加密），所以如果你在使用PPTP失败的时候可以尝试L2...

Read more »

中国城管军歌

中国城管不愧是最强大的陆地...

Read more »

架设PPTP VPN及在Linux上远程连接VPN

本文所涉及的运行环境：远程服务器为 VPSLink 上低配置 Xen VPS ( 注意，OpenVZ VPS 是不能安装 PPTP VPN 的），Linux 系统为 Ubuntu 9.04 ，本地服务器为 Ubuntu Server 9.10 。 1. 如何快速搭建一个VPN（pptp） # 安装服务器端软件 apt-get install pptpd # 配置IP地址范围，编辑/etc/pptpd.conf，在最后添加如下地址： localip 192.168.0.1 remoteip 192.168.0.234-238,192.168.0.245 # 这两句设置了当外部计算机通过pptp联接到vpn后所能拿到的ip地址范围和服务器的ip地址设置。 # 增加一个用户，编辑/etc/ppp/chap-secrets，在下面增加类似的条目： username pptpd password * # 重启pptpd服务 /etc/init.d/pptpd restart # 编辑：/etc/ppp/options，在里面找一下”ms-dns”项目： ms-dns 8.8.8.8 ms-dns 8.8.4.4 #允许转发，编辑/etc/sysctl.conf，看一下net.ipv4.ip_forward参数是不是1，或直接执行以下命令来查看 sysctl net.ipv4.ip_forward # 如果输出为 0 的话就要修改 /etc/sysctl.conf 中的 net.ipv4.ip_forward ，把 0 改为1，然后执行以下命令。 sysctl -p # 最后，运行一下这条命令来打开iptables的转发支持： /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE /sbin/iptables...

Read more »

CentOS 5 VPS配置pptpd为VPN服务器

VPS一般每个月也用不完流量，不用也是浪费，所以我们要榨干VPS，哈哈。(以下命令建立在64位CentOS 5上 ,并且 pptpd VPN需要内核支持mppe) 下面为配置命令： 先安装ppp和iptables. yum install -y ppp iptables然后下载pptpd. 64位操作系统. wget http://acelnmp.googlecode.com/files/pptpd-1.3.4-1.rhel5.1.x86_64.rpm 32位操作系统. wget http://acelnmp.googlecode.com/files/pptpd-1.3.4-1.rhel5.1.i386.rpm 安装pptpd 64位操作系统 rpm -ivh pptpd-1.3.4-1.rhel5.1.x86_64.rpm 32位操作系统 rpm -ivh pptpd-1.3.4-1.rhel5.1.i386.rpm 接下来编辑/etc/pptpd.conf文件，去掉下面两行的注释或者直接添加这两行 vim /etc/pptpd.conf localip 192.168.0.1 remoteip 192.168.0.234-238,192.168.0.245 添加VPN用户和密码,按照下面格式.密码后的*号保留. vim /etc/ppp/chap-secrets username pptpd password *设置DNS为Google的DNS. vim /etc/ppp/options.pptpd找到ms-dns改成. ms-dns 8.8.8.8 ms-dns 8.8.4.4编辑/etc/sysctl.conf文件，找到”net.ipv4.ip_forward=1″这一行，去掉前面的注释。没有就添加上. net.ipv4.ip_forward=1运行下面的命令让配置生效。 sysctl...

Read more »

Debian/Ubuntu下搭建OpenVPN与客户端配置教程

下面介绍如何在Debian系统搭建OpenVPN服务器端以及如何配置Windows客户端。 服务器端 1.至少拥有一台VPS或独立服务器 2.基于Openvz的VPS只能安装OpenVPN，XEN可安装PPTP，但不在本文讨论范围不再赘述 3.检验是否支持Tun/Tap和nat，以Root登陆输入 cat /dev/net/tun若返回cat: /dev/net/tun: File descriptor in bad state 则说明tun可用输入 iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j MASQUERADE若返回iptables: No chain/target/match by that name 则说明nat模块正常可用 若以上返回信息不符请联系客服要求开通Tun/Tap和iptable nat。 4.修改服务器DNS vi /etc/resolv.conf 修改DNS为： nameserver 8.8.8.8 nameserver 8.8.4.4 5.本想一步步写，但经友人提醒有个VPSNOC John Malkowski的Debian OpenVPN脚本基本我下面的步骤雷同且我的教程步骤过于复杂，考虑安装方便所以放弃原教程奉上一键安装脚本。 wget http://vpsnoc.com/scripts/debian-openvpn.sh chmod +x debian-openvpn.sh ./debian-openvpn.sh稍等片刻，依次出现需要填写内容： 国家（两个英文字母） 省份/州（两个英文字母） 城市（英文字母） 组织名称 （英文字母） 部门名称 （英文字母） 通用名  （英文字母） 姓名 ...

Read more »

OpenVPN 简介

OpenVPN 是一个具备完全特征的SSL VPN解决方案，能够进行大范围的配置操作，包括远程访问、站点-站点间VPN、WiFi安全及企业级远程访问解决方案，支持负载均衡，错误恢复及细粒度的访问控制。 OpenVPN通过使用工业标准SSL/TLS协议 实现了OSI 2层及3层安全网络扩展，支持灵活的基于证书、智能卡的客户端认证方法，允许通过在VPN虚拟接口上应用防火墙规则实现用户及组访问控制策略。 OpenVPN并非一个Web应用代理，也不能通过Web浏览器进行操作。 作为一个不错的关于OpenVPN的概念介绍，可以参考James Ynan在Linux Fest Northwest 上2004年发表的程序注释――理解用户空间VPN：历史、概念基础及实际应用(Understanding the User-Space VPN: History, Conceptual Foundations, and Practical Usage)。也可以参考Charlie Hosner的OpenVPN及SSL VPN革命(OpenVPN and the SSL VPN Revolution)。 OpenVPN 是一个开源项目，遵从GPL许可协议。商业许可对重新发布其基于OpenVPN的应用程序的公司也有效。获得更多信息请联系info@openvpn.net。 OpenVPN 能够运行于Linux、Windows 2000/XP及更高版本、OpenBSD、FreeBSD、NetBSD、Mac OS X及Solaris平台。 通过OpenVPN，你可以： 在任意IP局部网络或虚拟以太网适配器上通过单个UDP或TCP端口建立隧道； 使用一或多台机器配置可裁剪的、负载均衡的VPN服务器群以处理成千上万的来自VPN客户端的动态连接； 能够使用在OpenSSL库中所提供所有的加密、认证及证书特性以保护私有网络在Internet网络上的数据传输； 使用OpenSSL库所支持的任意加密算法、密钥长度或HMAC数字签名(用于数据报完整性检查)； 先把基于静态密钥传统加密方法或基于证书的公钥加密方法； 使用静态、预先公有的密钥或基于TLS的动态密钥交换； 使用实时的自适配压缩及流量整形以管理链路带宽分配； 为动态公共点（如DHCP或拨号客户端）提供隧道传输； 无需显示定义防火墙规则为面向连接的防火墙提供网络隧道传输； 基于NAT的网络隧道； 通过虚拟的tap设备创建安全的以太网桥； 在Windows或Mac...

Read more »

smartVPN项目开发记录 （四）

仔细想了一下，比起把虚假地址指向黑洞外，先将需要代理的地址放入代理更加重要。所以先不考虑黑洞路由的功能了。 原来的代码换成了多线程去处理后，也老崩溃。自己不懂太多的编程，不过我认为用socket中提供的ThreadingUDPServer比自己去实现肯定要好得多。更改了基本所有代码后，崩溃的情况明显减少。 代码逻辑部分也调整了一下，原来对于需要代理的域名，也要做本地请求，然后从中剔除污染的地址。如果所有本地返回的结果都是污染过的，那就返回远程服务器的结果。不过后来自己想完全没这必要，对于需要代理的域名，直接使用远程服务器的结果，不需要的使用本地服务器结果。返回的远程结果提取出记录，由另外的线程处理。这样对效率是由提升的（至少我直觉如此） 而针对可能有很多人使用免费限流的VPN时，可能会同时拥有多个VPN情况（我就是如此），加入了支持多个VPN的功能。比如有A，B，C三个VPN，那么第一条路由指向A,第二条指向B，第三条指向C，第四条指向A……这样可以相对比较均匀的使用多个VPN的...

Read more »

2010年最热门的十大网络流行语

1、 给力 给力读音为，gěi lì，中国北方的土话，表示给劲、带劲的意思。“给力”一词最初的火热源于日本搞笑动漫《搞笑漫画日和之《西游记：旅程的终点》》中文配音版中悟空的一句抱怨：“这就是天竺吗，不给力啊老湿。”所谓“不给力”就是形容和预想目标相差甚远，而“给力”一般理解为有帮助、有作用、给面子。 查看出处：搞笑漫画日和之《西游记：旅程的终点》 2、神马都是浮云 “神马”并非一匹马，而是“什么”的神马都是浮云谐音。网友们用搜狗输入法打“什么”时，习惯用拼音首字母“S.M”代替，因为打字飞快，常在打“什么” 时打错，打出一个“神马”来，“神马”一词就像曾在网络红极一时的“虾米”一样，走的同样是谐音路线，而这个词语也迅速代替了“虾米”，成了时下最热门的 流行语。浮云的意思即虚无缥缈，转瞬即逝，意为“都不值得一提”。 它的流行源于红遍网络的“小月月”事件，2010年国庆期间，一则名为《感谢这样一个极品的朋友给我带来这样一个悲情的国庆》的帖子中，“小月月”横空出 世，以极其诡异的言行雷倒众生，并让网友们将“神马”和“浮云”联系在了一起，诞生诸如： “用任何词语来形容她，都根本乏味得很，神马网络豪放女，浮云!都是浮云!”、“小月月还能保持着晕的状态靠在他胸口，神马晕倒无意识论，统统是浮云! ”的感叹。而“神马”和“浮云”的神奇之处，则是当这两个词结合在了一起，便可组成万能金句，推之四海而风靡。 查看出处：小月月脱水版：极品女小月月游世博完整版更新 3、我勒个去 “我了个去”（或“我去”）这种用法最近猫扑很流行。可以说是一种调侃式的笑骂的。有种无奈的“我 靠”的意思。 　　就是个叹词，无实际意义，相当于古代的“呜呼哀哉” 　　东北方言 　　来源于日和漫画中 平田的世界，中文配音版。 查看出处：搞笑漫画日和之《平田的世界》中文配音版 4、ungelivable 虽然老外看不懂，但是ungelivable在中国网友中却大受欢迎。“昂给力围脖！”网友们不仅第一时间就弄懂了它的发音，而且举一反三，“不给力是...

Read more »

smartVPN项目开发记录 （三）

……嗯，这下搞笑了。 windows居然不支持黑洞路由！google后发现只能在同网络中找一个未使用的地址作为下一条来完成这个功能，但我觉得这个只能人为指定，程序是无法准确判断的。所以……真是杯具啊 不过去往制定目的地使用VPN的功能倒是完成了。改用线程方式后稳定性提高了很多，但是不是还是出错，...

Read more »

smartVPN项目开发记录 （二）

昨天基本搞了一天，有点小结果： 1. 已经能够对域名的返回结果进行判断 2. 使用nslookup来测试已经成功能过滤掉GFW污染的结构 3. 优先返回本地ISP返回的解析结果 不过测试下来，又发现了如下一些问题： 1. nslookup测试基本无问题，不过实际使用过程中发现经常失去响应，必须重启程序 2. 经常无缘无故的就挂了…… 还有一些设想的功能没有实现： 1. 根据结果增加路由 2. 判断哪些域名需要使用VPN 对软件开发完全就是一头雾水……试试能不能采用多线程的方式来解决一些问题。至于原因嘛，我也不是很清楚啊...

Read more »

中美的大佬汇率战RAP

大家慢慢...

Read more »

smartVPN项目开发记录 （一）

昨天想了想是否能结合autoproxy来动态加入路由（帖子在这里），想到有个scapy这个非常不错的库，便想自己尝试一下。 不过在scapy尝试收发DNS包的时候，发现返回的包在DNS部分显示为Raw load 后来调试了好久，发现是pton_ntop.py文件中有问题。查看第63行，居然……错误这么明显，于是自己把它改过来： 60 def inet_ntop(af, addr): 61     """Convert an IP address from binary form into text represenation""" 62     if af == socket.AF_INET: 63         #fix by Ken Mercus Lai 63         #return inet_ntoa(addr) 63         return socket.inet_ntoa(addr)改动之后再次运行，这下结果正常...

Read more »

VPN，可以结合SSH的优势吗？

VPN与SSH是常用的加密数据的方式（不限于凸墙），区别大致如下(原文在这里)： SSH方式： 通过SSH连接，在本地与远程服务器之间建立一个加密的管道（Tunnel），SSH客户端监听本地端口，形成SOCKET5代理。由于IE对 SOCKET5代理不好，大家一般都是用FireFox。直接将FireFox设置Socket5代理就是可以正常使用的。但是这样，上国内网站也会绕道国外，影响速度。好在FireFox有大量优秀的插件，FoxyProxy和AutoProxy是很常用的通过URL筛选决定是否通过代理访问网站的插件，后者用的尤其多。 VPN方式： VPN其实也是在本地与远程服务器之间建立了一个加密的通道，但是，与SSH不同的是，VPN客户端会虚拟一个网卡出来（这个虚拟的网卡连接的就是刚才说的那个加密通道），然后修改路由，使流量从加密通道走，达到凸墙的目的。当然，VPN也存在跟SSH相同的问题，如果访问国内网站，会绕道国外，速度很慢。聪明的人们又想出了办法：连接了VPN的电脑相当于有两块网卡，只要让国内流量从真实网卡走而国际流量从虚拟网卡走，这个问题就解决了。实际的操作就是手工加入国内IP的路由，让这部分流量直接走本地连接来搞定。 在解决绕道的问题上，大家可以看出SSH方式和VPN方式的不同了，SSH方式可以在URL的级别上筛选网址走加密通道，而VPN方式只能筛选IP。 举个例子，假设xxx是某强屏蔽的关键字，SSH代理+AutoProxy可以做到使http://www.abc.com/xxx走代理，而http://www.abc.com/yyy不走代理，这是VPN方式力所不及的。当然，VPN方式也有它得天独厚的好处，就是不用对应用软件进行任何设置即可使用，这对一些根本没法设置代理的应用软件是莫大的福音，这也是SSH方式力所不及的。 简单的来说，SSH在7层...

Read more »

CCDE推荐阅读的RFC文档

包括了Cisco中推荐的所有RFC文档，还加入了Petr Lapukhov推荐的3篇。 由于在kindle上阅读pdf的页面翻页和文档本身不同，而且还有等宽字体的问题。所以把文档都转换成了PDF格式了。 点击下载(Click He...

Read more »

TAS-ARC《街霸ZERO3》伯迪（BIRDIE）最高难度V-ISM 华丽表演通关录像

这个角色是我最头痛的——因为完全不会玩儿…… 视频太华...

Read more »

电子书 The Base Damn Firewall Book Period

The Base Damn Firewall Book Period —— Cherie Amon & Thomas W. Shinder & Anne Carasik-Henmi This book is essential reading for anyone wanting to protect Internet-connected computers from unauthorized access. Coverage includes TCP/IP, setting up firewalls, testing and maintaining firewalls, and much more. All of the major important firewall products are covered including Microsoft Internet Security and Acceleration Server (ISA), ISS BlackICE, Symantec Firewall, Check Point NG, and PIX Firewall. Firewall configuration strategies and techniques are covered in depth.The book answers questions about firewalls, from How do I make Web/HTTP work...

Read more »

电子书 Anti-hacker tool kit

Anti-hacker tool kit —— Mike Shema & Bradley C. Johnson "Using these tools yourself during an audit will help you find the weaknesses in your systems. This is an excellent reference book--one I plan to keep handy." --Simple Nomad, Noted security expert and author of The Hack FAQ and Pandora Put an End to Hacking. Stop hackers in their tracks using the tools and techniques described in this unique resource. Organized by category, "Anti-Hacker Toolkit" provides complete details on the latest and most critical security tools, explains their function, and demonstrates how to configure them to get the best results. New and updated case studies...

Read more »

电子书 Advanced IP Network Design

Advanced IP Network Design —— Alvaro Retana & Don Slice & Russ White A core textbook for CCIE preparation Learn how to apply effective hierarchical design principles to build stable, large-scale networksExamine broken networks and discover the best methods for fixing themUnderstand how the right topology enhances network performanceConstruct the most efficient addressing and summarization scheme for your networkPrevent network failure by applying the most appropriate redundancy at the network core, distribution layer, and access layerExtend your network's capabilities through proper deployment of advanced IGP- and EGP-based protocolsAdvanced...

Read more »

烦人的的cisco网站底部菜单

这是cisco新版网站，我一直在想，那个没用的菜单能干掉吗？ 当然，拥有firefox，应该是可以做到的。首先下载Greasemonkey，搭配这个脚本接...

Read more »