Netfilter,iptables/OpenVPN/TCP guard:-(

我不会编程,但也不是一点都不会,我稍微会一些 :-)

也不是真的,也只是想一下

<br />1.禁止shell脚本运行<br /> 这看起来是一个无所谓的事,运行一个脚本能怎样,实际上运行脚本并不是说脚本能实现多强的功能,可怕之处在于它<br /> 的粘合作用。在允许脚本运行的情况下,即使你想了一些办法禁止了用户修改init.rc文件,...

2010-10-24 14:20:00

阅读数:1928

评论数:0

流量负载均衡的分层

<br />关于网络的负载均衡也是分层次的,曾经想过使用linux的bonding功能来做OpenVPN的tun网卡的负载均衡,在主机上启动多个OpenVPN实例从而得到多个tun网卡,然后将多个tun网卡bond到一个bonding上,可后来一想就不合适了,因为bonding所做的是...

2010-10-24 14:18:00

阅读数:3369

评论数:0

网络服务器预防dos攻击的层次

web服务器在处理请求的时候会涉及三个层次,第一个层析是tcp连接的层次,第二个层次是http请求的层次,第三个层次是业务处理的层次,每个层次都可能存在dos攻击,所要作的预防措施就是每个更低的层次未决之前不为其分配上层资源,具体来说就是,tcp三次握手没有完成就不为之分配连接所需的内存资源,这个...

2010-10-24 14:17:00

阅读数:2621

评论数:0

tcp的半连接攻击和全连接攻击--TCP_DEFER_ACCEPT

<br />半连接攻击是一种针对协议栈的攻击,或者说是一中针对主机的攻击,皮之不存毛将焉附,主机一旦被攻击而耗尽了内存资源,用户态的应用程序也将无法运行。TCP半连接攻击可以通过syn cookie机制或者syn中继机制等进行防范,对于tcp服务来讲还有一种可以称为“全连接攻击”的攻击...

2010-10-20 20:57:00

阅读数:10587

评论数:0

apt-get和pkgsrc

<br />apt-get(简称apt)是debian上必不可少的程序,有了它你几乎可以仅仅安装一个仅仅带了apt的系统即可,任何东西都可以随时安装。pkgsrc是BSD的程序,它的意义和apt一样。然而它们不同,pkgsrc下载的是源码,它可以为你的系统即时编译应用程序,而apt下载...

2010-10-16 14:58:00

阅读数:2304

评论数:0

路面上的坑--系统API的兼容性

<br />任何人都不希望路面上有坑,对于应用程序也是一样。系统API或者说任何层次的接口都定义了上层可以操作的集合,事实上我们经常听说“XX无关性”就是这个道理。在linux上,ls程序可以从2.6.1内核的机器上复制到2.6.35机器上仍然能用,我们说2.6.1到2.6.35内核提...

2010-10-16 14:40:00

阅读数:2025

评论数:0

汤因比的《历史研究》所感之二

<br />1.历史是否是宿命论的,是否一切历史进程终将幻灭,汤恩比用一个例子揭示了这个问题,那就是车轮和车辆,局部和整体的调和,车轮虽然在轮回然而却带来了车辆的前进,虽然春去秋来花开花落,可是花却成长了...<br /> 2.汤恩比认为历史的发展是自决比例的增加,进一步...

2010-10-14 21:09:00

阅读数:2099

评论数:0

UDP_CORK,TCP_CORK以及TCP_NODELAY

<br />这三个选项十分有意思,并且困扰了很多人。特别是cork选项,它到底和nodelay有什么区别,到底怎样影响了Nagle算法。在tcp的实现中(特指linux内核的协议栈实现),cork和nodelay非常让人看不出区别,这一块的实现非常复杂,看内核实现之前最好先明白它们大概...

2010-10-14 20:47:00

阅读数:10321

评论数:1

TCP和UDP在网络层实现的不同--基于linux内核

<br />由于4层协议实现复杂度的不对称性,导致3层协议实现也不易统一,换句话说就是同样的3层协议比如IP要为不同的4层协议提供不同的实现,这是因为我们熟知的4层协议分为流和数据报两种类型,流式协议比如tcp在4层就处理了大量的逻辑,比如分段等等,而数据报协议比如 udp却不处理这些...

2010-10-13 20:36:00

阅读数:3912

评论数:0

提示
确定要删除当前文章?
取消 删除