阳光梦的专栏

原创 nginx惊群问题

master进程并不处理网络请求，主要负责初始化和调度工作进程，如加载配置、启动工作进程 ，升级等；worker进程用来处理网络请求，并且一个连接的多个阶段处理都在同一个worker中进行。master侦听socket，多个worker继承侦听socket，同时等待同一个socket事件，当这个事件发生时，所有worker同时唤醒，但最终只能有一个进程能建立成功。nginx进程主要是一个主进程（master)和多个工作子进程（worker）。，其他进程都会失败，造成了资源的浪费（这就是所谓的惊群问题）。

原创 ftp，sip，rtsp协议特点

ftp，sip，rtsp协议特点：ftp协议：

原创 ipsec应用场景

ipsec保证了通信的安全性：会做认证，数据加密和完整性校验。

原创 nginx和openresty和apisix区别

可以作为web静态文件服务、SSL/TLS 卸载功能。采用c语言，核心是反向代理、负载均衡功能。

原创 ansible-远程自动化部署

【代码】ansible-远程自动化部署。

原创 LD_PRELOAD-hook系统函数

【代码】LD_PRELOAD-hook系统函数。

原创 加解密和摘要算法

原创 TLS-ECDHE握手流程

ECDHE 是基于椭圆曲线离散对数问题的密钥协商算法，客户端和服务端各自生成临时密钥对(即私钥和公钥)，只交换公钥(这个也可以叫DH参数)，双方通过“自己的私钥 h和 对方的公钥”计算出相同的预主密钥，从而在不传输密钥的情况下建立共享秘密，并天然具备前向安全性。

原创 TLS-国密ECC握手流程

身份认证(sm3 sm2)：通过数字证书认证对端身份。机密性(sm4)：传输数据的加解密。完整性(sm3)：传输数据的完整性校验。

原创 TLS-算法套件

TLS 从 ECDHE 开始，双方不再"传递密钥本身"，而是各自生成临时密钥对，互换其中一个给对方，再各自计算出预主密钥=》主密钥=》会话密钥(用于传输数据的加解密)。RSA是认证算法：证书中签名值 是ca对证书请求文件先计算摘要值，再使用自己私钥加密的结果。这里是一个加密套件的例子：TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。AES_128_GCM 是批量【对称加解密算法】：对通信数据的加解密。加密套件是用于在SSL/TLS握手期间协商安全设置的算法的组合。

原创 TLS-RSA握手流程

身份认证：通过数字证书认证对端身份。机密性：传输数据的加解密。完整性：传输数据的完整性校验。

原创 证书信息介绍

假设上述证书用于服务器使用，浏览器需要导入CA证书(权威的证书一般会内置集成，自己做的CA需要手动导入)，使用sha256计算摘要值，再使用自己的rsa私钥对摘要值加密。私钥加密公钥可以解密，公钥加密私钥也可以解密。使用ca证书校验用户证书流程。

原创 iptables使用

添加，修改，删除，查看规则；规则组成部分：1--报文的匹配条件;2--匹配到之后的处理动作;匹配条件：根据协议报文特征;--基本匹配条件：源ip，目标ip，源端口，目标端口等--扩展匹配条件：比如连接追踪等功能；处理动作(比如, 丢弃/拒绝/接受/返回调用的链)：--内建处理机制;--自定义处理机制;Note：报文不会经过自定义链，只能在内置链上通过规则进行引用后生效；

原创 iptables-底层工作机制

理解：相关钩子函数。

原创 域套接字和本机ip-收发包流程

域套接字(Unix domain socket)数据包传输不需要经过网络协议栈，不需要封装和解封装等操作，只是数据的拷贝过程(不经过任何网卡)。使用本机IP通信时，数据包不经过网卡，但内核协议栈还得走(会走lo网卡)。可以使用tcpdump抓取lo虚拟网卡上数据包。

原创 国密nginx服务搭建

【代码】国密nginx服务搭建。

原创 向cfca权威机构-申请国密证书

很多政府机关对于加密要求非常严格，必须遵循 国密算法（SM2/SM3/SM4），web站点要求使用国家标准的国密证书，而国密证书通过 CFCA 等认证机构获得。今天主要介绍下如何从cfca权威机构获取认证的国密双证书：签名证书+加密证书，而不是使用自签名的国密证书。

原创 linux-本机发包流程

linux发包流程：socket buffer大小：网卡的接收和发送队列大小：

原创 linux-本机收包流程

根本原因是：很多人只看应用层，却不知道数据包在内核的收发流程中经历了什么。

原创 vmware虚拟机-NAT模式下使用

解决两个问题：配置nat模式下网关地址：登录虚拟机查看网关地址：虚拟机上访问外网服务：宿主机上访问其他设备：

原创 tcp三次握手四次挥手

三次握手四次挥手状态迁移：查看连接状态命令：

原创 NAT转换

NAT地址转换解决什么问题？

原创 ARP-工作机制

应用层发包时会指定目标IP+port：应用层发送数据包经过L2层时会添加L2头部，目标MAC通过查ARP缓存或者ARP请求获取：

原创 DNS工作原理

当我们在浏览器中输入 www.baidu.com时，计算机如何知道它对应哪台服务器？

原创 网络分层-收发数据包

L4中最关键的是源port和目标port。L2中最关键的是源MAC和目标MAC。L3中最关键的是源IP和目标IP。

原创 原始socket-SOCK_RAW使用

第一个参数domain：第二个参数type：第三个参数protocols值如下:通常，套接字API用于传输层（OSI第4层）的进程间通信。然而，一些特殊的套接字类型可用于访问网络层（OSI第3层）和数据链路层（OSI第2层）。这些套接字类型称为原始套接字。当我们想直接访问网络层和数据链路层时，会使用原始套接字。例如，我们可以使用原始套接字在传输层下实现网络协议，如ICMP、ARP或OSPF。此外，我们还能利用它们监控网络、监听数据包，或通过发送伪造数据包进行黑客攻击。总之，原始套接字与传统套接字有以下区别

原创 tun和tap虚拟网卡使用

这使得 veth 对非常适合连接不同的虚拟网络组件，如 Linux 桥、OVS 桥和 LXC 容器。其中 veth 对用于连接多个 Linux 桥接器，而目前基于 TAP 的设备无法实现这一点。你通常会看到 TAP 设备用于 KVM/Qemu 虚拟化，在创建时将 TAP 设备分配给虚拟访客接口。Veth Pairs：Veth设备由两对连接的虚拟以太网接口构建，可以被视为虚拟跳线。TAP（网络分流器）的工作原理类似于TUN，但不仅能写入和接收第3层的数据包，写回设备的数据也必须以IP包的形式。

原创 流量审计产品-交换机镜像口配置

准备网口转串口，串口转usb线。10是观察口， 9是被观察口。

原创 linux ALG技术

会话：记录了传输层报文之间的交互信息，包括源IP地址、源端口、目的IP地址、目的端口，协议类型和源/目的IP地址所属的VPN实例。(2) 可支持多种应用层协议：FTP、H.323（包括RAS、H.225、H.245）、SIP、DNS、ILS、MSN/QQ、NBT、RTSP、SQLNET、TFTP等。例如，FTP应用就由数据连接和控制连接共同完成，而且数据连接的建立动态地由控制连接中的载荷字段信息决定，这就需要ALG来完成载荷字段信息的转换，以保证后续数据连接的正确建立。，从而保证应用层通信的正确性。

原创 NAT和NATP工作原理

1.

原创 三层路由器工作原理

当主机A发向主机B的数据流在网络层封装成IP数据包，IP数据包的首部包含了源IP和目标IP。数据包在发往网关前，主机A还会通过ARP请求获取默认网关的MAC地址（即路由器C的eth0 ip=192.168.1.1对应的mac地址）。当网关路由器C接收到以太网数据帧时，发现数据帧中的目标MAC地址是自己的某一个端口的物理地址，这时路由器会把以太网数据帧的封装去掉。发现不是在本网中，有nat就将改变数据包源IP（源Ip地址改为了路由器的出口IP），路由器将数据包转发到相应的端口，进行通信。

原创 linux系统的端口聚合机制（bond）

带宽高效利用，标准兼容。

原创 二层交换机工作原理

PC-A 给 PC-B 发数据包，先发了一个数据帧：源 MAC：A目的 MAC：B数据从 交换机的端口1 进入交换机。交换机第一件事不是转发，而是学习，知道了：MAC A 是从端口1 来的：MAC表记录(MAC A，端口1)

原创 网络终结者-方便理解（交换机/路由器/网络设备）

无论是WIFI或是移动网络（4G）IP地址都使用了NAT技术（只能看到路由器的ip，不能看到路由器背后的客户ip）。所以数据包经过路由器三层设备后，其他设备只能看到路由器的mac地址，而看不到路由器背后真实设备的mac。经过nat设备或者代理设备后，其他只能看到nat设备的ip地址，而看不到nat设备背后真实设备ip。由于三层看ip，只能看到四层设备的ip，看不到四层设备背后设备的ip。三层IP头中的IP地址，在整个数据包传输过程中保持不变。

原创 ipsec解决什么问题

场景描述：连接两个物理上分离的局域网，如总部(北京)与分公司(西安)实现局域网互通互联。如何工作：在两个站点的边界网关（如防火墙、路由器）之间建立IPsec隧道，公司人员可以直接局域网访问设备。所有在两个局域网之间传输的数据包都会被加密和封装，通过互联网安全地传输，就像两个站点通过一条专线直接连接一样。优点：替代昂贵的专线，利用低成本互联网实现安全互联，整合网络资源。

原创 ESXi-vCenter Server创建私有网络

在 ESXi-vCenter Server 上创建虚拟机使用私有网段ip，可以和其他虚拟机使用此网段互通，而外部设备无法与此网段通信。虚拟机中可以一个网卡上地址对外提供访问，另个网卡使用私有网段和其他虚拟机互通。

原创 AI-python代码使用deepseek

使用trae工具编写python代码，通过提问题给线上大模型工具，让使用ssh自动登录远程靶机做配置文件中字段校验，输出json结果数据。

原创 vmware虚拟机-网络模型

Host-Only（仅主机模式）Bridged（桥接模式）NAT（网络地址转换模式）

原创 （ipsec）NAT-T解决什么问题？

发起方在 IKE 消息中插入 Vendor ID（VID）载荷，用于告知对方自身支持 NAT Traversal（NAT-T）能力。若双方在 IKEv1 交换过程中均声明支持 NAT-T，则后续可以进行 NAT 探测并在需要时启用 NAT-T；若任一方不支持 NAT-T，则 IKE 协商仍可继续，但不能启用 NAT-T 功能（是否终止取决于策略配置）。完成NAT-T检测和NAT网关探测后，如果发现NAT网关，则后续UDP报文端口号修改为4500。消息 3：NAT 探测（NAT-D 载荷交换）

原创 用ip xfrm命令手动搭建ipsec隧道(网对网模式)

分公司：对外地址是192.168.147.20，保护子网是192.168.30.20。总部：对外地址是192.168.147.10，保护子网是192.168.10.10。除了给总部ipsec设备下发配置，同时给分公司ispec设备下发配置。在总部ispec设备上执行脚本，