阳光梦的专栏

原创 不安全通信实现安全传输-stunnel

stunnel 用于给原本不支持加密的应用通信“套一层 SSL/TLS 加密通道”，实现安全传输。

原创 四层代理-nat模式

L4代理改写客户端请求数据包头部信息：客户端请求包为 [sip=ip1 sport=port1 =》dip=ip2 dport=port2]，L4代理改写数据包为 [sip=ip2 sport=port2 即vser的地址 =》dip=ip3 dport=port3 即rser地址侦听地址]。性能：客户端请求数据包，rser响应数据包均经过代理设备，故性能较低；支持端口映射（即rser侦听ip+port与vser侦听地址不同）。NAT 模式数据包均会经过L4代理；真实服务器无需额外配置。

原创 四层代理-tunnel隧道模式

1.L4代理利用IP隧道技术，在客户端请求vser的ip数据包基础上，再包裹一层IP数据包头，转发至rser，L4代理发给rser的请求数据包格式：[外层IP头：sip=IP3，dip=IP4]+[内层IP头：sip=ip1，dip=ip2]+[tcp头：sport=port1，dport=port2]。2.rser解封装后得到目的为vip即ip2的数据包，rser响应数据包不经过L4代理设备直接转发至客户端（rser需要配置vip）。仅仅对客户端=》vser的请求ip包新增了IP头部，故不支持端口映射；

原创 四层代理-DR三角模式

4.注意事项：后端服务器的 lo 回环网卡上，需要配置虚拟服务的IP地址，并且需要配置 ARP 抑制（即局域网内有通过ARP请求获取虚拟服务ip对应的mac时，此rser不能给应答自己的mac地址）。3.后端服务器返回的响应数据包，不需要经过代理而直接转发至客户端：数据包源ip源port=L4侦听的ip和port=》数据包目的ip和port是客户端的。2.L4代理收到客户端请求后，将请求数据包中目的MAC改为后端服务的MAC，转发至后端服务器（如rser1）；1.客户端请求L4侦听的IP2+PORT2；

原创 linux系统创建加密分区

建立文件系统结构后，但是此时文件系统只是存在于磁盘块中，操作系统还'看不见'，mount挂载后就可以像操作普通目录一样操作文件了。分区只是空间，LUKS 加密分区后是暗盒，都不能直接拷文件；必须先在明文空间里创建文件系统，挂载后才能操作或拷贝文件。核心工具使用：cryptsetup。

原创 流量审计产品

问题：网络拓扑：

原创 ping命令工作流程

给指定目标IP发送一定长度的数据包，按照约定：若指定IP地址存在的话，会返回同样大小的数据包，如指定时间内没有返回，就是“超时”，会被认为指定的IP地址不存在。由于ping使用的是ICMP协议，有些防火墙软件会屏蔽ICMP协议，所以有时候ping的结果只能作为参考，ping不通并不一定说明对方IP不存在。

原创 新建并发吞吐

以 银行处理用户 为比喻，理解服务器的新建，并发，吞吐。

原创 git分支管理

合并到develop分支和master分支。拉feature分支或fixbug分支。合入到 pre-release分支。创建pre-release分支。合并到develop分支。合并到develop分支。合并到master分支。合并到master分支。

原创 nginx惊群问题

master进程并不处理网络请求，主要负责初始化和调度工作进程，如加载配置、启动工作进程 ，升级等；worker进程用来处理网络请求，并且一个连接的多个阶段处理都在同一个worker中进行。master侦听socket，多个worker继承侦听socket，同时等待同一个socket事件，当这个事件发生时，所有worker同时唤醒，但最终只能有一个进程能建立成功。nginx进程主要是一个主进程（master)和多个工作子进程（worker）。，其他进程都会失败，造成了资源的浪费（这就是所谓的惊群问题）。

原创 ftp，sip，rtsp协议特点

ftp，sip，rtsp协议特点：ftp协议：

原创 ipsec应用场景

ipsec保证了通信的安全性：会做认证，数据加密和完整性校验。

原创 nginx和openresty和apisix区别

可以作为web静态文件服务、SSL/TLS 卸载功能。采用c语言，核心是反向代理、负载均衡功能。

原创 ansible-远程自动化部署

【代码】ansible-远程自动化部署。

原创 LD_PRELOAD-hook系统函数

【代码】LD_PRELOAD-hook系统函数。

原创 加解密和摘要算法

原创 TLS-ECDHE握手流程

ECDHE 是基于椭圆曲线离散对数问题的密钥协商算法，客户端和服务端各自生成临时密钥对(即私钥和公钥)，只交换公钥(这个也可以叫DH参数)，双方通过“自己的私钥 h和 对方的公钥”计算出相同的预主密钥，从而在不传输密钥的情况下建立共享秘密，并天然具备前向安全性。

原创 TLS-国密ECC握手流程

身份认证(sm3 sm2)：通过数字证书认证对端身份。机密性(sm4)：传输数据的加解密。完整性(sm3)：传输数据的完整性校验。

原创 TLS-算法套件

TLS 从 ECDHE 开始，双方不再"传递密钥本身"，而是各自生成临时密钥对，互换其中一个给对方，再各自计算出预主密钥=》主密钥=》会话密钥(用于传输数据的加解密)。RSA是认证算法：证书中签名值 是ca对证书请求文件先计算摘要值，再使用自己私钥加密的结果。这里是一个加密套件的例子：TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。AES_128_GCM 是批量【对称加解密算法】：对通信数据的加解密。加密套件是用于在SSL/TLS握手期间协商安全设置的算法的组合。

原创 TLS-RSA握手流程

身份认证：通过数字证书认证对端身份。机密性：传输数据的加解密。完整性：传输数据的完整性校验。

原创 证书信息介绍

假设上述证书用于服务器使用，浏览器需要导入CA证书(权威的证书一般会内置集成，自己做的CA需要手动导入)，使用sha256计算摘要值，再使用自己的rsa私钥对摘要值加密。私钥加密公钥可以解密，公钥加密私钥也可以解密。使用ca证书校验用户证书流程。

原创 iptables使用

添加，修改，删除，查看规则；规则组成部分：1--报文的匹配条件;2--匹配到之后的处理动作;匹配条件：根据协议报文特征;--基本匹配条件：源ip，目标ip，源端口，目标端口等--扩展匹配条件：比如连接追踪等功能；处理动作(比如, 丢弃/拒绝/接受/返回调用的链)：--内建处理机制;--自定义处理机制;Note：报文不会经过自定义链，只能在内置链上通过规则进行引用后生效；

原创 iptables-底层工作机制

理解：相关钩子函数。

原创 域套接字和本机ip-收发包流程

域套接字(Unix domain socket)数据包传输不需要经过网络协议栈，不需要封装和解封装等操作，只是数据的拷贝过程(不经过任何网卡)。使用本机IP通信时，数据包不经过网卡，但内核协议栈还得走(会走lo网卡)。可以使用tcpdump抓取lo虚拟网卡上数据包。

原创 国密nginx服务搭建

【代码】国密nginx服务搭建。

原创 向cfca权威机构-申请国密证书

很多政府机关对于加密要求非常严格，必须遵循 国密算法（SM2/SM3/SM4），web站点要求使用国家标准的国密证书，而国密证书通过 CFCA 等认证机构获得。今天主要介绍下如何从cfca权威机构获取认证的国密双证书：签名证书+加密证书，而不是使用自签名的国密证书。

原创 linux-本机发包流程

linux发包流程：socket buffer大小：网卡的接收和发送队列大小：

原创 linux-本机收包流程

根本原因是：很多人只看应用层，却不知道数据包在内核的收发流程中经历了什么。

原创 vmware虚拟机-NAT模式下使用

解决两个问题：配置nat模式下网关地址：登录虚拟机查看网关地址：虚拟机上访问外网服务：宿主机上访问其他设备：

原创 tcp三次握手四次挥手

三次握手四次挥手状态迁移：查看连接状态命令：

原创 NAT转换

NAT地址转换解决什么问题？

原创 ARP-工作机制

应用层发包时会指定目标IP+port：应用层发送数据包经过L2层时会添加L2头部，目标MAC通过查ARP缓存或者ARP请求获取：

原创 DNS工作原理

当我们在浏览器中输入 www.baidu.com时，计算机如何知道它对应哪台服务器？

原创 网络分层-收发数据包

L4中最关键的是源port和目标port。L2中最关键的是源MAC和目标MAC。L3中最关键的是源IP和目标IP。

原创 原始socket-SOCK_RAW使用

第一个参数domain：第二个参数type：第三个参数protocols值如下:通常，套接字API用于传输层（OSI第4层）的进程间通信。然而，一些特殊的套接字类型可用于访问网络层（OSI第3层）和数据链路层（OSI第2层）。这些套接字类型称为原始套接字。当我们想直接访问网络层和数据链路层时，会使用原始套接字。例如，我们可以使用原始套接字在传输层下实现网络协议，如ICMP、ARP或OSPF。此外，我们还能利用它们监控网络、监听数据包，或通过发送伪造数据包进行黑客攻击。总之，原始套接字与传统套接字有以下区别

原创 tun和tap虚拟网卡使用

这使得 veth 对非常适合连接不同的虚拟网络组件，如 Linux 桥、OVS 桥和 LXC 容器。其中 veth 对用于连接多个 Linux 桥接器，而目前基于 TAP 的设备无法实现这一点。你通常会看到 TAP 设备用于 KVM/Qemu 虚拟化，在创建时将 TAP 设备分配给虚拟访客接口。Veth Pairs：Veth设备由两对连接的虚拟以太网接口构建，可以被视为虚拟跳线。TAP（网络分流器）的工作原理类似于TUN，但不仅能写入和接收第3层的数据包，写回设备的数据也必须以IP包的形式。

原创 流量审计产品-交换机镜像口配置

准备网口转串口，串口转usb线。10是观察口， 9是被观察口。

原创 linux ALG技术

会话：记录了传输层报文之间的交互信息，包括源IP地址、源端口、目的IP地址、目的端口，协议类型和源/目的IP地址所属的VPN实例。(2) 可支持多种应用层协议：FTP、H.323（包括RAS、H.225、H.245）、SIP、DNS、ILS、MSN/QQ、NBT、RTSP、SQLNET、TFTP等。例如，FTP应用就由数据连接和控制连接共同完成，而且数据连接的建立动态地由控制连接中的载荷字段信息决定，这就需要ALG来完成载荷字段信息的转换，以保证后续数据连接的正确建立。，从而保证应用层通信的正确性。

原创 NAT和NATP工作原理

1.

原创 三层路由器工作原理

当主机A发向主机B的数据流在网络层封装成IP数据包，IP数据包的首部包含了源IP和目标IP。数据包在发往网关前，主机A还会通过ARP请求获取默认网关的MAC地址（即路由器C的eth0 ip=192.168.1.1对应的mac地址）。当网关路由器C接收到以太网数据帧时，发现数据帧中的目标MAC地址是自己的某一个端口的物理地址，这时路由器会把以太网数据帧的封装去掉。发现不是在本网中，有nat就将改变数据包源IP（源Ip地址改为了路由器的出口IP），路由器将数据包转发到相应的端口，进行通信。