atppp写Google Reader 里看新浪博客图片提到Firefox的RefControl插件
就想到了盗链、反盗链、反反盗链、反反反盗链这个题目
先简单解释一下意思:
盗链:我的图片音乐视频等资源被别人的网页用了 算盗链
反盗链:基于带宽成本考虑等原因 不想让别人用我的图片 只允许我自己用 想法限制
反反盗链:利用我限制方法的漏洞 想法用我不想让用的图片
反反反盗链:完善限制方法 别人想法用也不让用
......
简单说就是反盗链一件事
很有意思很具普遍性的一个课题 以前折腾过不少 写写思路
1. 如何盗链:
基本的html知识 如img嵌套一个图片 href链接一个文件下载等
2. 如何反盗链
简单的常用的方法是判断Referer头是不是自己的域名
apache可以通过匹配Referer进行 env 设置 然后Allow Deny
squid 可以通过匹配Referer进行 acl 设置 然后http_access alow deny
有一个细节就是不带Referer的请求(空Referer)允不允许 一般都允许 严格的话可以限制
(apache判断 ^$ squid可以通过对有内容取反设置 .+)
3. 如何反反盗链
反反盗链就是绕过前面反盗链的设置
下载软件的思路:一般是加上Referer等
浏览器的思路:一般是改设置不发Referer 或发反盗链不限制的Referer
Firefox的基本设置是 network.http.sendRefererHeader (about:config) 默认是2全发送
改成0 不发送Referer 改成1点链接发送 嵌套图片等不发送Referer头
Firefox 的 RefControl 插件可以基于站点设定Referer策略 或者指定Referer
对付判断Referer为自身或为空等都能反反盗链成功
另外也可以使用代理 代理一层根据需求过滤 Referer
4. 如何反反反盗链
简单的不行了 只能出大招了
比如加上User-Agent等别的头判断(当然也能绕) 正确的是 加上Cookie判断等 记录比对来过的IP
比如根据应用的架构 访问页面时设置session 访问图片等时判断是否来过
或者访问页面时把ip写到内存库 ip库可以放本地内存或远程(提供tcp/udp接口 注意效率)
访问图片时判断来源ip是否在这个ip库再返回正常数据或者404 object not found
技术上还可以更完美更变态一些...
当然并不是都限制"盗链" 比如有些网站资源丰富 或者给图片打上小标签打自己知名度等
限制的话能能节省带宽成本 防止被滥用等
限不限都有道理 反正大家都不容易 可以理解
这些是产品或管理方面的考量了 技术上大体就是上面说的
PXE网络安装、网络升级是我喜欢的 (4年前开始玩)
简单写几句
1. dhcpd 只需注意两点
一是指定 next-server: tftpboot server
二是指定文件名 /pxelinux.0 (syslinux的)
如果追求完美 就是部署ddns 根据iLO DRAC ELOM主机名动态控制
2. tftpd 注意安全问题: 路径、文件权限
in.tftpd -l -s /tftpboot/ 默认nobody权限 别被恶意覆盖文件就行
如果追求完美 可以在default前写C0A801 0A0200等文件 ks指定可以远程按需动态生成
改改msg 还可以再转换splash图片等
3. httpd (性能好)
mount iso (创建yum仓库 这里不必需 只是网络升级用)
如果追求完美 可以考虑绑定ip 限制来源 认证等
然后环境就搭好了
注意事项是:
考虑别影响现有dhcp环境
结合vlan或默认选项防止造成灾难重装
再有就是:
多vlan得配802.1q
只维护一个dhcp server 做dhcp relay ks按需动态生成就近取源等
log 归档
基本原理是:(dhcp/bootp的功能)
客户端PXE启动 广播dhcp请求
dhcp server回应ip信息 tftp信息
客户端抓取然后启动
输入选择调用对应的ks(kickstart) ks里面指定url源
其他是都在ks里面做了
从完美的角度 细节还是有一些 不过基本上算很简单
]]>4年前仔细研究了 PGP 的知识
今天重新创建一个有效期4年的 PGP Key 以后关键信息会签名发布或者加密发布
05788A15
Fingerprint: A3C4 E2F7 5D1C 457A CC26 49ED CDB5 7620 0578 8A15
[expires: 2012-04-12]
gpg -v --keyserver hkp://pgpkeys.mit.edu --recv-key 05788A15
gpg -v --keyserver hkp://subkeys.pgp.net --recv-key 05788A15
http://ipcn.org/windtear.asc
http://windtear.net/windtear.asc
附:windtear.asc
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.7 (GNU/Linux)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=ZcU1
-----END PGP PUBLIC KEY BLOCK-----
Redhat 改默认网关、改静态路由的超详细步骤
0. 简单说改默认网关是改 /etc/sysconfig/network 中的 GATEWAY 配置
改静态路由是改 /etc/sysconfig/network-scripts/ 目录的 eth?.route or route-eth?
详细提醒如下
1. 检查内外网流量 是否流量很大正在提供重要服务
得到相关人员确认后再行动
2. 确认是要改的机器
ifconfig (或 ip ad ls) 确认当前所在机器
3. route -n (或 ip route ls) 查看当前默认网关和配置
/etc/sysconfig/network
GATEWAY=当前.配置.网关.ip
4. 确认内外网卡配置 ONBOOT 配置 (eth0 eth1 ... 都要看)
/etc/sysconfig/network-scripts/ifcfg-eth0
/etc/sysconfig/network-scripts/ifcfg-eth1
5. 确认内外网默认路由配置 (eth0 eth1 ... 都要看)
/etc/sysconfig/network-scripts/eth1.route
或
/etc/sysconfig/network-scripts/route-eth1
最好再确认一眼 /etc/sysconfig/static-routes
确认 rc.local 配置 (加上所有自启动服务检查更好)
6. [可选] [高级]确认是否启用了策略路由
ip rule ls 确认有没有自定义 table 路由策略
7. [可选] 确认所有定时任务没有改 ip 路由等配置
比如远程更新网卡驱动 为防意外(保险)回退有时用此方法
8. 简单的修改可以用 ; 一次执行完 比如
route del default; route add default gw 新.网.关.IP
对自己不自信 可以先把自己的机器加上去 防止改错自己也连不上
route add -host 自己.机器.的.ip gw 正确.网关.的.ip
9. 大量修改用 ifup 生效 如 ifup eth1
用init脚本要用restart 如 service network restart
防止先敲 service network stop 回车后再想敲 service network start 的情况
A. 适用于 Redhat 发行版, 转载请注明出处
http://windtear.net/2008/03/redhat_network_route_gateway.html
相关文章:
Red Hat 下 route 静态路由 设置 eth0.route & route-eth0 & static-routes
http://windtear.net/archives/2005/01/13/000554.html
三种方式:
eth0.route redhat 新推的格式 比较傻瓜一些
route-eth0 redhat 的老的格式 对专业人士很好
static-routes
举例如下:
/etc/sysconfig/network-scripts/eth0.route
ADDRESS0=192.168.0.0
NETMASK0=255.255.0.0
GATEWAY0=10.1.1.254
ADDRESS1=172.16.0.0
NETMASK1=255.240.0.0
GATEWAY1=10.1.1.254
/etc/sysconfig/network-scripts/route-eth0
192.168.0.0/16 via 10.1.1.254
172.16.0.0/12 via 10.1.1.254
/etc/sysconfig/static-routes
eth0 net 192.168.0.0 netmask 255.255.0.0 gw 10.1.1.254
先 dumpe2fs -h /dev/xxx 看一眼结果 有个感性认识 再认真分析
volume name/magic number 0xEF53/fetures 如has_journal...
inode count/block count//block size/fragment size /inode zie
mount count/max mount count/ ...
关于 block size和fragment size 简单说 读取越大速度越快 越小越省空间
block size: kernel一次读的大小 如16384 4096 (设置方法 -b)
(btw: super block: 从硬盘开头 1024 字节开始往后的一部分数据)
fragment size: 放 block 的零头 减少浪费 如2048 512 (bsize/8 ~ bsize) (设置方法 -f)
inode: 索引节点 占128字节 存数据的基本信息资料(时间 存取权限 位置)
inode size: 多大的数据分一个 inode (设置方法 -i 4096)
越小则 inode table 越大,link越长 速度慢 空间利用率越高
经验值 4K 相当于文件的平均大小是 4K 此时inode table 占3.19%空间
(因为inode size太小 inode table占用空间多 空间利用率还是不高)
inode size 不能比 block size 小 要不会浪费 inode
所以以前ext2/3跑bbs玩要先计算好防止 inode 用光 data block 还有剩余
]]>迄今为止 我已遭遇过国内4大门户的spider攻击
新浪 搜狐 网易 腾讯
124.115.0.0 ~ 124.115.4.255
所有的请求都加一个 Referer 为请求URL的头
遭遇64个ip近万次的抓取 UA信息为 "Sosospider+(+http://help.soso.com/webspider.htm)"
目前已封了这5个网段
前面的blog:
60.28.164.* 新浪 iaskspider 也疯狂
yodao 的 spider 也可以直接封掉
sohu 公司昨天想 DoS 攻击我网站?
Windows 2000 Server 直接升级到 Windows XP Professional 是不支持的
采用全新安装:
1. 可以在运行win2k时 运行 i386\winnt32.exe 安装
2. 可以启动到dos环境 运行 i386\winnt.exe 安装
3. 还可光盘启动安装
通过 winnt32 winnt 可以指定参数
可以设置自动安装 可以为要在别的机器用的新硬盘安装
自动安装:
编辑无人参与应答文件 winnt.sif
(Winnt.sif文件中的语句段和条目与Unattend.txt文件相同)
[Data]
UnattendedInstall=Yes
AutoPartition=0 (提示选择安装分区)
[Unattended]
TargetPath=\WINXP
[UserData]
ProductKey="XXXXX-XXXXX-XXXXX-XXXXX-XXXXX"
FullName="Windtear Zhang"
OrgName=""
ComputerName="windtear"
复制文件完成后的情况是:
boot.ini 增加一项启动项
C:\$WIN_NT$.~BT\BOOTSECT.DAT
具体源文件目录默认在 C:\$WIN_NT$.~LS
直接复制好环境绕开拷贝文件的方法是:
修改 c:\$WIN_NT$.~BT\winnt.sif
OriSrc="C:\$WIN_NT$.~LS\"
migrate.inf 的目的是保持原系统的驱动器字母
正式安装:
目标盘如果是ntfs分区 如果该分区之前的安全权限设置里面没有 Administrators 组
会提示错误 bootvid.dll 拷贝失败 提示重插光盘等
但是呢 又能把目录结构建起来 只不过文件名大都是 $$TEMP$$.~~~
WINXP 目录共 45,818,106 Bytes
平滑升级的方法和注意事项:
1. 尽量用免费开源的软件 配置文件在目录里的
2. 导入 IE 的收藏夹 cookies 导入各家银行的个人信息证书
3. 导入通讯薄备份 windtear.wab
4. 拷贝Application Data 开始菜单 _viminfo PUTTY.RND My Documents\Default.rdp
5. 导入原系统的相关软件注册表信息 个别dll需要拷贝到 system32 目录
6. gnutools 等不用动 直接设置 PATH
7. 只有 winpim 需要重新安装 其实主要是注册控件
8. 招行专业版同理 注册完控件直接用 证书都不用恢复:)
9. 安装 WindowsInstaller-KB893803-v2-x86.exe 然后安装
Windows Live Messenger 8.5.1302.1018 (之前win2k是7.0.0820) 改多登的方法
Install_WLMessenger.exe 12.0.1471.1025 20256272 bytes
拷贝 msn 聊天记录 或者设置消息目录时指定老的
基本上我的软件都直接用 比如大众化的
Firefox Thunderbird putty fterm OpenOffice.org gVim mpc TotalCMD 等等
其他很多软件就不列出来了
安装 ipw2200-firmware (Intel PRO/Wireless 2200BG Driver Firmware)
/lib/firmware/ipw2200-bss.fw
/etc/modprobe.conf
alias eth1 ipw2200
options ipw2200 hwcrypto=1 associate=0
/etc/sysconfig/network-scripts/ifcfg-eth1
# Intel Corporation PRO/Wireless 2200BG Network Connection
DEVICE=eth1
ONBOOT=yes
BOOTPROTO=dhcp
ESSID=ipcn
KEY=12345678901234567890123456
ifup eth1 或 dhclient eth1 启用无线网卡
iwconfig ifconfig 查看信息
前年安装的一个 FC6 今天跨版本升级到了 Fedora 8
参考文档:http://fedoraproject.org/wiki/YumUpgradeFaq
第一步:Fedora Core 6 -> Fedora 7
一个大变化是 /dev/hd... 都变成 /dev/sd... 了
下载安装 fedora-release (7/Everything/i386/os/Fedora/ 目录)
fedora-release-7-3.noarch.rpm
fedora-release-notes-7.0.0-1.noarch.rpm
先细心耐心的解决容易出现的问题后
yum clean all;yum -y upgrade
第二步:Fedora 7 -> Fedora 8
同样先装新版本的 fedora-release 包 (8/Everything/i386/os/Packages/ 目录)
fedora-release-8-3.noarch.rpm
fedora-release-notes-8.0.0-3.noarch.rpm
然后 yum clean all;yum -y upgrade
最好先选个比较快的源 比如
http://mirrors.fedoraproject.org/mirrorlist?repo=fedora-8&arch=i386
我选的源是 fedora.repo
baseurl=http://fedora.candishosting.com.cn/pub/fedora/linux/releases/8/Everything/i386/os/
和 fedora-updates.repo (走教育网路由)
baseurl=ftp://openware.byr.edu.cn/pub/os-images/fedora/linux/updates/8/i386/
我是用 GRUB for dos 引导的
过渡的 Fedora 7 grub配置信息 (如果不用 LABEL 要把 /dev/hda6 改成 /dev/sda6)
kernel /boot/vmlinuz-2.6.23.15-80.fc7 ro root=LABEL=/
initrd /boot/initrd-2.6.23.15-80.fc7.img
最后的 Fedora 8
kernel /boot/vmlinuz-2.6.24.3-12.fc8 ro root=LABEL=/
initrd /boot/initrd-2.6.24.3-12.fc8.img
顺便提一句 mount.cifs 和 ntfs-3g 挂载网邻和NTFS分区
本blog相关文章:
2006-10-29 23:58 windows 系统通过 GRUB for dos 硬盘安装 FC6 Fedora Core 6
2008-03-01 16:32 windows/linux双系统 把 UTC 改成 false 解决时间相差8小时问题
2008-03-12 00:16 Fedora 配置 Intel Wireless 2200 无线上网
mtr 代表 Matt's traceroute 最早是由 Matt Kimball 开发的
官方主页 http://www.bitwizard.nl/mtr/
mtr 是把 traceroute 和 ping 集成在一块的一个小工具 用于诊断网络
可选参数: 常用-n 以及 -r -c 30 等
-n --no-dns
-r --report -c COUNT --report-cycles COUNT
-p BYTES | --psize BYTES
-a IP.ADD.RE.SS | --address IP.ADD.RE.SS
-i SECONDS | --interval SECONDS
-l --raw
-s --split
-t --curses -g --gtk
如
# mtr -n -r -c 10 10.2.0.1
HOST LOSS RCVD SENT BEST AVG WORST
10.4.0.1 0% 10 10 1.59 1.87 2.93
10.3.0.1 0% 10 10 1.79 1.82 1.91
10.2.0.1 0% 10 10 1.41 1.52 1.78
# mtr -n -i 10 10.2.0.1
公司电脑上装的邮件客户端是 Foxmail (Foxmail 6 正式版 020)
昨天先崩溃失去响应 然后不得已杀死 Foxmail 进程
再启动收信就开始收所有信
原因是 uidl 文件出问题了
解决办法:
telnet mailserver 110
USER windtear
PASS ipcn.org
UIDL
把 UIDL 的返回记下来简单处理一下就行
Foxmail 的格式如下:
1204799618.6863.mail.ipcn.org,S=14522&&2008-03-07
主要改动两点
1. 换行 convert_breaks="1"
2. 加了版权声明(拿车东的改的)和链接
加这个 需要自己改<![CDATA[
主要是前些天搜东西 发现很多地方转载(或订阅)了我的blog内容
转载然后删除我blog中一些信息的也不少 (欢迎订阅 欢迎交流 订阅没什么说的)
转载给个链接很简单的事 不给链接也没关系 别把相关的都转载后 再组织自己的链接
本来我写的就不详细 再被删删折腾折腾就不能看了...
google把windtear.net和ipcn.org的索引删了
(为什么呢? 据康神去年说是文章质量太低 疑似骗AdSense 然后封了一年了)
所以搜ipcn搜windtear 或者搜我写的文章很多都是别的地方的转载
水木社区blog系统开始升级 http://mysmth.net/
采用 WordPress MU
编码改为 UTF-8 和校内网一样
个人网址锁定了 id.mysmth.net 比如 http://windtear.mysmth.net/
原来的blog系统保持不变 为便于区分改称水木文集
http://www.newsmth.net/pc/
编码还是 gb2312
老系统的分类 归档 日志 评论 链接都导入到了新系统
不错 加油
awstats 多域名正则匹配解决方案
同一服务器跑多个域名 用 awstats 做访问分析有两个办法
1. 分别记 log 分别分析
2. 一块记 log 匹配分析
1. 分别记 log 简单快捷高效
1.1 apache 在 VirtualHost 虚机配置里面设置 CustomLog
LogFormat 可以自己定义 如
把 %r 换成 %m http://%{Host}i%U %H
1.2 squid 2.6 可以结合 acl 单独记log
acl proxyipcn dstdomain proxy.ipcn.org
access_log /data/squid/var/logs/proxyipcn.log common proxyipcn !nolog
emulate_httpd_log on
log_combined on # 这是2.5时做的一个patch 目的是记referer和ua
squid 2.6 可以自定义 logformat
2. 一块记 log 匹配分析 只为讨论技术
由于 logformat 几乎就是 awstats 的 LogFormat=1
唯一要做的就是匹配出 vh
如果再改前面的 logformat 匹配出 %virtualname 显然不方便
最轻巧的改法就是由LogFormat 1 hack出来一个 LogFormat 5
把 $PerlParsingFormat 中的 ([^ ]+)(?: [^\\\"]+|)\\\"
改成 (http:\\\/\\\/([^ ]+)\\\/[^ ]+)(?: [^\\\"]+|)\\\"
多出来一个 $pos_vh=5 赋给 vhost
不好的地方是n个域名要跑n遍 效率不好
不过在不考虑效率时 改动最最小
家里一台老机器 3年没怎么用了
以前有个windows系统 2006年装了个Linux FC 6 (Fedora Core 6)
http://windtear.net/archives/2006/10/29/001125.html
现在是 Windows / Linux 双系统
开机进 Linux
(设置时区cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime)
ntpdate 同步时间
hwclock -w or hwclock --systohc 更新BIOS时间
重起进入 Windows 后系统时间慢了8小时
这是因为 UTC 的设置问题
# cat /etc/sysconfig/clock
ZONE="Asia/Shanghai"
UTC=true
ARC=false
改成 UTC=false 就行了