GNUer's Blog

wordpress禁用google字体API 最近经常发现blog打开比较慢,发现是wordpress升级后需要使用http://fonts.googleapis.com/,google的任何服务在国内访问都麻烦的.最简单的就是装一个插件把这个关闭掉. 搜索插件:Disable Google Fonts,安装后即可解决问题.现在试了试速度终于正常了.

bind做递归DNS的一些防攻击手段 权威DNS的防攻击相对容易一些,对于一般的小公司的话可以使用rrl模块做简单的限速就能取得不错的效果。测试过开启限速后使用queryperf去打，bind的负载基本不会上升的。 递归DNS的防攻击会负责很多。如果单纯使用开源的解决方案就只有rrl和rpz这2个东东可以考虑了。值得一提的是在bind9.9.4里把这2个patch合并进去了。现在最新版的bind都 …

bond不同模式下网卡流量分配 大家常用的bond模式主要是mode 1和4.其中mode1就是简单的主备模式，mode4是两个网卡都有流量的。以下是每种模式的简单介绍： balance-rr or 0 — Sets a round-robin policy for fault tolerance and load balancing. Transmissions are received and …

ntp 反射放大攻击 之前有介绍过DNS的反射攻击，主要是伪造受攻击的IP给开放递归DNS发起一些查询，包括不限于ANY类型的查询或者是自己制造一些很大的TXT记录，使得这些开放递归DNS对受攻击的IP回复非常大的包，达到攻击流量放大的作用。最近又有比较流行的是NTP的反射放大攻击，主要是利用里monlist去ntp服务器提供查询最近与NTP服务器有联系的600个client的信息。使用的方式类似 …

屏蔽迅雷盗链下载文件 不经意间发现绝大部分流量都是来自于迅雷，一看日志里都是在下载各种硕大的ISO文件，而且每个请求下周的size也不大。为了保证正常请求能有充足的资源处理，就得把这部分请求屏蔽掉。 统计了一下迅雷现在使用的UA多得不得了，很难简单的跟进UA来处理，所以只能直接找这些UA的交集做处理了，直接把UA匹配MSIE的就给封了，一般说来开源爱好者是不会使用IE的，在页面上说明一下影响也 …

搭建公共源需要注意的一些点 最近搞了一个公共的源,把主流的镜像都同步好了.不过目前的访问量还不大,服务器的负载比较低. 在做公共的源的时候要注意自己是7X24提供服务的,所以我们在用rsync进行同步的时候需要关注一些细节的地方,主要是分2步同步. step 1: 同步的时候忽略索引文件,并且不能删除源没有的文件. step 2: 待第一步成功后再做一次普通的全量同步,把源里没有的文件删除掉. 这 …

vlan和lvs 一般说来一个服务器如果同时有公网ip和私网ip，那么网卡上都是配置一下不同的vlan tag使得网卡能用属于不同vlan内的地址。 因为LVS在用DR模式只是需要Director和RS能通过1个子网通信。所以当我的机器同时都有公网IP和私网IP的时候，配RS时就写的私网的IP。结果发现是跑不通的，后来想了一下是因为这个包在走内网地址转发的时候vlan tag信息丢了，造成包到RS …

旁路阻断技术-转载 旁路阻断就是采用旁路的方式侦听通信的数据包，然后再进行协议还原，根据内容进行阻断。这类技术的优点是不影响互联网访问的速度，并且对用户没有特殊的设置要求。通俗讲是并联在互联网的出口上，不会影响原来网络的稳定性，部署也很方便。 采用旁路的方式管理网络并阻断非法连接的方法可以分为三类： 1、 发送TCP Reset包 2、 通过与网关产品联动，建立临时规则 3、 进行基于arp的阻断 …

BGP选路决策过程 1、选管理属性权值最大的路由 2、选LOCAL_PREF最大的路由 3、优选IGP路由，次选EGP路由 4、优选AS_PATH最短的路由 5、选源编码最低的路由，IGP低于EGP,EGP低于incomplete的路由 6、选MULTI_EXIT_DISC最低的路由 7、优选EBGP路由，次选联盟EBGP路由 8、选NEXT_HOP最近的路由 9、如果以上属性都相同，切都来自同一 …

两例cost不同引起ospf集群流量不均衡 搞过N套ospf集群，流量不均衡基本都是cost值不同引起的。 第一次是我扩容之前的一个集群，原来就2个机器跑ecmp，流量还算是均等。后来考虑到容量上可能会有不足我就扩容了2个机器，结果发现扩容的机器ospf起来后老的2个机器就没有流量了。在核心交换机上查到4个area的cost不同，新的2个机器的cost没有设置是1，然后老的2个机器的cost以前在 …