Posts

tshark实时抓包获取DNS请求信息 1. tshark的安装 CentOS6 YUM源内的wireshark安装后，不支持GeoIP，需要自己编译一下最新的版本。 yum install GeoIP GeoIP-devel geoipupdate -y ./configure --with-geoip=/usr/share/GeoIP/ --enable-tshark=yes make …

使用TLS增强docker的安全性 之前部署docker的时候都是没对docker的HTTP/socker接口进行加密。最近在线上部署的时候就得考虑这个。使用证书对docker进行加密主要参考官方的文档： https://docs.docker.com/v1.13/engine/security/https/ https://github.com/docker/swarm/issues/341 …

利用BGP community黑洞路由 场景 在被攻击的时候，当入口无法承受巨大的流量时大家采用的方式是切换业务IP，然后把之前的IP做黑洞。 在与ISP对接时，每个ISP都有自己的BGP配置规范。接入方可以参考commuity属性对自己的路由做很多设置，包括MED,Localpref，AS-PATH 添加、路由定向宣告等， …

BGP路由重分发过滤 以下图为例 https://blog.gnuers.org/?attachment_id=1386 R1 配置 在R1给R2发送路由时，把6.6.6.0/24去掉。对应的配置为 log file /var/log/quagga/bgpd.log password bgp router bgp 65001 distance bgp 250 200 150 bgp …

bind 9.11 ECS基本测试 9.11 中增加了多EDNS Client Subnet（ECS）的支持。但是目前网上都还没有相关的测试，仅仅在邮件列表有点没配置成功的咨询。 在9.11中需要开启ECS需要在编译的时候指定Geoip yum install -y GeoIP ./configure --with-geoip=--with-geoip=/usr/share/GeoIP/ 目 …

wordpress垃圾评论清理 最近开启了评论，存在大量机器自动填的垃圾评论。网上找了下一些验证插件，要么是使用还得把评论发到其服务端过滤，要么是像myQaptcha这样的太久不更新早已不能使用。 网上找了个方案是直接把wp-comments-post.php文件改一下名字，先试试效果吧。 mv wp-comments-post.php wp-comments-post-gnuer.php sed …

全球BGP Looking Glass 有几个场景需要使用BGP Looking Glass。 确认某个区域/ISP的用户访问自己的服务时走的路线。 在使用自己的BGP网络对外宣告地址时，需要看看自己的ISP是否真的接受了对应的路由。 目前国外主流的Tier1 /Tier2都提供了Looking Glass可以查看路由。网上有整理好的looking glass …

使用anycast抵御DDOS的方案 前面有多次介绍Anycast的相关内容。这几年伴随每次cloudflare被大规模DDOS，Anycast被越来越多的人关注。 根据cloudflare的blog和公开的PPT，大致可以猜出其CDN的部署模式是下图 https://blog.gnuers.org/?attachment_id=1364 因为Cloudflare单个节点基本都在300G以上，全球 …

BGP路由反射 接着上一篇文章中的图 https://blog.gnuers.org/?attachment_id=1351 要想IBGP内各路由器内都有完整的路由信息，可以做的方案： 做full mesh，也就是改一下R1/R2的配置，将对方做peer。 将R3设置为路由反射器（Route-Reflector） 使用BGP联盟，把内部各路由器划到不同分子AS。 路由反射的配置比较简单，R1/R2 …

使用quagga配置BGP BGP相对OSPF来说在骨干网络上使用的比较多，是目前域间路由协议的事实标准。通常在服务器上直接使用BGP的场景不多（内部网络大家都倾向使用OSPF这类IGP）。 其实BGP的配置也很简单，从以下的拓扑来看4个机器的BGP配置 https://blog.gnuers.org/?attachment_id=1351 各路由配置文件 R1 配置 ! log file …