Posts

dnssec实践 Domain Name System Security Extensions (DNSSEC)DNS安全扩展，是由IETF提供的一系列DNS安全认证的机制,可参考RFC2535。DNSSEC主要是解决递归DNS到权威DNS直接的信任机制问题，并不能解决终端用户的任何问题。 目前在国内企业中使用dnssec的比较少。究其原因有两点： 不配置也可以用。 配置了意义也不大。 在国内绝大 …

mysql同步时提示 the table is full 内部有个产品本身是和mysql绑定在一起的。近期同步时出现”the table is full”。 在网上搜了一下是一些参数设置问题，修改后重启mysql解决。 tmp_table_size = 2048M max_heap_table_size = 2048M

bind主备同步的关键配置 DNS系统中，在大家的直观印象下bind主备的同步都是“实时”的。实际上主备同步的速度有诸多的瓶颈。 对于master而言： 是否有delay notify消息，这个配置是 notify-delay,默认是5s，有必要的话是需要缩短的。 transfers-out 限制同时允许区传输的数量，默认是10，如果slave多，zone多需要调大。 …

mac下安装iprouet2 习惯了linux下的ip命令，在mac下非常不方便。mac下有个python包装的版本可以直接安装使用 brew tap brona/iproute2mac brew install iproute2mac

linux下Wireless-N 2200网卡不稳定 也忘记从什么时候开始，在linux下连无线路由器变得非常不稳定。 当前内核版本：3.16.0-4-amd64 无线网卡：intel Wireless-N 2200 driver: iwlwifi version: 3.16.0-4-amd64 firmware-version: 18.168.6.1 网上查了一圈，可能是驱动的问题，只能通过屏 …

quagga路由进程连接限制 quagga套件内的每个路由进程，都会起1个独立的端口。日常的管理我们可以通过直接telnet 端口登录到相应的路由进程做操作。 出于安全的考虑，我们需要对连接到这些路由进程的ip做限制。以只允许本地连接为例，zebra.conf/ospfpd.conf的配置如下 access-list allowed permit 127.0.0.1/32 access-list …

vtysh批量执行命令 在使用quagga的过程中，实际有很多非交互式的场景，比如想批量做路由撤销的操作。从一个系统管理员的角度上看，希望对软路由的控制像直接在linux里写脚本一样简单方便。之前在vtysh里行执行路由撤销命令我是用expect实现的 /usr/bin/expect -c " set timeout 2 spawn $vtysh expect …

dns缓存投毒的防范措施 dns投毒是指攻击者伪造权威DNS的回包,向递归DNS发送查询应答包.因为UDP本身是无状态的.递归dns在发送请求时会随机产生1个ID做标识,当自己发送出去请求包后,如果伪造满足下列条件一个UDP包就可以让递归DNS缓存到自己设置的一个记录: 目标IP/端口为递归dns发请求时使用的源IP/端口一致 报文里的TXID一致 查询的记录一致 为了尽量减少缓存投毒可以使用的方 …

使用netem模拟弱网络环境 前段时间为了测试bind递归时的SRTT算法效果,使用netem模拟了一下到几个NS的任意延迟.简单的脚本如下 tc qdisc add dev eth1 handle 1: root htb tc class add dev eth1 parent 1: classid 1:1 htb rate 100Mbps quantum 40000 tc class add …

ixfr-from-differences的功效 常规情况下bind的主备同步是自动增量同步的。但是有些场景下是全量同步，比如自己手动改的zone文件，重新加载进去。 一般内部的反解信息是根据所有的zone自动生成的，就会存在PTR记录每次全量同步的量非常大。测试了可以通过打开ixfr-from-differences，在master上自动计算差异，slave就可以做增量同步了。 …