目前分類:網路管理 (14)

瀏覽方式: 標題列表 簡短摘要

POODLE ( Padding Oracle On Downgraded Legacy Encryption ) 的攻擊主要是透過中間人攻擊手法,將 TLS 的加密連線降為較不安全的 SSL 3.0,進而可以從中看到明文的資料

但這攻擊已經是去年的新聞了,此篇文章僅是記錄如何利用 NMAP 此套軟體來檢測

1. 首先開啟 NMAP,選取「配置」->「新的配置或命令」

poodle-1.png 

bojack 發表在 痞客邦 PIXNET 留言(0) 人氣()

不多說,網址如右 http://www.intodns.com ,最近靠這網站檢查出 DNS 一些小問題,推薦給大家!

bojack 發表在 痞客邦 PIXNET 留言(0) 人氣()

一般來說用來測試網路是否正常的指令,我們會使用 Ping 或 Traceroute 的方式來測試

不過 Ping 和 Traceroute 的功能又不一樣,Ping 是用來看封包從來源到目的地所回應的資訊,Traceroute 是用來檢視到目的地中間跳了哪些節點

實際上有個好用的工具叫 MTR ,它結合了二者的功能,使用 MTR 就可以一次到位檢梘所有資訊

這工具支援 Unix-likes ,而在 Windows 上的版本叫 WinMTR

透過 MTR 這工具,可以看到封包的遺失率、送出的封包個數、最後一次回應的 ms 秒數、平均回應的 ms 秒數、最快回應的 ms 秒數及最糟的 ms 秒數

FreeBSD 上面透過 Ports 安裝就有了,執行也很簡單,假設我要看 Hinet DNS 168.95.1.1

# mtr 168.95.1.1

而 WinMTR 的畫面也很簡單使用

真的是方便多了 : )

bojack 發表在 痞客邦 PIXNET 留言(0) 人氣()

重設 HP 1810G-24 的方法很簡單,首先準備二根迴紋針

然後在前面面版有二個小孔,分別有 Reset 和 Clear 的文字

接下來同時將迴紋針插進並壓著裡面的按鈕,此時面板上的燈號就會改變,這時可以先放開 Reset 那邊的針

待燈號回復到正常的綠燈後即可鬆開 Clear,這時就會還原到初始值了

Switch 的 IP 就會回到 192.168.2.10

bojack 發表在 痞客邦 PIXNET 留言(0) 人氣()

先把架構圖放上來,今天的研究是沿續昨天的 VLAN 應用 :p

原本我在 HP 1810G-24 已經切好了 6 個 VLAN,Port 23-24 為 Trunk Port,設定帶 6 個 VLAN Tag

自己的筆電就視情況設定 IP 及接到所需 VLAN 的 Port 就可以用不同網段的 IP 了

不過實際上,我們可以在網卡上直接設定 VLAN ID,而所接的 Port 只要設定為 Trunk Mode,也就是所需 VLAN 的 Tag,這樣就可以不用拔線又可以使用不同網段的 IP

我的作業系統是 Windows Vista,安裝的網卡是 Realtek 8168,若原本的網卡不支援 VLAN 的設定,請先更新網卡的 Driver

請到 Realtek 下載相關驅動 以及等會要用到的程式 Windows Diagnostic Program

驅動可以從我的電腦 -> 右鍵 -> 管理 -> 電腦管理 -> 系統工具 -> 裝置管理員 -> 網路介面卡,找到網卡後按右鍵「更新驅動程式軟體」即可

另外也請安裝 Windows Diagnostic Program,安裝好之後應該會出現在右下方,啟動它點選你的網卡後

點選「虛擬區域網路」,按右邊的增加直接填入你的 VLAN ID 後,稍等一會兒後就會多出一張虛擬網卡了

最後只要填入該 VLAN 內可用的 IP 後就可以使用囉!

參考資料

不自量力的 Weithenn - Windows 7-Realtek 網卡支援 VLAN Tag

bojack 發表在 痞客邦 PIXNET 留言(0) 人氣()

說來慚愧,一直以來學習東西總是用跳躍式的學習方式,往往都是倒過來學習

在一些基礎的理論上反而就沒有那麼清楚,特別是在網路管理這一塊

今天拿了一台 HP 1810G-24 的 L2 網管交換器來摸,配合機房那一端 2950G 設定 Trunk 讓多個 VLAN 可以在 1810G 運作

設定 VLAN 時碰到了一些關鍵字「802.1Q」、「Tag」及「Untagged」

實際上這些東西我在 D-Link DES 3526 已經摸過了,那時只是傻傻跟著文件操作打指令

對於 Tag 跟 Untagged 該設定在哪個介面是不會弄錯,但卻不懂其真正的原理

今天花了一點時間研究了相關文章,如果你對 VLAN 的封包交換原理有興趣的話,可以參考看看這些文章

維基百科 - IEEE 802.1Q

The Will Will Web - 釐清網管型 Switch 裡與 VLAN + Tag + Untag 之間的觀念

酷學園 - 請問VLAN的tagged&untagged觀念?

使用 3Com Switch 採 802.1Q 標準來設定 VLAN

臺中市光明國中 教務處 - CLI Switch Layer3 VLAN 設定

bojack 發表在 痞客邦 PIXNET 留言(0) 人氣()

有要常常切換 IP 的人就會需要這東西

假設我的環境是這樣

網卡名稱:區域連線

IP:192.168.1.1

網路遮罩:255.255.255.0

Gateway:192.168.1.254

DNS:168.95.1.1 跟 168.95.192.1

把下面這四行複製起來貼到記事本後,副檔名存為 bat 就可以了

netsh interface ip set address "區域連線" static 192.168.1.1 255.255.255.0 192.168.1.254 1

netsh interface ip set dns "區域連線" static 168.95.1.1

netsh interface ip add dns name="區域連線" addr=168.95.192.1 index=2

pause

bojack 發表在 痞客邦 PIXNET 留言(0) 人氣()

架構圖請參考【網路管理】用 Smartbits 測試 Cisco 3750g BGP Routing 功能 ( Cisco 3750g 篇 )

這次要說明在 Smartbits 的設定,原則上透過 TeraRouting Tester 來設定即可,所以這篇都是一堆圖

我們要模擬從 Smartbits 第 1 個介面以每秒傳送 10 萬個 64 byte 的封包扔往 Cisco 3750 後,經由路由表轉送到 Smartbits 第 2 個介面

來源封包是 20.0.0.1 -> 30.0.0.1

首先設定 Port Setup,Media Type 看是用 Fiber or Copper,Speed 也請選適當的速度,MAC Address 是 Smartbits 介面的 MAC

SUT MAC Address 就是對接 Router 的 MAC 了,以此例就是我對接 Cisco 3750 10.1.1.1 跟 10.2.1.1 的 MAC

cisco-1.JPG  

bojack 發表在 痞客邦 PIXNET 留言(0) 人氣()

這陣子學校要換 10G 的設備,跟廠商借了一台 Smartbits 600 ~ 主要是希望能夠透過 Smartbits 產生 BGP 路由以及不斷的送封包來檢測相關項目

Smartbits 是 Spirent 的產品,在台灣目前僅有廣聯科技在代理這產品,功能還蠻強大的,可以用來模擬製造網路流量

小小一台機器價格非常的不便宜,學校某實驗室在 95 年購買就高達 150 萬了 @_@

目前我用到的軟體有 SmartApplication、SmartWindow,不過若要產生 Routing 的話,就要用到 TeraRouting Tester,簡稱 TRT

卡版也要有支援才可以,這次借的卡版是 TeraMetrics LAN-3325A,它是可以用的 !

下面是我用 Cisco 3750 做的測試

cisco-1.jpg

首先設定 ipv4 的介面,先建立二個 vlan

cisco#config t
cisco<config>#vlan 10
cisco<config-vlan>#exit
cisco<config>#vlan 20
cisco<config-vlan>#exit

設定 ipv4 之前先來啟用一下 ipv6 的功能,設定好之後讓它 reload 才可以繼續設定 ipv6

bojack 發表在 痞客邦 PIXNET 留言(0) 人氣()

利用 UNIX 底下的指令

#curl -I 網址名稱

ref. 潛艦 - 教育部網站 ( www.edu.tw ) 轉換作業系統及平台?

bojack 發表在 痞客邦 PIXNET 留言(0) 人氣()

簡單來說分為二種方法,第一種是事先防禦法,第二種是亡羊補牢法。

先介紹亡羊補牢法,因為大部人都是中了才會發現 XD

其實只要連到書維的 Blog 下載解毒程式,插入隨身碟開始掃瞄就好了!

那事先防禦法就是安裝 WowUSBProtector 來防護,它是一套專門掃隨身碟病毒的程式,當隨身碟一插入後立即就會清除

使用說明請參考 Yi-Feng Tzeng's Blog

bojack 發表在 痞客邦 PIXNET 留言(0) 人氣()

今天和廠商大戰了六個多小時,為了把新的防火牆上線,但在 DNS 的部份一直發生問題!

由於是採用 NAT 的架構,在做 IP & Port Mapping 的時候發現 DNS 始終 Mapping 不起來

查了很久很久很久,最後才發現,原來是 DNS 遞迴查詢的功能被限制住了

這樣也好,問題找到了 ... 也讓我對 DNS 的設定有更進一步的認識

BIND 預設遞迴查詢是開放的,也就是說當架設起 DNS 後,任何人在預設的情況下都可以拿你的 DNS 來做查詢。

在此情況之下可能會發生負載過重或遭 DoS 攻擊的情況,因此針對查詢的來源要做適度的限制

若要完全關閉 DNS 遞迴查詢的功能,在 named.conf 的 options 區塊加入 recursion no;

若要進一步限定特定 IP 才能做遞迴查詢的話,在 named.conf  的 options 區塊加入 allow-recursion { IP/SubMask; IP; };

bojack 發表在 痞客邦 PIXNET 留言(0) 人氣()

今天收到區網中心的一封 E-mail ,內容提到我們這有個 IP 疑似被當作 Open Relay 或已成為 Spam Sender !

根據信件內所查的 IP 為 Yahoo 的 Mail Server ,再去查了一下 Maillog 發現原來是我們某台 Mail Server 被 Yahoo 當作是 Spammer 了,於該台 Server 使用人數較為眾多,因此會對 Yahoo 有較多連線情況也是很正常的。

Maillog 如下

Nov 9 15:03:49 xx postfix/smtp[87375]: connect to mx2.mail.tw.yahoo.com[203.188.197.10]: server refused to talk to me: 421 Message from (x.x.x.x) temporarily deferred - 4.16.50. Please refer to http://help.yahoo.com/help/us/mail/defer/defer-06.html (port 25)
Nov 9 15:03:49 xx postfix/smtp[87375]: 71F2836A2F2: to=<xxx@yahoo.com.tw>, relay=none, delay=1, status=deferred (connect to mx2.mail.tw.yahoo.com[203.188.197.10]: server refused to talk to me: 421 Message from (x.x.x.x) temporarily deferred - 4.16.50. Please refer to http://help.yahoo.com/help/us/mail/defer/defer-06.html)


知道原因之後,就直接打給 Yahoo 客服,在此要抱怨一下 Yahoo 客服有夠難打的!目前 Yahoo 的客服為 02-21927123,沒事不要打給它,不然會等到發瘋

原則上打電話去向
Yahoo 客服說明情況後,她會要求您提供相關資訊並會寄發一封 Mail ,按照 Mail 內容填寫回覆後,接下來就是 ...... 等 XD

bojack 發表在 痞客邦 PIXNET 留言(0) 人氣()

台灣路由實驗中心 - 分超多網路相關知識版區,超詳細

陸續更新...

bojack 發表在 痞客邦 PIXNET 留言(0) 人氣()