從有為青年變成有為中年男子的生活札記

以前連線到有 https 的網站時，在 Chrome 瀏覽器的網址列都可以直接查看網址資訊，但自從某一次 Chrome 改版後就再也無法直接看到了

解決的方式如下，點選 Chrome 右上角的設定 ( 3 個 . 的那符合 ) -> 更多工具 -> 開發人員工具 -> 在上面找到 Security 就可以看到網站用的憑證囉 !

但還是想不透為什麼 Chrome 要把它搞得那麼複雜就是 ~ 

最近在研究防火牆的東東，其中防火牆的運作模式吸引了我的注意，有看到幾個名詞

1. Bridge / Transparent Mode
2. NAT Mode
3. Routed Mode

Bridge / Transparent Mode，示意圖如下

( 內部網路 IP ) ---- ( L3 Switch or Router ) ---- ( 防火牆 ) ---- ( 封包 Source IP : 內部網路 IP ) ---- ( Internet )

這種運作模式是最簡單的，把防火牆放進去時不太需要去變動既有的網路設定，它所做的就是橋接二個不同的網路，也稱之為透通模式 ( Transparent )

而防火牆本身也只要設定一個 IP 就可以了，對防火牆來說，它只要做看封包再進而做阻擋或放行的工作就好，不做找路由這件工作

 

NAT Mode，示意圖如下

( 內部網路 Private IP ) ---- ( L3 Switch or Router ) ---- ( 防火牆 ) ---- ( 封包 Source IP : 防火牆代轉 Public IP ) ---- ( Internet )

NAT ( Network Address Translation ) 是大家常聽到的名詞，通常在網路 IP 不夠用的時候，內部的網路就會先使用虛擬 IP

當要連上 Internet 時，就透過防火牆代轉為外部 Public IP，也得負責找路由看下一站要往哪個節點扔

而防火牆本身需要二個 IP，一個介面的 IP 是對內，另一個介面就是對外 IP

 

Routed Mode，示意圖如下

( 內部網路 Public IP ) ---- ( L3 Switch or Router ) ---- ( 防火牆 ) ---- ( 封包 Source IP :內部網路 Public IP ) ---- ( Internet )

其實跟 NAT Mode 很像，也很多人常分不清楚跟 NAT Mode 有什麼不同，其實還蠻簡單的

Route Mode 不會協助做 NAT 代轉的動作，等於說內部主機的封包經過防火牆出去時，封包還是保留原來內部主機的 Public IP，也得負責找路由看下一站要往哪個節點扔

而防火牆本身也是需要二個 IP，一個介面的 IP 是對內，另一個介面就是對外 IP

 

有些防火牆只會有 Transparent Mode 跟 NAT Mode，所以 Transparent Mode 一般來說也視為 Bridge Mode

而 NAT Mode 也視為 Routed Mode，但我覺得還是有些許差異啦，所以當防火牆只有 NAT Mode 時也可當作 Routed Mode 來用

可是如果同時有 NAT Mode 跟 Routed Mode 出現時，就得視您的網路狀態選擇適合的運作模式了

 

以上文章內的觀念若有錯誤還請多多指教 : )

如果個人電腦或系統被塞了惡意程式該怎麼查出來呢？

在 Windows 可以用系統內建的 netstat 來簡單查看一下網路連接狀況

打開命令提示字元後輸入 netstat -anb 後就可以看到目前程式與網路連結的情況

參數說明如下

-a 顯示所有連線和聽候連接埠

-b 顯示涉及建立每個連線或聽候連接埠的執行檔。在某些情況下，已知執行檔可主控多個獨立元件，在這些情況下，便會顯示涉及建立連線或聽候連接埠的元件順序。

    如此，執行檔名稱位於底部的 [] 中，上方便是它呼叫的元件等，直到已達 TCP/IP。請注意，此選項相當耗時，而且如果您沒有足夠的權限，便會失敗。

-n 以數字格式顯示位址和連接埠號碼

如果有發現異常的程式後可以配合指令 dir /a/s 檔案名稱 找出來這個檔案的路徑在哪兒，再用清除程式刪除掉即可

若清不掉的話可以用 費爾強力木馬清除程式 或 unlocker  之類的程式即可

那 Unix-likes 系統可以用 top 這個指令，進入畫面後再按一個 a  就可以看到程序完整的執行路徑了，通常有被塞人家寫的惡意程式就很好找出來了

參考資料

Pank's Blog - 解決Windows開機後約20-30分鐘就不能上網

最近有個機會和廠商借了一台 QoS 設備，借這設備最大的好處是可以知道咱們家的網路頻寬大都拿來做什麼事情

直接看今晚我擷取的一張小圖就好 ( 這些流量是以每秒來計算的，這時我們 Total 總流量約為 270 Mbps)

裡面大概是列出一般常用的服務，這幾天測試下來，發現高居使用量排行榜前３名就是 Streaming、Web 及 P2P

現階段本校給的 Quota 大約是 Per IP 5G/DAY，若不是拿來下載東西的話， 5 G 在正常的使用範圍裡應該也夠了

讓我感到奇怪的是為何 Streaming 這東西，照道理來說看 PPS 應該只需要消耗大量的「下載」頻寬，為何連「上傳」也用了很多

查了一下 PPS 的運作原理，原來它也是應用了 P2P 的原理，愈多人看速度愈快

另外 PPS 有個非常ｘｘ的缺點，當你沒有在看它的時候，它仍然在消耗你的頻寬！

這也說明了為何有時學生會問明明我就沒有下載東西，網路一直說我超過流量而封鎖了起來？這些使用者都有共同的特徵，他們都有裝 PPS

再進而參考這２篇文章「Re: [請問] PPSTREAM有個程式一直上傳」、「【電腦】 恐怖的PPS網路電視!】」

突然有個感覺，PPS 和 Foxy 似乎是同樣霸道的軟體

都會強制使用者分享一些東西才能使用它，免費的東西方便歸方便，還是要付出一些代價的 ~

前幾天，學生開始反應 WebMail 非常難連上，用 TOP 看了一下，處理程序大多都是 http 的連線

系統 idle 大部份都是 0% ~ 5%，顯然系統一直忙著處理 HTTP 的東西

再去看一下 HTTP 的 Log，天啊，系統上某個 URL 一直被大量的存取，原來是位學生放了首 MP3

一開始本懷疑是學生將檔案放在一個很「熱門」的網站，但因為「存取」的實在太過頻繁，可說是一種變相的 DoS 了

反查了一下 IP ，大部份都是來自同一個國家 ... ( 第一天，終於確定了系統為何 Loading 突然暴增 )

雖然在網路進出口放置了一台 IDP，但似乎不見它有何阻擋的行為，這還得與廠商討論此種連線是否為 DoS

為了解決這棘手的問題，我決定用最原始的方法，因確定所有連線都來自某個國家，所以初步的構想就是「擋住來自某個國家所有要求的連線」

首先連上此網站：http://trace.twnic.net.tw/ipstats/ ，此網站可以查看各國家 IP 分配之情形

接下來就要開始動一些手腳了，假設我要阻擋來自臺灣所有 IP 的連線，先點選臺灣後應該會看到下面這資訊

以第１項 58.86.0.0 可用的 IP 為 65536 來說，大概可以知道此網段為 58.86.0.0/16，只是有 420 項要算也要算很久，因此我用了一個小程式

首先在上述頁面按下 Ctrl + A 全選所有資料，複製到記事本後，刪掉前面幾行中文說明，僅保留 IP 相關資訊

並利用 Ctrl + H 取代的功能，把它變成這樣

1 58.86.0.0 65536 apnic 20050411
2 58.99.0.0 16384 apnic 20050429
.....                (中間略 )                 ....
420 222.251.0.0 32768 apnic 20040525

看出來了嗎？原本的各欄位都用一個空白做區隔，把它存成一個 denyip.txt 即可，接下來執行一個簡單的 PHP 程式，把它和文字檔放在一起執行

<?php

$fcontents = file ('denyip.txt');
while (list ($line_num, $line) = each ($fcontents)) {
   $data = explode (" ", htmlspecialchars($line));
   $a = 32 - log($data[2],2);
   echo $data[1] . '/' . $a . '<br>';
}

?>

而我就只是做到這裡，把產生出來的資料鍵入至防火牆後，設定一下規則就好了，若想在 Apache 阻擋的話，程式再做一點修改就好了

用逆向思考的方式，改成僅要開放讓哪些人連就好，這也是一個方法，但就見人見智了

僅提供一篇阿碼外傳的說明 - 大規模網頁綁架轉址：威脅未解除，但專家都猜錯了

過去在做安全連線時，如 HTTPS 、 SMTP + TLS 、 FTP + TLS 等服務都是自己當 CA 再簽發憑證給自己，也就是球員兼裁判的意思

對於使用者來說，以後必須先安裝好自己做的憑證才不會一直跳出警示訊息

而我們家的 Certs 是由 ipsCA 來簽發，ipsCA 其實本身並不是 Root CA ，它是 IPS SERVIDORES 的子單位，而微軟早在 1999 年就把它們加入了信任的單位，因此用 ipsCA 所簽簽好的憑證後，就不會再跳出惱人的視窗也毋須再另外安裝憑證，可參考 FAQ 裡的一段說明

而 ipsCA 的好處是用在 edu 上的憑證都是免費的，只不過２年就要重簽一次，大概記錄一下籤發的流程

１．首先先確認服務的軟體為何，可以從 SUPPORT 的頁面，這頁面是要求你先做２件事，產生 CSR 和安裝 CA。我的例子就是去看 Apache-MOD SSL ，依裡面的指令並且產生出 CSR ，然後先下載 IPS-IPSCABUNDLE.CRT 這個 CA

２．接下來就是去填寫表單，並附上 CSR 的東東

３．接下來就是一連串的確認信件，因為 For EDU 是免費的，在這中間要求你的 Domain Admin 回信做確認，要特別注意一下！舉例：我申請 mail.bojack.edu.tw 的話，則 ipsCA 就會寄封信給 admin@bojack.edu.tw 做確認！

４．往返 OK 之後，就會收到簽發好的憑證啦！只要把它安裝上去就行了

[1] ipsCA 2yr free certificate for edu domain

OpenRelay 測試

http://spam.gsnmm.gov.tw/cgi-bin/relayall.cgi

 

這幾天工作有點小煩，只因為這該死的 ARP 病毒 ~

一旦 ARP 病毒一發作，整段網路都會被它一個人所影響，網路速度會明顯的變慢或是中斷。而中了 ARP 病毒的人通常是可以上網的，反觀其它人直可說是災情慘重。

這三天一直往學生宿舍跑，一弄就是幾個小時，這種病毒不是隨時在發作的，偏偏它又愛挑在下班的時候發作 ~  今晚看了一下 Switch 的狀態，嗯，很好！ ARP 病毒又開始放肆了！

要解決 ARP 病毒其實得花點心力，首先講治標的方法 ~  因為 ARP 病毒會去改使用者的 ARP Table ，若開機時就先給它綁定 Gateway 的 IP & MAC Address，這樣子就可以解決了！

該怎麼做呢，我的做法是寫指令存成一個批次檔，放在使用者的啟動資料夾，這樣一開機就會去執行了，不管那病毒再怎麼強大也改不了。只要開啟記事本，輸入下列二行指令存成 *.bat 就行了

arp -d ( 清除現有的 ARP Table )
arp -s Gateway-IP Gateway-MAC-Address ( 綁定 Gateway 的 IP 和 MAC Address )

但是丫，使用此種方法解決，通常適合在少數使用者的環境下，像宿舍學生人數暴多，一層樓約１３０人，總共有十四層，每逢寒暑假學生進駐，又要配合學生都在的時間才能做，狼客啊！這樣解決不如叫我去死算了 ~

接下來談治本的方法，很簡單，只要把那台中毒的電腦找出來不就好了 ... 廢話！那要怎麼找呢？只要找一台無法上網的電腦，下指令 arp -a，此時記下 Gateway 的 MAC Address 是多少，再去比對此 MAC 應該是哪台電腦，利用趨勢科技專殺 ARP 病毒程式即可清除，不過前提是要先有一份所有電腦的 IP 和 MAC 對照表資料庫唷。

只是令我頭大的，是最近碰到的 ARP 病毒似乎沒有那麼單純，怎麼說呢？通常「正常」的 ARP 病毒，都會把受害者 ARP Table 內的 Gateway MAC 改為中毒的電腦，但是「不正常」的情況下，就是它又另外違造其它的 MAC ，這樣該怎麼查呢？唉 ... 這樣看起來，用治標的方法可能還比較有效了

[1] 小隆網管日誌 - 161816 ARP病毒解決（之一）
[2] 小隆網管日誌 - 161816 ARP病毒解決（之二）
[3] 政大應數《數理資訊》討論版 - arp病毒
[4] 北縣技術論壇 - arp病毒
[5] Security Page for Computer Center of Physics dept. of NTHU
[6] Trend - 2007 技術通報 - 瞭解ARP病毒

看到永遠的真田幸村這篇拒絕廣告信多的Yahoo信箱，歡迎改用Gmail，這一定要加入串連支持一下才可以！( 原發起人是Blue955．我的天開始的！)

前天接獲某位老師反映不能上網，本來以為只是個案而已，沒想到網路不通的報修電話如雪片般飄來，瞭解了一下情況後決定前往查看。

經過檢測後發現，使用者連到交換器上都正常，利用 Console 線連到 Switch 上檢查設定也都還在，非常奇特的事情出現了 !!

當我的 Notebook 接上 Switch 後，ping 168.95.1.1 是通的，另外透過 Console 線連到 Switch 設備再去 ping 168.95.1.1 就 Request Time out ?!!!!!!

這沒道理啊 ?!「目前」看起來 Switch 上的 User 可以連到外面，但 Switch 本身居然連 Gateway 都 ping 不到 ?!! 唯獨就是到 Router ( 也是 Gateway ) 這段不通 ?!

再經過反覆測試後，我這台 Notebook 終於 ping 不到 168.95.1.1 了，這總算合乎邏輯了 ~ ( 但還是不通啊 )



本來以為可能是 Switch 上的 GBIC 壞掉，換了一個 GBIC 後情況依舊沒有改善，再換了一台 Switch 後還是一樣。因此暫時可以確認設備是正常的。問題點可能就是出在使用者了 ... 於是我們將每條網路線都拔掉，只接上一台 Notebook 來測，狼客啊！網路此時就正常了！

因此我們決定再把網路線接回去測試，剛開始全接回去時，網路還是通的，過了一下子，發現 ping 出去又不通了。此時我突然想到先前寫那篇有關 Netcut 的文章，利用指令 arp -a 先看一下目前 ARP Table，記下來目前 Gateway 的 MAC Address 後，再下指令 arp -d 來清除 ARP Table，此時再看一下 Gateway 的 MAC Address ，Bingo！二個 MAC Address 果然不一樣 ~ 找到問題後就以 MAC Address 來去查是哪位老師所使用，把對應的網路線暫時拔掉後所有網路就通了！

就是這個該死的 ARP 病毒讓我們花了大半天才找出問題所在 ... 凡事都有第一次，以後接觸到類似的情況就知道該如何處理了！

Netcut 是個很邪惡的軟體，是什麼就不明說了 ...

若要保持不被 Netcut 干擾的話，可以和 Gateway 互相綁上靜態路由就可以了，語法如下：

arp -s Gateway-IP Gateway-MAC-Addres

[1] 關於NETCUT的一些分析&&問題..

從使用 Firefox 以來，一直都是用 Sage 來當我的 RSS 閱讀器。 功能雖簡潔有力，但就是不能將訂閱的 Blog 帶著跑，雖然早知道 Google Reader 這好物，但僅使用它來做聯播用。先前只輸入特定的幾筆 Feed，因此要閱讀所有訂閱的 Blog 還是得交互使用 Google Reader & Sage。 下定決心整理一下 Sage 裡的 Feed，再利用 Sage 匯出 OPML 後再匯入 Google Reader 。從今起就改用它來當我的 RSS 閱讀器了，煩惱也解決了，耶！

嗯，標題有點饒舌...不過我也只能這樣表達了。

今早有位民眾來反映無線網路無法使用，於是我請她來縣府讓我看一下是什麼情況。

發生情況是開啟 IE 後一直無法顯示網頁，但是 ping 到哪兒都是正常，DNS 查詢也沒有問題 ( 若 DNS 有問題，可以參考這篇修復無法連上 DNS 的問題 )，那就怪了。經過其它程式來交叉比對後，還是連不出去，最後從 Google 找到這篇「解決網路IE不能上網問題」文章就可以修復了。

先下載這個檔案，連結在這兒，解開之後，請參考使用說明即可。

目前找到的方式可能是要重設 Winsock ~ 指令操作如下圖，試看看囉

這二天本來想連上 Active Virus Shield 抓下來安裝，沒想到一連上就看到這則消息。

We're Sorry!

* AOL® Active Virus Shield is no longer available.
* Looking for protection from viruses, spyware and hackers?
* We are now offering McAfee® Virus Scan Plus-Special edition from AOL.
* Please visit AOL® Internet Security Central to find the most comprehensive FREE set of safety tools available to help keep you, your family, and your PC safer from online threats.

不過老實說，McAfee 的掃毒功力和 Active Virus Shield 比起來就遜色一些了。不知道未來 Active Virus Shield 是否還能繼續更新病毒碼呢？kaspersky 的東西我還是比較滿意啊！

今天處理一個案例，情況如下：

開啟 IE 後，總是會另外綁一個 www.100x10000.com/cai_union.html 這網頁，這種情況是中了廣告木馬程式。

解決方式很簡單 ~

1. 關閉 IE 瀏覽器

2. 開始 -> 執行 -> cmd  -> 輸入 regsvr32 /u Navihelper.dll

3. 刪除 C:/windows/system32/Navihelper.dll 與 C:/windows/system32/host.dat

今日維修一台電腦狀況如下 ~

可以連上網路，ping 任何一個 IP 都有通。但 ping 任何一個 Domain 都錯誤 ~

telnet 任何一個網站的 80 port 都無法連上，直覺上就是 DNS 有問題了 ~

首先確認本機的 DNS 解析服務有打開

c:\>services.msc 執行

接下來下載 DubaTool_RepairLSP.EXE 這個程式給它執行一下就好了！

OfficeScan 碰到這個木馬程式只能二手一攤而已 ~~

解決的方式很簡單，只要用「費爾木馬強力清除程式」就可以了

下載這個檔案，然後到安全模式下清除 C:\Windows\System32\pdll.dll 這檔案

或是用 killbox 來清除也可以

今晚無意間看到仙采手扎的這篇文章，還蠻不錯的 ...

簡單來說，跟著文章內的教學可以有效加快 DNS 存取的速度，進而提升上網的速度！

不妨試看看唷

有玩 P2P 的人都知道 Foxy 是個很好用的東西，原則上想找什麼都找得到 ...

不過大家似乎都不知道 Foxy 其實也有很大的缺點，一般的 P2P 軟體如 BT 都有限速的功能！今天如果四個人共用一條 8M / 640K 的線路的話，只要有一個人開 Foxy ，其它四個人就甭上網了（受害者 ._. /）... 這樣一個方便好用的 P2P 軟體居然內建沒有限速的功能？

或許就是因為大部份使用 P2P 的人平時都吝於分享，因此 Foxy 反其道而行乾脆拿掉這功能！不過這問題還是可以配合軟體（如 NetlimiterPro ) 來做限速的動作。

但 Foxy 另一個為人垢病的缺點就是它會自動將電腦裡所有的資源都分享出去！是的，所有的檔案，只要被搜尋到的話就很容易外洩了。先前和室友提到，如果你使用 Foxy 的話，首先先確認電腦裡面沒有什麼重要的東西，因為有可能某處的使用者正在下載你電腦中不願意讓人知道的文件（例如密碼檔）。看看最近的新聞就知道使用 Foxy 惹出了什麼禍 ... 奉勸大家還是不要用 Foxy 這危險的軟體，盡早移除吧！