CCNP 筆記本

2014 年 04 月 20 日

Google 進階搜尋用法

Filed under: Google 相關工具 — nkongkimo @ 23:29:56

進階搜尋:site,link,inurl,allinurl,intitle,allintitle

1. “site”表示搜尋結果侷限在某個網站,如“yahoo.com”,“news.yahoo.com”,或者是某個domain,如“com.tw”,“com”等等。

        如果是要排除某網站或者域名範圍內的頁面,只需用“-網站/域名”。

範例:搜尋奇摩新聞(tw.news.yahoo.com)上所有包含“資安”的頁面。

搜尋:“site:tw.news.yahoo.com 資安”

範例:搜尋包含“金庸”和“古龍”的中文新浪網站網頁,

搜尋:"site:tw.news.yahoo.com 個資 外洩"

 

2. “link”語法返回所有鏈接到某個URL地址的網頁。

範例:搜尋所有含指向websense’’”www.websense.com”連結的網頁。

搜尋:“link:www.websense.com”

 

3. inurl語法回應網頁鏈接中包含第一個關鍵字,後面的關鍵字則出現在連結中或者網頁中。

有很多網站把某一類具有相同屬性的資源名稱顯示在目錄名稱或者網頁名稱中,比如“MP3”、“WAV”等,

於是,就可以用INURL語法找到這些相關資源連結,然後,用第二個關鍵字搜尋是否有某個具體資料。

INURL語法和基本搜尋語法的最大區別在於,前者通常能提供非常精確的專題資料。

範例:查找mp3“Billie Jean”

搜尋: "inurl:mp3 billie jean”

範例:查找微軟網站上關於windows2008的security資料。

搜尋:“inurl:security windows2008 site:microsoft.com”

注意:“inurl:”後面不能有空格,GOOGLE也不對URL符號如“/”進行搜尋。GOOGLE對“cgi-bin/phf”中的“/”當成空格處理。

4. allinurl語法回應的網頁的連結中包含所有查詢關鍵字。這個查詢的對象只集中於網頁的鏈接字符串。

範例:查找可能具有PHF安全漏洞的公司網站。通常這些網站的CGI-BIN目錄中含有PHF腳本程序(這個腳本是不安全的),表現在鏈接中就是“域名/cgi-bin/phf”。

語法:“allinurl:"cgi-bin" phf +com”

搜尋:搜尋allinurl:"cgi-bin" phf +com. 共約有40項查詢結果,這是第1-10項。搜尋用時0.06秒。

5. allintitle和intitle的用法類似於上面的allinurl和inurl,只是後者對URL進行查詢,而前者對網頁的標題欄進行查詢。

網頁標題,就是HTML標記語言title中之間的部分。網頁設計的一個原則就是要把主頁的關鍵內容用簡潔的語言表示在網頁標題中。因此,只查詢標題欄,通常也可以找到高相關率的專題頁面。示例:查找日本明星藤原紀香的照片集。

搜尋:“intitle:早安少女 寫真”

 

少用進階搜尋語法:related,cache,inforelated

用來搜尋結構內容方面相似的網頁。

範例:搜尋所有與yahoo主頁相似的頁面(如網易首頁,搜狐首頁,中華網首頁等),“related:www.sina.com.cn/index.shtml”。

cache用來搜尋GOOGLE服務器上某頁面的緩衝暫存,這個功能同“網頁快取”,通常用於查找某些已經被刪除的網頁,相當於使用普通搜尋結果頁面中的“網頁快取”功能。

info用來顯示與某鏈接相關的一系列搜尋,提供cache、link、related和完全包含該鏈接的網頁的功能。

範例:查找和hotmail首頁相關的一些資訊。

搜尋:“info:www.hotmail.com”

結果:有www.sina.com.cn的網頁資訊。

廣告

2012 年 05 月 14 日

CCNP-ISCW Module 04 Frame Mode MPLS Implementation (2)

Filed under: 未分類 — nkongkimo @ 00:32:43

L2 Switching 、L3 SwitchingMPLS 比較

  L2  Switching L3  Switching MPLS
優點 *不用解封裝到第3層直接建立VC傳送
*傳送速度快
*可以Any-to-Any *結合L2&L3 Switching的優點
*可以Any-to-Any
缺點 *無法Any-to-Any *需要解封裝到第3層
*傳送速度較慢
設定較複雜
備註 *只有標籤表 只有路由表 路由表+標籤表

image

image

image

PHP (MPLS POP Poping)

Cisco專屬協定。Cisco設備預設開啟
在Edge LSR的前一顆Router移除Label
Router IOS中以POP / Imp-Null顯示
傳統是PE來做POP,但MPLS PHP由PE的前一顆Router來做POP。

image

image

image

範例:

image

MPLS VPN

image

image

image

VPN 特性 優點 缺點 Routing最佳化
Overlay

服務提供商只做link的服務 服務提供商只提供VC的服務

*異地備援很方便
*可以即時切換
*可以用相同的IP
*沒有IP不好查詢
*不能同時演練
*最佳化成本較高
要用Full mesh
Peer-to-Peer

服務提供商要參與客戶的routing(靜態)

*可同時演練(因IP不同) *不行用相同IP
*異地備援需變更IP即時性較差(需要DNS更新)
*需要配合CE端的規劃
 

MPLS VPN學習Label的方法

RD
(Route Distinguishers)
路由分辨的代號 RD(64bits)+IPv4(32bits)=VPNv4(96bits) *用戶端不知道RD會在PE移除
*可以解決MPLS VPN IP位址重複的問題,無法支援語音互通

RT(Route Target)

是一個參數

Export:識別自己為哪一個VPN成員
Import:關聯每一個路由表
*動態產生,自己會互相交換資訊

image

image

CCNP-ISCW Module 04 Frame Mode MPLS Implementation (1)

Filed under: 未分類 — nkongkimo @ 00:28:25

image

MPLS Network裡面只看Label

*註:Labe從16開始(0-15不可以使用)

LSR

(Label Switching Router)

PE

Ingree

Edge LSR

把沒有貼label的封包加label

 

Egree

把有貼label的封包移除label,並查詢路由表把資訊送到目的地

 

P  router

label的值告訴Edge LSR加快Routing的速度,不需要再解析一次封包。

*只會收到有label的封包

*會做Label的修改

 MPLS運用於:

1.IP Unicast Routing(傳統的傳送方式+label)
2.Muilticast Routing
3.MPLS VPN
4.MPLS TE(Traffic Engineering)
5.AToM(Any Transport over MPLS)

Routing Switching的演進

演進 解釋 速度 備註
第一代 Preocess Switching
Routing table-driven Switchig

*全部的封包都要解封裝到第三層才往目的地送

*較沒效率

第二代 Fast Switchig(Route Cache)
Cache-Deriven Switching

*第一個封包會完整的檢查,後續的data才會用cache的資訊傳送

*會因為routing table更新導致封包停止傳送。
第三代 CEF(Prebuilt FIB table)
Topology-Deriven Switching
*CEF Protocol 會建立FIB來加速封包的傳送速度
*不受routing table更新影響傳送
*MPLS一定要啟動CEF
*大幅改善效率

FEC(Frowarding Equivalence class)對等式協定:

*一群相同等級的封包,給予相同等級的對待

*MPLS不同應用的FEC的對待及依據不同

*FEC在Unicast的環境中以destination network為分類依據
*FEC在Multicast的環境中以Group or Class為分類依據
*FEC在MPLS中會看Labeldestination位址的Label號碼給予相同的優先權
*FEC在MPLS VPN的環境中以VPN為分類依據

MPLS Router架構

image

Control Plan 管理控制訊號的地方 會有2種表:
(1)RIB(路由表),利用路由協定交換資訊
(2)LIB(標籤表),利用LDP協定交換相鄰Label的資訊
Data Plan 管理資料傳輸路徑的地方 會有2種表:
(1)FIB,利用CEF把RIB轉換成FIB
(2)LFIB,由LIB轉換而來的

Label的指派過程:

1.先要有Routing的資訊才會指派標籤,故首先需要有Routing Protocol,建立Routing table。
2.有了Routing table後,MPLS Router會根據Routing Table的目的地位址(FEC)分別給Label。
*Labellocal有效性於其他router無關,利用LDP告知鄰居Router即可。
*Label會放在Contorl Plane的LIB裡面

*LIB為Label的總表。
3.LIB會轉換成LFIB(Data Plane)即可藉由Label轉送封包。

image

項目 狀況
1.沒有Label的封包 *查FIB,若有相關的資訊就利用路由表上的路徑傳送出去。
EX:普通非MPLS路由器的運作狀況。
*查FIB,若有需要貼上LFIB就會貼上Label再傳送出去。
EX:MPLS Ingree PE的運作情形
2.有Label的封包 *查LFIB,轉換Label再傳送出去。
EX:MPLS P Router運作的狀況。
*查LFIB,若需要移除Label的時候會移除Label再傳送出去。
EX:MPLS Engree PE運作的狀況。


插入label的方式

  模式 環境 備註
Label Frame Mode
(2.5層)
支援大部份路由協定 layer2和layer3中插入32bitsLabel
Label Cell Mode 只用於ATM ATMCell是固定的故無法插入,所以使用VPI/VCI來當作Label

image

Bottom-of-stack

S

正常情況下只有1個Label,但在特殊情況下有多個Label。
EX: MPLS VPN(2個Label)、MPLS TE(3個以上Label)
當S=0 表示後面還有Label
當S=1 表示最後一個了,後面沒有Label了

image

PID(Protocol ID): 表示layer 3是甚麼協定

PID代碼 說明
0X0800 沒有Label的 IP Unicast routing
0x8847 有貼Label的 IP Unicast routing
0x8848 有貼Label的 IP Multicast routing

MPLS的設定步驟

1.Building UP IP Routing table
2.Allocating Labels
3.LIB and FLIB Step
4.Label Distribution Advertisement

Label 運作的方式

1.Non-MPLS => FIB table

Destination Network: 10.10.10.0/24
Next-Hop: 192.168.1.1

2.MPLS=> LIB table

Destination Network: 10.10.10.1/24
Label Number: 25
Significant: Loacl (分為local 及 Remote 送來的label)

3.LFIB table=>

Label Number: 25
Next-Hop Address : 192.168.1.1 or Label
Action : Untagged or Sweep Label

2012 年 05 月 11 日

CCNP-BSCI Module 08 IPv6

Filed under: 未分類 — nkongkimo @ 18:37:33

IPv6的好處

1.增加IP位址(32bits增加到128bits)
2.不需要NAT,達到真正的any-to-any,達到QoS的最佳化
3.Header比較簡單
4.增加anycast的功能,一個IP可以設在多各設備,達到傳輸最佳化
5.強制summary的機制
6.IPv6 沒有Broadcast的封包

IPv6定址的概念

1. 由IPv4的主機位址改變成Interface ID
2. 加入Prefix ID 表示Network

IPv4 V.S IPv6 欄位的比較

image
*Option的欄位有資料都會送到Router CPU處理。
*Offset位差:用來重組封包使用
*一列32bits
*MTU由router處裡
image
*MTU由Client設備處理
*每一列64Bits

IPv6表示方法 & 簡化的規則

1.表示方法 IPv6使用16進制,共有8組16進位的frame,每一組為4個16進位數,用":"隔開
一組的表示法由0000~FFFF
2.簡化規則 (1)前面有0的可以刪除
(2)0000可已直接用":"表示
(3)至少要有一個0
(4)連續的0可用"::","::"只能表示一次
(5)"::"表示不知道IP時
(6)"::1"表示loopback IP address
範例

 

MTU Issues

IPv6 MTU預設1280bit
IPv6裡MTU由Source Client去偵測,不在經由Router去偵測。

 

IPv6 Addressing Model

*IPv6 Enable Interface 至少要有1個"Link Local Address"和"Loopback Address(::1/128)",
或多個Unicast、Anycast、 Multicast
Link-Local Address

1.是必要的位址
2.用於Auto configuration
3.用Neighbor Discovery來找出Router跟Prefix, 取代IPv4的ARP、ICMP redirect、IRDP
4.跑Routing Protocol時要指定外送介面 才會協商routing protocol
5.在同一個L2的環境使用 無法routing
6.IP是FE80::/10開頭的

Unique Local (Site Local)

1.類似IPv4的Private IP,被保留起來用於IPv6的Private IP
2.Unique Local IP的範圍是 FEC0::/10

Global

1.類似IPv4的Public可以被使用在Internet上Routing的IP
2.2001:/32~64 開頭的

IPv6 Addressing Type

Unicast

1.一對一
2.可以出現在source跟destination的欄位
3.類似IPv4的Unicast
4.2001:/32~64開頭的位址

Multicast

1.一對多的
2.類似IPv4的Multicast
2.Channel比IPv4更多
3.IPv6 address只出現在Destination的欄位
4.FF00::/8開頭的

Anycast

1.新增的Type
2.一對最近的
3.同一個IPv6的IP可以設定在多個設備上
4.IPv6一個位址(Global & Unique local)可以設定在多個設備上,由Router去決定最佳路徑,達到傳輸最佳化。非常適合做Global Load balance
5.IPv6的address只出現在Destination的欄位

Multicast Address

Address

Multucast Group

FF02

(0表示固定的  2表示Link Local)

FF02::/8表示是被保留下來的

FF02::1

All Multicast Host

FF02::2

All Multicast Router

FF02::5

OSPFv3 Router

FF02::6

OSPFv3 DR Router

FF02::9

RIPng Router

IPv6切割的規則

image
1.Unicast定址目前由2001開頭
2./23: IANA切/23給各個地區的IP註冊單位(RIR)
2./32 :註冊單位再切/32給各個ISP
3./48 :ISP再切/48給各個公司
4./64: 公司使用/64來定址
5.Interface ID是64bits 且是固定的 (與interface MAC有相關)

Anycast (Global Unicast)

image 

Stateless Auto Configuration

 

EUI-64 Autoconfiguration

*把原本48位元的MAC address轉換成64位元的 Interface ID

Configuration IPv6 Address

config)#ipv6 unicast-routing———-啟動IPv6

config)#ipv6 cef———-啟動IPv6 cef

config-if)#ipv6 address IPv6 address/prefix length eui-64——設定IPv6位址

show ipv6 interface (breif)————可以看到EUI-64所給的IPv6位址

show ipv6 route ————可以看到路由表

 

IPv6 Routing Protocol

 

IPv6 Routing Protocol 比較

Routing protocol 內容
1.Ripng 1.與RIPv2相似只有Prefix不同
2.使用IPv6封包傳輸
3.使用FF02::9(All-Rip-router)的Multicast來傳送Update ,Topology是透過link-local來更新, Next-hop也是Link-Localaddress, Distance為FF02::9
4.Updates sent on UDP port 521
設定

2.IS-IS 1.Two new Type, Length,Value (TLV) attributes
(1)IPv6 Reachability
(2)IPv6 Interface address
3.MP-BGP 只要新增新的IPv6 Interface Address和Indentification即可
4.OSPFv3 1.與OSPFv2一樣但OSPFv3 的協定需要重寫
2.封裝在IPv6封包裡面
3.用Link-local的Address來當作Update的Source,Distance為FF02::5(All-OSPF-Router) 、FF02::6(OSPF DR Router).
4.設定上改由哪一個介面再那一個Area
5.同一個介面上可以不同的routing
6.Router-ID一樣為32Bits
7.DR與BDR目前改為用Router-ID識別
8.安全的部份用AH(Authentication Header)和ESP(Encapsulating Security Payload)來做,不用像OSPFv2設定在OSPF裡面
9.新增2個LSA:
(1)Link LSAs (type 8):
(2)Intra-area Prefix LSAs (type 9)
設定  
 
Router(config-if)# ipv6 ospf priority number——————-當需要選擇DR/BDR時,設定priority值
Router(config-if)# ipv6 ospf cost cost——————-修改cost值
show的觀察

 

IPv6 to IPv4 Transition

方法 內容
1.Dual Stack 1.較安全的轉換
2.須要考慮IPv4和IPv6的Routing table(各自分開不戶相干涉)
 
2.Tunnels 1.也是Dual stack的一種方法
2.會增加20bytes的header
3.類似GRE tunnel
4.當Tunnel數量變多時會有問題
5.雙方的設定要對偁
6.Protocol的號碼為11
設定 image
image  
3. 6 to 4 Tunnel 1.會自動建立tunnel,但必須Prefix是2002開頭的(特別保留給6to4的)
2.特別把IPv4的address 與IPv6的address 做對應,把IPv4的IP轉換成2進位填入32位元以16進位轉換
  image
4.NAT-PT 1.把IPv4與IPv6的Address做轉換
2.加入一個NAT的設備做轉換
  image

2011 年 10 月 19 日

Redistribute With Route-map、Prefix-List and ACL

Filed under: 未分類 — nkongkimo @ 22:22:46

1.png

說明:此Lab練習Redistribute並搭配Route-map、Prefix-list、ACL,只讓某些網段Redistribute

(1) Route-map、Prefix-list、ACL使用在Redistribute,有些許差別

(2) Route-map在編寫上比Prefix-list、ACL麻煩,但彈性較大

(3) Prefix-list在Subnet Mask的管制上會比ACL設定來的方便

實作條件:

★RO_C 建立多條 Loopback,皆放進RIP v2

loopback 10 20.3.0.254/24

loopback 11 20.3.1.254/24

loopback 12 20.3.2.254/24

loopback 13 20.3.3.254/24

loopback 20 150.3.0.254/24

loopback 21 150.3.1.254/24

loopback 22 150.3.2.254/24

loopback 23 150.3.3.254/24

loopback 24 150.3.4.254/23

loopback 25 150.3.32.254/20

loopback 30 172.3.1.254/24

loopback 31 190.3.1.254/24

loopback 31 190.3.2.254/24

loopback 31 190.3.3.254/24

★Redistribute 到 OSPF Policy

一、20網段只允許Redistribute單數網段(20.3.1.0、20.3.3.0)

並設定Metric=1000、Type=E1、Tag=20

二、150網段用IP Prefix-list來match

只允許Class B且subnet mask 23>x>24

並設定Metric=2000、Type=E2、Tag=150

三、190網段只允許Redistribute單數網段(190.3.1.0、190.3.3.0)

並設定Metric=10

RO_C Show Run如下:

hostname RO_C

建立的Loopback

interface Loopback10

ip address 20.3.0.254 255.255.255.0

interface Loopback11

ip address 20.3.1.254 255.255.255.0

interface Loopback12

ip address 20.3.2.254 255.255.255.0

interface Loopback13

ip address 20.3.3.254 255.255.255.0

interface Loopback20

ip address 150.3.0.254 255.255.255.0

interface Loopback21

ip address 150.3.1.254 255.255.255.0

interface Loopback22

ip address 150.3.2.254 255.255.255.0

interface Loopback23

ip address 150.3.3.254 255.255.255.0

interface Loopback24

ip address 150.3.4.254 255.255.254.0

interface Loopback25

ip address 150.3.32.254 255.255.240.0

interface Loopback30

ip address 170.3.1.254 255.255.255.0

interface Loopback31

ip address 190.3.1.254 255.255.255.0

interface Loopback32

ip address 190.3.2.254 255.255.255.0

interface Loopback33

ip address 190.3.3.254 255.255.255.0

基本介面設定

interface Serial0/0

ip address 10.140.3.2 255.255.255.0

 

interface FastEthernet0/1

ip address 192.168.103.254 255.255.255.0

 

router ospf  100

redistribute rip subnets route-map rip_to_ospf

將RIP Redistribute到OSPF並參照Route-map rip_to_ospf

Subnets是將有切割過的子網段也可Redistribute,若沒加,只能Redistribute Classful Subnets

network 10.140.3.2  0.0.0.0 area 0

network 192.168.103.0  0.0.0.255 area 3

 

router rip

version 2

redistribute connected metric 10 route-map loopback_to_rip

將直連的網段Redistribute進RIP並參照Route-map loopback_to_rip

network 10.0.0.0

network 20.0.0.0

network 150.3.0.0

network 170.3.0.0

network 200.3.1.0

no auto-summary

 

ip prefix-list C seq 5 permit 128.0.0.0/2 ge 23 le 24

利用prefix-list來判斷,只允許Class B並Subnet mask大於23,小於24

access-list 10 permit 20.3.1.0 0.0.254.0

利用ACL來判斷,只允許單數網段(20.3.1.0、20.3.3.0)

 

route-map loopback_to_rip permit 10

match interface Loopback31 Loopback33

建立一條Route-map,名稱為loopback_to_rip,動作為只允許介面loopback31和33

 

route-map rip_to_ospf permit 10

match ip address 10

set metric 1000

set metric-type type-1

set tag 20

建立一條Route-map,名稱為rip_to_ospf

符合ACL 10的IP address將metric=1000、type=E1、tag=20

 

route-map rip_to_ospf permit 20

match ip address prefix-list C

set metric 2000

set metric-type type-2

set tag 150

建立一條Route-map,名稱為rip_to_ospf,接著上面

符合prefix-list C 的IP address 將metric=2000、type=E2、tag=150

2011 年 02 月 08 日

FTP 運作原理

Filed under: 網路基本服務原理 — nkongkimo @ 11:25:11

基本觀念

使用 FTP 傳輸時,至少會使用到兩個 Port 來建立連線通道:

  • 一個為指令通道(Command Channel),預設使用 Port 21 建立連線,用來傳輸 FTP 指令,例如:列出檔案清單(LIST)、變更目錄(CWD)、取得目前的目錄(PWD)、……等。
  • 另一個為資料通道(DATA Channel),預設使用 Port 20,但是會因 FTP Client 選擇使用的「連線模式」不同而有所不同。

一般來說,指令通道的連線與下指令都沒有什麼問題,有問題的通常是在資料通道的建立,而資料通道的建立方式是由 FTP Client 所下的指令決定的,以 FileZilla 設定為例(如下圖):

clip_image002

FTP Client (e.g. FileZilla) 每次建立連線時都會下 PORT 或 PASV 指令,如下範例:

    指令: PASV

    回應: 227 Entering Passive Mode (59,37,124,43,158,251)

而每次下指令傳輸資料時,都會建立一次 data connection,包括取得遠端的檔案清單(LIST)時回傳的檔案列表、下載檔案、或上傳檔案。

 

連線模式

FTP 的連線模式分兩種:主動模式 ( Active mode ) 與 被動模式 ( Passive mode )

主動模式 ( Active mode )

FTP Client 跟 FTP Server 連線後,會主動利用 PORT 指令提出 DATA Channel 連線的要求,如下:

    指令: PORT 10,18,53,171,17,114

    回應: 200 Port command successful.

這裡的 PORT 指令是由 FTP Client 送出的,當需要建立 DATA Channel 時,FTP Server 會主動利用 Server 主機的 Port 20 發出連線到 FTP Client 的主機,而 PORT 指令後的參數說明如下:

  • 前四個數字是 FTP Client 的 IP 位址:10.18.53.171
  • 後兩個數字是 FTP Client 接受連線的 Port 埠號,埠號的計算方式是 (第五個數字 * 256 + 第六個數字),以此範例來說,FTP Client 接受的連線埠號是 17 * 256 + 114 = 4,466

由此可知,如果 FTP Client 處於 NAT 的環境下的話,FTP Server 幾乎無法正常的連線到 FTP Client 的主機,所以現在大部分的連線模式幾乎都建議使用者使用被動模式(Passive mode)。

範例:

image

 

被動模式 ( Passive mode )

FTP Client 跟 FTP Server 連線後,會主動利用 PASV 指令提出 DATA Channel 連線的要求,如下:

    指令: PASV

    回應: 227  Entering Passive Mode  (59,37,124,43,158,251)

你可以看到由 FTP Client 送出的 PASV 指令並沒有送出其他的參數,而是在 FTP Server 回應的時候出現了 (59,37,124,43,158,251) 字串,當需要建立 DATA Channel 時,這時就會由 FTP Client 主動連接至 FTP Server 動態開放的 Port 供 FTP Client 連接,其中 (59,37,124,43,158,251) 的說明如下:

  • 前四個數字是 FTP Server 的 IP 位址:59.37.124.43
  • 後兩個數字是 FTP Server 接受連線的 Port 埠號,埠號的計算方式是 (第五個數字 * 256 + 第六個數字),以此範例來說,FTP Server 可接受的連線埠號是 158 * 256 + 251 = 40,699

由此可知,使用被動模式(Passive mode)對 FTP Server 的系統管理員來說,可掌控的部分是比較多的,因為 FTP Server 無法決定使用者是否可使用主動模式連線,但若改使用被動模式連線的話,就幾乎能讓所有人正常的使用 FTP 服務。

範例:

image

其他資訊

  • 在 IIS 的 FTP 服務中,當使用 Passive mode 時,IIS FTP 會自動開啟短暫的 Port 用以建立 DATA Channel 供 FTP Client 連接,IIS 預設會動態使用 Port 1024 ~ 65535 進行 DATA Channel 的連線,若要修改預設的 Port Range 可以參考我昨天的文章:如何調整 IIS FTP 在 Passive mode 使用的 Port Range
  • 在 Linux kernel 中,若有設定 MASQ 的話,Kernel 已經支援「動態開啟 FTP DATA PORT」功能,也就是說在 FTP Client 端在 NAT 內部也能以 Active mode 使用 FTP,這就是為什麼有些人在公司內部使用虛擬 IP 也能夠使用主動模式(Active mode)傳輸檔案的情形。

2010 年 09 月 27 日

Juniper Screening的功能

Filed under: Netscreen FW功能 — nkongkimo @ 00:32:10

一.拒絕服務攻擊DoS
1. 拒絕服務攻擊的目的是用大量的traffic耗盡受害者的主機,使的無法處理合法的資料流。攻擊的目標可以是防火牆、防火牆所保護的網路主機、個別主機的特定硬體平臺或作業系統等。通常DoS攻擊中的來來來源地址是欺騙性的。

2. 發自多個源位址的DoS攻擊稱為分散式拒絕服務攻擊(DDoS)。DDoS攻擊中的源位址可以是欺騙性位址,也可以是被損害過的主機的實際位址,或者是攻擊者目前正用作“zombie代理”且從中發起攻擊的主機實際位址。

3. Netscreen防火牆提供了九種DDos攻擊的檢測和防禦:
   (1)Session Flooding攻擊的檢測和防禦
   (2)SYN-ACK-ACK Proxy Flooding攻擊的檢測和防禦
   (3)SYN Floodin攻擊的檢測和防禦
   (4)ICMP Flooding攻擊的檢測和防禦
   (5)UDP Flooding攻擊的檢測和防禦
   (6)Land Attack攻擊的檢測和防禦。
   (7)Ping of Death攻擊的檢測和防禦
   (8)Teardrop攻擊的檢測和防禦
   (9)WinNuke攻擊的檢測和防禦。

二.Session Flooding攻擊的檢測和防禦
1.攻擊者使用灌爆防火牆的Session table,使防火牆不能產生任何新的session,拒絕新的連接請求,從而產生DoS攻擊。防火牆主要採用來源IP和目地的IP的Session來限制和主動調整Session超時的機制,運用這兩種方法來減輕這類攻擊。

2.選擇SCREEN選項“Source IP Based Session Limit”和“Destination IP Based Session Limit” 將啟動來源和目地的session限制功能。default的來源和目地的session限制是每秒128個。

3.來源的session限制將限制來自相同來源位址的session數量,可以阻止像Nimda、衝擊波這樣的病毒和蠕蟲的DoS攻擊。這類病毒會感染伺服器,然後從伺服器產生大量的資訊流。由於所有由病毒產生的traffic都始由相同的IP位址,因此來源的會話限制可以保證防火牆能阻擋這類大量的traffic。當來自某個IP 位址的session數達到門檻值後,防火牆開始封鎖來自該IP位址的所有其他連接嘗試。假如網路發生了衝擊波病毒,我們可以將內網的source session限制設置為一個比較低的值(比如設為50),那些不能上網的機器,很有可能中毒了,立刻隔離並進行解毒或是上Path。

4.攻擊者可以從上百個被他控制的主機上發起分散式DoS服務(DDoS)攻擊。基於目標的session限制可以確保防火牆只允許可接受數目的連接請求,而不管來源。當訪問某伺服器的session數超過時,防火牆將封鎖到該伺服器的所有其他的連線。

5.Default最初的TCP三方交握的timeout時間為20秒,當session建立後,時間改變為1800秒(30分鐘);對於HTTP和UDP,timeout時間分別為300秒和60秒。當發生攻擊時,session數很快增加,但由於timeout時間的限制,那些沒有完成的連接session就會迅速填滿session table。防火牆提供了一種主動失效機制,當session table使用達到一個數值時(比如最大session數的80%),縮短session timeout的數值,提前刪除session。當session table的使用低於某個低限值時(比如最大session數的60%),timeout值恢復為預設值,timeout值恢復正常。

主動失效機制將以設定的會話主動失效速率縮短默認的會話timeout時間,加速會話失效。失效速率值可在2~10個單位間選擇(每個單位表示10秒)。該功能要通過命令來設置。
set flow aging low-watermark 60 ———(表示使用session是總session的多少%)
  set flow aging high-watermark 80 ———(表示使用session是總session的多少%)
  set flow aging early-ageout 6 ———–(表示到達高表準值要扣60秒)
上述設置的作用是當session table的使用量達到最大會話數的80%時,啟動主動失效機制加速會話失效。此時,TCP的session timeout 時間由1800秒縮短為1740秒, HTTP的session timeout 時間由300秒縮短為240秒,而UDP的session timeout時間縮短為0。防火牆將自動刪除timeout值超過1740秒的TCP會話和timeout時間超過240秒的HTTP會話,首先開始刪除最早的session。提前60秒timeout的設置導致所有的UDP會話超時,並在下一次垃圾清掃時被刪除。當會話表的使用下降到最大session數的60%時,停止加速失效,session timeout時間恢復為原來的預設值。這樣可以有效地抑制使防火牆會話表氾濫的攻擊。

三.SYN-ACK-ACK proxy Flooding攻擊的檢測和防禦
1.當Client 使用Telnet或FTP連接時,防火牆截取用戶的Telnet或FTP的SYN片段,在其session table中儲存一個記錄,並代發一個 SYN-ACK片段給用戶,然後client用ACK回覆,然後完成最初的三方交握。之後,防火牆向client發出login提示。如果client是一個攻擊者,他沒有回應login而是繼續發起SYN-ACK-ACK會話,就會發生SYN-ACK-ACK Proxy Flooding,最終會灌爆防火牆的session table,導致合法用戶的連接請求被drop。

2.為阻擋這種攻擊,可以啟動SCREEN的“SYN-ACK-ACK Proxy Protection”選項。在來自相同IP位址的連接數目達到SYN-ACK-ACK 門檻值後(default是512,最大到250000)防火牆將拒絕來自該位址的更多其他連接請求。

四.SYN Flooding攻擊的檢測和防禦
1. 利用偽造的IP(不存在或不可到達)大量發送請求TCP連接的SYN片段,這些無法完成的TCP連接請求,造成受害主機的記憶體緩衝區被填滿,甚至作業系統被破壞,從而無法再處理合法的連接請求,此時就發生了SYN Flooding。

2.為了阻擋這種攻擊,可以啟動SCREEN的“SYN Flood Protection”選項。

防火牆設定每秒通過的SYN封包數量的門檻值,當來自相同來源IP或往相同目位的SYN的封包達到這些門檻值時,防火牆就開始攔截連接請求和代理回復SYN/ACK片段,並將不完全的連接請求存儲到防火牆的Queue中直到連接完成或請求timeout。當防火牆中代理連接的佇列被填滿時,防火牆drop來自相同安全區域(zone)中所有ip的新SYN封包,避免網路主機遭受不完整的三方交握攻擊。

3.設置下列檢測和防禦SYN氾濫攻擊的門檻值
Attack Threshold:

每秒到相同目地位和port號的SYN片段數目,當到達該門檻值時啟動SYN代理(預設值是200)。如果設置Attack Threshold=1000pps,當攻擊者每秒發送999個FTP封包和999個HTTP封包,由於每一組封包(具有相同目的地址和埠號的封包被視為一組)都沒有超過1000pps的設定門檻值,因此不會啟動SYN代理。

Alarm Threshold:

每秒Proxy的發到相同目的地和埠號的未完成的連接請求數超過此門檻值,將觸發警告(預設值是1024)。

如果設定Attack Threshold=300,Alarm Threshold=1000。

則每秒送到相同目標位址和埠號的前300個SYN片段可以通過防火牆,同時,防火牆proxy後面的1000個SYN片段,第1001個代理連接請求(即該秒內第1301個連接請求)將會觸發警告。

Source Threshold:

防火牆開始drop來自來源位址的連接請求之前,每秒從單一個來源IP位址接收的SYN封包數目(不管目標位址和埠號是什麼)。預設值是 4000pps。

設置了此門檻值時,不管目的地IP和port號是什麼,防火牆都將跟蹤SYN封包的來源IP;當超過此門檻值時,防火牆將拒絕來自該來源IP的所有其他SYN封包。

Distination Threshold:

當每秒送到單一個目的地IP位址(不管目標埠號)的SYN片段數目超過此門檻值時,防火牆將拒絕發往該目標位址的所有新連接請求。預設值是40000pps。如果設定Distination Threshold=1000pps,當攻擊者每秒發送999個FTP封包和999個HTTP封包時,防火牆將送到同一個目的地的FTP和HTTP封包看成是一個組的成員,並drop到目的地位址的第1001個封包(FTP或HTTP封包)。

Timeout:

未完成的TCP連接被從Proxy連接Queue中丟棄的最長等待時間。default是20秒。

Queue size:

防火牆開始拒絕新連接請求前,Proxy連接Queue中最大存放Proxy連接請求的數量。預設值是10240.

五. ICMP Flooding攻擊的檢測和防禦
1. 受害者耗盡所有資源來回應ICMP回應請求,直至無法處理正常的網路資訊時,就發生ICMP Flooding。

2.啟用SCREEN的“ICMP Flood Protection”選項可以抵禦ICMP Flooding攻擊。一旦超過設定的門檻值(default為每秒1000個封包),防火牆在下一秒拒絕來自相同安全區域(zone)所有位址的ICMP回應請求。

六.UDP Flooding攻擊的檢測和防禦
1. 當攻擊者大量發送UDP的IP封包以減慢受害者的操作速度,以致于受害者無法處理有效的連接時,就發生UDP Flooding。

2.啟用SCREEN的“UDP Flood Protection”選項可以抵禦UDP Flooding攻擊。如果發送給單個IP的UDP資料數目超過設定的門檻值(default為每秒1000個封包),防火牆在下一秒Drop來自相同安全區域(zone)送出目的地位址的UDP 封包。

七.陸地(Land)攻擊的檢測和防禦
1. Land攻擊將SYN Flooding攻擊和IP位址Spoof結合在一起。當攻擊者大量發送被攻擊者的IP位址作為來源和目的地址的SYN封包時,就發生Land攻擊。被攻擊者向自己發送SYN-ACK封包進行回應,創建一個空的連接,該連接一直保持到連接timeout為止。大量的這種空連接將耗盡系統的資源,導致DoS發生。

2.啟用SCREEN的“Land Attack Protection”選項可以封鎖Land攻擊。防火牆將SYN Flooding防禦和IP位址Spoof防禦技術有機地相結合,防禦這種攻擊。

八. Ping of Death攻擊的檢測和防禦
1.IP協定規定最大IP封包長度是65535位元組,其中包括長度通常為20位元組的封包包頭。ICMP回應請求是一個含有8位元組ICMP 表頭的IP封包,因此ICMP回應請求資料區最大長度是65507位元組(65535-20-8)。

2.許多ping程式允許用戶指定大於65507位元組的封包大小,在發送過大的ICMP封包時,它將被分解成許多碎片,重組過程可能導致接受系統崩潰。

3.啟用SCREEN的“Ping of Death Attack Protection”選項,防火牆將檢測並拒絕這些過大且不規則的封包,即便是攻擊者通過故意分段來隱藏總封包大小。

九. Teardrop攻擊的檢測和防禦
1. IP表頭的碎片offset(分割)欄位,表示封包碎片包含的資料相對原始未分段封包資料的開始位置或偏移。當一個封包碎片的開始位置與前一個封包的結束位置發生重疊時(例如,一個封包的偏移是0,長度是820,下一個封包的偏移是800),將會導致有些系統在重組封包時引起系統crash,特別是含有漏洞的系統。 Teardrop攻擊就是利用了IP封包碎片重組的特性。

2.啟用SCREEN的“Teardrop Attack Protection”選項,只要防火牆檢測到封包碎片中這種差異就丟棄該封包。

十. WinNuke攻擊的檢測和防禦
1. WinNuke攻擊是針對互聯網上運行Windows系統的電腦。攻擊者將TCP片段發送給已建立連接的主機(通常發送給設置了緊急標誌URG的 NetBIOS埠139),這樣就產生NetBIOS碎片重疊,從而導致運行Windows系統的機器崩潰。重新啟動遭受攻擊的機器後,會顯示下面的資訊:
An exception OE has occurred at 0028:[address] in VxD MSTCP(01)
000041AE. This was called from 0028:[address] in VxD NDIS(01)
00008660.It may be possible to continue normally.
Press any key to attempt to continue.
Press CTRL ALT DEL to restart your computer. You will lose any unsaved information in all applications.
Press any key to continue.

2.啟用SCREEN的“WinNuke Attack Protection”選項,防火牆掃描所有流入139 port(NetBIOS會話服務)的封包,如果發現其中一個封包設置了URG標誌,防火牆將取消該 URG標誌,清除URG指標,轉發修改後的指標,然後在事件日誌中寫入一個log,說明其已封鎖了一個WinNuke攻擊。

2010 年 05 月 30 日

Netscreen Av Screen

Filed under: Netscreen FW功能 — nkongkimo @ 23:04:17

AV Global 設定

AV Profile 定義

FTP:

Http:

IMAP:

POP3:

SMTP:

IM:

ICQ/AIM

Yahoo

MSN

2010 年 04 月 30 日

Wins Server 筆記

Filed under: 網路基本服務原理 — nkongkimo @ 02:56:09

Windows TCP/IP Protocol

Windows OS有2種TCP/IP的Protocol,Win Sockets 和 NetBIOS。
1.Windows Sockets Application:
特性:
(1)IP為主,名稱為輔
(2)一定需要IP才可以工作。
(3)目前大部分的程式都使用WIN Sockets的Protocol
應用程式:
MSN、Outlook、Browser…
2.NetBIOS Applications:
特性:
(1)以名稱為主,IP為輔
(2)總共有16個byte,前15個byte用來區分電腦名稱,
(3)NetBIOS的名稱再網路上不可重覆,如遇到重覆的狀況,後來的會無法上網。
應用程式:
File Sharing、Print Sharing、Windows管理程式…

 

NetBIOS Name Resolution

當PC要查詢一台主機的時候會做這些事:
1.先查詢自己的NetBIOS Cache有沒有資料。
2.若自己的cache 沒有資料會向Wins Server詢問。
3.若都沒有資料會自己Brocast來查詢。
目前的OS都是以這樣的模式在查詢主機。
但是在95/98的OS會直接brocast去查詢。
1.B-node:
只使用Brocast的方式查詢。
2.P-node:
使用Wins Server去查詢主機
3.M-node:
先使用Brocast的方式再使用WINs Server的方式
4.H-node:
先使用WINs Server的方式再使用Brocast的方式
5.若PC是使用DHCP 自動取得IP的方式,可以直接把WINs Server加進來即可。

 

NetBIOS的主要功能

1.減少Brocast的封包。
2.若沒有WINs Server可以再PC設定LMhost
但是LMhost需要每一台PC去設定,故建議還是使用WINs Server比較方便。

 

PC 與WINs Server的行為

1.PC會把IP跟PC名稱來WINS Server註冊。
WINs Server會回PC 註冊成功及TTL值
2.PC會定期向WINs Server 告知目前的狀況。
3.PC會向WINs Server查詢
4.PC再關機時會自動向WINs Server刪除自己的資料。
5.以上的行為再2個封包即可完成。

 

PC查詢WINs 的步驟

1.PC會查詢自己WINs 列表的WINs Server,會先由第一筆WINs Server開始詢問。
2.當詢問3次沒有反應,PC會使用第2台WINS Server詢問。

 

WINs有跨WAN的時候

1.這個動作叫做WINS Replication(等同sync的意思)
2台SYNC運作的方法為看更新的版本,與DNS 交換一樣,若版本有更新才交換資料。

 

Replication的模式

1.Push的模式

運作的步驟:
(1)WINS-A設定一個門檻值
(2)當WINS-A達到門檻值時,會主動告知WINS-B,請WINS-B來向WINS-A更新資料
(3)WINS-B來更新資料
(4)WINS-A把新的資料傳送給WINS-B。

2.Pull的模式

 

運作的步驟:
(1)WINS-A設定多久與WINS-B同步資料
(2)雙邊都會做一樣的動作

2010 年 04 月 28 日

DNS 筆記

Filed under: 網路基本服務原理 — nkongkimo @ 02:24:39

Domain Namespace

1.Root Domain:由美國(ICANN)掌管。

2.FQDN(Full Quailified Domain Name):完全合格的Domain名稱

3.台灣的.com.tw都必須先到root Domain註冊,才可以使用

4.DNS Server的作用就是解析FQDN的到正確的IP Address

 

 

DNS的查詢種類

Query的種類:
1.Interative Query:
DNS Server只會在自己的DB裡面找到一個最接近的答案告知來詢問的Client.2.Recursive Query:
DNS Server會現在自己的DB尋找,若沒有找到會上internet的各個DNS Server詢問正確的答案,在把正確的答案告知來詢問的Client
Lookup的整類:
1.Forwarding Lookup(正向查詢):
由FQDN解析IP Address2.Reverse Lookup(反向查詢):
由IP解析FQDN

 

Recursive Query解釋

1.DNS Server可能自己有記錄這一筆資料 所以直接告知PC,若DNS Server沒有這一筆資料,會由DNS Server向外查詢到正確的資料在回傳給PC.
2.最常發生Recursive Query的封包發生在PC向DNS Server詢問FQDN的時候.


 

Interative Query解釋

1.Interative Query 會由範圍最大的開始詢問,一直問到最準確的資訊,在把最準確的資訊告知PC。
2.最常發生DNS Server與DNS Server查詢時。

 

Root Hint的解釋

1.Root Hint就是Root Domain 下的的13台主要DNS Server
2.Root Hint 基本上都會被寫入DNS Server裡面,當在查詢時就可以直接到Root DNS查詢,建議把ISP的DNS加進來,以利加速查詢。

 

Forwarder的功能

1.把Local DNS Server Query的方式由Interative Query轉變成Recuresive Query的方式,換句話說就是由上層的DNS Server幫Local的DNS Server去查詢正確的FQDN資料。
2.通常Forwarder的DNS Server是ISP提供的DNS Server
3.可以減少Local DNS Server resource的消耗,也可以減少頻寬的消耗

 

DNS Zone

1.DNS Zone:
DNS 以Zone為單位,管理也是以Zone一個單位,名稱有連續的才算是一個Zone
ex:
Training.north.nwtraders—>算是一個Zone
單獨的North與West不算是一個zone,因為他們沒有與Nwtraders相關連

 

DNS Zone Typer

1.Primary Zone DNS:
有修改及增加的權限。
2.Secondry Zone DNS:
只有讀的權限。
沒有限制多少台Secondry DNS server。
3.Stub Zone DNS:
只記錄Primary DNS的IP資訊。
行為就是發Recursive Query去給Primary DNS詢問正確的DNS資訊。

 

Zone Transfer(Zone 資料的copy)

1.行為的模式:
當Primary DNS的資料有修改時,會自動Update Secondry DNS。
2.當Primary DNS 掛掉了,Secondry DNS會自動接手,但是無法增加或修改裡面的資料。
3.Secondary 會自動去找Primary DNS copy 資料。也可以找另一台Secondary copy資料。

 

Resource Records

A:
Address Record 主要記錄設備的名稱與設備IP的位址。
PTR:
Point Record 主要用在反向查詢使用,用在那一個IP對應到那一個設備名稱。
SOA:
授權記錄,每一個Zone的第一筆記錄,記錄了Zone的名稱與聯絡資訊。
SRV:
Service記錄,記錄哪一台Server提供哪一種服務。
在Internet沒有人使用,但是常被用在LAN裡面。
NS:
NS Record表示DNS Server的IP,但是無法得知是Primary或是Secondary DNS Server。
MX:
Mail Exchange的紀錄,表示Mail Server是那一台。
CNAME:
別名的紀錄,當多個服務都在同一台Server上時,可以使用CNAME的紀錄來表示多種服務。

 

DNS Server 角色

Cache-only server:
只要開啟DNS的功能就自動啟用此功能。
Non-Recuresive Server:
只提供Internet來查詢的功能(Interative Query),不接受Recursive Query的封包。
Forward-only Server:
把PC來的Recursive Query的在轉到ISP的DNS Server去做Recursive Query 動作。
Conditional Forwarder:
針對有設定的轉送資料

 

Time-to-Live

1.PC發Recursive Query向DNS詢問,DNS會回正確的資訊給PC,並在自己的DB保留一份,這時外部的DNS主機會告知TTL的值,都以秒為單位。
2.TTL表示DNS記錄存活的時間。

 

DNS Server的規劃

第1種:
內網跟外網都相同Domain Name,且2台DNS都是Primary DNS Server,維護上比較花時間,且較不安全。
第2種:
內網使用AD整合的DNS Server。
第3種:
內網跟外網使用不同的Domain Name,較建議使用使方法。內網的安全性比較高。

 

DNS Server的架設

外網的DNS Server放在DMZ區,內網的DNS Server使用forwarder的模式,把DNS的Query都只到外網的DNS Server,這樣就部會暴露內部DNS的資訊。
在DMZ區放置Secondary的DNS,內網放置一台Primary的DNS Server。
當Secondary DNS被攻擊時也部會影響到Primary DNS Server。
較建議此架構,但需要2台對外服務的DNS Server。
Older Posts »

在 WordPress.com 建立免費網站或網誌.