此版本主要是Bug修正:
Changes with nginx 1.2.4 25 Sep 2012
*) Bugfix: in the “limit_req” directive; the bug had appeared in 1.1.14.
Thanks to Charles Chen.
*) Bugfix: nginx could not be built by gcc 4.7 with -O2 optimization if
the –with-ipv6 option was used.
*) Bugfix: a segmentation fault might occur in a worker process if the
“map” directive was used with variables as values.
*) Bugfix: a segmentation fault might occur in a worker process if the
“geo” directive was used with the “ranges” parameter but without the
“default” parameter; the bug had appeared in 0.8.43.
Thanks to Zhen Chen and Weibin Yao.
*) Bugfix: in the -p command-line parameter handling.
*) Bugfix: in the mail proxy server.
*) Bugfix: of minor potential bugs.
Thanks to Coverity.
*) Bugfix: nginx/Windows could not be built with Visual Studio 2005
Express.
Thanks to HAYASHI Kentaro.
2012.6
]]>速度 放电影两三秒缓冲
记者近日登上B1快速公交车,开始了4G体验之旅。据介绍,中国移动在B1的车头车尾以及公交站台上,都安装了无线路由器,可以将4G网络转化成WIFI信号。按车上移动工作人员的提示,记者打开WIFI,连接到“CMCC-4G”的无线网络上,再用手机自带的SaFaRi浏览器打开网页,手机马上跳出“中国移动通信4G网络体验”的页面,点击“开始体验”,就能上网了。
4G网络到底有没有传说中那么快?记者打开PPTV视频播放器,随机点开一部电影《芳香之城》,三两秒便缓冲完成。而这样的缓冲速度,在3G网络环境下很难实现。接着,记者下载了一首4M大的《没那么简单》歌曲,刚点完“下载”按钮,就听到“叮”的一声,下载完成。
据了解,在网络信号良好的情况下,4G网络下载一首7M大小的高品质歌曲只需1秒钟;下载一张700M的CD只需2分钟;下载一部2.8G的大英百科全书,8分钟可完成;下载一部40G容量的蓝光3D影片,一般的家庭4M宽带需一天完成,但移动4G只需两小时。
不过,记者在B1车上下载高清电影时速度并不理想,平均速率在450KB/S左右。工作人员解释说,目前在B1公交上,4G测试网速最高可达70M,一般稳定在40M左右。如车上多人同时在观看或下载高清视频,会出现网络压力过大的情况。
推广 杭州等6城市陆续体验
根据规划,中国移动在杭州地区将以每天10个4G基站的速度建设,到今年年底将建成2000个基站,预计可覆盖杭州主城区及萧山、余杭主城区,初步实现全民无线高速上网。目前,除了在B1公交车上开通4G网络之外,杭州紫荆家园小区也作为试点区率先享受到了4G网络。
作为我国主导开发的新一代宽带移动通信技术,TD-LTE已于2010年10月被国际电信联盟定为4G技术标准。据了解,除了杭州,上海、南京、广州、深圳、厦门5个城市也将开展4G网络体验。
值得一提的是,中国移动浙江分公司与华为公司共同研发的3G向4G网络的平滑演进技术,使4G建网成本下降了90%,也使单个基站的建设时间从2个月左右缩减到了3天。
“按原有的独立建网的建设方式,要增加天线和其他设备。现在这种方式,原来的天线及网络设备均可以共用,只要更换电路板,在电路板和天线之间布放少量的光纤,就能实现网络升级。”中国移动浙江公司总经理钟天华说。
资费 肯定不会比3G贵
对于网民们比较关心的4G资费问题,移动公司表示,由于目前杭州的4G网络还处于体验阶段,所以4G的收费政策还没有制订,但肯定不会比3G贵。
据了解,目前国际上的4G通信标准有TD-LTE和FDD-LTE两种。FDD-LTE标准已于去年年初在欧美国家正式商用。截至2011年 10月,全球有248家运营商已确定了部署LTE商用网络计划,其中,35张网络已正式商用,还有150家公司的商用网络正在部署。
虽然TD-LTE已受到了国际认可,但在我国的商用进程却远远落后于日本、印度等国家。“目前国际上的格局是,FDD技术已商用近一年,掌握 TD技术和控制装备生产的企业主要是中国企业,但这些企业忙于承接国外订单。”全球网总裁方兴东说,“国内的4G网络上马需要主管部门‘吹哨子’,否则这个市场是不会启动的。”
有专家建议,鉴于中国移动现有的3G升级到4G网络的费用可以大幅缩减,而联通的WCDMA网络和电信的CDMA2000网络本身就可以以极少的代价向4G平滑演进,我国将4G进行大规模商业化应用的时机已经成熟。“我们应抓住机遇,尽快推进4G商用,抢占全球移动互联网竞争制高点。”方兴东说。
]]>2012.3
]]>值得注意的是:如果你正在使用jQuery Mobile,请使用最新的jQuery 1.7.2和jQuery Mobile 1.1这两个版本,因为之前的jQuery Mobile版本还基于jQuery core 1.7.1或更早的版本。 更多详情参看jquery。
下载地址:
http://code.jquery.com/jquery-1.7.2.min.js (minified, production)
http://code.jquery.com/jquery-1.7.2.js (unminified, debug)
但可以发现,IDC没有计算那些后来重装为Linux的服务器,或是安装在裸机上,只是计算了那些预装了Linux的。
这意味着越来越多的客户要求IBM,惠普和戴尔这三大服务器硬件厂商安装Linux。特别的,IDC发现,Linux服务器的需求增长得益于它成为高性能 计算(HPC)和云基础设施的硬件部署,每年都在增加。到11年的第四季度达到26亿美元,较去年同期增长2.2%。现在Linux服务器占所有服务器收 入的18.4%,与2010年第四季度相比,上升1.7个百分点。
而它的竞争对手,Windows 在11年第四季度在类硬件产品上收入略有减少,较去年同期下降1.5%。这个季度Windows服务器65亿美元的季度收入占全部季度收入的45.8%,这个比例比去年的这个季度上升2.6个百分点。
Unix正在被其它服务器打击,长期以来在不断下滑。这个季度收入34亿美元,占市场份额的24.2%,比去年同期下降10.7%。
这意味着:“甲骨文排名第四,在11年的第4季度收入由11.5%下降到5.2%,而富士通,排在第5,由10.5%下降3.4%。
]]>为了更好地防范Linux病毒,我们先对已知的一些Linux病毒进行分类。
从目前出现的Linux病毒来看,可以归纳到以下几个病毒类型中去:
1、感染ELF格式文件的病毒
这类病毒以ELF格式的文件为主要感染目标,通过汇编或者C可以写出能感染ELF文件的病毒。Lindose病毒就是一能感染ELF文件的病毒,当它发现一个ELF文件时,将检查被感染的机器类型是否为Intel80386.如果是,则查找该文件中是否有一部分的大小大于2784字节(或十六进制AEO),如果有,病毒就会用自身代码覆盖它并添加宿主文件的相应部分的代码,同时将宿主文件的入口点指向病毒代码部分。
防范:由于Linux下有良好的权限控制机制,所以这类病毒要有足够的权限才能进行传播。在防范此类病毒时,我们要注意管理好自己Linux系统中的各种文件的权限,特别要注意的是在做日常操作时不要使用root账号,最好不要以root身份运行来历不明的可执行文件,以免无意中触发了含病毒的文件从而传染到整个系统中。
2、脚本病毒
脚本病毒是指使用shell等脚本语言编写的病毒。此类病毒编写较为简单,不需要具有很高深的知识,很容易就实现对系统进行破坏,比如删除文件、破坏系统正常运行、甚至下载安装木马等。但它传播性不强,通常是在本机上造成破坏。
防范:防范此类病毒也是要注意不要随便运行来源不明的脚本,同时,要严格控制对root权限的使用。
3、蠕虫病毒
Linux下的蠕虫病毒与Windows下的蠕虫病毒类似,可以独立运行,并将自身传播到另外的计算机上去。
在Linux平台下的蠕虫病毒通常利用一些Linux系统和服务的漏洞来进行传播,比如,Ramen病毒就是利用了Linux某些版本(Redhat6.2和7.0)的rpc.statd和wu-ftp这两个安全漏洞进行传播的。
防范:防范此类病毒要堵住蠕虫病毒发作的源头,从已经出现的几个Linux病毒爆发事件来看,它们都是利用了Linux已经公布了的几个安全漏洞,如果用户及时采取了对应的安全措施就不会受到它们的影响。不过遗憾的是,许多Linux的管理员并没有紧密跟踪与自己系统和服务相关的最新信息,所以还是给病毒有可乘之机。
用户要做好本机的安全工作,特别要关心Linux的安全漏洞信息,一旦有新的Linux安全漏洞出现,就要及时采取安全措施。此外,还可以配合防火墙规则来限制蠕虫病毒的传播。
4、后门程序
后门程序也可以被看成广义的病毒,在Linux平台上也非常活跃。Linux后门利用系统服务加载、共享库文件注射、rootkit工具包、甚至可装载内核模块(LKM)等技术来实现,许多Linux平台下的后门技术与入侵技术相结合,非常隐蔽,难以清除。
防范:防范此类病毒可以借助一些软件来进行,有一些软件可以帮助用户找出系统中的各种后门程序,比如chkrootkitR、rootkits可以发现蠕虫、后门等。
]]>DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)
说明:指定传出IP数据包中设置的默认生存时间(TTL)值.TTL决定了IP数据包在到达目标前在网络中生存的最大时间.它实际上限定了IP数据包在丢弃前允许通过的路由器数量.有时利用此数值来探测远程主机操作系统.我建议设置为1,因为这里是ICMP数据包的寸活时间。越小对方用 PING DDOS你的话,一般1M带宽的话就必须要100台以上的肉鸡来实现。不修改20几台就可以搞定
2)防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableICMPRedirects REG_DWORD 0×0(默认值为0×1)
说明:该参数控制Windows 2000是否会改变其路由表以响应网络设备(如路由器)发送给它的ICMP重定向消息,有时会被利用来干坏事.Win2000中默认值为1,表示响应ICMP重定向报文.
3)禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Inter
faces\interface
PerformRouterDiscovery REG_DWORD 0×0(默认值为0×2)
说明:“ICMP路由公告”功能可造成他人计算机的网络连接异常,数据被窃听,计算机被用于流量攻击等严重后果.此问题曾导致校园网某些局域网大面积,长时间的网络异常.因此建议关闭响应ICMP路由通告报文.Win2000中默认值为2,表示当DHCP发送路由器发现选项时启用.
4)防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SynAttackProtect REG_DWORD 0×2(默认值为0×0)
说明:SYN攻击保护包括减少SYN-ACK重新传输次数,以减少分配资源所保留的时间.路由缓存项资源分配延迟,直到建立连接为止.如果synattackprotect=2,则AFD的连接指示一直延迟到三路握手完成为止.注意,仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施.
5) 禁止C$、D$一类的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD、0×0
6) 禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks、REG_DWORD、0×0
7) 限制IPC$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous REG_DWORD 0×0 缺省
0×1 匿名用户无法列举本机用户列表
0×2 匿名用户无法连接本机IPC$共享
说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server
8)不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IGMPLevel REG_DWORD 0×0(默认值为0×2)
说明:记得Win9x下有个bug,就是用可以用IGMP使别人蓝屏,修改注册表可以修正这个bug.Win2000虽然没这个bug了,但IGMP并不是必要的,因此照样可以去掉.改成0后用route print将看不到那个讨厌的224.0.0.0项了.
9)设置arp缓存老化时间设置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)
说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP缓存项在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife,未引用项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期.每次将出站数据包发送到项的IP地址时,就会引用ARP缓存中的项。
10)禁止死网关监测技术
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
EnableDeadGWDetect REG_DWORD 0×0(默认值为ox1)
说明:如果你设置了多个网关,那么你的机器在处理多个连接有困难时,就会自动改用备份网关.有时候这并不是一项好主意,建议禁止死网关监测.
11)不支持路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0×0(默认值为0×0)
说明:把值设置为0×1可以使Win2000具备路由功能,由此带来不必要的问题.
12)做NAT时放大转换的对外端口最大值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
MaxUserPort REG_DWORD 5000-65534(十进制)(默认值0×1388–十进制为5000)
说明:当应用程序从系统请求可用的用户端口数时,该参数控制所使用的最大端口数.正常情况下,短期端口的分配数量为1024-5000.将该参数设置到有效范围以外时,就会使用最接近的有效数值(5000或65534).使用NAT时建议把值放大点.
13)修改MAC地址
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\
找到右窗口的说明为”网卡”的目录,
比如说是{4D36E972-E325-11CE-BFC1-08002BE10318}
展开之,在其下的0000,0001,0002…的分支中找到”DriverDesc”的键值为你网卡的说明,比如说”DriverDesc”的值为”Intel 82559 Fast Ethernet LAN on Motherboard”然后在右窗口新建一字符串值,名字为”Networkaddress”,内容为你想要的MAC值,比如说是”004040404040″然后重起计算机,ipconfig /all看看. 最后在加上个BLACKICE放火墙,应该可以抵抗一般的DDOS
]]>“百度分享”的tittle以及宣传语都是“百度分享-为您带来更多流量”。百度分享的注解是“稳步提升网站流量和搜索引擎排名的web2.0工具!借助百度分享按钮,让您网站的用户轻松分享内容到新浪微博、人人网等sns网站,为您带来更多流量。”
从这段注解当中不难看出,百度分享能为站长带来两点好处:(1)带来流量。(2)提高排名。而这两点恰恰击中草根站长的要害,都是草根站长拼了命想要的,而眼下,sns社会化分享如日中天,网络里走到哪儿都能看到分享到各个新浪微博、腾讯微博、人人网、开心网等等的按钮。百度等搜索引擎也说过要提高sns类社会化分享为网站带来的权重。那么,百度分享能否为网站带来流量与提高排名?
下面首先看看怎样让自己的网站拥有百度分享的“小手”:
第一步:进入“百度分享”http://share.baidu.com/。
第二步:点击“免费获取代码”选择你喜欢的分享形式。
第三步:将获得的代码粘贴到你想要出现百度分享的页面,包括首页。
没错,就这么简单,简单的像是把大象装进冰箱里的步骤,你甚至无需注册、无需申请,就可以轻松拥有百度分享。
万搜也拿出了一个网站做了试验,不过,试验期较短,说实话,除了在搜索网站的时候,后面多了个“小手”看着很养眼之外,还没有发现对关键词排名、网站流量等有什么明显好处。
首先,关于“带来流量”:万搜觉得,百度分享看中的更是用户体验,当你的网站提供的是真正有价值信息时候,适时的出现分享按钮,会让用户心甘情愿、真心的去主动分享这个网站、这个页面。而如果你的网站只是空壳,没有实质内容的话,在当今网民无比浮躁的大环境下,愿意去分享的人估计会很少,甚至为零!这也就失去了web2.0的初衷。所以,百度分享更适合那些提供真正原创、有价值信息、并有一定流量基础的正规好站。这样的站才会真正实现“百度分享,为您带来更多流量”的初衷。
其次,关于“提高排名”:如果你添加百度分享代码的愿望是偏向于依靠百度分享来提高排名,想要借助刷分享数目来实现的话,暂时来说,你可能要失望了。因为,现在没有任何数据、事实可以证明“分享数目越多,百度就会给你的排名靠前”。而且,我也相信,百度不会傻到连这个粗浅的作弊手段都分辨不出来的地步。
最后,万搜要说的是,站长做站想要获得好的排名,最主要的还是踏实做站,从用户角度出发,多想想用户想要什么样的站、用户想要什么样的内容、怎样能让用户体验更好、怎样更便于用户浏览网站……等等。毕竟搜索引擎排名就是模拟用户需求、用户体验而制定的规则。
]]>虽然你不能阻止所有的DDoS攻击,还是有办法可以限制它们的攻击效力,让你的企业更快修复。大多数攻击都是瞄准web应用程序,他们只需简单地向目标web应用程序发送比其可以处理的更多的请求,让它很难被访问者使用。
在DDoS攻击中,大多数攻击中并不关心系统和应用程序是否崩溃了,虽然他们会对崩溃感到高兴,他们的主要目标是防止目标公司提供的服务响应来自合法用户的请求,为受害公司制造问题。
如果你有适当的监控技术,那么就很容易发现DDoS攻击。你的网络操作中心(NOC)会显示系统状态:带宽、每秒请求以及系统资源,如果突然或者在短时间内,所有这些趋势都上升,那么监控系统就会发出警报。
在典型的企业中,这些事件将会促使NOC的升级,并且IT团队也会赶紧招募适当的人来处理。管理层也会收到通知说网站和应用程序不正常,所有人都会思考为什么突然请求出现激增。
第一步是分析这些请求的日志
你想要知道请求了什么以及请求的来源。对比新的请求和正常流量来判断这些是否是合法负载。如果你的企业已经将日志记录集中化管理,那么事情就很好办。但如果日志服务器跟不上,也超负载了,那么可能无法响应你对日志的搜索。如果攻击了你的应用程序,被感染服务器的日志可能无法发送到日志系统。你将要从攻击的开始传输了哪些数据进行分析。
第二步是解析这些日志以了解DDoS攻击
获取日志后,打开归类工具和解析工具,获取日志后,打开归类工具和解析工具,首先,你需要确定DDoS攻击是如何进行的。DDoS攻击是否发送数据到远程系统没有打开的端口,从而消耗防火墙资源?是否反复请求特定的URL?或者是否只是简单地发送Get / HTTP/1.1请求到web服务器?
通过企业监控,可以确定负载应用的位置。如果你的防火墙的负载很大,而web服务器没有,则说明是第一种类型的攻击。如果web服务器在处理请求方面速度很慢,防火墙在处理负载,比平时更高的资源利用率,那么web应用程序应该被直接攻击了。
第三步是确定关键因素
知道DDoS攻击媒介后,将需要配合日志信息以确定几个关键因素。通过查看日志,你可以确定DDoS攻击工具做了什么。无论请求发送给web应用程序还是由防火墙处理,你寻找的数据是相同的。违反常规的请求。查看日志可以很清楚的看出DDoS攻击的部分,因为会有很高数量的类似请求或者请求样式组合在一起。例如,可能会有1万个请求试图访问一个URL,或者可能有个端口失效。
在某些情况下,分布式工具可能会改变他们的要求。但是,一般情况下,你会看到对相同的资源的请求,来自相同的来源,组合在一起,例如对不存在的网址反复发送请求。确定DDoS攻击使用的请求。如果在所有攻击节点都是相同的,你将能够找到攻击者,区分合法流量。
你只要弄清楚了请求的样式,你就能确定攻击者。找到发送最高量和最快请求的攻击节点,这些都是比较大的攻击者。知道最常见的请求以及其来源后,你就可以开始行动了。笔者经常听到重命名被感染资源(例如URL或者主机名)的建议,但这样只会导致攻击者重构他们的DDoS攻击,或者攻击新的资源。
这种策略只有当攻击者调用合法的web应用程序URL(执行一些资源密集型工作,例如大型数据库查询)才行得通。在这种情况下,修改应用程序,执行屏幕确认或者执行攻击者的工具无法理解的重定向(例如CAPTCHA或者具有用户确认和重定向的Flash应用程序)可以减小攻击的影响。不幸的是,在大多数情况下,攻击者只会改变他们的攻击。
第四步是来源过滤、连接和速率限制
在尝试过这些初始步骤后,下一步应该是来源过滤、连接和速率限制。如果我们可以阻止最大的攻击者并减慢其他攻击者,那么我们就可以大大减小DDoS攻击的影响。为了成功发动攻击,攻击者的节点必须超过我们的生产集群在给定时间内所能够处理的请求数量。如果我们能够阻止一些攻击节点,那么我们就可以减少系统的负载,让我们有时间阻止更多攻击,通知网络供应商,转移服务等。
为了保护大部分基础设施,最好尽可能的在靠近网络边缘的位置应用过滤器。如果你可以说服网络服务供应或者数据中心在他们的设备部署过滤器,将更便于阻止DDoS攻击。
如果你必须在你的设备上部署过滤器,或者你需要等待上游供应商的响应才能开始,那么则可以从边缘设备开始,逐渐向后蔓延。使用所有合适的工具来过滤请求,减小对系统的影响。路由器、负载平衡器、IPS、web应用程序防火墙,甚至系统本身都可以拒绝部分请求。
第一个过滤器应该过滤来自发送最多请求的攻击者的所有连接。向你的访问控制列表(ACL)应用此规则。当然,边缘设备不应该接受发送到其接口的流量,并且不应该响应数据包。如果它们这样做的话,将会成为攻击者额外的攻击目标。
第五步是根据来源来限制连接的速率
这能够阻止来自超过连接限制的主机的任何新连接请求。查看日志,将速度限制设置为低于每个间隔发送请求的平均数量。如果你不确定那些日志条目是攻击者,哪些是合法的,则可以使用最大请求发送者的请求速率作为出发点。因为最大发送者发送请求的速率肯定大于平均值。
此外,你还可以调整主机和边缘设备以更快的速度来清除空闲会话以获取更多资源。但是不能太过头,以免花费太多资源来建立和拆除连接。通过阻止来源和限制速率,已经能够大大缓解DDoS攻击的影响。如果攻击者仍然继续攻击,看不到尽头,IT团队则应该将重点转移到保护其他企业资源上。
通常情况下,攻击者会针对一个特定的主机,应用程序或网络。转移这些资源的流量到另一个位置,或者阻止流量,将可以保存后端系统的负载,但是也会影响你的服务,这也正是攻击者的目标。将受到攻击的服务与其他服务进行分隔也是个好主意。如果能够分离感染的服务的话,至少企业不会完全崩溃。
DDoS攻击深深地影响着企业的正常运营,首席执行官关心的是收入损失以及负面新闻;IT部门对崩溃的应用程序和长时间加班感到烦恼。如果你通过互联网提供服务,那么你就是一个潜在的DDoS攻击目标。
]]>