3月 082018
 

案 由:关于在推进IPv6应用中做好安全保障工作的提案
审查意见:建议中央网络安全和信息化领导小组办公室、工信部等研究办理
提案人:严望佳
主题词:IPv6、安全保障
提案形式:个人提案
内 容:
问题及原因分析

互联网是关系国民经济和社会发展的重要基础设施,互联网协议则是互联网能够互联互通、正常运行的基石。当前广泛使用的互联网协议第四版(IPv4)面临网络地址消耗殆尽、服务质量难以保证等问题,以物联网为代表的新应用又对地址空间、服务质量提出了更高的要求,采用新的互联网体系架构已经迫在眉睫。在此背景下,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,是一项明智的举措,必将产生积极而深远的影响。

然而,相比较已经产生和运行了40多年的IPv4,IPv6还是一项新生事物。我国虽然通过在教育科研网络中的大规模试用、联合发起“雪人计划”等积累了大量的IPv6使用经验,但可以预料的是,在全面推进IPv6应用中仍然会出现一系列的问题,安全问题就是其中特别需要关注的一环。从现实情况来看,推进IPv6可能会产生的安全问题主要体现在以下几点: Continue reading »

2月 202018
 

Mysql中utf8_general_ci与utf8_unicode_ci有什么区别呢?在编程语言中,通常用unicode对中文字符做处理,防止出现乱码,那么在MySQL里,为什么大家都使用utf8_general_ci而不是utf8_unicode_ci呢?

用了这么长时间,发现自己竟然不知道utf_bin和utf_general_ci这两者到底有什么区别。。
ci是 case insensitive, 即 “大小写不敏感”, a 和 A 会在字符判断中会被当做一样的;
bin 是二进制, a 和 A 会别区别对待.
例如你运行:
SELECT * FROM table WHERE txt = ‘a’
那么在utf8_bin中你就找不到 txt = ‘A’ 的那一行, 而 utf8_general_ci 则可以.
utf8_general_ci 不区分大小写,这个你在注册用户名和邮箱的时候就要使用。
utf8_general_cs 区分大小写,如果用户名和邮箱用这个 就会照成不良后果
utf8_bin:字符串每个字符串用二进制数据编译存储。 区分大小写,而且可以存二进制的内容

一、官方文档说明
下面摘录一下Mysql 5.1中文手册中关于utf8_unicode_ci与utf8_general_ci的说明: Continue reading »

12月 142017
 

我们所熟悉的互联网过去主要使用 IPv4 协议路由包,TCP 协议连接,SSL/TLS 加密连接,DNS 查询主机和 HTTP 应用协议。IETF 的 HTTP 和 QUIC 工作组联席主席 Mark Nottingham 称,常用的互联网协议过去几年正在发生改变:
HTTP/2 的多路复用允许一个 TCP 连接发送许多个请求,它使用 TLS/1.2 加密,屏蔽了被认为不安全的加密算法。TLS 1.3 已经到达标准化的最后阶段,不要被它的递增名字迷惑,它实际上是全新版本的 TLS,修改了握手,利用动态改变的密钥交换,排除了静态密钥交换,这一设计引发了网络运营商和供应商的担忧,因为他们无法拦截和查看加密流量了,TLS 1.3 不支持拦截流量的技术。TCP 是按次序的传递协议,一个包丢失会影响后续包的传递,QUIC 协议尝试解决这个问题,它由 Google 开发,现已交给 IETF,预计将于 2018 年标准化,Google 已经在其 Chrome 浏览器和网站上部署了 QUIC。QUIC 最初作为一个 HTTP-over-UDP 用例,此外还要求加密,没有不加密的 QUIC,它使用 TLS 1.3 建立会话密钥,因为是基于 UDP,TCP 连接中暴露的会话信息和元数据在 QUIC 中都加密了。另一个新协议是 DOH, DNS over HTTP

12月 142017
 

深圳普联的中继器固件被发现每 5 秒会发送 6 次 DNS 查询和 1 次 NTP 查询。它的固件硬编码了六个 NTP 服务器,没有任何的 DNS 缓存,每 5 秒查询一次这 6 个 NTP 服务器,相比之下 Windows 机器每周才发送一次 DNS 和一次 NTP 查询。

普联的做法违反了 NTP Pool 项目的规定。NTP Pool 项目要求设备制造商和供应商注册自己的 NTP 服务器池如 tplink.pool.ntp.org,不要使用默认的 pool.ntp.org,最多每五分钟检查一次。

time.nist.gov, time-a.nist.gov, time-b.nist.gov, time-nw.nist.gov
au.pool.ntp.org, nz.pool.ntp.org
133.100.9.2, 128.138.140.44, 192.36.144.22

原文链接 https://www.ctrl.blog/entry/tplink-aggressive-ntp

11月 292017
 

win自带的资源监视器,支持filter,但不支持udp。
tcpview,支持tcp和udp,但是不支持filter。
CurrPorts,支持tcp和udp,也支持filter。

11月 292017
 

For the purposes of this post, we’ll use the screenshot in Figure A. This figure shows a Resource Monitor view from a production server running Windows Server 2008 R2 and Exchange Server 2010 with all Exchange roles installed. As such, this server has significant need for network resources that operate within acceptable boundaries. (Note: Like all of our other servers, this server is running as a virtual machine under VMware vSphere 4.1.) Figure A.

Let’s start with an overall look at the console. Occupying most of the window is the statistics area, which I’ll be explaining in depth. At the right side of the window are a number of graphs, each depicting a key network-based performance metric. Continue reading »

11月 272017
 

日前,下一代互联网国家工程中心正式宣布推出IPv6公共DNS:240c::6666。通过免费提供性能优异的公共DNS服务,为广大IPv6互联网用户打造安全、稳定、高速、智能的上网体验,助力我国《推进互联网协议第六版(IPv6)规模部署行动计划》全面落实。同时,工程中心还联合全球IPv6论坛(IPv6 Forum)启动IPv6 公共DNS的全球推广计划,旨在为全球用户提供更优质的上网解析服务。

当前IPv6网络已成为各国推动新的科技产业革命和重塑国家长期竞争力的先导领域,全球各个国家均加快了向IPv6过渡的步伐。与此同时,IPv6用户量也在近两年内实现爆炸式增长,沉寂多年的IPv6发展局面得到显著改观。而IPv6行动计划的推出,无疑将为已蓄势待发的IPv6产业再填强劲助力,全面加快我国下一代互联网整体部署节奏。

作为网络基础设施的重要组成部分,域名系统(DNS)因其“特殊性”,在过去30年间频繁被攻击,顶级域故障、DNS劫持、大规模DNS攻击等事件时有发生,给全球互联网产业带来严重影响。而当前,提升用户体验、保障网络安全的大部分公共DNS均仅面向IPv4,这也是IPv6用户不断诟病的问题之一。为全面助力IPv6的发展, 下一代互联网工程中心依托自主研发的高性能IPv6 DNS系统,面向公众免费提供DNS服务,

首选DNS: 240c::6666
备用DNS: 240c::6644

下一代互联网国家工程中心是我国下一代互联网领域唯一的国家级工程研究中心,多年来致力于IPv6下一代互联网等产业基础关键技术和应用的研究和推动。而本次推出的IPv6公共DNS无疑将为全球IPv6用户提供一个优化上网体验的绝佳选择,其精准快速、安全稳定、DNS64三大特性,将全面保障IPv6网络的高效和稳定。

据介绍,工程中心在北京、广州、兰州、武汉、芝加哥、弗里蒙特、伦敦、法兰克福等全球众多地区部署递归节点。基于IPv6 BGP Anycast方式部署,让用户可以实现就近访问,使得域名在解析到根服务器的访问时延明显缩小,在速度上可以得到重要保障。不仅如此,IPv6公共DNS将通过主动同步com/net域名、缓存热点域名等举措,减少递归过程,以最大程度实现快速应答。 Continue reading »

11月 232017
 

Secure IP: 9.9.9.9 , Blocklist, DNSSEC, No EDNS Client-Subnet
Unsecure IP: 9.9.9.10 , No blocklist, no DNSSEC, send EDNS Client-Subnet

Secure IPv6: 2620:fe::fe , Blocklist, DNSSEC, No EDNS Client-Subnet
Unsecure IPv6: 2620:fe::10 , No blocklist, no DNSSEC, send EDNS Client-Subnet

More information about Quad9 https://www.quad9.net