本方法是基于路由器如果发现数据包的目的ip不存在于路由表中而且没有配置default-gateway就会丢弃此包和路由器的null0逻辑接口。
所有设置都是建立在cisco路由器上的。
模拟条件是cisco 3640 ios：c3640-js-mz.124-10.bin
模拟器是gns
ps 原来用ios：c3640-ik9o3s-mz.124-10.bin 不知道为什么路由表全对，但是ping不同。。。希望大家能够解答下。

注意这个封ip只是单向封锁。但是单向锁已经足够了  tcp无法建立 udp可以 但是收不到回复。做到双向封锁可以，也很简单 但是会有些问题  后面会去说。


请先看r1 r2 r3 r6， 忽略掉r4和r5， r2（core-route）是我们的核心路由。
然后r1 r2 r3 r6 中都配置相同的路由协议 ospf也 ripv2呀 ergip呀 bgp呀。 不过我用的是ergip 因为比较简单。 不用rip是因为rip 有点问题。 bgp我没做个实验正在想bgp的问题后面会详细的说下bgp的问题，这样  r1和r6是可以互相访问的。
然后我们在r6上开几个环回口（loopback）
int lo 0
ip ad 12.0.0.1 255.255.255.255
int lo 1
ip ad 12.0.0.10 255.255.255.255
r1也是能够访问到12.0.0.1和12.0.0.10的
出于一些原因我们不想让r1访问到 r6的地址（122.0.0.11）
变相的来说就是封锁r6的ip地址 但是我们想访问他的环回口。
一般情况下 我们可以用 access-list解决 在r1上设置
access-list 100 deny   ip 122.0.0.11 0.0.0.0 any
access-list 100 premit   ip any any
int fa0/0
ip access-group 100 out
ip access-group 100 in
这样 r6就被屏蔽了
如果ip在多点 写access会累死而且access的处理速度很慢的。
不限自己做做实验，写个2000条的access-list。
不用手写 用perl 写一个for循环。 直接telnet 输入。

好了解决的方法就是路由协议来封锁ip。 人畜无害，单一匹配 指哪打哪。
没有任何限制，占用cpu资源低。
目前公网上bgp路由器 都有30w条 条目了 ，他们依然能够在10ms内 把数据包转发出去。
我想3640这个路由器上配置个10000w条路由照样没问题吧？
不做bgp的话路由最多也就1000条 剩下9000条让你随便封ip。9000条还不够？ 你就别internet了。 局域网的了。
好了开始介绍了。
r4  r5 出场。
r4和 r2上配置好  ospf ，如果 r1 r2 r3 r6是ospf 那么r4和 r2上的ospf as 要换另外的一个。
r4  r5 之间配置好rip v2.   r4在配置好 rip 到ospf的重发布，优先级都调成最高。
这样就可以路由封锁ip了。
我们在r5上录入
ip route 122.0.0.11 255.255.255.255 null 0
tip：null 0 是一个逻辑接口 永远 up  发送过去的包等于直接丢弃，不会出现任何回复， 几乎不占用cup 。
几s 后 r2上就可以看到路由中 122.0.0.11/32的下一跳是r4了。
然后r1继续p r6
r1#p 122.0.0.11

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 122.0.0.11, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

tracert一下
r1#traceroute 12.0.0.11

Type escape sequence to abort.
Tracing the route to 12.0.0.11

  1 1.0.0.2 20 msec 44 msec 32 msec
  2  *  *  *
  3  *  *  *
  4  *  *  *

解释下这个traceroute为什么只有1条 其他都是*。
r2上 做了一条虚假路由  r6是永远到不了  现在变成了  r1 -》 r2 -》r4 -》r5-》丢弃
这样的话至少应该出现r4 和r5的信息呀？
因为r2上面没有做重分布 我也不想做重分布，所以r4的路由表只有r2和r5这2个直连路由和 r5 rip过来的虚假路由，他不知道r1怎么走，所以他先产生了一个icmp超时的数据包 然后丢弃了。
这样就保护了封锁路由器。

下面看看r6能不能访问  r1

r6#traceroute 1.0.0.1

Type escape sequence to abort.
Tracing the route to 1.0.0.1

  1 122.0.0.1 44 msec 80 msec 32 msec
  2  *  *  *
  3  *  *  *
  4  *  *  *
  5  *  *  *
  6  *  *  *
  7  *  *  *
  8


p 1.0.0.1  

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.0.0.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)


在r1和r2之间抓包 看看
No.     Time        Source                Destination           Protocol Info
      9 7.318000    122.0.0.11            1.0.0.1               ICMP     Echo (ping) request
     10 7.344000    1.0.0.1               122.0.0.11            ICMP     Echo (ping) reply
     12 9.327000    122.0.0.11            1.0.0.1               ICMP     Echo (ping) request
     13 9.335000    1.0.0.1               122.0.0.11            ICMP     Echo (ping) reply
     15 11.339000   122.0.0.11            1.0.0.1               ICMP     Echo (ping) request
     16 11.370000   1.0.0.1               122.0.0.11            ICMP     Echo (ping) reply
     17 13.297000   122.0.0.11            1.0.0.1               ICMP     Echo (ping) request
     18 13.308000   1.0.0.1               122.0.0.11            ICMP     Echo (ping) reply
     23 15.339000   122.0.0.11            1.0.0.1               ICMP     Echo (ping) request
     24 15.381000   1.0.0.1               122.0.0.11            ICMP     Echo (ping) reply
r1 能够收到r6的请求 也恢复了请求 但是被r2无情的转发给了r4 然后r5 很高兴的把它丢掉了。。。


工作原理差不多了
开始解释 r4 r5为什么用ripv2
首先用rip就不能用v1 因为v1不支持可变掩码。就会导致ban ip 过多。
第二r5我一直将他当作一台服务器来用。哪位大牛编个程序想什么自动封锁ip呀的。这样不就需要r4做翻译了吗。ospf 难度很大 但是rip就简单多了。 比如gfw。。。
如果只想封锁固定ip 而且数量不多的话 就不用r5了  r4 了 直接在核心路由上面写静态路由到null0口就可以了。
但是如果出来路由很多呢？ 3-4台 而且静态封锁ip经常变的话 就需要r4了   因为3-4台你能忙的来但是容易出错。随便找个2800做r4 多好。
如果出口路由在多点10+ 那就有的忙了。
其实我不建议在出口路由上做静态路由来封锁ip，因为出口路由最好不要动，动得越多出问题越多。
如果真要做静态路由还是在backbone上面做吧。
其实最好还是多加一台路由做基于路由协议的扩散吧。


关于双向封锁的问题。
双向封锁可以，
只要加入 ip verify unicast source reachable-via any就ok了
这个是大名鼎鼎的  urpf  简单的说，如果数据包不是从路由表中他应该走的端口发过来 那么这个数据包直接丢失。
但是这样会让路由出现很多问题。 只会出现在数量庞大的路由中。
现在的路由都是多条线路负载均衡的去走 ，很多情况下目前地址真的不是从路由器网这个目标端口发送的那个端口进入的的  而是从该路由的其他端口进来的。
这样那些正常的数据包就被丢掉了。
cisco的文档也说 这个设置会造成很多误杀。。。。


发现的问题 关于bgp的。
bgp我水平真的不好，承认。
但是bgp可以解决很多问题，单公司多地点办公，总部屏蔽其他分部也要屏蔽。
这个用ospf可以， tunnel就可以办到，但是bgp会更好一些。
如果墙呢？ 肯定是bgp了。
bgp扩散问题好解决。只要不粗心屏蔽列表是不会外传的。（route map）
问题1 我记得bgp的更新好像是触发更新 但是有个延时。具体延时多少 我记得是1分钟。有人说bgp没有延时是实施更新。

11日更新  今天发现昨天保存的那些图片 都没了，，，，，不知道是什么原因 还好我下载了，，，下面大家看一看吧

不论2012是否为末日或者是一个新的开始，我们注定了都要去面对他。除非你再此之前挂了。

。。。。

最近炒得很热的nasa 太阳 ufo 图片事件 估计大家也都知道了。不知道的话 baidu吧。

最近发现了一个特别的图片

这是 3.8 早上2点5分的  不是-8就是-5.

发现太阳的右边都是噪点了吗？

先不要着急说那是什么。

这是3.8日的图片记录 进0-5点的

不知道你有没有发现 2.15的和2.25的没了。2.55的也没了 。这是很不寻常的  因为这是10分钟一张图片 电脑技术的然后传下来
再看看其他日期的图片 都没有出现这样的情况。

结论可能有如下2点 

1.照片被人为删除了， 因为ufo是事实 那些是跃迁出来的。

2.照片压根就没照出来，因为设备有问题出现了大量的噪点。

具体是什么 我也不知道 我没有仔细研究过  大家可以自己分析下，。

发现好久没有写blog，那么闲着没事写一篇吧。
最近的确很忙，研究学校的topology  架构很强大 内接pix  学生网关居然是环路。。。。

目前找到了老师及服务器的出口 学生网络的出口没找到  核心交换机连接到一个hydro 然后就找不到任何ip了。。。。

闲着没事去学校的服务器溜达了一圈，一色linux 系统 debain的  硬盘很大。。。每台大概都是1t左右 一共20多台服务器。

网络设备都是cisco的  3层交换机。

很气人的是 居然用3550 12口交换机做学生的路由 fuk  。。妈的

教师网关是2800.

这几天研究cisco中 ，ccna快看完了 有时间去考个证的了。

昨天又下了1.8g的电子书+2g的视频资料。唉 学习呀。。。。。

还有一点气人的是 tudou的 电子科技大学 ccna 课程视频居然吓编号。。。 气死我了。

下周好像天天test。。。 然后就放假了 爽

最近朋友通知我，让我低调一些，最近上边查的烈害。为了保证我能回国，我还是崇良一些吧。免得像冯叔叔那样就不好玩了。

这个blog保密性质不是很好，以后会见一个技术blog完全匿名化。

混到今天也不容易呀。

uc好像不能穿墙了吧，那就那样吧。 我只能说sorry。。。。。

上上周买了n900后 迟迟没有办卡，因为加拿大的服务商太恶心了。。

rogers 30块钱必选。。。。 然后你才可以办网络套餐。。。 

网络套餐30元500mb。。。。。  超出部分 0.01/mb

网络信号850mhz   。。。。可惜我的n900只支持  900/1700/2100。。

fido roger的子公司。。。   最低15必选。。。  上网25起。。。。

选了套餐必须签1年。。。我就操他妈了。。。。。

朋友介绍了wind。超级好的公司。。。

15元必选，35上网无限流量   不过超过5g后会限速。。。。

5元短信无限飞。。

关键是支持2100这个频率，，

现在3g的感觉很好。。偶尔出现3.5g 一首mp3 5秒。。。

不知道怎么锁定3.5g 求助。。。

目前24小时挂gtalk 和sip

本文在此文章的基础上根据自己的认识修改而成。http://gfwrev.blogspot.com/2010/02/gfw.html（自觉翻墙）

本人在国外没找到china的vpn 所以只有利用gfw的排外性来测试。

结果可能不准。请见谅

因为是基于黑盒测验， 研究对象选取了baidu 利用nc和Wireshark去提交数据包来得出结论

Wireshark的pacp 提供下载。我懒得打印了 。

首先

http头文件的  GET /POST /***** http 1.1 其中****会被扫描，如果发现关键字就ban掉。 ascii字符无效。

host 依然被ban////

然后其他http头不会扫描 ，怀疑用了正则。。。。。。

内容级别的过滤

gizp会不会解开的问题。

访问无gzip的中国某论坛自己发了1个帖子  里面n个关键字  结果正常返回结果。（怀疑gfw过滤是单向的。）

有待认证的问题   gzip会不会解开？

网页内容审核是否只对list名单中的网站有效？  如果对所有网站有效 那么是不是需要一个关键字密度？

肯定的一点 肯定有个list文件。  对于list文件中的网站gzip 100%解包。 include  google wikipedia 。。。。

有时间找找资料 然后在找个vpn研究下  

ps 有个问题 我用nginx反向代理utube 居然在中国也是链接初中 不知道原因 我怀疑与屏蔽文字有关。。。

3关于gfw 周边问题。

根据他所讲 gfw是集群。。。 我完全同意。。。。。

但是我觉得gfw可能是无ip的 或者是路由。

但是个人感觉gfw在网络中应该只是无ip的  只是双接口 过滤。这样安全性会高一些  。

最近研究了许多gfw发现  符合中国科研的定律 10%开发。。。。。  粗制滥造/////

闲着无聊给900上安了一vsftpd

上图

gcc编译后的vsftpd包发上来vsftpd-2.2.2.zip  

用zip压缩的包。。

#apt-get install make

#make install

即可使用vsftp 别忘了配置一下vsftp～

我没做开机自启动。要用了就用命令启动一下。没用了就kill掉。

我觉得速度比sftp快。资源占用的也少。不过占了1m左右的roofs。

最近很是无聊呀，不知道干什么好。主要还是没有什么项目可研究^_^
2天前做了一个twitter的模板感觉一般。eva主题的^_^。
chinatrix关了，太占资源了，开不起。等我把sablog【coshim】写完的吧。反正最近也没时间写，就拖着吧。
uc系列就那样吧，前几天我帮别人改了一个单一文件的uc代理分2个版本2合一中英服务器重启uc互换的，和3合一uc服务器实时切换的。源码我找找，一会扔上来吧。
最近开始很悲剧intel和nokia合作了。然后退出meego平台。。我的n900呀不知道是不是成为maemo系列的最后一款手机了。如果不能升级到meego平台就悲剧了。intel合作肯定是intel的处理器，arm的还好要是x86的就悲剧了。。。。。。
写到这里不知道写什么了，也没什么主题了。算了