海绵汽水的博客

转载 CPU的NUME架构

随着CPU多核心技术的发展，一颗物理CPU中集成了越来越多的core（比如ARM架构服务器CPU基本是64核起步），当多个核心（Core）都是通过一条总线进行访问内存时，就会产生“争抢”情况，这种“争抢”会导致内存访问的延迟增加，从而导致系统的整体性能下降。为了提升CPU的计算能力，CPU的技术发展大体经历了增加晶体管的数量、提高CPU的主频、增加核心数量、增加CPU个数（CPU互联）等多个阶段。在Linux系统中，针对NUMA架构的优化和调优主要涉及操作系统层面的内存管理和调度，以及应用程序层面的优化。

转载 nslookup命令

1、nslookup作用nslookup用于查询DNS的记录，查询域名解析是否正常，在网络故障时用来诊断网络问题2、查询a. 直接查询nslookup domain [dns-server] //如果没有指定dns服务器，就采用系统默认的dns服务器。b. 查询其他记录nslookup -qt = type domain [dns-server]type: A -->地址记录 AAAA -->地址记录 AFSDB Andrew --&gt...

原创 D1-员工审查

在员工的整个雇佣期内，经理应定期审查或审核每位员工的工作描述、工作任务、特权和责任。工作任务和权限随时间推移而变化是很常见的。工作职责的转移或特权的蠕变也会导致安全违规。员工拥有的过多特权会增加组织的风险。该风险包括：在员工实际责任范围之外，错误破坏资产机密性、完整性和可用性（CIA）的可能性更大，不满意的员工故意造成伤害的能力更强，以及接管员工账户造成伤害的攻击能力更强。审查并调整用户能力，以符合最小权限原则，这是一种风险降低策略。对于一些组织，主要是金融行业的组织，审查过程的一个关键部分是强制休假。

原创 D1-安全边界

安全边界是具有不同安全要求或需求的任意两个区域、子网或环境之间的交叉线。安全边界存在于高安全性区域和低安全性区域之间，例如LAN和internet之间。识别网络和物理世界中的安全边界非常重要。一旦确定了安全边界，就必须部署机制来控制跨越该边界的信息流。安全区域之间的划分可以采取多种形式。例如，对象可能具有不同的分类。每个分类定义了哪些主体可以在哪些对象上执行哪些功能，分类之间的区别是一个安全边界。物理环境和逻辑环境之间也存在安全边界。要提供逻辑安全性，必须提供不同于用于提供物理安全性的安全机制。两者

原创 H.264 H.265 数据量及存储量计算

原创 密码学基础-OSG8

密码用于：静态、动态、使用中的信息目标：保密性：加密算法实现完整性：加密的信息摘要实现，数字签名身份验证：挑战-应答不可否认性：无冒充的发送者，防止接受者声称没有接到消息，非对称实现布尔数学：1 0逻辑运算：^ 与 AND 有0则0V 或 OR 有1则1~ 非 NOT 取反O+ 异或 XOR 仅有1为1，都1为0模运算： % 求余数单向函数：逆向破解困难Nonce：加密过程中增加随...

转载 路由器和调制解调器和之间区别

路由器（Router，又称路径器）是一种计算机网络设备，它能将数据包通过一个个网络传送至目的地（选择数据的传输路径），这个过程称为路由。路由器就是连接两个以上各别网络的设备，路由工作在OSI模型的第三层——即网络层，例如网际协议（Internet Protocol，IP）层。调制解调器（MODEM）是为了解决利用模拟信道传输数字信号而研制的一种通信设备。计算机只能处理数字信号，而现有的一些信道又只能传输模拟信号，为了利用模拟信道传输数字信号，发送端就必须将数字信号转换成模拟信号，将欲发送的数字信号调制到

原创 CPU 接口

电脑上任何物件的接口，都会有两种方式，一种是可插拔的，俗称公口母口，一种是焊接的。CPU的接口同理，公口母口有PGA和LGA，而焊接指的就是BGA。BGA是CPU的一种封装形式，球栅阵列封装。这是一种表面贴装的封装。采用BGA封装的CPU或者集成电路，都是球脚，也就是一个道个锡球做成的外部脚。直接焊接在PCB电路板上，不使用专门的工具是焊不下来的，往往都是用烤枪的高温气流吹下来。而且，即...

原创 Windows server 2016 网卡Bond 绑定 （动态LACP）

1.保证需要绑定的网卡物理UP状态2.打开服务器管理器，点击"(1)配置此本地服务器”3.在本地服务器的属性窗口，找到“NIC组合---已禁用”4.点击“NIC组合---已禁用”，进入NIC组合配置窗口5.在组窗口右侧点击任务菜单—新建组6.进入NIC组合 新建组 配置界面，分别配置组名称（网络适配器名称），组成员（Bond的网卡）7.点击其他配置，配置Bond模式。...

原创 PKI-CA数字证书验证过程

签名：私钥 加密 HASH值。 公钥解密加密数据：公钥加密，私钥解密。数字证书：CA 颁发者 有效期 使用者 序列号 公钥 指纹算法 指纹 注：CA证书服务器 ...

原创 802.1X与EAP

交换机作为NAS设备，对终端来的802.1X中EAP解封装，通过RADUIS重封装给server。通过server的授权信息，ACL添加在本交换机，从而进行访问授权控制。缺点： 过程明文传输EAP-TLS:引入TLS的握手协议，要求client与server都要证书。握手后数据包在TLS隧道中进行加密传递。缺点：每个client都需要证书EAP-PEAP ...

原创 流量型攻击及防范

流量型攻击（超过阀值后进行防护操作）SYN flood攻击 ：基于传输层的源合法性验证技术，SYN+ACK时回复一个错误的序列号：正常用户，发现错误ACK，重新发送RST进行重新连接非法用户：不回复RST和ACK，加入黑名单SYN-ACK 及 ACK flood 攻击：通过流量阀值进行检测，并进行会话检查。载荷检测，如果载荷内容全一致。FIN/RST flood ...

原创 单包攻击及防范

流量型攻击（超过阀值后进行防护操作）SYN flood攻击 ：基于传输层的源合法性验证技术，SYN+ACK时回复一个错误的序列号：正常用户，发现错误ACK，重新发送RST进行重新连接非法用户：不回复RST和ACK，加入黑名单SYN-ACK 及 ACK flood 攻击：通过流量阀值进行检测，并进行会话检查。载荷检测，如果载荷内容全一致。FIN/RST flood ...

转载 ipmitool启动报错"Could not open device at /dev/ipmi0 or /dev/ipmi/0 or /dev/ipmidev/0

先查看lsmod |grep ipmi[root@localhost ~]# modprobe ipmi_watchdog[root@localhost ~]# modprobe ipmi_poweroff[root@localhost ~]# modprobe ipmi_devintf[root@localhost ~]# modprobe ipmi_si[root@loca...

原创 五步完成 Ubuntu 16.04 网卡bond

第一步检查当前是否安装fenslave它是一款linux下的网卡绑定所需要的负载均衡工具，可以将数据包有效的分配到bonding驱动。 dpkg -l | grep fenslave如果没有安装，apt-get install ifenslave -y进行安装在 /var/cache/apt/archives/ 下刚刚apt-get的 ifenslave.deb 可用...

转载 Linux中执行shell脚本

Linux中执行shell脚本的4种方法总结,即在Linux中运行shell脚本的4种方法:方法一：切换到shell脚本所在的目录（此时，称为工作目录）执行shell脚本：复制代码代码如下:cd /data/shell./hello.sh./的意思是说在当前的工作目录下执行hello.sh。如果不加上./，bash可能会响应找到不到hello.sh的错误信息。因为目...

原创 Centos文件夹目录中文变英文

在终端下输入命令：export LANG=en_USxdg-user-dirs-gtk-update配置界面，提示是否将中文目录切换为英文目录。选中确定。创建8个相应的英文目录如下：“Desktop”、“Download”、“Templates”、“Public”、“Documents”、“Music”、“Pictures”、“Videos”。再执行如下命令还原到系统中文设置：e...

转载 linux关闭SNMP服务默认名称（public）

linux关闭SNMP服务默认名称（public）一、漏洞描述漏洞描述：可以获取远程SNMP服务器的默认社区名称。攻击者可以使用此信息来获取有关远程主机的更多信息，或更改远程系统的配置（如果默认社区允许此类修改）解决方法：如果不使用，请禁用远程主机上的snmp服务。 过滤进入此端口的传入UDP数据包，或更改默认社区字符串。二、查看public是否可以获取数据1、安装完成后用自己配...

转载 SYSLOG与SNMP对比

采集技术比较网络管理中常用来采集日志数据的方式包括文本方式采集、SNMP Trap方式采集和syslog方式采集，另外，其他采集方式，如Telnet 采集(远程控制命令采集)、串口采集等。我们如何选用比较合适的技术方式进行日志数据采集是必须首先考虑的，下面对当前主要的日志数据采集技术进行简单分 析。文本方式在统一安全管理系统中以文本方式采集日志数据主要是指邮件或FTP方式。邮件 方式是...

转载 交换机连接监控摄像头设计

一、根据摄像机的码流和数量来选择1、摄像机码流选择交换机前，首先要弄清楚每路图像占用多少带宽。2、摄像机数量要弄清楚交换机的带宽容量。常用交换机有百兆交换机、千兆交换机。它们的实际带宽一般只有理论值的 60~70% ，所以它们端口的可利用带宽大致是 60Mbps 或 600Mbps。举例：根据你使用的网络摄像机的品牌看单台码流，再去估算一...

原创 交换机丢包故障诊断

配置脚本：进行流量统计，确认报文的收发情况。步骤如下：a、先定义acl，匹配ping的源、目的IP地址：#acl number 3333rule 5 permit icmp source x.x.x.x 0 destination y.y.y.y 0rule 10 permit icmp source y.y.y.y 0 destination x.x.x.x 0#...

转载 RSA算法详解

前言总括：本文详细讲述了RSA算法详解，包括内部使用数学原理以及产生的过程。转：https://www.blockchainbrother.com/article/2858之前写过一篇文章SSL协议之数据加密过程，里面详细讲述了数据加密的过程以及需要的算法。SSL协议很巧妙的利用对称加密和非对称加密两种算法来对数据进行加密。这篇文章主要是针对一种最常见的非对称加密算法——RSA算法进...

转载 慢速协议-Slow Protocol-LACP

慢速协议有三种，包括802.3ah OAM、LACP协议和Marker协议。慢速协议的特点：1，每秒钟传输的报文不超过10帧；2，报文不携带vlan tag；3，目的mac为01-80-c2-00-00-02；4，协议报文的type域为88095，慢协议报文不能被转发[1]注意：由于hub没有转发功能，它相当于一条网线，所以慢协议报文可以通过hub进行传输根据慢...

转载 APT（Advanced Persistent Threat）--------高级持续性威胁

APT（Advanced Persistent Threat）--------高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行准确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，...

转载 arm架构和x86架构区别

本文主要介绍的是arm架构和x86架构的区别，首先介绍了ARM架构图，其次介绍了x86架构图，最后从性能、扩展能力、操作系统的兼容性、软件开发的方便性及可使用工具的多样性及功耗这五个方面详细的对比了arm架构和x86架构的区别，具体的跟随小编一起来了解一下。　　什么叫arm架构　　ARM架构过去称作进阶精简指令集机器（AdvancedRISCMachine，更早称作：Acor...

原创 OSPF Isis 路由双向引入

路由策略示意图：×为deny，禁止匹配的标签○为permit，为匹配路由打标签

转载 各类线缆示意图

线缆分类直流电源线缆采用整长发货，现场需要根据实际使用长度进行截取并现场制作电源线。直流电源线缆包括-48V电源线和电源地线RTN。连接配电盒与配电屏的直流电源线缆的长度和接线端子需要根据工勘确定。直接与电源模块连接的直流电源线缆为OT端子直流电源线缆，外观如图7-1所示。图7-1OT端子直流电源线缆的外观图1．冷压端子2．OT端子对接关系冷压端子接配电盒或配电屏，OT...

转载 转-SIP穿越NAT SIP穿越防火墙

FireWall&NATFireWall是一种被动网络安全防卫技术，位于网络的边界。在两个网络之间运行訪问控制策略。防止外部网络对内部信息资源的非法訪问，也能够阻止特定信息从内部网络被非法输出。一般来说，防火墙将过滤掉全部不请自到的网络通信（除指定开放的地址和port）。NAT技术分为主要的网络地址转换技术(NAT)和网络地址与port转换技术(NAPT。Network Ad...

转载 SBC

4、SBC(Session Border Controller)SBC是VoIP接入层设备。它通过在网络的边界处对会话进行控制来实现NAT/防火墙穿透功能。同一时候还能够进行带宽限制、会话管理、流量统计等。其次。SBC还能够被看作支持VoIP的代理server，能够识别第五层和第七层的消息，而且还能够处理第五层以上的众多会话信令协议。改动数据包头的地址，从而实现SBC内外网地址变换。...

原创 RJ45-线序 586B 白橙 橙 白绿 蓝 白蓝 绿 白棕 棕

转载 ECMP等价路由

1、ECMP简介Equal-CostMultipathRouting，等价多路径。即存在多条到达同一个目的地址的相同开销的路径。当设备支持等价路由时，发往该目的 IP 或者目的网段的三层转发流量就可以通过不同的路径分担，实现网络的负载均衡，并在其中某些路径出现故障时，由其它路径代替完成转发处理，实现路由冗余备份功能。2、与传统路由技术比较如果使用传统的路由技术，发往该目的地址的数...

转载 SDH 相关知识

SDH网络-原理不做传输网的事情转眼一年有余，该好好做个复习笔记，也算是为我的传输工作做一个小结吧。想写三篇，第一篇理论，第二篇写开局维护和排错，第三篇写SDH网络在ISP营运中的业务模式和发展趋势。希望能和大家学习交流，共同进步。但本人水平有限，错漏之处在所难免，恳请指正。从一个提问开始这是我曾经在工作中被经常被问到的一个问题，SDH是第一层还是第二层技术？看似平淡无奇，...

转载 SDH与PDH

　　　在数字通信系统中，传送的信号都是数字化的脉冲序列。这些数字信号流在数字交换设备之间传输时，其速率必须完全保持一致，才能保证信息传送的准确无误，这就叫做“同步”。　　在数字传输系统中，有两种数字传输系列，一种叫“准同步数字系列”(Plesiochronous Digital Hierarchy)，简称PDH；另一种叫“同步数字系列”(Synchronous Digital Hierarchy...

原创 STM-N

MSTP就是SDH的多业务传输平台,STM-1：传输速率155MBit/sSTM-4：传输速率622MBit/sSTM-64：传输速率10GBit/s其实还有一个STM-16：传输速率2.5GBit/s

转载 SMB与CIFS 445端口

SMB（Server Message Block）又称CIFS(Common Internet File System),一种应用层网络传输协议（微软（Microsoft）和英特尔(Intel)在1987年制定的协议），由微软开发，主要功能是使网络上的机器能够共享计算机文件、打印机、串行端口和通讯等资源。它也提供认证的进程间通讯技能。它主要用在Windows的机器上。CIFS是由microso...

转载 OSPF-复习-DR与BDR的选举及作用

一、问题引出在运行OSPF的MA网络中包括广播型和NBMA网络会存在两个问题：1）、在一个有n个路由器的网络中，会形成（n*(n-1))/2邻居关系。2）、邻居间LSA的泛洪扩散混乱，相同的LSA会被复制多份，这样的工作效率显然是很低的，消耗资源，那么如何解决这个问题的呢？二、DR与BDR的作用1）、DR（designated router）即指定路由，其负责在MA网络建立...

原创 以太网的帧间隙、前导码、帧开始定界符

        每个以太帧之间都要有帧间隙（Interframe Gap），即每发完一个帧后要等待一段时间才能再发另外一个帧，以便让帧接收者对接收的帧作必要的处理（如调整缓存的指针、更新计数、通知对报文进行处理等等）。           在以太网标准中规定最小帧间隙是12个字节，其数据为全1。对于个别的接口，可减少到64(GE)或40比特(10GE)，其他的接口都不应该小于12字节。以...

转载 以太网接口自动协商原理

自协商基本原理 　　自动协商模式是端口根据另一端设备的连接速度和双工模式，自动把它的速度调节到最高的公共水平，即线路两端能具有的最快速度和双工模式。　　自协商功能允许一个网络设备能够将自己所支持的工作模式信息传达给网络上的对端，并接受对方可能传递过来的相应信息，从而解决双工和10M/100M速率自协商问题。自协商功能完全由物理层芯片设计实现，因此并不使用专用数据包或带来任何高层协议开销。 ...

转载 吞吐量-包转发率

1.吞吐量吞吐量是指对网络、设备、端口或其他设施在单位时间内成功地传送数据的数量（以比特、字节等测量单位），也就是说吞吐量是指在没有帧丢失的情况下，设备能够接收并转发的最大数据速率。吞吐量的大小主要由网络设备的内外网口硬件，及程序算法的效率决定，尤其是程序算法，对于像需要进行大量运算的设备来说，算法的低效率会使通信量大打折扣。2.带宽吞吐量和带宽是很容易搞混的一个词。当讨论通信链路的带宽时...

转载 华为S系列交换机修改密码不成功

问题描述 在客户局点为接入层设备S5700-52P-LI-AC做预配置，配置完成后客户要求修改维护账号huawei的密码为该局点专用密码。修改前AAA下配置如下： aaa  authentication-scheme default  authorization-scheme default  accountin...