<![CDATA[天堂上空的浮尘]]> http://Blog.iFeeling.Net/ zh-cn PBlog2 v2.4 天堂上空的浮尘 http://Blog.iFeeling.Net/images/logos.gif http://Blog.iFeeling.Net/ 天堂上空的浮尘 http://Blog.iFeeling.Net/article.asp?id=478 <![CDATA[收藏《功夫传奇》视频]]> samson#iFeeling.Net(大漠孤沙) Wed,21 Jul 2010 10:12:29 +0800 http://Blog.iFeeling.Net/default.asp?id=478
《功夫传厅》之五实战太极

http://v.youku.com/v_show/id_XMTg4NzE5Mjc2.html]]> http://Blog.iFeeling.Net/article.asp?id=477 <![CDATA[小区开始立面整治,改造内容挺令人失望]]> samson#iFeeling.Net(大漠孤沙) Mon,12 Jul 2010 12:19:18 +0800 http://Blog.iFeeling.Net/default.asp?id=477
但是看了通知,改造比较简单。外墙刷涂料;一二层更换木窗铁窗,加防盗窗和雨篷,其它楼层拆一还一;突出的保笼改成平面的防盗窗、平改坡等四五项。
很多实质性的内容没有提到,比如好多外立面抹灰层脱落也没说要铲掉重抹;电线有线电视线宽带线上改下;外墙立面的违章管道;违章建筑拆除等。

今年是杭州庭院改造三年计划的最后一年,但是ZF做的实在有限而且过于表面,甚至连表面都没做到位。而墙外要搭2个月的脚手架,这个日子是不太好过的。]]> http://Blog.iFeeling.Net/article.asp?id=476 <![CDATA[进进出出,淘宝上终于买到一台心仪的NC8430]]> samson#iFeeling.Net(大漠孤沙) Sat,10 Jul 2010 18:00:05 +0800 http://Blog.iFeeling.Net/default.asp?id=476
第一次交易,拍下付款后五六天联系不上卖家。前后等了8天,卖家终于发货。第10天到手。发现卖家虚标成色,其实屏幕两侧各有一片掉漆,VGA接口下面的螺丝处还裂了,卖家均未事先说明。无奈退货,还好卖家也挺好说话,退就退了,卖家承担了来回运费。目前为此货款已安全退回。

第二次交易,付款后卖家明明在线,却不理人。询问有没发货好几天才有人响应。到手一看,真是晕到,很明显是翻新货。底部的标签都被漆喷得认不清上面的字了。VGA接口处也有裂良。还好,卖家承认是翻新货,给退了。不过卖家竟以买家没说不要翻新货为由,要买家承担退货运费。罢了罢了,这回买卖双方各自承担了运费。货款尚示退回。

因此有了第三次交易。
很幸运,碰到个诚信的卖家:雨田本本。到手的NC8430成色卖家说的还要好,我很是激动。发货快,技术支持也很到位,而且从不吝啬自己的电话费。

当时心想,万一第三次交易不成,我就去惠佳买了,听说那边信誉不错,全价格也不低。还好,雨田本本让我很满意。如果有人要买二手本本,我非给他推荐雨田本本不可。

查了本本的保修,刚过保。
还特意偷偷拆开笔记本清了清灰,发现本本没有拆修痕迹。只是这本本温度着实有点高啊,CPU经常是七八十度,网上搜索几个来回,发现是NC8430的通病~

散热片和风扇微灰,而且很新净,内部没有二手本本常见的手印、黄斑等污渍。散热片清了清灰法,又把风扇拆出来用油精擦擦,再加了点凡士林。

又点吃惊哩,还是原装的1G HP内存!


引用内容 引用内容


Serial Number CNU71***FV
Product Number RF591UC
Product Description Cnc8430FFT7200Y580XMhF10PeS ALL
Date of Warranty Check 10 Jul 2010  

--------------------------------------------------------------------------------

Warranty Type Base Warranty

Wty: HP HW Maintenance Offsite Support
Status  Expired
Start Date  01 Jun 2007  
End Date  05 Jul 2010  
Service Level  Std Office Hrs Std Office Days , Std Office Hrs Std Office Days , Global Coverage , Standard Material Handling , Standard Parts Logistics , No Usage Limitation , 2 Business Days Turn-Around , Pickup by HP , HP Ships to Customer Site  
Deliverables  Offsite Support & Materials
Hardware Problem Diagnosis


Wty: HP Support for Initial Setup
Status  Expired
Start Date  01 Jun 2007  
End Date  03 Oct 2007  
Service Level  Std Office Hrs Std Office Days , NextAvail TechResource Remote , 2 Hr Remote Response , Unlimited Named Callers  
Deliverables  Initial Setup Assistance


拆机清灰:
1、拆键盘
HP拆机清灰很方便,只要拧下内存盖边上的两粒螺丝即可(有图示标注)。刚开始拆键盘费了不少劲,后来才发现只要把键盘上端的四个突起的杆子,往里拨一下即可,呵呵!(图中F4和F5中间这坚条)



2、内腑。
很新净,没有手印、污渍啥的。


3、CPU散热片上的积灰
NC8430的散热片有两块,CPU和显卡是物理上独立的,分别拆下。


4、风扇
微尘的风扇。2块散热片共用一个风扇。

5、轴承
拆下用油精洗洗,再加点凡士林。清灰加油后装回去,CPU温度降到了六七十度,看样子还是挺有效的。]]> http://Blog.iFeeling.Net/article.asp?id=475 <![CDATA[灵异事件:有条链路下班就Down,上班了又自动UP]]> samson#iFeeling.Net(大漠孤沙) Thu,08 Jul 2010 09:36:39 +0800 http://Blog.iFeeling.Net/default.asp?id=475
公司里一条简单得不能太简单的链路:数百米长的光纤,两端通过收发器,一头接到上行设备Cisco 3550,另一头接到Cisco2960,配置了Trunk,下边只有一个Vlan 23。交换机配置简单得不能再简单,平常得不能再平常。

最近发现:每到下班后,这条链路上的Trunk端口就自动Down掉了,而到快上班的时候,端口又能自动UP起了


想了很多原因:网络病毒、端口问题、交换机问题、配置问题,链路问题,一一排查,都没找到原因。就算把下边所有的电脑都关机,晚上线路问题照旧出现。。。

最近的日志:
引用内容 引用内容


  2010-7-8 07:48  Switch is responding again. Response time is 0 milliseconds  
  2010-7-8 07:41  Switch has stopped responding (Request Timed Out)  
  2010-7-8 07:36  Switch is responding again. Response time is 1 milliseconds  
  2010-7-8 07:29  Switch has stopped responding (Request Timed Out)  
  2010-7-8 07:26  Switch is responding again. Response time is 0 milliseconds  
2010-7-7 17:35  Switch has stopped responding (Request Timed Out)  
  2010-7-7 17:31  Switch is responding again. Response time is 0 milliseconds  
  2010-7-7 17:30  Switch rebooted at 2010-7-7 17:28  
  2010-7-7 17:29  Switch has stopped responding (Request Timed Out)  
  2010-7-7 17:03  Switch is responding again. Response time is 0 milliseconds  



端口配置:
下端Cisco2960(后来换成3560):
引用内容 引用内容


switch-23net#sho run int fa0/24
Building configuration…

Current configuration : 224 bytes
!
Interface FastEthernet0/24
description up_3550-fa01
switchport trunk encapsulation dot1q
switchport mode trunk
logging event trunk-status
logging event spanning-tree
logging event status
speed 100
duplex full
end


上行设备Cisco3550的端口配置:

引用内容 引用内容


cisco3550#sho run int fa0/1
Building configuration…

Current configuration : 248 bytes
!
Interface FastEthernet0/1
description to_23net
switchport trunk encapsulation dot1q
switchport mode trunk
logging event trunk-status
logging event bundle-status
logging event spanning-tree
logging event status
duplex full
speed 100
end
]]> http://Blog.iFeeling.Net/article.asp?id=474 <![CDATA[NetScreen防火墙DoS攻击的检测和防御]]> samson#iFeeling.Net(大漠孤沙) Thu,01 Jul 2010 14:07:35 +0800 http://Blog.iFeeling.Net/default.asp?id=474 一.拒绝服务攻击DoS
1. 拒绝服务攻击的目的是用极大量的虚拟信息流耗尽受害者的资源,使其无法处理合法的信息流。攻击的目标可以是防火墙、防火墙所保护的网络资源、个别主机的特定硬件平台或操作系统等。通常DoS攻击中的源地址是欺骗性的。

2. 发自多个源地址的DoS攻击称为分布式拒绝服务攻击(DDoS)。DDoS攻击中的源地址可以是欺骗性地址,也可以是被损害过的主机的实际地址,或者是攻击者目前正用作“zombie代理”且从中发起攻击的主机实际地址。

3. NetScreen防火墙提供了九种拒绝服务攻击的检测和防御:
   会话表泛滥攻击的检测和防御
   SYN-ACK-ACK代理泛滥攻击的检测和防御
   SYN泛滥攻击的检测和防御
   ICMP泛滥攻击的检测和防御
   UDP泛滥攻击的检测和防御
   陆地攻击的检测和防御。
   Ping of Death攻击的检测和防御
   Teardrop攻击的检测和防御
   WinNuke攻击的检测和防御。

二.会话表泛滥攻击的检测和防御

1.攻击者通过填满防火墙的会话表,使防火墙不能产生任何新的会话,拒绝新的连接请求,从而产生DoS攻击。防火墙主要采用基于源和目标的会话限制和主动调整会话超时的主动失效机制两种手段来减轻这类攻击。

2.选择SCREEN选项“Source IP Based Session Limit”和“Destination IP Based Session Limit” 将启动基于源和目标的会话限制功能。默认的基于源和目标的会话限制是每秒128个并发连接。

3.基于源的会话限制将限制来自相同源地址的并发会话数目,可以阻止像Nimda、冲击波这样的病毒和蠕虫的DoS攻击。这类病毒会感染服务器,然后从服务器产生大量的信息流。由于所有由病毒产生的信息流都始发于相同的IP地址,因此基于源的会话限制可以保证防火墙能抑制这类巨量的信息流。当来自某个IP 地址的并发会话数达到最大限值后,防火墙开始封锁来自该IP地址的所有其他连接尝试。假如网络发生了冲击波病毒,我们可以将内网的基于源的会话限制设置为一个比较低的值(比如设为50),那些不能上网的机器,很可能就是中了毒,立刻隔离并进行查杀病毒和打补丁。

4.攻击者可以从上百个被他控制的主机上发起分布式拒绝服务(DDoS)攻击。基于目标的会话限制可以确保防火墙只允许可接受数目的并发连接请求到达任意主机,而不管其来源。当访问某服务器的并发会话数超限时,防火墙将封锁到该服务器的所有其他的连接尝试。

5.在默认情况下,最初的TCP三次握手的超时值为20秒,会话建立后,超时值改变为1800秒;对于HTTP和UDP,超时值分别为300秒和 60秒。当发生攻击时,并发会话数很快增长,但由于超时值的限制,那些没有完成的连接会话就会迅速填满会话表。防火墙提供了一种主动失效机制,当会话表的使用达到一个高限值时(比如最大并发会话数的80%),缩短会话超时值,提前删除会话。当会话表的使用低于某个低限值时(比如最大并发会话数的60%),超时值恢复为默认值,超时进程恢复正常。主动失效机制将以设定的会话主动失效速率缩短默认的会话超时值,加速会话失效。失效速率值可在2~10个单位间选择(每个单位表示10秒)。该功能要通过命令来设置。
set flow aging low-watermark 60
set flow aging high-watermark 80
set flow aging early-ageout 6
上述设置的作用是当会话表的使用达到最大并发会话数的80%时,启动主动失效机制加速会话失效。此时,TCP的会话超时值由1800秒缩短为1740秒, HTTP的会话超时值由300秒缩短为240秒,而UDP的会话超时值缩短为0。防火墙将自动删除超时值超过1740秒的TCP会话和超时值超过240秒的HTTP会话,首先开始删除最早的会话。提前60秒超时的设置导致所有的UDP会话超时,并在下一次垃圾清扫时被删除。当会话表的使用下降到最大并发会话数的60%时,停止加速失效,会话超时值恢复为原来的默认值。这样可以有效地抑制使防火墙会话表泛滥的攻击。


三.SYN-ACK-ACK代理泛滥攻击的检测和防御

1.当认证用户发起Telnet或FTP连接时,防火墙截取用户发往Telnet或FTP服务器的SYN片段,在其会话表中创建一个条目,并代发一个 SYN-ACK片段给用户,然后该用户用ACK应答,从而完成最初的三次握手。之后,防火墙向用户发出登陆提示。如果用户是一个攻击者,他没有响应登陆而是继续发起SYN-ACK-ACK会话,由此引发了SYN-ACK-ACK代理泛滥,最终会填满防火墙的会话表,从而拒绝合法用户的连接请求。

2.为阻挡这种攻击,可以启动SCREEN的“SYN-ACK-ACK Proxy Protection”选项。在来自相同IP地址的连接数目达到SYN-ACK-ACK代理阀值后(默认是512,可选1-250000之间任何整数以适应不同的网络环境)防火墙将拒绝来自该地址的更多其他连接请求。


四.SYN泛滥攻击的检测和防御


1. 利用欺骗性的IP源地址(不存在或不可到达)大量发送请求TCP连接的SYN片段,这些无法完成的TCP连接请求,造成受害主机的内存缓冲区被填满,甚至操作系统被破坏,从而无法再处理合法的连接请求,此时就发生了SYN泛滥。

2.为阻挡这种攻击,可以启动SCREEN的“SYN Flood Protection”选项。防火墙设定每秒通过指定对象(目标地址和端口、仅目标地址或仅源地址)的SYN片段数的阀值,当来自相同源地址或发往相同目标地址的SYN片段数达到这些阀值之一时,防火墙就开始截取连接请求和代理回复SYN/ACK片段,并将不完全的连接请求存储到连接队列中直到连接完成或请求超时。当防火墙中代理连接的队列被填满时,防火墙拒绝来自相同安全区域(zone)中所有地址的新SYN片段,避免网络主机遭受不完整的三次握手的攻击。

3.设置下列检测和防御SYN泛滥攻击的阀值
Attack Threshold:每秒发往相同目标地址和端口号的SYN片段数目达到该阀值时将激活SYN代理(默认值是200)。如果设置Attack Threshold=1000pps,当攻击者每秒发送999个FTP封包和999个HTTP封包,由于每一组封包(具有相同目的地址和端口号的封包被视为一组)都没有超过1000pps的设定阀值,因此不会激活SYN代理。

Alarm Threshold:每秒代理的发往相同目标地址和端口号的未完成的连接请求数超过此阀值时将触发警告(默认值是1024)。如果设定Attack Threshold=300,Alarm Threshold=1000,则每秒发往相同目标地址和端口号的前300个SYN片段可以通过防火墙,在同一秒内,防火墙代理后面的1000个SYN片段,第1001个代理连接请求(即该秒内第1301个连接请求)将会触发警告。

Source Threshold:防火墙开始丢弃来自该源地址的连接请求之前,每秒从单个源IP地址接收的SYN片段数目(不管目标地址和端口号是什么)。默认值是 4000pps。设置了此阀值时,不管目标地址和端口号是什么,防火墙都将跟踪SYN封包的源地址;当超过此阀值时,对于该秒的剩余时间及下一秒内,防火墙将拒绝来自该源地址的所有其他SYN封包。

Distination Threshold:当每秒发往单个目标IP地址(不管目标端口号)的SYN片段数目超过此阀值时,防火墙将拒绝发往该目标地址的所有新连接请求。默认值是40000pps。如果设定Distination Threshold=1000pps,当攻击者每秒发送999个FTP封包和999个HTTP封包时,防火墙将发往同一目标的FTP和HTTP封包看成是一个组的成员,并拒绝发往该目标地址的第1001个封包(FTP或HTTP封包)。

Timeout:未完成的TCP连接被从代理连接队列中丢弃前的最长等待时间。默认是20秒。

Queue size:防火墙开始拒绝新连接请求前,代理连接队列中最大存放代理连接请求的数量。默认值是10240.


五. ICMP泛滥攻击的检测和防御

1. 受害者耗尽所有资源来响应ICMP回应请求,直至无法处理有效的网络信息时,就发生ICMP泛滥。

2.启用SCREEN的“ICMP Flood Protection”选项可以抵御ICMP泛滥攻击。一旦超过设定的阀值(默认为每秒1000个封包),防火墙在该秒余下的时间和下一秒内拒绝来自相同安全区域(zone)所有地址的更多ICMP回应请求。


六.UDP泛滥攻击的检测和防御

1. 当攻击者大量发送含有UDP数据报的IP封包以减慢受害者的操作速度,以致于受害者无法处理有效的连接时,就发生UDP泛滥。

2.启用SCREEN的“UDP Flood Protection”选项可以抵御UDP泛滥攻击。如果发送给单个目标的UDP数据报数目超过设定的阀值(默认为每秒1000个封包),防火墙在该秒余下的时间和下一秒内拒绝来自相同安全区域(zone)并发往该目标地址的更多UDP数据报。

七.陆地(Land)攻击的检测和防御

1. Land攻击将SYN泛滥攻击和IP地址欺骗结合在一起。当攻击者大量发送以被攻击者的IP地址作为源和目的地址的SYN封包时,就发生Land攻击。被攻击者向自己发送SYN-ACK封包进行响应,创建一个空的连接,该连接一直保持到连接超时为止。大量的这种空连接将耗尽系统的资源,导致DoS发生。

2.启用SCREEN的“Land Attack Protection”选项可以封锁Land攻击。防火墙将SYN泛滥防御和IP地址欺骗防御技术有机地相结合,防御这种攻击。

八. Ping of Death攻击的检测和防御

1.IP协议规定最大IP封包长度是65535字节,其中包括长度通常为20字节的封包包头。ICMP回应请求是一个含有8字节ICMP包头的IP封包,因此ICMP回应请求数据区最大长度是65507字节(65535-20-8)。

2.许多ping程序允许用户指定大于65507字节的封包大小,在发送过大的ICMP封包时,它将被分解成许多碎片,重组过程可能导致接受系统崩溃。

3.启用SCREEN的“Ping of Death Attack Protection”选项,防火墙将检测并拒绝这些过大且不规则的封包,即便是攻击者通过故意分段来隐藏总封包大小。

九. Teardrop攻击的检测和防御

1. IP包头的碎片偏移字段表示封包碎片包含的数据相对原始未分段封包数据的开始位置或偏移。当一个封包碎片的开始位置与前一个封包的结束位置发生重叠时(例如,一个封包的偏移是0,长度是820,下一个封包的偏移是800),将会导致有些系统在重组封包时引起系统崩溃,特别是含有漏洞的系统。 Teardrop攻击就是利用了IP封包碎片重组的特性。

2.启用SCREEN的“Teardrop Attack Protection”选项,只要防火墙检测到封包碎片中这种差异就丢弃该封包。

十. WinNuke攻击的检测和防御

1. WinNuke攻击是针对互联网上运行Windows系统的计算机。攻击者将TCP片段发送给已建立连接的主机(通常发送给设置了紧急标志URG的 NetBIOS端口139),这样就产生NetBIOS碎片重叠,从而导致运行Windows系统的机器崩溃。重新启动遭受攻击的机器后,会显示下面的信息:
An exception OE has occurred at 0028:[address] in VxD MSTCP(01)+
000041AE. This was called from 0028:[address] in VxD NDIS(01)+
00008660.It may be possible to continue normally.
Press any key to attempt to continue.
Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved information in all applications.
Press any key to continue.

2.启用SCREEN的“WinNuke Attack Protection”选项,防火墙扫描所有流入139端口(NetBIOS会话服务)的封包,如果发现其中一个封包设置了URG标志,防火墙将取消该 URG标志,清除URG指针,转发修改后的指针,然后在事件日志中写入一个条目,说明其已封锁了一个WinNuke攻击的尝试。]]> http://Blog.iFeeling.Net/article.asp?id=473 <![CDATA[Checkpoint官方对于2070受小规模DOS攻击的回复]]> samson#iFeeling.Net(大漠孤沙) Thu,01 Jul 2010 13:45:08 +0800 http://Blog.iFeeling.Net/default.asp?id=473
上架调试一年多、终于通过验收、尚在付款阶段的一台Checkpoint UTM-1 2070 千兆防火墙,受到小规模的DOS流量攻击(高峰时七八十M/4.5W并发会话)时,无法承受,经常出现CPU达100%和数据包通过率0%的状况。

就此事向Checkpoint厂家咨询,得到如下回复:


引用内容 引用内容
Hi Theron,

这种DOS流量攻击不是防火墙解决的范畴。用户不能够要求买一个安全设备就解决所有的问题。

关于于工提到的指标。需要说明的是:

Drop 垃圾流量和防火墙的并发连接数几乎没有关系。
Drop流量主要和端口转发速率有关,另外和防火墙新建连接数有一定的关系。

每个产品都有自己的定位和特点。你不能买了宝马非得要追求奔驰的舒适性,买了奔驰非得要追求宝马的驾驭能力一样。

当初在**总部的3070 ,运行三天就发现了内网的Foundry 交换机发送ICMP垃圾报文的问题。 Juniper ISG 1000运行了3年都没有发现。

在流量层面,UTM-1 2070的定位是处理混合包和应用层的深度检测;


另外,一些优化建议供参考。

1,关闭drop的log;
2,启用secureXL模块,启用drop template(secureXL需要额外购买license)



即便如此,再花钱买secureXL模块,有意义吗?]]> http://Blog.iFeeling.Net/article.asp?id=472 <![CDATA[警务室门口惊现站街女一条街]]> samson#iFeeling.Net(大漠孤沙) Tue,29 Jun 2010 12:21:12 +0800 http://Blog.iFeeling.Net/default.asp?id=472
以前总觉得这里的街景挺怪异:白天不管是不是烈日当头还是淫雨霏霏,都隔三差五的有些看起来莫名其妙的女人出现在街边,东张西望,左顾右盼,更有人干脆搬个凳子摆出一副守株待兔的样子。

但因这条街正好在该村的村委大门口,而村里的警务室又和村委从同一个大门进出,所以一直没去多想。

但是今天,我走着走着。。。

1、走在我前面的这个男人忽然左拐了一个90度的弯,和刚刚还站着左顾右盼的站街女一同走向路边半掩的卷闸门。。。可之前他的脚步都不曾停下过。只要一个照面,两句轻语即能成交?


2、若不是亲眼所见卷闸门合上,你怎能相信会发生在如此暴露的场合?街边类似的卷闸门有十多个,好歹也需要一个按摩敲背洗头的招牌作为幌子吧!


3、我拿着手机继续往前走。。。此处离前面的警务室和村委不过百米。而村委和警务室的大门,就开在这条路上。。。


今天我算看清楚了。]]> http://Blog.iFeeling.Net/article.asp?id=471 <![CDATA[最近淘宝钱花得有点郁闷~]]> samson#iFeeling.Net(大漠孤沙) Fri,25 Jun 2010 16:03:48 +0800 http://Blog.iFeeling.Net/default.asp?id=471
本想买IBM的T61和X61,可是比比价格,真下不了手。主要还是屏幕太差,好屏又贵得离谱!

先是帮姐姐看中一台HP NC8430,好强的配置,256M独显,4M Cache的Core Duo 2,1680*1050的屏幕,呵呵,价格不过2300。于是拍下爽快付款,郁闷由此而来。
卖家在我付款后,一连四天联系不上,旺旺明明在线却从无回音,手机打过去是空号。第五天打过去总是无人接听,发短信数条,终于回了一条,总算没有消失!第六天申请退款,卖家终于出现,承诺当天发货。第8天了,还没收到货。

另一台看上Fujitsu P8010,这是我帮人买的第二台P8010了。年初某位美女跳槽帮她买了一台用了还行,如今她妹要上大学喽,要买一台送她,真够姐妹情义啊。镁合金机身,轻便。还有12寸的机身里放置了13寸的屏幕,边框够窄。配置也不落伍,价格也不低,要4699。强烈建议买一台10.4寸的富士通,她妹竟嫌小,呵呵!
发货倒挺快,次日顺丰就到了。可是打开一看,晕,Power按钮一角明显下陷,像是底部支撑断了。赶紧联系退货,卖家要求去当地客服检查。亏他的,肉眼就能看出来的问题还要去客服检查,于是要求换货。
P8010就这样悄悄的回去了,更换的还没有到手。

又买了一辆大行小折叠车,再配一把Giant锁。等了3天,卖家说没货了,只好退款。哎啊!

在纠结中等待~]]> http://Blog.iFeeling.Net/article.asp?id=470 <![CDATA[气翻!Palm Treo 680开机停留在power by access不动了]]> samson#iFeeling.Net(大漠孤沙) Tue,22 Jun 2010 16:00:20 +0800 http://Blog.iFeeling.Net/default.asp?id=470
闲着没事用耳机看太极拳的视频,第二天中午才发现接听电话没声音了。开始还不知道是耳机插孔问题,好歹我也用了3年Palm,从没遭遇过这冏事。

于是开始刷机,以为系统有问题。但无一例外的,刷好的机器开机都停留在Power by Access这个画面下不去!于是又用以前的NVbackup备份进行恢复,开机还是停留在Power by Access画面,真气人。只能硬启恢复,终于可以进系统了。。。又试着刷ROM,又停留在这个界面。反复不下十次,真是气翻了!

以为硬件有问题,反复拆装了n次,故障依旧,只有插上耳机听筒才能出声。拿出闲置已久的蓝牙耳机,也没声音。

后来网上查听筒没声音的事,才发现原来Palm tero 680的耳机插孔也是多病之处。淘宝上有卖耳机插孔的,15块一只。终于找到个耳机插孔原理图,只要短路4只脚,就能取消耳机功能。

中午拿出电铬铁,自己动手把耳机插孔卸了下来。还真难拆,耳机插孔底部用黑胶固定在主板上的,害得我用小螺丝刀刮了好久才清干净,拆下来插孔已经稀巴烂。再剪一截网线把4只脚两两短路,装机。

开机果然能接听电话了。

再刷ROM,竟然也可以正常开机了。。。真是又喜又气~看样子耳机插孔的状态,竟然也会影响系统开机啊!
]]> http://Blog.iFeeling.Net/article.asp?id=469 <![CDATA[Checkping UTM-1 2070遭攻击CPU达100%]]> samson#iFeeling.Net(大漠孤沙) Fri,18 Jun 2010 10:26:50 +0800 http://Blog.iFeeling.Net/default.asp?id=469 这是SmartViewer中的截图。从历史图表看,每天下午有3~4波攻击,每次持续时间5~20分钟才退去。
去年新买的Checkponit UTM-1 2070,每次未到攻击高峰即先跨了。。。

图1:通过的流量急骤下降,高峰时数据包的通过率为0,处于瘫痪状态。。。


图2:挂在netscreen ns-204 和 Juniper ISG-1000后边时,CPU也经常达到100%...


图3:检查了被攻击时的网络流量,跟平时差不多,没有明显上扬。


联系了电信,电信也没辙,建议我们向网监报案。
没办法,只好临时换个公网IP用用,躲一阵再说。可是第二天继续被攻击。。。无耐中那边的网管想起去年淘汰下来的一台Netscreen ns-204,目前正闲置当实验设备玩,于是去初始化了一下,紧急上架,部署在Checkpoint设备前端,做纵深防御。

没想到这招还真行。服役7年淘汰下来的netscreen ns-204,竟然在UDP Flood的攻击下没跨掉,只是资源利用率也不低了,高峰时超出了88%。

通过持续几天的观察,每次攻击来临,挂在netscreen ns-204后面的Checkpint 2070,竟然CPU仍然会达到100%,应该说netscreen挡住了绝大多数(97%以上。因为部署在后边的Checkpoint上有每秒钟Drop数个 UPD包的日志)的攻击,Checkpoint竟被几十M的流量冲跨了。。。真当是可歌可泣呀!

其实发现攻击高峰时(Checkpoint CPU 达100%),并发会话量并不大,监测到的最高峰,并发会话才4.1W~4.5W左右。但这时ns204似乎也有些累了,此时从WEB进行登录管理响应迟缓。

为确保稳定和防范更强大的攻击,从集团机房借调出一台Juniper isg-1000给下属公司使用,仍挂在Checkpoint utm-1 2070前端,观察几天情况Juniper isg-1000工作稳定,Checkpoint则仍力不从心。

同时加强对攻击的监测。


引用内容 引用内容
ns-204> get per cpu d
Average System Utilization:  2%
Last 60 seconds:
59: 17    58: 51*   57: 88*** 56: 22    55: 53*   54: 69*  
53: 63*   52: 86*** 51: 81**  50: 57*   49: 52*   48: 77**  
47: 25    46: 40    45: 67*   44: 50*   43: 63*   42: 51*  
41: 59*   40: 30    39: 72**  38: 59*   37: 89*** 36: 45    
35: 46    34: 55*   33: 50*   32: 49    31: 65*   30: 51*  
29: 57*   28: 54*   27: 77**  26: 89*** 25: 75**  24: 37    
23: 76**  22: 71**  21: 87*** 20: 80**  19:  3    18: 43    
17: 86*** 16: 69*   15: 64*   14: 10    13: 49    12: 86***
11: 88*** 10: 87***  9: 78**   8: 89***  7: 64*    6: 53*  
5: 39     4: 46     3: 52*    2:  2     1:  2     0: 48    

Last 60 minutes:
59: 51*   58: 65*   57: 61*   56: 62*   55: 67*   54: 62*  
53:  6    52:  6    51: 38    50:  7    49:  5    48:  9    
47:  2    46:  2    45:  2    44:  2    43:  2    42:  2    
41:  2    40:  2    39:  6    38:  3    37:  2    36:  2    
35:  2    34:  2    33:  2    32:  1    31:  2    30:  2    
29:  2    28:  2    27:  2    26:  2    25:  2    24:  1    
23:  2    22:  2    21:  2    20:  1    19:  2    18:  2    
17:  2    16:  2    15:  9    14:  5    13:  2    12:  2    
--- more ---



查了一下厂家技术参数,Checkpoint UTM-1 2070的号称并发会话数高达110W,吞吐量达2.8G 的设备(而且仅当纯防火墙使用,没启用UTM),竟然不敌只有12.8W会话数的Netscreen ns-204!!!


想想真是无耐,去年本着淘汰netscreen 204进行设备升级的考虑,采购进了Checkponit UTM-1 2070进行替换升级,没想到今朝临阵如此不堪一击!!!

Checkpoint 的用户,真该抱头痛哭一场。]]>