地址:台中市北區台中港路一段244-1號,中港路消防隊旁邊,電話:04-23261939,
營業時間:1130-1430,1730-2330,例假日全天。
20090127
20090120
OpenSource要不要花錢,要,而且花很兇,只是你沒有感覺到。
使用者使用現成的程式碼的時候,GPL並沒有付費的要求,但是取而代之的,你所有修改過的程式碼要回饋給這個程式項目,GPL賦予程式成為獨立的生命,GPL讓程式脫離程式設計師的意志而活,只要這個程式有被人需要,這個程式的生命就會延續下去。
OpenSource要不要錢,要,只是你不一定從表面上看的到,首先,你要客制化自己的程式,你要花時間寫,這個就是成本,基本的工時費用,請別人寫,要請人,如果遇到問不到又找不到人解決的狀況,要洽詢原廠的話,要有維護合約,沒有維護合約的話,要專案處理。
以上述這一篇新聞來說,如果你從免費的社群版遇到問題,這個問題如果在企業版可以解決的話,最快的方法就是直接簽維護合約,然後整個資料庫核心系統要轉移,如果遇到正規化的問題可能還要修正,還有一堆想像不到的事情要處裡。
還有就算可以拿到支援2K個核心的Linux Kernel程式碼,拿到又怎麼樣,沒有相對的環境可以測試,這些測試環境都是錢堆起來的,最近有聽到SSD有300MB的讀取速度,大概三年前我就有看過400MB的磁碟讀寫動作,那個測試環境大概算算市價也快超過六位數吧,當一個工作環境光纖通道介面卡到處丟的時候,這些東西也沒什麼感覺的,問題是一張光纖通道介面卡也是800美金左右,正常的管道價格的話。
所以玩OpenSource的人,基本上沒有辦法養工程師,就不要跟人要求東西,時間會解決一切的問題,如果要搶時間的話,請花錢多請幾個人搶時間,如果請了很多人都解決不了問題,請直接把該軟體的作者請到自己公司,不然就是把寫這個軟體的公司買下來,那個時候全美達會請Linus,應該也是為了解決全美達晶片在一些應用上的問題。
之前工作的時候公司的軟體是架構在Linux上面,因為我們的軟體需要一些特性,所以寫了一個專屬版本的Linux Kernel,Kernel的原始碼有放出去,也有在kernel.org發過tickets,而且也確實收到回應,在新的Kernel裡也有確實被修正,問題是我們公司在改kernel的工程師基本上在別的公司都是經理級以上。
所以說真的,OpenSource要不要花錢,要,而且花很兇,只是你沒有感覺到。
20090112
I can give you GATSBY MP3 ring
為什麼把人聲版音調往上調的想法,因為希望在i608的效果可以亮一點,不過缺點是聲音有點不男不女。
所有的檔案都只能當作非商業用途使用,這個純粹是因為我喜歡這首歌,想放到i608當作鈴聲才剪輯出來的,如果發生版權上的問題,檔案鏈結會被移除掉。
20090103
以「頁」為工作單位的桌上排版系統
| 以「頁」為工作單位的桌上排版系統 | ||||||||
| 文/嚴立群 (記者) 2009-01-02 | ||||||||
| 一般文書處理軟體只是把一堆文字循序的「堆放」,但排版系統則是以「頁」為工作單位,適切而優雅的協調文字和圖形的位置,試圖呈現給讀者一場視覺的盛宴。 | ||||||||
| 排版是一個擁有悠久歷史的工業,但它既然是個「工業」,就有一定的門檻難以跨越,而最主要的門檻就是設備和成本。 可是,既然電腦改變了整個「文書處理」的風貌,接下來會受到影響的,當然就是「排版」工業。當電腦和印表機可以當作「個人文件印刷機」之時,使用者進一步會想做什麼?排版必然是一個合理的「進化」。 照例,先讓本人來講一下關於電腦排版的歷史。 DTP時代的誕生 西元1985年,Apple發表LaserWriter雷射印表機之後,有一套在Mac平臺下使用的知名軟體問世了。目前大多數人認為這套軟體「定義」了「桌上排版(Desktop Publishing)」這個名詞,這套由Aldus公司發表的軟體,稱為「PageMaker」。 Aldus這名字取得很不錯,這位「先賢」據說是現代印刷開創性人物,開了一家印刷公司並創立了很多排版的「編輯體例」(像是「斜體字的運用」)。而PageMaker這套軟體,後來也真的成為「桌上排版」的代名詞。 什麼是「桌上排版」? 在標題我已經講過,Word、WordPerfect這類軟體,它只是把一堆的文字「照既定的框框」順序堆放。在文書處理軟體裡面,文字的堆放方式呆板、了無生趣,變化的程度有限。事實上,使用者就是懶得管那文字怎麼流,「只要排整齊就好了」是多數人共同的想法吧! 但是,請問各位,你有聽過「藝術」是呆板、制式、沒有變化、了無生趣的嗎?可能有,但一定不是好的藝術。排版是門藝術,所以排版不能夠任憑文字循序而呆板流動。在文書處理軟體裡面,一個文件一連十頁百頁你可能都不用管它。但在排版軟體裡面,十頁也好,百頁也好,每一頁都得靠專業的排版人員細心校調,做最完美的版面呈現。 所以我們可以確定的是:排版軟體的設計,和文書處理軟體一定很不一一樣。 又要再次感謝數學的力量 有意思的是,PageMaker和LaserWriter一樣,都是基於Adobe的PostScript技術而開發的產品。PageMaker支援所謂的「欄框(frame)」,所以排版人員可以精細的控制文字和圖形的擺置和樣式的變化,做到以前需要百萬、千萬設備和人員都不一定做得到的事情。而且因為有了PostScript,因此列印品質可以非常非常好。 不僅如此,用電腦排版之後,修正內容、更改內容的成本都大幅降低。出版界當然不是瞎子,馬上就看出這東西的好處,於是一個新的工業誕生了──這就是桌上排版工業。
一開始(西元1985年)PageMaker只有Mac版,到了1986年才發表了Windows版(Windows 2.11)。當時的PageMaker甚至有所謂的「搭售Windows版」,這種版本的PageMaker會附一個功能很少的Windows,讓你可以在DOS下安裝它以後,只能用它來跑PageMaker。 照當時的市場態勢而言,Windows可以不用,但PageMaker卻是很多人愛用,所以才會有這種奇怪的情形。 事實上,本人第一次接觸到Windows 2.11,當時流傳的兩個殺手級應用軟體,一個是Microsoft的Excel,另一個就是Aldus的PageMaker。當時Adobe還只是PostScript技術的研發者,本身並沒有什麼很具代表性的應用軟體產品。當時的電腦速度很慢,彩色螢幕很貴,儲存媒體容量也小,Photoshop之類的軟體根本連想像都無從想像起,尚不存在於世界上。 Mac壁壘的形成 雖然可以在PC環境下用Windows跑PageMaker,但Mac畢竟是比較先成熟的圖形環境,有LaserWriter的支援,有PostScript的支援,因此整個美國的出版界一下就都倒向了Apple的懷抱。以前Apple的電腦比較適合家用,IBM及相容PC才適合商用,但突然間風雲變色,Apple有了和工商業界「掛勾」的最重要動力了──那就是排版!事實上,整個出版界從此就形成所謂的「蘋果壁壘」,十幾年來沒有任何夠大的外來力量有辦法穿透這個壁壘。 既然這是個工業,且讓我們瞭解一下「電腦」和「排版軟體」在這個工業領域造成的影響是什麼?Apple為何可以形成一個堅固的「壁壘」? 印刷出版工業既然是個工業,不免也有個類似「生產線」的生產過程。一般的習慣,會把這個產線分為「前端」和「後端」。後端部份的演化當然比較慢,因為除非有外星人的介入(倪匡的科幻小說常會寫到,說高科技的古地球或是外星人的科技,其印刷品的清晰程度遠非如今的地球人所能辦到),不然印刷機大概也很難有什麼突破性的發展。 印刷可以想像成一個超大的印章,用版含著油墨把內容印到紙上,切割、裝訂以後就變成了書籍雜誌了。據說印刷製版有四種主要的技術,所謂的「凸版」、「凹版」、「影寫版」和「石版」,而最常見的(成本最低的)當屬凸版印刷。凸版印刷需要「製版」,這部份則採用所謂的照相製版技術。如果這些都是印刷工作的「後端」,那電腦在後端的工作上是難以著墨的,畢竟這種機械性的工作難有什麼突破性進展。
|
希望下次因資料外洩上頭條的不是你
<崔嘻看新聞> 希望下次因資料外洩上頭條的不是你<2008's>
domynews | 30 Dec, 2008 08:27
<崔嘻看新聞>2008十大高科技犯罪案例多數與資料外洩有關
2008's biggest tech crime stories
Networkworld 發表了一篇 2008's biggest tech crime stories (2008年度重大網路犯罪),看看這些駭客的長相,跟崔嘻先前寫的這篇[原來駭客長這樣!]-從重大病毒要犯看網路威脅趨勢(含駭客照片),年齡實在有很大的落差,有些看起來就像阿公級的了。言歸正傳,在所列的犯罪案例中,竟有多數跟資料外洩有關。摘錄如下:
11名駭客盜取超過4000萬的信用卡(崔嘻大驚訝:「4000萬比台灣人口還多!!」 )
美國司法部今夏透露,一批駭客通過wardriving,嗅探軟體和SQL Injection攻擊成功盜取TJX(美國和全世界的服裝和家庭時尚低價零售商)、OfficeMax(美國辦公用品零售商)、Barnes & Noble(線上書店)及其他公司和商店的超過4000萬信用卡,並將其存儲在美國、拉脫維亞和烏克蘭的地下伺服器系統上。司法部以電腦欺詐、金融欺詐、接入設備欺詐和嚴重身份盜竊罪名起訴了11名駭客。截至目前,僅1人被證實有罪。---超過4000萬的信用卡,那若發生在台北,豈不是全台北市的信用卡都被偷了,不不…是全台灣省的信用卡!!
資料外洩事件有多大條,連 SNG 車都出動了就知道嚴重性了
網管員側錄三藩市官員通信(崔嘻碎碎念:「果然內賊難防!!」 )
在這則報導中,42歲的網路管理員Terry Childs,被控在2008年7月挾持三藩市數百萬美元的電腦網路,並拒絕告知警方如何 Access該網路的方法,導致了數以百萬的損失。Childs還安裝了一個跟蹤系統,使他能夠側錄官員之間的通信,Childs被起訴犯有電腦篡改罪。
17000名軍人身份資訊被後備軍人出售
(崔嘻碎碎念:「USB 真是兩面刃!!」 )
跟資料外洩有關的另一則是美國17000名軍人身份資訊被出售。家住休士頓的41歲的Randall Craig任職於San Antonio海軍陸戰隊後備隊中心,他於2008年5月入侵17000名軍人身份資訊的電腦,並將他們的名字和社會保險號碼儲存在 USB出售得手500美元。
囚犯盜竊監獄工作人員的身份證號碼
(崔嘻碎碎念:「囚犯真是關不怕!!」 )
Francis Janosko曾是麻塞諸塞州普利茅斯縣改造機構的囚犯,被指因入侵該監獄的電腦網路並盜竊監獄工作人員的社會保障號碼(相當台灣的身份證)而被 FBI逮捕入獄。Viktor Savtyrev,新澤西州的一位系統管理員,被控意圖敲詐最近把他解雇的公司。還有Biswamohan Pani,曾供職於Intel公司,被控從該公司偷竊十億美元價值的商業機密。
原文參考:2008's biggest tech crime stories
http://www.networkworld.com/slideshows/2008/121508-year-in-cybercrime.html?tc=sec
美FBI防禦網路攻擊的12項建議
| 美FBI防禦網路攻擊的12項建議 |
| 文/黃彥棻 (記者) 2009-01-02 |
| 駭客利用微軟SQL Server各種漏洞,發動網路攻擊,其中又以SQL Injection(隱碼攻擊)最為常見。為了遏止相關網路攻擊再惡化,美國網路犯罪申訴中心提出12點網路攻擊預防措施。 |
| 美國FBI網路犯罪中心(IC3)日前指出,利用微軟SQL Server的漏洞,植入各種後門程式以取得有效使用者存取資料庫權限,是目前駭客最常使用的攻擊手法之一。對此,FBI IC3提出12種基本的預防之道。 首先,對於常見SQL Injection(隱碼攻擊)或微軟SQL Server漏洞,FBI IC3認為,資料庫管理人員應該關閉有傷害性的SQL Stored Procedure(預存程序)呼叫,例如最常見的xp_cmdshell可允許存取本地端的程式,就是一種安全性的隱憂。FBI IC3提醒,要關閉這類有害的Stored Procedure,除了關閉呼叫功能,更需移除相關dll檔。 其次,FBI IC3建議,網站伺服器(例如微軟的IIS)應該過濾掉過長的網址。IT人員可以找出網路服務所使用的最長網址長度,藉由限制過長網址,可避免駭客在網址中隱含惡意網址或參數字串。再者,對於目前許多動態網頁內容安全性的保護,FBI IC3認為,網路管理員應該要做到過濾字串和只傳參數,把程式的控制指令替代成字串,不會對SQL指令造成影響,但又能在瀏覽器正確顯示。 許多IT人員習慣以最高管理者權限執行安裝各種服務,這也意味著,一旦這個最高管理者權限被竊,整個伺服器和資料庫的安全性將岌岌可危。所以,FBI IC3建議,不要使用最高權限安裝微軟的SQL Server和IIS網站伺服器,只安裝所需的程式,例如AD伺服器就不需要安裝Microsoft Office,對網路和資料庫使用者,只提供最小權限。 提供密碼保護,是保護管理者帳號的基本作為。但FBI IC3發現,有很多企業IT管理人員經常採用SQL Server預設SA管理者帳號和預設空白密碼,這些都是安全上的一大隱憂。此外,對於主機登入密碼多次輸入錯誤,應暫時封鎖並做檢查,FBI IC3認為這是對駭客入侵的初次檢驗。 FBI IC3認為,所有企業內的伺服器都應該禁止直接連網,所有的連網都應該透過代理伺服器(Proxy)對外連線,才能夠檢查連線內容和連線埠。FBI IC3也提醒,對於一些會產生驗證金鑰(例如PIN碼)的HSM(硬體加密模組),應該限制其他指令不可以產生這種加密的PIN碼,避免讓駭客可以取得足夠的樣本,藉此反推加密演算法以保護加密演算法。 FBI IC3建議,企業IT人員對於資料庫的管理往往較為鬆散,不論是存取資料庫的黑白名單,或制定更謹慎的資安管理規則,都是讓資料庫更安全的手法之一。最後,FBI IC3也提醒,企業內IT人員應該要在防火牆定期更新已知的惡意網址或IP位址,檢驗企業內是否有連結這些惡意網路位址的記錄,即時掌握企業內資安動態。文⊙黃彥棻  |
20090101
請問 linux 如何做到 port mirror (已解決)
酷!學園
技術討論區 => Network 討論版 => 主題作者是: ppc52776 於 2008-06-08 15:08
主題: 請問 linux 如何做到 port mirror (已解決)
作者: ppc52776 於 2008-06-08 15:08
大家好,
我想要在switch環境監聽區網下的封包,架構圖如下:
(http://fcu.ppcsite.info/pic/network.gif)
monitor為監聽主機,PC1~3為區網內其他使用者
因為彼此間是透過switch連接,因此monitor無法看到其他使用者的封包
請問有辦法在Linux NAT那台上面設定封包mirror一份到monitor那台上面嗎?
謝謝
主題: 回覆: 請問 linux 如何做到 port mirror
作者: kenduest 於 2008-06-08 15:33
請您由 switch 那設備設定 port mirror 即可。
--
主題: 回覆: 請問 linux 如何做到 port mirror
作者: ppc52776 於 2008-06-08 16:08
引用自: kenduest 於 2008-06-08 15:33
請您由 switch 那設備設定 port mirror 即可。
--
謝謝回答
因為那台switch沒有設定功能,所以才會想從linux nat那台下手
之前看到有人建議再買一台hub來連接switch和monitor以及nat
但這樣會不會影響網路效能?
主題: 回覆: 請問 linux 如何做到 port mirror
作者: 湯姆貓 於 2008-06-08 21:31
我有聽朋友說可以用arp詐騙的方式,
將原本要送到Nat的封包騙過來,
之後再將封包送回Nat.
造成
PCx --> Monitor --> Nat
用這樣的方式來抓取使用者的封包.
實際情形得請站上的高手說明一下囉~~~
(我朋友公司同事就這樣搞....)
主題: 回覆: 請問 linux 如何做到 port mirror
作者: anderson1127 於 2008-06-09 07:39
引用自: ppc52776 於 2008-06-08 16:08
因為那台switch沒有設定功能,所以才會想從linux nat那台下手
之前看到有人建議再買一台hub來連接switch和monitor以及nat
但這樣會不會影響網路效能?
或多或少一定會影響效能,只是除非你上Internet的頻寬很大(不是目前的FTTB/ADSL能夠相提並論的)
或者你的HUB是10M的速率那也許就有機會看出效能差異!!
買純Layer 1 HUB恐怕不容易了 , 現在幾乎都是switch的天下了!!
PS: 我個人就有一台100M half duplex HUB的收藏 ,去Y拍找找看看有沒有機會買到!!
主題: 回覆: 請問 linux 如何做到 port mirror
作者: anderson1127 於 2008-06-09 07:49
引用自: 湯姆貓 於 2008-06-08 21:31
我有聽朋友說可以用arp詐騙的方式,
將原本要送到Nat的封包騙過來,
之後再將封包送回Nat.
造成
PCx --> Monitor --> Nat
用這樣的方式來抓取使用者的封包.
實際情形得請站上的高手說明一下囉~~~
(我朋友公司同事就這樣搞....)
嗯.... 這個困難度很高,況且就目前的switch的環境來說,要騙恐怕不是那麼順利
因為我以前就遇過類似的中毒PC ,會發出arp spoof的frame ,偏偏那個arp spoof
要騙的正好是Gateway IP的MAC address , 結果辦公室裡不能上網的就只有
大約一半而已 , 去查看它們取得的gateway IP MAC剛好就是fake MAC address
其餘的一半可是不受影響的!! 不論釋放IP之後再取得都不受影響....
要真正做到這點,倒不用那麼麻煩啦...
只要你架一台Gateway 並使用gateway的IP 就成了,把真正的Default gateway IP
改成其它的IP,並且只讓這台代理的Gateway 指向其Default Gateway IP就行了!!
其餘的PC host不允許直接指向真正的Default Gateway IP即可!!
主題: 回覆: 請問 linux 如何做到 port mirror
作者: 湯姆貓 於 2008-06-09 10:24
引用自: anderson1127 於 2008-06-09 07:49
嗯.... 這個困難度很高,況且就目前的switch的環境來說,要騙恐怕不是那麼順利
因為我以前就遇過類似的中毒PC ,會發出arp spoof的frame ,偏偏那個arp spoof
要騙的正好是Gateway IP的MAC address , 結果辦公室裡不能上網的就只有
大約一半而已 , 去查看它們取得的gateway IP MAC剛好就是fake MAC address
其餘的一半可是不受影響的!! 不論釋放IP之後再取得都不受影響....
要真正做到這點,倒不用那麼麻煩啦...
只要你架一台Gateway 並使用gateway的IP 就成了,把真正的Default gateway IP
改成其它的IP,並且只讓這台代理的Gateway 指向其Default Gateway IP就行了!!
其餘的PC host不允許直接指向真正的Default Gateway IP即可!!
嗯嗯~~~我也有跟我朋友說....幹嘛那麼麻煩~~~
想要知道就只接從Gateway下手不就好....
他說....「那同事不是MIS,我才是.....」
一整個無言......
插花問個問題,像這種用arp詐騙的方式...
是不是只要用可以鎖IP及port的Switch就可以解決掉這個問題??
主題: 回覆: 請問 linux 如何做到 port mirror
作者: damon 於 2008-06-09 10:45
換一台有port mirror功能的switch是不是更簡單?
主題: 回覆: 請問 linux 如何做到 port mirror
作者: anderson1127 於 2008-06-09 10:52
引用自: 湯姆貓 於 2008-06-09 10:24
插花問個問題,像這種用arp詐騙的方式...
是不是只要用可以鎖IP及port的Switch就可以解決掉這個問題??
網管型的switch只要具備手動設定MAC & Switch port對應的功能應該都可以簡單把這問題給解決
也就是說, switch ethernet port可以設定進去一些MAC address , 只允許這些MAC address的
frame進入switch的ethernet port , 其餘的MAC address是不允許的!!
這樣就可以簡單解決這問題,缺點是......
PC中了這種ARP spoof病毒在發作時,可能沒有人知道了!! :P
主題: 回覆: 請問 linux 如何做到 port mirror
作者: anderson1127 於 2008-06-09 10:56
引用自: damon 於 2008-06-09 10:45
換一台有port mirror功能的switch是不是更簡單?
再沒經費的人,別藉口說買不起中古的3Com/Cisco/Foundry/Extreme switch .....
連我自己都買下了一台還不錯的Cisco Catalyst 2948G switch ....都還在我個人可以
負擔的能力之內!! 才幾千元而已....功能又很好,為什麼不買呢?
Y拍也都還有人在賣 !!
PS: 如果自己不願意學習操作這類的網路設備者除外....
主題: 回覆: 請問 linux 如何做到 port mirror
作者: ppc52776 於 2008-06-09 13:11
謝謝大家熱烈的討論
本著相信沒有linux做不到的事的信念
google了兩天,終於找到解決方法
在此跟各位分享 :)
就是使用iptables的patch-o-matic extra repository內的ROUTE模組
以下以Gentoo為例說明如何安裝
1. 從ftp下載最新的patch-0-matic snapshot
ftp://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/
2. 解壓縮 tar -xjvf patch-o-matic-ng-20080521.tar.bz2
3. 必須先確保你現在安裝的iptables有啟用extensions的USE參數 (等等ebuild會來參考)
4. 執行 ebuild `equery w iptables` unpack (會自動下載並解壓縮iptables)
5. 到剛剛解壓縮的patch-o-matic-ng資料夾
6. 執行 ./runme –download
7. 然後她會一個一個問你是否要安裝每一個模組
如果只需要ROUTE,可以改下指令 ./runme –download ROUTE
接下來他會問你kernel和iptables所在路徑
程式碼:
# ./runme -download ROUTE
Successfully downloaded external patch geoip
Successfully downloaded external patch condition
Successfully downloaded external patch IPMARK
Successfully downloaded external patch ROUTE
Successfully downloaded external patch connlimit
Successfully downloaded external patch ipp2p
Successfully downloaded external patch time
./patchlets/ipv4options exists and is not external
./patchlets/TARPIT exists and is not external
Successfully downloaded external patch ACCOUNT
Successfully downloaded external patch pknock
Hey! KERNEL_DIR is not set.
Where is your kernel source directory? [/usr/src/linux] [b](Gentoo預設路徑就在此)[/b]
Hey! IPTABLES_DIR is not set.
Where is your iptables source code directory? [/usr/src/iptables] /var/tmp/portage/net-firewall/iptables-1.4.0-r1/work/iptables-1.4.0/ [b](這是剛剛上面unpack後的地方,也就是iptables的原始碼)[/b]
Loading patchlet definitions......................... done
Welcome to Patch-o-matic ($Revision$)!
8. 現在kernel和iptables sources已經被patch了,接下來就是到kernel中把需要的模組編譯進來
9. # cd /usr/src/linux
10. # make menuconfig
11 . 剛剛的ROUTE在 Networking -> Networking supporttem support -> Networking options ->
Network packet filtering framework (Netfilter) -> IP: Netfilter Configuration -> 最下面多出 ROUTE target support,把他M起來吧
12. 接下來重新編譯並安裝新的模組
13. # make modules modules_install
14. 接下來編譯並安裝iptables
15. # ebuild `equery w iptables` install
# ebuild `equery w iptables` qmerge
安裝完成
接下來使用說明:
擷取網站說明
引用
ROUTE target options:
--oif ifname Send the packet out using `ifname' network interface.
--iif ifname Change the packet's incoming interface to `ifname'.
--gw ip Route the packet via this gateway.
--continue Route the packet and continue traversing the rules.
--tee Route a copy of the packet, but continue traversing
the rules with the original packet, undisturbed.
所以就以上只要下兩個指令就可以了
程式碼:
iptables -A PREROUTING -t mangle -j ROUTE --gw 192.168.1.50 --tee
iptables -A POSTROUTING -t mangle -j ROUTE --gw 192.168.1.50 --tee
參考文件:
1. netfilter: http://www.netfilter.org/projects/patch-o-matic/pom-extra.html
2. iptables patch-o-matic-ng安裝: http://gentoo-blog.de/?p=3
謝謝 8)
Powered by SMF 1.1.7 | SMF © 2006, Simple Machines LLC
技術討論區 => Network 討論版 => 主題作者是: ppc52776 於 2008-06-08 15:08
主題: 請問 linux 如何做到 port mirror (已解決)
作者: ppc52776 於 2008-06-08 15:08
大家好,
我想要在switch環境監聽區網下的封包,架構圖如下:
(http://fcu.ppcsite.info/pic/network.gif)
monitor為監聽主機,PC1~3為區網內其他使用者
因為彼此間是透過switch連接,因此monitor無法看到其他使用者的封包
請問有辦法在Linux NAT那台上面設定封包mirror一份到monitor那台上面嗎?
謝謝
主題: 回覆: 請問 linux 如何做到 port mirror
作者: kenduest 於 2008-06-08 15:33
請您由 switch 那設備設定 port mirror 即可。
--
主題: 回覆: 請問 linux 如何做到 port mirror
作者: ppc52776 於 2008-06-08 16:08
引用自: kenduest 於 2008-06-08 15:33
請您由 switch 那設備設定 port mirror 即可。
--
謝謝回答
因為那台switch沒有設定功能,所以才會想從linux nat那台下手
之前看到有人建議再買一台hub來連接switch和monitor以及nat
但這樣會不會影響網路效能?
主題: 回覆: 請問 linux 如何做到 port mirror
作者: 湯姆貓 於 2008-06-08 21:31
我有聽朋友說可以用arp詐騙的方式,
將原本要送到Nat的封包騙過來,
之後再將封包送回Nat.
造成
PCx --> Monitor --> Nat
用這樣的方式來抓取使用者的封包.
實際情形得請站上的高手說明一下囉~~~
(我朋友公司同事就這樣搞....)
主題: 回覆: 請問 linux 如何做到 port mirror
作者: anderson1127 於 2008-06-09 07:39
引用自: ppc52776 於 2008-06-08 16:08
因為那台switch沒有設定功能,所以才會想從linux nat那台下手
之前看到有人建議再買一台hub來連接switch和monitor以及nat
但這樣會不會影響網路效能?
或多或少一定會影響效能,只是除非你上Internet的頻寬很大(不是目前的FTTB/ADSL能夠相提並論的)
或者你的HUB是10M的速率那也許就有機會看出效能差異!!
買純Layer 1 HUB恐怕不容易了 , 現在幾乎都是switch的天下了!!
PS: 我個人就有一台100M half duplex HUB的收藏 ,去Y拍找找看看有沒有機會買到!!
主題: 回覆: 請問 linux 如何做到 port mirror
作者: anderson1127 於 2008-06-09 07:49
引用自: 湯姆貓 於 2008-06-08 21:31
我有聽朋友說可以用arp詐騙的方式,
將原本要送到Nat的封包騙過來,
之後再將封包送回Nat.
造成
PCx --> Monitor --> Nat
用這樣的方式來抓取使用者的封包.
實際情形得請站上的高手說明一下囉~~~
(我朋友公司同事就這樣搞....)
嗯.... 這個困難度很高,況且就目前的switch的環境來說,要騙恐怕不是那麼順利
因為我以前就遇過類似的中毒PC ,會發出arp spoof的frame ,偏偏那個arp spoof
要騙的正好是Gateway IP的MAC address , 結果辦公室裡不能上網的就只有
大約一半而已 , 去查看它們取得的gateway IP MAC剛好就是fake MAC address
其餘的一半可是不受影響的!! 不論釋放IP之後再取得都不受影響....
要真正做到這點,倒不用那麼麻煩啦...
只要你架一台Gateway 並使用gateway的IP 就成了,把真正的Default gateway IP
改成其它的IP,並且只讓這台代理的Gateway 指向其Default Gateway IP就行了!!
其餘的PC host不允許直接指向真正的Default Gateway IP即可!!
主題: 回覆: 請問 linux 如何做到 port mirror
作者: 湯姆貓 於 2008-06-09 10:24
引用自: anderson1127 於 2008-06-09 07:49
嗯.... 這個困難度很高,況且就目前的switch的環境來說,要騙恐怕不是那麼順利
因為我以前就遇過類似的中毒PC ,會發出arp spoof的frame ,偏偏那個arp spoof
要騙的正好是Gateway IP的MAC address , 結果辦公室裡不能上網的就只有
大約一半而已 , 去查看它們取得的gateway IP MAC剛好就是fake MAC address
其餘的一半可是不受影響的!! 不論釋放IP之後再取得都不受影響....
要真正做到這點,倒不用那麼麻煩啦...
只要你架一台Gateway 並使用gateway的IP 就成了,把真正的Default gateway IP
改成其它的IP,並且只讓這台代理的Gateway 指向其Default Gateway IP就行了!!
其餘的PC host不允許直接指向真正的Default Gateway IP即可!!
嗯嗯~~~我也有跟我朋友說....幹嘛那麼麻煩~~~
想要知道就只接從Gateway下手不就好....
他說....「那同事不是MIS,我才是.....」
一整個無言......
插花問個問題,像這種用arp詐騙的方式...
是不是只要用可以鎖IP及port的Switch就可以解決掉這個問題??
主題: 回覆: 請問 linux 如何做到 port mirror
作者: damon 於 2008-06-09 10:45
換一台有port mirror功能的switch是不是更簡單?
主題: 回覆: 請問 linux 如何做到 port mirror
作者: anderson1127 於 2008-06-09 10:52
引用自: 湯姆貓 於 2008-06-09 10:24
插花問個問題,像這種用arp詐騙的方式...
是不是只要用可以鎖IP及port的Switch就可以解決掉這個問題??
網管型的switch只要具備手動設定MAC & Switch port對應的功能應該都可以簡單把這問題給解決
也就是說, switch ethernet port可以設定進去一些MAC address , 只允許這些MAC address的
frame進入switch的ethernet port , 其餘的MAC address是不允許的!!
這樣就可以簡單解決這問題,缺點是......
PC中了這種ARP spoof病毒在發作時,可能沒有人知道了!! :P
主題: 回覆: 請問 linux 如何做到 port mirror
作者: anderson1127 於 2008-06-09 10:56
引用自: damon 於 2008-06-09 10:45
換一台有port mirror功能的switch是不是更簡單?
再沒經費的人,別藉口說買不起中古的3Com/Cisco/Foundry/Extreme switch .....
連我自己都買下了一台還不錯的Cisco Catalyst 2948G switch ....都還在我個人可以
負擔的能力之內!! 才幾千元而已....功能又很好,為什麼不買呢?
Y拍也都還有人在賣 !!
PS: 如果自己不願意學習操作這類的網路設備者除外....
主題: 回覆: 請問 linux 如何做到 port mirror
作者: ppc52776 於 2008-06-09 13:11
謝謝大家熱烈的討論
本著相信沒有linux做不到的事的信念
google了兩天,終於找到解決方法
在此跟各位分享 :)
就是使用iptables的patch-o-matic extra repository內的ROUTE模組
以下以Gentoo為例說明如何安裝
1. 從ftp下載最新的patch-0-matic snapshot
ftp://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/
2. 解壓縮 tar -xjvf patch-o-matic-ng-20080521.tar.bz2
3. 必須先確保你現在安裝的iptables有啟用extensions的USE參數 (等等ebuild會來參考)
4. 執行 ebuild `equery w iptables` unpack (會自動下載並解壓縮iptables)
5. 到剛剛解壓縮的patch-o-matic-ng資料夾
6. 執行 ./runme –download
7. 然後她會一個一個問你是否要安裝每一個模組
如果只需要ROUTE,可以改下指令 ./runme –download ROUTE
接下來他會問你kernel和iptables所在路徑
程式碼:
# ./runme -download ROUTE
Successfully downloaded external patch geoip
Successfully downloaded external patch condition
Successfully downloaded external patch IPMARK
Successfully downloaded external patch ROUTE
Successfully downloaded external patch connlimit
Successfully downloaded external patch ipp2p
Successfully downloaded external patch time
./patchlets/ipv4options exists and is not external
./patchlets/TARPIT exists and is not external
Successfully downloaded external patch ACCOUNT
Successfully downloaded external patch pknock
Hey! KERNEL_DIR is not set.
Where is your kernel source directory? [/usr/src/linux] [b](Gentoo預設路徑就在此)[/b]
Hey! IPTABLES_DIR is not set.
Where is your iptables source code directory? [/usr/src/iptables] /var/tmp/portage/net-firewall/iptables-1.4.0-r1/work/iptables-1.4.0/ [b](這是剛剛上面unpack後的地方,也就是iptables的原始碼)[/b]
Loading patchlet definitions......................... done
Welcome to Patch-o-matic ($Revision$)!
8. 現在kernel和iptables sources已經被patch了,接下來就是到kernel中把需要的模組編譯進來
9. # cd /usr/src/linux
10. # make menuconfig
11 . 剛剛的ROUTE在 Networking -> Networking supporttem support -> Networking options ->
Network packet filtering framework (Netfilter) -> IP: Netfilter Configuration -> 最下面多出 ROUTE target support,把他M起來吧
12. 接下來重新編譯並安裝新的模組
13. # make modules modules_install
14. 接下來編譯並安裝iptables
15. # ebuild `equery w iptables` install
# ebuild `equery w iptables` qmerge
安裝完成
接下來使用說明:
擷取網站說明
引用
ROUTE target options:
--oif ifname Send the packet out using `ifname' network interface.
--iif ifname Change the packet's incoming interface to `ifname'.
--gw ip Route the packet via this gateway.
--continue Route the packet and continue traversing the rules.
--tee Route a copy of the packet, but continue traversing
the rules with the original packet, undisturbed.
所以就以上只要下兩個指令就可以了
程式碼:
iptables -A PREROUTING -t mangle -j ROUTE --gw 192.168.1.50 --tee
iptables -A POSTROUTING -t mangle -j ROUTE --gw 192.168.1.50 --tee
參考文件:
1. netfilter: http://www.netfilter.org/projects/patch-o-matic/pom-extra.html
2. iptables patch-o-matic-ng安裝: http://gentoo-blog.de/?p=3
謝謝 8)
Powered by SMF 1.1.7 | SMF © 2006, Simple Machines LLC
訂閱:
文章 (Atom)