网络端口

1、本文的受众 如果你遇到了以下问题，那么你应该阅读这篇文章 我听说过这种技术，我对它很感兴趣 我想在家里访问我在公司的机器（写程序，查数据，下电影）。 公司为了防止我们用XX软件封锁了它的端口或者服务器地址。 公司不让我们上XX网站，限制了网址甚至IP。 公司不让我们看关于XX的信息，甚至花血本买了XX设备，能够对内容进行过滤。一看XX内容，链接就中断了。 我爸是搞电脑的，他在家里的路由器上动了手脚，我不能看XXX了。 带着这些问题，我们先从什么是ssh隧道开始。 2、什么是SSH隧道 首先看下面这张图，我们所面临的大部分情况都和它类似。我们的电脑在右上角，通过公司带有防火墙功能的路由器接入互联网（当然可能还有交换机什么的在中间连接着你和路由器，但是在我们的问题中交换机并不起到什么关键性的作用）。右下脚的部分是一个网站的服务器，它是我们公司防火墙策略的一部分，也就是说公司不希望我们访问这个服务器。在右上角还有一台机器，它也是属于我们的。但是这台机器并不在我们公司里面，换句话说他不受到公司防火墙的限制。最后也是最重要的一点是，我们能够在公司通过互联网直接访问这台机器。或者说这台位于公司防火墙外面的机器需要拥有一个独立的互联网IP，同时公司的防火墙规则不会屏蔽这台机器，并且这台机器运行着一个OpenSSH服务器。 现在，我们清楚地知道了自己所处的网络环境

近来我发现越来越多的网络环境开始屏蔽对外的常用端口比如 SMTP（端口 25），SSH（端口 22）之类的。当你走进一家咖啡馆然后想 SSH 到你的一台服务器上做点事情的时候发现端口 22 被屏蔽了是一件很烦的事情。 不过，我到目前为止还没发现有什么网络环境会把 HTTPS 给墙了（端口 443）。在稍微配置了一下家中的树莓派 2 之后，我成功地让自己通过接入树莓派的 443 端口充当跳板，从而让我在各种网络环境下都能连上想要的目标端口。简而言之，我把家中的树莓派设置成了一个 OpenVPN 的端点和 SSH 端点，同时也是一个 Apache 服务器，所有这些服务都监听在 443 端口上，以便可以限制我不想暴露的网络服务。 备注 此解决方案能搞定大多数有限制的网络环境，但有些防火墙会对外部流量调用 深度包检查 ，它们时常能屏蔽掉用本篇文章里的方式传输的信息。不过我到目前为止还没在这样的防火墙后测试过。同时，尽管我使用了很多基于密码学的工具（OpenVPN，HTTPS，SSH），我并没有非常严格地审计过这套配置方案（LCTT 译注：作者的意思是指这套方案能帮你绕过端口限制，但不代表你的活动就是完全安全的）。有时候甚至 DNS 服务都会泄露你的信息，很可能在我没有考虑周到的角落里会有遗漏。我强烈不推荐把此跳板配置方案当作是万无一失的隐藏网络流量的办法

文章目录 一、架构设计与非功能质量 架构设计：软件架构方法论中一般将架构设计分为三个阶段 需求分析和整理： 概要设计 详细设计 二、全面的非功能质量需求 概述： 核心非功能质量指标 其他非功能质量指标 具体指标 应用服务器 数据库 缓存 消息队列 三、典型的技术评审提纲 现状 方案描述 方案对比 风险评估 工作量评估 四、性能和容量评估 量级评估标准： 通用标准 MySQL: Redis: Kafka: 五、性能评估参考标准 常用的应用层性能指标参考标准（使用PC X86桌面机器的经验值） 通用标准： MySQL Redis Kafka DB2 常用的系统性能指标参考标准 寄存器和内存 硬盘I/O 六 性能测试方案的设计与实践 七、有用的压测工具 一、架构设计与非功能质量 架构设计：软件架构方法论中一般将架构设计分为三个阶段 需求分析和整理： 梳理所有用例和场景，并抽象出系统面向的用户和对象，梳理对于每个用户和角色应该提供的功能需求、非功能需求和限制。 非功能需求包括：高可用性、高性能、可伸缩、可扩展等 然后对功能性需求和非功能性需求进行整理，识别核心需求和特色需求 最后以核心需求和特色需求为根本来展开架构设计。 概要设计 对整个系统进行模块划分，并定义良好的模块之间的关系和交互。 详细设计 通常会使用多视图的方法来描述系统的架构，多视图包括：数据视图、逻辑视图、开发视图、进程视图

端口安全 交换机的五种攻击 VLAN跳跃攻击 生成树攻击 MAC表洪水攻击 泛洪：广播 1.限制MAC地址 配置 Switch>en Switch#config t Switch(config)#int f0/1 Switch(config-if)#sw mo acc//设置模式为ACCESS Switch(config-if)#switchport port-security //开启端口安全 Switch(config-if)#switchport port-security mac-address 00E0.8F09.42EA//绑定MAC地址 Switch(config-if)#switchport port-security violation shutdown //安全违例模式为关闭 violation的模式: protect:不回应 restrict:拒绝 shutdown:关闭 2.限制交换机端口的最大连接数 Switch(config-if)#switchport port-security maximum ARP攻击 VTP攻击 1.通过域名来同步 2.服务端和客户端模式（服务端(s)，客户端(c)，透明(t)） server client tranpatent 增删改vlan信息 v x v 转发VTP信息 v v v 同步VTP信息 v v x

云计算基础知识 OSI七层模型 MAC/物理地址 MAC(Media Access Contro)地址，或称为MAC地址、物理地址，用来表示互联网上每一个站点的标识符，采用十六进制数表示，共六个字节(48位)。其中，前三个学是由IEEE的注册管理机构RA负责给不同厂家分配的代码(高位24位)，也称为编制上唯一的标识符”( Organizationally Unique Identifier)，后三个字节(低位24位)由各厂家自行指派给生产的适配器接口，称为扩展标识符(唯一性)。一个地址块可以生成2^24个不同的地址。MAC地址实际上就是适配器地址或适配器标识符。通常情况下不变的，可以基于mac地址做限速，黑名单等策略。 二层交换 学习 1.交换机学习接收的数据帧的源MAC地址形成MAC地址表 广播 1.如果目标地址在MAC地址表中没有,则向除接收该数据帧的端口外的其他端- 广播该数据帧 转发 1.交换机根据MAC地址表转发数据帧 更新 1.MAC地址表有老化时间 2.如果一个帧的入端口和MAC地址表中记录不一致,则将MAC学习到新端口 二层交换的过程 交换机二层转发特性，符合802.1D网桥协议标准。交换机的二层转发涉及到两个关键的线程：地址学习线程和报文转发线程。 地址学习线程： 交换机接收网段上的所有数据帧,利用接收数据帧中的源MAC地址来建立MAC地址表，表项主要有MAC

1、每个二层网络中，选一个“根（root）”交换机； 2、每个“非根”交换机上，只有一个“根端口（root port）”； 3、每个网段（链接）有一个“指定端口（designated port）”； 4、非根交换机上的端口既不是指定端口又不是根端口的被阻塞； 5、非根交换机之间的选择“指定端口”时，要比较非根交换机的“桥ID（bridge id）”，ID最小的交换机所属端口会处于forword状态； 6、每个非根网桥上的“根端口”是到根网桥的“根路径开销”来选择，选最低值。 7、“根”交换机上与其它交换机相连的端口处于forward状态。 来源： https://www.cnblogs.com/QQ090/p/10889090.html

1、安装 (1) 安装JRE 首先确保已安装JRE [Java Run Time Enviroment (JRE) 1.4 (or above) ] 注意：一定要先安装JRE，然后再安装paros proxy，如果先安装paros proxyr后安装JRE，paros proxy将无法启动。 如果没有JRE，可以通过以下地址下载并安装：http://java.sun.com/j2se 如果找不到JRE，也可以下载相同版本的JDK，JDK会带有JRE。 (2) 安装和配置paros proxy应用程序 下载地址：http://sourceforge.net/projects/paros/ 安装： 如果下载的是WINDOWS版本，安装比较简单。 如果下载的是UNIX或其它平台的版本，则需要手动将程序解压到一个新的目录，并单击.JAR文件运行程序。 配置： paros需要两个端口：8080和8443,其中8080是代理连接端口，8443是SSL端口，所以必须保证这两个端口并未其它程序所占用。（查看端口命令：打开DOS命令窗口，输入 netstat查看目前使用的端口）。如果在安装完成,启动应用程序时，出现初始化错误，极大的可能就是因为这个端口被其它程序所占用。 配置浏览器属性：打开浏览器（如IE），打开工具－选项－连接－LAN设置－选中proxy server，proxyname为

NMap，也就是Network Mapper，是Linux下的网络扫描和嗅探工 具包，其基本功能有三个，一是探测一组主机是否在线；其次是 扫描主机端口，嗅探所提供的网络服务；还可以推断主机所用的操作系统 。Nmap可用于扫描仅有两个节点的LAN，直至500个节点以上的网络。 Nmap 还允许用户定制扫描技巧。通常，一个简单的使用ICMP协议的ping操 作可以满足一般需求；也可以深入探测UDP或者TCP端口，直至主机 所使用的操作系统；还可以将所有探测结果记录到各种格式的日志中， 供进一步分析操作。 进行ping扫描，打印出对扫描做出响应的主机,不做进一步测试(如端口扫描或者操作系统探测)： nmap -sP 1Array2.168.1.0/24 仅列出指定网络上的每台主机，不发送任何报文到目标主机： nmap -sL 1Array2.168.1.0/24 探测目标主机开放的端口，可以指定一个以逗号分隔的端口列表(如-PS22，23，25，80)： nmap -PS 1Array2.168.1.234 使用UDP ping探测主机： nmap -PU 1Array2.168.1.0/24 使用频率最高的扫描选项：SYN扫描,又称为半开放扫描，它不打开一个完全的TCP连接，执行得很快： nmap -sS 1Array2.168.1.0/24 当SYN扫描不能用时，TCP

健忘啊，记下来吧 Red Hat Linux 系统 此类型系统包括 red hat 的各类衍生及相关不版本，包括 RHEL 、 CentOS 、 Fedora 等等。 防火墙配置文件： /etc/sysconfig/iptables 服务操作命令 ： /etc/init.d/iptables service iptables {start|stop...} 临时改变命令 ： iptables iptables-save iptables-restore 等 禁止端口： iptables -D FORWARD -p tcp --dport 8000 -j REJECT 打开端口： iptables -I INPUT -p tcp --dport 3690 -j ACCEPT 如果想永久开放端口，那就进入：vi /etc/sysconfig/iptables 在最后加上目标端口即可，保存退出后，使用：/sbin/service iptables restart 重启一下防火墙 另，附iptables指令详解：来自（http://bbs.chinaunix.net/thread-2204793-1-1.html） 语法： iptables [-t table] command [match] [-j target/jump] -t 参数 用来指定规则表，内建的规则表有三个，分别是：nat

参考转载至：https://www.cnblogs.com/kerrycode/p/5609010.html 在讨论这个问题前，我们先来了解一下物理端口、逻辑端口、端口号等计算机概念。 端口相关的概念： 在网络技术中，端口（Port）包括逻辑端口和物理端口两种类型。物理端口指的是物理存在的端口，如ADSL Modem、集线器、交换机、路由器上用 于连接其他网络设备的接口，如RJ-45端口、SC端口等等。逻辑端口是指逻辑意义上用于区分服务的端口，如TCP/IP协议中的服务端口，端口号的范围从0到65535，比如用于浏览网页服务的80端口，用于FTP服务的21端口等。由于物理端口和逻辑端口数量较多，为了对端口进行区分，将每个端口进行了编号，这就是端口号 端口按端口号可以分为3大类： 1：公认端口（Well Known Port） 公认端口号从0到1023，它们紧密绑定与一些常见服务，例如FTP服务使用端口21，你在 /etc/services 里面可以看到这种映射关系。 2：注册端口（Registered Ports): 从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的. 3: 动态或私有端口（Dynamic and/or Private Ports） 动态端口，即私人端口号（private port numbers）