Gamepad & WSN

Tag Archives: 爱折腾

iptables解决电信劫持购物网站

Author:Gamepader    IN:Network    Tags: , ,     评论: 2    超过0人围观

起因: 下午在家准备剁手, 突然发现打开某些B2C购物网站, 会自动跳转到p.yiqifa.com, 然后再带着小尾巴跳转回去, 不爽, 怒投诉, 和小白客服解释半天, 威胁ta直接按照我说的填投诉单即可. 后续有客服打电话来, 死活不承认是他们的问题,  一开始是怀疑浏览器插件,无果, 于是怒抓包, 发现确实是收到了包含javascript跳转指令的数据包:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
GET / HTTP/1.1
Accept: image/jpeg, application/x-ms-application, image/gif, application/xaml+xml, image/pjpeg, application/x-ms-xbap, */*
Referer: http://www.jd.com/?utm_source=jd.com
Accept-Language: zh-CN
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E)
Accept-Encoding: gzip, deflate
Host: www.jd.com
DNT: 1
Connection: Keep-Alive

收到数据包:

HTTP/1.1 200 OK
Connection: close
Content-Type: text/html;charset=GBK
Content-Language: zh-CN
Server: CNGA
Cache-Control: no-cache
Content-Length: 212

<html>
<head>
<script language="javascript"> location.replace("http://p.yiqifa.com/n?k=2mLErntOWZLErI6H2mqXUOAwMKgHWEK7rnReWEwm1QLO6nUH2mqerI6HMn2S6OKe3EMH2L--&t=http://www.jd.com/") </script>
</head>
</html>

发现该伪造的响应存在一系列问题, 最明显的特征是TCP FLAGS为0x18.... 0000 0001 1000 = Flags: 0x018 (PSH, ACK), 想起iptables里面能匹配--tcp-flags, 于是准备在路由器上建立防火墙规则, 丢弃这个包含劫持信息的数据包:

1
2
iptables -A INPUT -p tcp --tcp-flags ALL PSH,ACK -j DROP
iptables -A FORWARD -p tcp --tcp-flags ALL PSH,ACK -j DROP

至此, 问题完全解决.

参考文献:
http://windtear.net/2009/10/iptables_drop_reset.html

05-09
2015

编译libressl-2.1.6出错解决

Author:Gamepader    IN:Network    Tags: , , ,     评论: 1    超过0人围观

nginx-1.7.11,使用libressl-2.1.6作为openssl库时,编译过程中出错, 错误提示为undefined reference to 'clock_gettime'
解决思路:g++没有链接”实时共享库”librt.so,需要手动修改g++命令行参数,添加-lrt.
解决办法:修改nginx-1.7.11/objs/Makefile,在第4行LINK =  $(CC)后面添加-lrt,变成LINK =  $(CC) -lrt
保存,make,成功~

附上nginx-1.7.11使用libressl-2.1.6,并开启SNI支持的编译参数:
--user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-http_gzip_static_module --with-ipv6 --with-http_sub_module --with-http_spdy_module --with-openssl=../libressl-2.1.6 --with-openssl-opt=enable-tlsext --add-module=../substitutions4nginx-read-only

update:
另外一个解决办法:
在ngingx-1.7.11 configure时,添加参数 –with-ld-opt=”-lrt” 即可.
参考来源:

03-28
2015

博客开启完整的https支持模式

Author:Gamepader    IN:Network    Tags: ,     评论: 0    超过4人围观

今天检查博客发现加载速度超级慢, 分析找出了几个问题

  • 博客自带的jquery库加载缓慢, 已禁用
  • lightbox插件加载的js库,时间达到了10秒!! 已禁用
  • 使用了腾讯的ta统计,改统计js不支持https模式,会有https混合内容警告, 这个没什么好办法,国内网站很少有注意隐私保护方面的. 已禁用
  • 使用了baidu家提供的CDN版本jquery库,该库不支持https,已替换成了又拍云提供的cdn.
  • 计划替换所有google的公共库到国内中科大,->参考文献<–.感谢中科大LUG小组~

如果是wordpress需要绑定多个域名,则同时需要改进一下wp-config文件:

1
2
3
4
5
6
7
8
9
10
11
12
/* Wordpress 绑定任意域名*/
if (!$_SERVER['HTTPS']) {
    $bloghome = 'https://'.$_SERVER['HTTP_HOST'];  
    $logsiteurl = 'https://'.$_SERVER['HTTP_HOST'];
} else {
    $bloghome = 'http://'.$_SERVER['HTTP_HOST'];  
    $blogsiteurl = 'http://'.$_SERVER['HTTP_HOST'];
}
define('WP_HOME', $bloghome);
define('WP_SITEURL', $blogsiteurl);
unset($bloghome);
unset($blogsiteurl);

其他参考资料: 靠谱的国内前端CDN公共库(替代GoogleAPIs的加速节点)
禁用自带jquery库的方法参考:http://blog.gimhoy.com/archives/ban-wordpress-from-loading-built_in-jquery.html
刚刚才看到原来新浪也提供支持ssl的cdn开源库:http://blog.xn--9p3a45o.cn/cdnjs.html (为什么中文域名复制出来是这个呢)

01-05
2015
loading...