Google
 
2006-06
24

ACE+TAO INSTALL

Filed under: Tech articles — admin @ 4:00 pm

The following text is from other friends BLOG. I installed my ACE package(ACE_5.5+TAO_1.5.tar.gz) according the article. But when I take “make” procedure, I encounter the error “/usr/bin/ld: can not find -mysqlclient”. The error indeed kicked my head at the desk. After I searched the Internet I found a way to solve it.

Problem 1: While running make for Open Diameter following error may be encountered: 

        /usr/bin/ld: cannot find -lACE_SSL

To overcome this error, copy all the files in $ACE_ROOT/lib to /usr/lib directory

Problem 2: In case of compilation error, header files com_err.h, krb5.h and profile.h may need to be copied from /usr/kerberos/include/ to /usr/include/

Now I knew the reason. IT s caused by LD lib path . I searched it from INTERNET again. I got the following:

在Linux下,大部分系统的library库被安装在/usr/lib目录下。只有一些
基本的共享库被安装在/lib目录下。例如:libc.so,libcurses.so,libm.so
,libtermcap.so(各个版本对应的文件会有些不同),在其他部分被mount上
之前,那些文件是启动Linux系统所必须的。连接器默认的搜索路径是
/lib,/usr/lib,/usr/local/lib。

环境变量LD_LIBRARY_PATH列出了查找共享库时除了默认路径之外的其他路径。
/etc/ld.so.conf文件则指出了程序ldconfig要搜索的目录。该程序将这些目录中所有的
共享库都存储到/etc/ld.so.cache中。假如共享库已经被从默认的目录中
移走,Linux ELF动态连接库将在/etc/ld.so.cache文件中找该共享库。

手册里说的 make -C ld clean ,然后 make -C ld LIB_PATH=/tools/lib
应该就是修改默认的库的路径了。

I donnnot know its correct or not. But I understand why.

 

第一步 设置ACE_ROOT环境变量
(1)export ACE_ROOT=/home/jet/ACE_wrappers
export LD_LIBRARY_PATH=$ACE_ROOT/ace:$LD_LIBRARY_PATH

(2)或者直接在用户目录下编辑.bashrc文件,内容如下:
ACE_ROOT=/home/jet/ACE_wrappers
export ACE_ROOT
LD_LIBRARY_PATH=$ACE_ROOT/ace:$LD_LIBRARY_PATH
export LD_LIBRARY_PATH
然后重新登陆

(3)另一种方法是修改系统的/etc/profile文件(不过这样还是以用户变量为
优先设置,即如果已经按照上面的两种方法进行了设置,那么以下的设置将不
会被系统采用。)
“vi /etc/profile”
在其中加入4行
ACE_ROOT=/opt/ACE
export ACE_ROOT
LD_LIBRARY_PATH=$ACE_ROOT/ace:$LD_LIBRARY_PATH
export LD_LIBRARY_PATH
我是加在“export PATH USER….”后的。完成后将/etc/profile执行一次,命令:
“chmod 555 /etc/profile”
“/etc/profile”
这样我们的ACE_ROOT就设置好了,可以用如下命令查看ACE_ROOT是否设置好了:
“echo $ACE_ROOT”
这个时候最好reboot启动一次linux。
——————————————————————-

第二步 解压出ACE-install.sh文件并修改
(1)在/home/jet下建立子目录ACEInstall,将ACE.tar.gz上传至该目录

(2)从ACE.tar.gz解压出单个文件ACE-install.sh:
tar �Czxvf ACE.tar.gz ACE_wrappers/ACE-install.sh

(3)ACE-install.sh放在哪个目录下无所谓,因为安装目录是由刚才设定的$ACE_ROOT决定的。

(4)vi ACE-install.sh
我们可以看到缺省的,这个文件是用来在UNIX下做安装的。所以我们要将其中的有
关UNIX的部分换成linux即可。
“MY_ACEDIR=${HOME}/aceconfig” –>> “MY_ACEDIR=/home/my/ACE”
“MY_ACE_CONFIG=config-sunos5.4-sunc++-4.x.h” –>> “MY_ACE_CONFIG=config-linux.h”
“MY_ACE_GNU_MACROS=platform_sunos5_sunc++.GNU” –>> “MY_ACE_GNU_MACROS=platform_linux.GNU”
好了,文件修改完毕,保存退出“:wq”。
——————————————————————-

第三步 运行ACE-install.sh(shell脚本)安装ACE
(1)当前目录/home/jet/ACEInstall/ACE_wrappers

(2)修改ACE-install.sh的属性,使其可执行
chmod 777 ACE-install.sh

(3)执行:
./ACE-install.sh
此后将是较长时间的解包、编译等待时间。这个过程将不会出现任何错误,因为安装脚本
将为我们做很多事情,如:生成config.h,生成platform_macros.GNU。(即使出现删除
文件的错误,对结果应该没有影响,遇到这种情况要具体分析一下。)
因此就不需要按ACE-install.html中说的那样手工做如下改动:
  在$ACE_ROOT/ace目录下:
  ln -s config-linux.h config.h
  在$ACE_ROOT/include/makeinclude/目录下:
  ln -s platform_linux.GNU platform_macros.GNU
(Windows中没有文件连接这一说,所以要自己生成一个config.h文件,再在它的里面加一
句话“#include “ace/config-win32.h””。)

(4)如果编译中出现错误,如“../apps/gperf”等,请编辑$ACE_ROOT/apps下的Makefile,
将其中的有关“gperf”的部分注释掉,这个东西只是一个例子,可以不去编译它。
强调一下,用ACE-install.sh来安装,会编译ACE、tests、apps等。
最后会生成libACE.so及tests、apps下也会出来很多经过编译的文件。
当然如果你只是下载了ACE.tar.gz这样的单个包来安装,你可以手工改文件,再make,
因为只编译ACE,工作就少了很多,手工做还可以接受。

(5)编译过程日志放在/tmp/myacemaker.err
——————————————————————-

第四步 直接测试ACE提供的例子
(1)在$ACE_ROOT/examples/Synch中,修改proc_sema.cpp文件如下:
#include “ace/OS_NS_stdio.h”
在main函数中
ACE_OS::printf(”Hello,World! \n”);

(2)执行make,OK后运行。

(3)如果运行时装在不到share object,可能是lib路径问题,因为.so文件是程序运行过程中
装载的,不是在编译的时候,因此要设置LD_LIBRARY_PATH:
[jet@S]$ export LD_LIBRARY_PATH=/home/jet/ACE_wrappers/lib:$LD_LIBRARY_PATH
——————————————————————-

第五步 写一个简单的程序测试一下ACE
(1)在/home/jet/下新建ACETest子目录,写好程序如client.cpp,上传到该目录

(2)拷贝第四步的那个Makefile文件到该目录,并做如下修改
修改其中输出文件名“BIN = hello”,并修改“
.obj/proc_sema.o .obj/proc_sema.so .shobj/proc_sema.o .shobj/proc_sema.so: proc_sema.cpp \”
中后面的“proc_sema.cpp”成“client.cpp”。
好,我们可以编译一个我们自己的ACE程序了,make即可。应该能通过,生成执行文件client,
大小大约为112Kb。运行之,“./client”。
——————————————————————-

=================================================
另一种更为直接的安装方法:

步骤1:设置环境变量
export ACE_ROOT=/home/jet/ACE_wrappers
export LD_LIBRARY_PATH=$ACE_ROOT/ace:$LD_LIBRARY_PATH
也可以直接修改.bashrc文件,以免退出后设置的这些变量消失

[env][echo $ACE_ROOT]

步骤2:
针对不同版本创建两个文件链接:
  在$ACE_ROOT/ace目录下:
  ln -s config-linux.h config.h
  在$ACE_ROOT/include/makeinclude/目录下:
  ln -s platform_linux.GNU platform_macros.GNU

步骤3:
在$ACE_ROOT目录下,新建一个目录,用以执行configure的结果
  mkdir aaa
  cd aaa
在$ACE_ROOT/aaa中运行
  ../co
nfigure
在确认结果无误后,执行
  make
OK!

[rm -f -r *]删除目录下所有的文件和子目录-f是强制force删除,-r是代表目录也删除

[ldd 可执行文件] 显示该文件运行时候需要的动态链接库

[ipcs] 显示系统的共享内存、信号量、消息队列的情况 ipc show
[ipcrm id]

2006-06
12

FW; BASH Script Tutorial

Filed under: Tech articles — admin @ 4:00 pm

非常好的BASH脚本编写教程(转)
作者: hew  发布日期: 2006-4-27    查看数: 392   出自: http://www.linuxsky.net
这里有个老American写的 BASH脚本编写教程,非常不错,至少没接触过BASH的也能看懂!

建立一个脚本

  Linux中有好多中不同的shell,但是通常我们使用bash (bourne again shell) 进行shell编程,因为bash是免费的并且很容易使用。所以在本文中笔者所提供的脚本都是使用bash(但是在大多数情况下,这些脚本同样可以在 bash的大姐,bourne shell中运行)。
  如同其他语言一样,通过我们使用任意一种文字编辑器,比如nedit、kedit、emacs、vi
  等来编写我们的shell程序。
  程序必须以下面的行开始(必须方在文件的第一行):
#!/bin/sh
  符号#!用来告诉系统它后面的参数是用来执行该文件的程序。在这个例子中我们使用/bin/sh来执行程序。
  当编辑好脚本时,如果要执行该脚本,还必须使其可执行。
  要使脚本可执行:
chmod +x filename
  然后,您可以通过输入: ./filename 来执行您的脚本。
注释
  在进行shell编程时,以#开头的句子表示注释,直到这一行的结束。我们真诚地建议您在程序中使用注释。如果您使用了注释,那么即使相当长的时间内没有使用该脚本,您也能在很短的时间内明白该脚本的作用及工作原理。
变量
  在其他编程语言中您必须使用变量。在shell编程中,所有的变量都由字符串组成,并且您不需要对变量进行声明。要赋值给一个变量,您可以这样写:
变量名=值
  取出变量值可以加一个美元符号($)在变量前面:
#!/bin/sh
#对变量赋值:
a=”hello world”
# 现在打印变量a的内容:
echo “A is:”
echo$a
  在您的编辑器中输入以上内容,然后将其保存为一个文件first。之后执行chmod +x first
  使其可执行,最后输入./first执行该脚本。
  这个脚本将会输出:
A is:
hello world
  有时候变量名很容易与其他文字混淆,比如:
num=2
echo “this is the $numnd”
  这并不会打印出”this is the 2nd”,而仅仅打印”this is the “,因为shell会去搜索变量numnd的值,但是这个变量时没有值的。可以使用花括号来告诉shell我们要打印的是num变量:
num=2
echo “this is the ${num}nd”
  这将打印: this is the 2nd
  有许多变量是系统自动设定的,这将在后面使用这些变量时进行讨论。
  如果您需要处理数学表达式,那么您需要使用诸如expr等程序(见下面)。
  除了一般的仅在程序内有效的shell变量以外,还有环境变量。由export关键字处理过的变量叫做环境变量。我们不对环境变量进行讨论,因为通常情况下仅仅在登录脚本中使用环境变量。
Shell命令和流程控制
  在shell脚本中可以使用三类命令:
1)Unix 命令:
  虽然在shell脚本中可以使用任意的unix命令,但是还是由一些相对更常用的命令。这些命令通常是用来进行文件和文字操作的。
常用命令语法及功能
  echo “some text”: 将文字内容打印在屏幕上
  ls: 文件列表
  wc �Cl filewc -w filewc -c file: 计算文件行数计算文件中的单词数计算文件中的字符数
  cp sourcefile destfile: 文件拷贝
  mv oldname newname : 重命名文件或移动文件
  rm file: 删除文件
  grep pattern file: 在文件内搜索字符串比如:grep searchstring file.txt
  cut -b colnum file: 指定欲显示的文件内容范围,并将它们输出到标准输出设备比如:输出每行第5个到第9个字符cut -b5-9 file.txt千万不要和cat命令混淆,这是两个完全不同的命令
  cat file.txt: 输出文件内容到标准输出设备(屏幕)上
  file somefile: 得到文件类型
  read var: 提示用户输入,并将输入赋值给变量
  sort file.txt: 对file.txt文件中的行进行排序
  uniq: 删除文本文件中出现的行列比如: sort file.txt | uniq
  expr: 进行数学运算Example: add 2 and 3expr 2 “+” 3
  find: 搜索文件比如:根据文件名搜索find . -name filename -print
  tee: 将数据输出到标准输出设备(屏幕) 和文件比如:somecommand | tee outfile
  basename file: 返回不包含路径的文件名比如: basename /bin/tux将返回 tux
  dirname file: 返回文件所在路径比如:dirname /bin/tux将返回 /bin
  head file: 打印文本文件开头几行
  tail file : 打印文本文件末尾几行
  sed: Sed是一个基本的查找替换程序。可以从标准输入(比如命令管道)读入文本,并将结果输出到标准输出(屏幕)。该命令采用正则表达式(见参考)进行搜索。 不要和shell中的通配符相混淆。比如:将linuxfocus 替换为 LinuxFocus :cat text.file | sed s/linuxfocus/LinuxFocus/ > newtext.file
  awk: awk 用来从文本文件中提取字段。缺省地,字段分割符是空格,可以使用-F指定其他分割符。cat file.txt | awk -F, {print $1 “,” $3 }这里我们使用,作为字段分割符,同时打印第一个和第三个字段。如果该文件内容如下: Adam Bor, 34, IndiaKerry Miller, 22, USA命令输出结果为:Adam Bor, IndiaKerry Miller, USA
2) 概念: 管道, 重定向和 backtick
  这些不是系统命令,但是他们真的很重要。
  管道 (|) 将一个命令的输出作为另外一个命令的输入。
grep “hello” file.txt | wc -l
  在file.txt中搜索包含有”hello”的行并计算其行数。
  在这里grep命令的输出作为wc命令的输入。当然您可以使用多个命令。
  重定向:将命令的结果输出到文件,而不是标准输出(屏幕)。
  > 写入文件并覆盖旧文件
  >> 加到文件的尾部,保留旧文件内容。
反短斜线
 使用反短斜线可以将一个命令的输出作为另外一个命令的一个命令行参数。
  命令:
find . -mtime -1 -type f -print
  用来查找过去24小时(-mtime �C2则表示过去48小时)内修改过的文件。如果您想将所有查找到的文件打一个包,则可以使用以下脚本:
#!/bin/sh
# The ticks are backticks (`) not normal quotes ():
tar -zcvf lastmod.tar.gz `find . -mtime -1 -type f -print`
  3) 流程控制
  ”if” 表达式 如果条件为真则执行then后面的部分:
if ….; then
  ….
elif ….; then
  ….
else
  ….
fi
  大多数情况下,可以使用测试命令来对条件进行测试。比如可以比较字符串、判断文件是否存在及是否可读等等…
  通常用” [] “来表示条件测试。注意这里的空格很重要。要确保方括号的空格。
[ -f "somefile"] :判断是否是一个文件
[ -x "/bin/ls"] :判断/bin/ls是否存在并有可执行权限
[ -n "$var"] :判断$var变量是否有值
[ "$a" = "$b"] :判断$a和$b是否相等
  执行man test可以查看所有测试

2006-05
31

Linux Crotab configuration

Filed under: Tech articles — admin @ 4:00 pm

Linux下crontab命令的用法
2005-09-15    Bruce       点击: 478
>
Linux下crontab命令的用法
>

Crontab是UNIX系统下的定时任务触发器,其使用者的权限记载在下列两个文件中:
/etc/cron.deny:该文件中所列的用户不允许使用Crontab命令;
/etc/cron.allow:该文件中所列的用户允许使用Crontab命令;

Crontab命令的格式为:crontab �Cl|-v|-r|-e [username],其参数含义如表一:

参数名称

含义

-l

显示用户的Crontab文件的内容

-v

显示用户的Crontab文件的内容及其提交的时间,只适用于Compaq系列

-r

从Crontab目录中删除用户的Crontab文件

-e

编辑用户的Crontab文件

用户所建立的Crontab文件存于/var/spool/cron中,其文件名与用户名一致。
它的格式共分为六段,前五段为时间设定段,第六段为所要执行的命令段,
格式如下:* * * * *

其时间段的含义如表二:

含义

取值范围

第一段

代表分钟

0―59

第二段

代表小时

0―23

第三段

代表日期

1―31

第四段

代表月份

1―12

第五段

代表星期几,0代表星期日

0―6

例:如果用户的Crontab文件的内容是:29 19 * * * echo its dinner time,则系统每天的19:29显示‘its dinner time’

下面看看看几个具体的例子:
0 */2 * * * /sbin/service httpd restart  意思是每两个小时重启一次apache

50 7 ** * /sbin/service sshd start  意思是每天7:50开启ssh服务

50 22 * * * /sbin/service sshd stop  意思是每天22:50关闭ssh服务

0 0 1,15 * * fsck /home  每月1号和15号检查/home 磁盘

1 * * * * /home/bruce/backup  每小时的第一分执行 /home/bruce/backup这个文件

00 03 * * 1-5 find /home “*.xxx” -mtime +4 -exec rm {} \;  每周一至周五3点钟,在目录/home中,查找文件名为*.xxx的文件,并删除4天前的文件。

2006-05
31

和弦铃声

Filed under: Tech articles — admin @ 4:00 pm

和弦铃音 
    手机铃声功能目前多指铃声效果是单音还是和弦音;内存铃声容量;自编铃声功能/录制铃声功能;下载铃声功能等主要几个功能。
    单音/和弦音/真人真唱
    单音:单音铃声就是指铃声由一个单音组成的声音。单音的铃声可以说已经过时了。
    和弦音:和弦是在根音的基础上按三度一次叠加的规则在音程上进行叠加。
    真人真唱:目前大部分手机都支持真人真唱的铃音,如mmf、wav、wma、mp3、aac等。真人真唱的铃音可以说是目前很流行的铃音。
    内存铃声
    目前手机都自带内存铃声,一般这些铃声多为名曲或当前比较流行的歌曲为基础制作的,内存铃声的多少或类型由手机厂家控制。
    自编/录制铃声
    随着手机的日益普及,人们对手机的要求也越来越高,手机已不光是人们的通讯手段也同时成为了人们的个性的体现,所以越来越多的人不愿再只用厂家提供的手机铃声。这样自编/录制功能应运而生,这种功能可以根据用户自己的爱好自编或录制其他声音作为其手机铃声。
    下载铃声
    下载铃声功能可以使用户在网上或其他途径下载现成的铃声,这样既可以满足用户的个性需求又可以免去自编的麻烦工序。
    铃音格式
    MID(MIDI格式):
    支持机型:几乎所有机型都支持mid格式铃音,单因其单音和弦不同,锁支持的mid和弦也不同。
    MIDI不是器材。MIDI是一种语言。就像电脑只听得懂0与1一样,MIDI是一种通用于电子乐器及相关器材之间的一种语言,是:“Musical Instrument Digital Interface”(乐器数码接口)的简称。是SMF (标准MIDI)多媒体数据形式。其标准的文件格式为:mid。
    所谓和弦:手机的和弦数目等于midi格式中的音轨数,但是手机的每个音轨都是单音音轨,这是与我们在电脑上常常听的midi的最大的区别,也是和弦数目对铃声效果影响的由来。
    和弦是按照一定的音程关系结合起来的三个或三个以上同时或先后发音,叫做“和弦”。传统和声以三度叠作为和弦构成的原则。通常是同时发音。当你在钢琴上同时按1,3,5时所发的音,是一个以1为根音的大三和弦。和弦的好处是声音丰满动听,富有表现力。大三和弦听起来十分响亮,而小三和弦则委婉动听。
    所谓电子音乐midi格式是记录每个音的音色、音名、响度、角度、时间等,根据记录查询音色库,得到应发声音。简单的说,每个音轨对应一种乐器,上面以特定的格式记录每时刻该乐器所演奏的乐音。比如,在某时刻被定义为钢琴的音轨上记录着上面所说的135组成的和弦,那么芯片就查询音色库得到所对应的音效,然后合成、播放。所以音色库是关系midi是否动听的关键因素,好的音色库是很占地方的。
    手机中记录音乐的方法与midi相同或相似。所记录的全是单音,而复杂的和弦音效没有记录。既然如此,我们的手机为何依然如此动听呢?既然不能在一架钢琴上同时按下“135”,那么就分别在三架钢琴上同时按1、3、5不就可以了,事实上手机和弦正是这样实现的,这样的和弦虽然不如真正的和弦好听,但是从手机里放出来也就差不多乱真了。这种把一件乐器上的和弦变成n件乐器单音的过程,似乎被称为“和弦分解”。如果你常常使用psmplay转换手机铃声,那么当被转化的midi比较复杂的时候,它就会提示“分解和弦数超过16…”同理,很多在电脑上听起来不错的曲子不经分解直接传到手机上,效果就差了很多。你只要用好一点的midi编辑软件看看就可以发现,一曲里面常常有很多相同音色的音轨,每个音轨都是单音。
    所以,一只16“和弦”的手机可以实现5种乐器同时发出三和弦,而40“和弦”的手机可以让5种乐器同时发出七和弦,或者13种乐器同时发出三和弦,或者…..“和弦”数目越多,可能组合越多,音色就越丰富。这就是手机“和弦”数目带来的声音效果差别所在。     目前,国内市面上销售的手机,铃声大致可分为单音节铃声、3和弦、4和弦、16和弦、32和弦、40和弦、64和弦等铃声。单音和和弦音声音相差较大;4和弦铃声和16和弦的声音都太单簿,差别也比较大,40和弦和32和弦的铃声差别就不大了,而64和弦和40和弦就差别很大了。总之,3和弦、4和弦是一个档次,16和弦是一个档次,32和弦、40和弦是一个档次,64和弦是一个档次。
    对于区分和弦,我们一般的消费者是没有办法听出来的,因为我们的耳朵没有经过专业的训练,如果我们每个人都能一下子听出是多少和弦、曲子中有多少个和弦的话,那么人人都可以当音乐家了。和弦只是起一个点缀曲子的作用,并不是说和弦数量越多曲子就越动听。     SPMIDI:
    与midi几乎相同,只是为了其适用于手机而增加了一些控制信息。
    RTTTL:
    RTTTL格式是标准的手机铃声格式,已经被许多手机所支持,可以使用Composer for Ringtone这个手机铃声制作利器将一个midi格式的文件来转换制作
    WAV(WAVE格式):媲美CD音质
    支持机型:多普达696、515、535、诺基亚3650、索尼爱立信P908等
    WAV是WAVE文件的后缀名,是微软公司在Windows平台上保存音频信息的资源格式。
    在PC上,MIDI和WAVE是声音数据文件的两种主要格式,前者是数据文件格式,后者是波形数字化文件格式,像其他文件一样存在计算机中。常见的CD唱盘也是数字采样技术制作的,只是没有形成文件。因此,WAV音频的音质是可以与CD音质媲美的。然而对于手机来说,WAV存在着一个致命的缺点,那就是文件过大――1分钟的WAV音频就有10MB之多,试问目前有几款手机能吞得下如此庞大的音频文件。
    WAV格式的音频只要用Windows自带的媒体播放器就可以对它进行播放,因此大多数采用Windows mobile操作系统的智能手机(Smart phone)均支持以WAV做铃声。
    AMR(AMR格式):彩信通用语音格式
    支持机型:阿尔卡特OT756、西门子CX65等
    和ADPCM一样,AMR并不是专门的手机铃声格式,它是被各大手机厂商广泛认可的一种保存手机录音的格式。由于AMR文件的容量很小――每秒钟的AMR音频大小可控制在1K左右,因此即便是长达1分钟的音频文件,也能符合中国移动现行的彩信不超过50K的技术规范,所以AMR也是实现在彩信中加载人声的惟一格式。
    然而同样是因为“个头”小,AMR格式的歌曲音质可想而知,经笔者实际操作,阿尔卡特OT756和西门子CX65均可自录铃声并保存为AMR格式的音频文件,但相比OT756所支持的MP3铃声或CX65所支持的WAV铃

2006-05
30

Advice about DDOS on CISCO router

Filed under: Tech articles — admin @ 4:00 pm

–  [转帖]Cisco路由器上如何防止DDoS
Cisco路由器上防止分布式拒绝服务(DDoS)攻击的一些建议

  1、使用 ip verfy unicast reverse-path 网络接口命令

  这个功能检查每一个经过路由器的数据包。在路由器的CEF(Cisco Express Forwarding)表该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。 

  单一地址反向传输路径转发(Unicast Reverse Path Forwarding)在ISP(局端)实现阻止SMURF攻击和其它基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用Unicast RPF需要打开路由器的"CEFthing"或"CEF distributedtching"选项。不需要将输入接口配置为CEF交换tching)。只要该路由器打开了CEF功能,所有独立的网络接口都可以配置为其它交换tching)模式。RPF(反向传输路径转发)属于在一个网络接口或子接口上激活的输入端功能,处理路由器接收的数据包。
在路由器上打开CEF功能是非常重要的,因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中,但不支持Cisco IOS 11.2或11.3版本。

  2、使用访问控制列表(ACL)过滤RFC 1918中列出的所有地址

  参考以下例子:

  interface xy
  ip access-group 101 in
  access-list 101 deny ip 10.0.0.0 0.255.255.255 any
  access-list 101 deny ip 192.168.0.0 0.0.255.255 any
  access-list 101 deny ip 172.16.0.0 0.15.255.255 any
  access-list 101 permit ip any any

  3、参照RFC 2267,使用访问控制列表(ACL)过滤进出报文

  参考以下例子:

  {ISP中心} – ISP端边界路由器 – 客户端边界路由器 – {客户端网络} 

  ISP端边界路由器应该只接受源地址属于客户端网络的通信,而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表(ACL)例子:

  access-list 190 permit ip {客户端网络} {客户端网络掩码} any 
  access-list 190 deny ip any any [log] 

  interface {内部网络接口} {网络接口号} 
  ip access-group 190 in 

  以下是客户端边界路由器的ACL例子:

  access-list 187 deny ip {客户端网络} {客户端网络掩码} any 
  access-list 187 permit ip any any 

  access-list 188 permit ip {客户端网络} {客户端网络掩码} any 
  access-list 188 deny ip any any 

  interface {外部网络接口} {网络接口号} 
  ip access-group 187 in 
  ip access-group 188 out 

  如果打开了CEF功能,通过使用单一地址反向路径转发(Unicast RPF),能够充分地缩短访问控制列表(ACL)的长度以提高路由器性能。为了支持Unicast RPF,只需在路由器完全打开CEF;打开这个功能的网络接口并不需要是CEF交换接口。

  4、使用CAR(Control Access Rate)限制ICMP数据包流量速率

  参考以下例子:

  interface xy 
  rate-limit output access-group 2020 3000000 512000 786000 conform-action 
  transmit exceed-action drop 

  access-list 2020 permit icmp any any echo-reply 

  请参阅IOS Essential Features 获取更详细资料。

  5、设置SYN数据包流量速率

  interface {int} 
  rate-limit output access-group 153 45000000 100000 100000 conform-action 
  transmit exceed-action drop 
  rate-limit output access-group 152 1000000 100000 100000 conform-action 
  transmit exceed-action drop 

  access-list 152 permit tcp any host eq www 
  access-list 153 permit tcp any host eq www established 

  在实现应用中需要进行必要的修改,替换:

  45000000为最大连接带宽
  1000000为SYN flood流量速率的30%到50%之间的数值。
  burst normal(正常突变)和 burst max(最大突变)两个速率为正确的数值。

  注意,如果突变速率设置超过30%,可能会丢失许多合法的SYN数据包。使用"show interfaces rate-limit"命令查看该网络接口的正常和过度速率,能够帮助确定合适的突变速率。这个SYN速率限制数值设置标准是保证正常通信的基础上尽可能地小。

  警告:一般推荐在网络正常工作时测量SYN数据包流量速率,以此基准数值加以调整。必须在进行测量时确保网络的正常工作以避免出现较大误差。

  另外,建议考虑在可能成为SYN攻击的主机上安装IP Filter等IP过滤工具包。

  6、搜集证据并联系网络安全部门或机构

  如果可能,捕获攻击数据包用于分析。建议使用SUN工作站或Linux等高速计算机捕获数据包。常用的数据包捕获工具包括TCPDump和snoop等。基本语法为:

  tcpdump -i interface -s 1500 -w capture_file

  snoop -d interface -o capture_file -s 1500

  本例中假定MTU大小为1500。如果MTU大于1500,则需要修改相应参数。将这些捕获的数据包和日志作为证据提供给有关网络安全部门或机构。

  

 Page 56 of 59  « First  ... « 54  55  56  57  58 » ...  Last » 
26 queries. 0.515 seconds. Powered by WordPress