欢迎来到我的Blog!
这里记录我的一些看法和体会-
中国电信“网络尖兵”的初步研究
广州的中国电信也跟随其他地方的步伐,开始设施检测多部电脑用一条ADSL线上网的措施。发现有多部上网时,就会在某一部电脑上的浏览器弹出一个页面,说发现多部电脑上网,请联系电信之类的话。据说是按增加多少部电脑收多少费用这样来实行的。随着上网本的普及,一个家庭有多部电脑很普遍,看来电信的野心不小。
经过一天的观察,初步研究了一下它的原理和行为。
首先,原理是什么呢?多部电脑用同一条ADSL线上网,一般都使用了NAT(Network Address Translation)技术,把所有内网发出去的IP包都进行了地址转换,再发到互联网上,内网IP,MAC地址这些信息是绝对不会透露到外网去的,网上有一个很流行的破解“网络尖兵”的帖子,说把内网的所有机器的MAC地址都改成同一个,这个是不对的,而且会造成内网的通讯障碍的。那么怎么知道NAT后面有多少部机器在共享上网呢?原来NAT虽然进行了地址转换,但是有一些IP包的信息基本保留了下来,其中最重要的一个是IP包里面的IPid这个域,这个域原来的作用是在IP包太大,给拆成多个部分传输(Fragmentation)时,可以在目标地正确地组包,也就是说,只要保证它在较短的时间内不重复就可以了。但是,大部分的操作系统的实现,这个域是自增长的,也就是说从开机之后,开始发第一个包开始,每发一个包就加一。由于目前大部分的NAT并没有处理这个域,所以如果在公网对ADSL发出的IP包进行观察,如果内网只有一部机器时,看到的IPid的域就是一个不断增长的序列,如果有两部机器,除非两部机器刚好同时开机和同时向外发包,否则从外网观察,就会看到两个不同范围的增长的序列,如果以时间作为横轴,Ipid作为纵轴,可以看到有两条增长的直线。所以只要在局端对IP包根据IPid进行简单的统计分类,就可以大致地看出一条ADSL后面有多少部机器了。
电信大概就是靠这个还有其他一些措施组合起来判断ADSL后面的机器数量了。那么发现超过数量后,电信会怎样处理呢?经过观察,大致是这样的:规定数量以内的机器不作干扰,数量以外的机器在一定的时间内,所有TCP连接都直接发Reset中断,除了到80端口的TCP连接,如果发现是HTTP请求,就直接返回一个302的跳转的应答,跳转到电信展示的警告页面,所以用户就看到了警告的页面,而且由于其他的TCP链接都给中断了,所以感觉发上网中断了。UDP连接不受影响,所以QQ和域名解析都不受影响。
由于IPid可以用来检测内网的主机数量,而且可以用这个来更准确地追踪主机的上网行为,在国外,很早就有针对这个的解决方法,但是注意,他们的着重点是安全,不是象我们一样,对付运营商。所以他们的做法是对IPid进行随机取值,而且用一个算法保证在短时间内,这个值不会重复。BSD系统(应该包括Mac OS X)有一个Kernel的参数:net.inet.ip.random_id,把它设为1,就可以使IPid的值是随机的。使用OpenBSD的Packet Filter做NAT,它也有一个叫Traffic Normalization的功能,可以使出去的IPid随机化,这样外网就无从检测到内网有多少部机器了。但是那这个方法对付电信会适得其反,因为电信采用了宁可杀错,不可放过的策略,电信的系统希望看到的是规定数量以内的IPid的有序的序列,一旦发现大量随机序列,估计就给判断成内网有大量的机器,这是会发现网内的机器可以上网的几乎没有了,要不就是干脆上不了网,要不就是会弹出警告窗口。
所以,要对付电信的话,一定要让出到外网的Ipid序列化,最好只有一个序列,还好国内已经有人做出来了,一个是Linux的iptables的修改:http://www.chinaunix.net/jh/4/909127.html , http://linux.chinaunix.net/bbs/viewthread.php?tid=909127 。
根据这个修改,用Linksys’ WRT54G/GL/GS, Buffalo WHR-G54S/WHR-HP-G54 或者相同解决方案的路由器的Image也有人做了出来,是基于Tomato的修改: http://www.right.com.cn/forum/viewthread.php?tid=13909 , http://www.high3.cn/view.asp?webid=214 。
我自己没有试过,有遇到相同情况的可以去试试。因为之前有人反映HTTP代理也不行,目前我的解决方案是Socks5的代理,好像还没发现什么问题。
参考资料:
A Technique for Counting NATted Hosts
-
墙
纪念柏林墙倒塌20周年仪式上最后最后一块骨牌,不知道是有意为之还是巧合,上面画着中国的文字,而且是没有倒。可以拿它来象征这个世界上未倒塌的一些墙,可以是GFW,也可以是国内凤凰卫视播放中间出现的迎客松,香港台中间插播的公益广告,甚至可以象征某个政党。能不能最终象柏林墙一样被推到,拭目以待。
-
顺丰速递也暴力运输
顺丰速递应该也算是国内民营的快递公司的老大了吧,而且据说是投诉率最低,一直我自己对这家公司也比较有好感,但是最近和他们也有了一点问题。
我们帮客户开发的软件有时是要和硬件配套使用的,所以就需要经常把一个类似路由器的设备寄来寄去,由于外壳是比较厚的铁壳,所以通常我们就用纸箱装,用泡沫塞在周围这样包装,这样即使在普通高度掉下去,也不至于有什么问题。基于对顺丰的信任,收到东西,我们也很少马上拆开来检查,而且通常投递人员也会催促我们签收,他们可以马上到下一家。
哪知道从北京寄来的设备就出现了问题,一个角完全撞扁了,按照铁壳的厚度,简单的跌落是不会撞成这个样子的,至少是非常大力的撞击才会产生这样的效果。之后的投诉和处理,才让我知道消费者的权益在快递业当中,是无法得到保障的。
我首先找了他们投诉,他们就先问我有没有当面拆封检查,我说没有,他们就说,这样保价条款就失效了,但是他们会找人拍照,我问接电话的人,说我们急着要把设备寄出,能不能自己拍照,他们说可以,我们就自己拍照,然后又找了顺丰寄出,结果顺丰出尔反尔,还是先把东西扣下来了,说是要他们自己拍照,等拍完照,已经耽误了我们两天时间才把东西继续寄出。
之后给我的第一次答复是他们承认是他们运输过程中损坏,但是由于我违反了保价条款,所以不予赔偿,我马上惊呆了,第一次看见一个企业这么无耻,承认是自己损坏,但是不陪,原因是顾客违反了企业自己定的条款, 究竟是你弄坏东西在先还是我违反条款在后,而且顺丰无论在收件时、投递时或者快件单的背面条款都没有对这个保价条款失效有任何说明。我就叫他给一个书面答复给我,他说他们没有义务,后来我才知道这个的原因,可以给他们之后改口提供便利。
没办法,我只能向他们的主管部门投诉,具体接受投诉广东省邮政管理局申诉中心12305,接电话的人也说没有当场拆封这个是没办法的,我说了我的理由,他才勉强说接受申诉,会和顺丰沟通,然后反复强调他们只是协调部门,如果顺丰不接受,他们也没有办法,我又惊讶了,这算什么主管部门啊,找主管部门的原因就是希望你主持公道,起到一个准法官的作用,听两边的理由,做出一个裁决,否则只起一个传声筒的作用,我直接找顺丰谈不是更好吗?
没办法,想了一下消协不知道能不能起点作用,打了12315,受理之后,转到了顺丰所在区的工商局处理,过程基本也一样,有个人打电话来问清楚情况,说他会去沟通,之后顺丰再打电话过来,重申了他们不陪的观点,不过这次悄悄换了理由,不再说什么保价条款失效,而是说他们无法判断在哪个环节损坏。之后工商局的人打电话来了解情况,说的话更叫我哭笑不得,他说,这家企业很牛的,通常他们工商协调的案子都是不接受调解,坚持企业自己的主张,最后他说,你们以后还是不要光顾这些民营企业啦,多用国有的EMS,正规一点。我更惊讶了,我们就是受够了EMS的罪才选民营快递的。
剩下的办法已经不多了,12305提供的选择是:1、可以直接向广东邮政管理局信访,这样就可以拿到书面的处理意见。2、向国家邮政管理局投诉。3、上法院告顺丰。
通过这个事情,基本可以看出目前快递业的顾客和企业之间的不平等地位。一个业界几乎是最好的企业,可以出尔反尔,从无耻地承认顺坏,坚决不赔到最后改口说不能确定损坏的环节。主管部门基本说不了话,只是沦为顾客和企业之间的传声筒,而一个正常社会的官方部门应该是站在弱势的一方,才能保持某种平衡。
最后,再说说顺丰,经过这次的印象就变得和打过交道的所有中国大公司一样,服务至少、顾客至上只是一种表面功夫和营销手段,难以掩盖它的霸道,连工商的人都说它牛,所以,投诉少、形象好的的潜台词也许就是政府公关和媒体关系做得比较到位。
-
阿诺也写藏头诗
-
剧院版 vs 导演剪辑版
这是剧院版:
这个是导演剪辑版:
-
销售人员培训课程
很早就看过《墨斗先生》,里面唯一留下深刻印象的是詹瑞文,今天终于在土豆上看到这个剪辑。这个堪称是销售人员的最佳培训课程,把香港金融业通过专业性的热情服务来框你钱的客户经理刻画得淋漓尽致。
