May 2008 Archives

发信人: intron (内含子), 信区: FreeBSD
标 题: 对抗ARP欺骗病毒
发信站: 水木社区 (Sat May 3 13:36:21 2008), 转信

最近机房ARP欺骗病毒很猖狂。将鄙人经验总结于此，仅供参考。

在/etc/rc.local中加入两行：

arp -s 网关IP地址 网关以太网地址
sh /opt/bin/watcharp.sh &

前一行用于设置静态ARP项，以防中毒主机拦截通信。
后一行用于启动一个脚本，用于在网关以太网地址改变时，即时删去静态ARP项
并发信通知管理员，以防主机断网失控。脚本内容如下(须修改头部的参数设置
后方可使用，每行末尾都不要有多余的空格、Tab等字符)：

#!/bin/sh
#$FreeBSD: src/scripts/watcharp.sh,v 1.1 2008/05/03 05:30:10 admin Exp $

gateway="202.108.0.1"
admin_email="webmaster@website.com"
ping_trial=10
sleep_interval=10

while true; do
if ! ping -q -c $ping_trial $gateway > /dev/null 2>&1 ; then
arp -d $gateway
mail -s "★★网关的以太网地址变了★★" $admin_email << EOF
如题!!!
EOF
exit 1
fi
sleep $sleep_interval
done

--
我的实验室： http://www.intron.ac/
我的雇主： http://cfins.au.tsinghua.edu.cn/ (也由我制作)

前些日子一个朋友系统上出了点小问题，给他说了些优化的策略，回过头来，他听说关掉Apache的KeepAlive可以提高性能，特别要我帮他说说。我就在这里记下个纸条，以后备用。

先来说说Apache的KeepAlive的设置。

KeepAlive在Apache Core中的设置说明：
Keep-Alive扩展自HTTP/1.0和HTTP/1.1的持久链接特性。提供了长效的HTTP会话，用以在同一个TCP连接中进行多次请求。在某些情况下，这样的方式会对包含大量图片的HTML文档造成的延时起到50%的加速作用。在Apache1.2版本以后，您可以设置 KeepAlive On 以启用持久链接。
对于HTTP/1.0的客户端来说，仅当客户端指定使用的时候才会使用持久链接连接。此外，仅当能够预先知道传输的内容长度时，才会与HTTP/1.0的客户端建立持久链接连接。这意味着那些长度不定的内容，诸如CGI输出、SSI页面、以及服务器端生成的目录列表等内容一般来说将无法使用与HTTP/1.0客户端建立的持久链接连接。而对于HTTP/1.1的客户端来说，如果没有进行特殊指定，持久将是默认的连接方式。如果客户端进行了请求，将使用分块编码以解决在持久链接里发送未知长度内容的问题。

另一个相关的是KeepAliveTimeout在Apache Core中的设置说明：
Apache在关闭持久连接前等待下一个请求的秒数。一旦收到一个请求，超时值将会被设置为Timeout指令指定的秒数。
对于高负荷服务器来说，KeepAliveTimeout值较大会导致一些性能方面的问题：超时值越大，与空闲客户端保持连接的进程就越多。

后最后还有一个相关的是MaxKeepAliveRequests在Core中的说明：
MaxKeepAliveRequests指令限制了当启用KeepAlive时，每个连接允许的请求数量。如果将此值设为"0"，将不限制请求的数目。我们建议最好将此值设为一个比较大的值，以确保最优的服务器性能。

五一劳动节发布 :) 不错
呵呵，我所以关心的两个巨大的变动都应用了。准备更新现有的系统了。