本文简介:一个很偶然的机会,一名加拿大专家发现SKYPE朝鲜公司监控民众的网上聊天。据加拿大环球邮报报导,Nart Villeneuve忘记了他在朝文聚友网MySpace的密码,于是这位加拿大骇客开始研究朝鲜国版的网络电话Skype,在不经意间,他打开了监控国民的大型互联网监控网络的内部运作系统。Villeneuve是多伦多大学的市民实验室(Citizen Lab)的一名研究人员。这个实验室致力于研发突破网
一个很偶然的机会,一名加拿大专家发现SKYPE朝鲜公司监控民众的网上聊天。
据加拿大环球邮报报导,Nart Villeneuve忘记了他在朝文聚友网MySpace的密码,于是这位加拿大骇客开始研究朝鲜国版的网络电话Skype,在不经意间,他打开了监控国民的大型互联网监控网络的内部运作系统。
Villeneuve是多伦多大学的市民实验室(Citizen Lab)的一名研究人员。这个实验室致力于研发突破网络封锁的新技术,给一些没有网络自由的国家的人民提供帮助。
在他设在多伦多大学的小型研究室中,Villeneuve先生发现了存有几千名人士和普通民众在Skype上的对话历史和个人资讯的系统伺服器。
Villeneuve先生说:“你可以看到他们监控那些使用Skype推动朝鲜言论自由以及批评朝鲜党的民众。”他说:“我们还不清楚谁有权利看到这些日志。”
研究人员称,超过3万名国家雇佣的网络人员在每时每刻监控着朝鲜国的网络流通。
Villeneuve先生在一台电脑上使用TOM-Skype(Skype在朝鲜国的合资公司)的帐号登陆,在另一台电脑上使用了普通的Skype帐号。他在一台电脑上输入文字,然后观察另一台电脑上是否收到资讯,以确定哪些文字或资讯是被摒蔽的。
当他输入了一句诅咒的话之后,点击了发送,不过这些字并未出现在另一台电脑上。同时,他还发现了其他的问题。
Villeneuve先生当时还同时运作了一个名为网络嗅探工具Wireshark的软体,这个软体可以即时检测网络通讯资料,也可以检测其抓取的网络通讯资料快照档。他每次发送这句诅咒的话后,TOM-Skype都遮罩这些资料,并将其发送到了另一个伺服器上。
很明显,已经有人开始监视他并对他的对话进行了记录。
Villeneuve很快发现了这些资讯被输送到了Tom-Skype公司的8个伺服器上,这些伺服器里存有来自44254个用户的166766句被摒蔽的资讯,同时还有这些用户的个人资讯。
Villeneuve先生发现,很多被摒蔽的句子中含有诸如xxx,xxx等词。
Villeneuve于10月1日联系了Skype公司,Skype女发言人说,报告出台后,他们已经在对网络安全问题进行修补。
Villeneuve先生表示,他无从知道朝鲜政府是否能看到那些储存在Tom-Skype伺服器上的资讯,但是他希望这项研究能让那些高科技公司在进入朝鲜市场之前深思一下人权问题。
他说:“一个公司在压制国民的国家之外有好的声誉,不代表这个公司不会向(朝鲜)政府提供他们要的资讯。”
局域网限速:利用路由器还是流量控制软件限速 ?
局域网限速:利用路由器还是流量控制软件限速 ?
作者:萧何 日期:20220301
作为一个合格的网络管理员,不单要维护好整个局域网络的稳定运行,防治网络被入侵,确保整个网络环境能无间断工作,还要对网络资源分配合理,在各应用的流量控制上更加不能松懈,因为整个网络不可能每个应用每个端口的流量都要求一样,网络管理员必须要做到根据各应用的实际要求来分配流量资源,在端口流量吞吐上做好控制,以免出现“堵死”现象和“抢网速”的情况。
一、局域网限速的前提
在进行局域网限速前,实际上我们先想做局域网内的流量监控,只有对局域网中各台交换机的端口流量(甚至是各类网络应用)有一个全面的了解,才能够制定出限速的标准以及具体实施方案。比如我们就利用安企神软件(www.wgj7.com)对一个或一组用户的用量情况都有了一个清晰的了解,这样通过观察,得出哪些用户的流量大,对带宽的占用多,就可以着手进行限速方案的制定了。
二、局域网限速的具体实现方法
具体实现方法又分两大类,一类是通过交换机限速进行端口限速,另一类是通过限制某些特定的网络应用限速(比如专门限制BT和网络电视等的使用)。
(一)基于交换机的限速
1、接入层交换机的限速
接入层交换机也叫做楼幢交换机或桌面型交换机,它们位于网络的较底层,直接接入终端用户(家庭或办公用户),一般来说这类交换机很廉价,也没有什么管理功能,但是也有一些交换机可以满足我们进行端口限速的要求(当然价格也要略高一点)。此类交换机进行端口限速往往很直接,有的甚至可以通过图形界面,用下拉菜单的模式很直观的设置几十K至100M的端口速率,不过本例中还是通过CLI来实现,是一款DLINK的二层可管理交换机:DES-3026,设置方法如下: DES-3026:4#config bandwidth_control 1-10 rx-rate 64
command:config bandwidth_control 1-10 rx_rate 64
Note:To perform precise bandwidth control,it is required to enable the flow
control to mitigate the retransmission of TCP traffic.
Success
这样我们就将这台交换机的1-10端口的接收速率设置为64kbps。
2、汇聚层交换机
朋友们可能会问了,既然接入层的交换机的端口限速功已经做得很好了,那我们全部使用这样的交换机进行组网行不行,答案是否定的,我们在汇聚层还是要使用更高档次的交换机。因为在汇聚层工作的交换机,除了稳定性以外,还有一个很重要的技术指标,那就是背板带宽,它决定了这台交换机是否可以实现线速转发。如果判断交换机的背板带宽够不够用呢?计算方法如下:端口数*相应端口速率*2(全双工模式),举例来说,一台24口的交换机,端口均需工作在100M,那么背板带宽至少需要:24*100*2=2.4G,而CISCO29系列交换机的背板带宽都在8G以上,满足线速转发是没有问题的。 但是目前我们还没有找到在CISCO29系列交换机上进行端口限速的方法。
3、核心层交换机
核心层的交换机除了要支持VLAN、TRUNK、ACL等等功能外,它较核心的功能就是要保证各个端口间的快速数据转发,因此它们上面的端口限速往往不是简单设置一个数值就OK了,总体来说要分四个步骤:
1)建立一个访问控制列表(ACL);
2)建立一个类(CLASS),并在这个类上引用刚建立的那个访问控制列表(ACL);
3)建立一个策略(POLICY),在这个策略上指定相应的带宽,并引用相应的类;
4)将这个策略应用具体的端口上。
当我们这样做好以后,局域内的带宽使用就会被有效的限制下一个数量级,比如原来日常8、90M的带宽使用就会降到6、70M了。
当然我们也可以挖掘一下核心层交换机的高级应用,比如通过限制某些端口通过的方式来限制某些网络应用(比如迅雷下载),但实际限制起来的效果并不是太好,因为迅雷此类的程序其实使用了很复杂的网络协议,但靠限制某些端口是很难把它搞定的,所以还是要靠专业流控设备。
(二)基于应用的局域网限速
基于专业流控设备的限速,本文中我们以一款测试过的流控设备说明一下实现方法,这款设备位于我们单位局中的硬件防火墙和宽带用户管理设备之间,可以针对某一类应用限速,比如我们要对全网中的P2P下载做一个限带,就可以这样来做。
1、在“策略设置”中选择“P2P下载限制”。从下图可以看到P2P下载中包含了很多的应用程序,比如常用的“迅雷”、“eDonkey”等。
2、在“流量控制”中设置上下行流量限制,如图所示。
3、也可以通过设置带宽来分配大家的网络,如图所示。
实践证明这种基于网络应用的限速也是管用的,我们只在网络中限制了P2P下载这一类应用,没有做交换机的端口限制,也成功的将带宽的占用减少了,从而保证了网页浏览、收发邮件等应用的正常进行。