分类 Internet 下的文章

(全系列)极路由官方固件增刷 SS 插件

20190302004504.png

  1. 开启极路由开发者模式:

安装Shadowsocks插件需要开启开发者权限。以下为申请方法:

1/浏览器输入192.168.199.1 (注:'192.168.199.1'是极路由的默认管理IP,如果有修改请改为修改后的IP),进入极路由管理页面,点击进入云平台。

2/云平台选择 '路由器信息'。

3/滚动到页面底部,高级设置处,点击+号展开高级设置。

4/点击蓝色的申请按钮,进入申请页面。

5/这里需要绑定手机,输入手机号获取短信验证码。

6/验证成功后,进入微信验证页面,按照极路由官方提示,完成微信认证。

7/验证成功之后,即开通开发者模式。

  1. SSH登录极路由:

Windows: 使用PuTTY或xShell登录 (个人比较偏好xShell),具体使用方法网上很多,请自行搜索!

  1. 便捷脚本安装:
cd /tmp
echo "127.0.0.1 hiwifiss.ml" > /etc/hosts.d/aa;rm -f /tmp/install.sh;/etc/init.d/dnsmasq restart;curl -k https://raw.githubusercontent.com/uwtom/SSR-HiWifiOS/master/install.sh -o install.sh;chmod +x /tmp/install.sh && sh /tmp/install.sh
  1. 完成安装后重启极路由:

可以在PuTTY或xShell命令行输入'reboot',回车确认;或者拔掉极路由电源等一会再插上,最直接有效的方法!:)

Typecho 默认主题评论框架样式修改方法

网站使用的主题是基于 Typecho 1.0 正式版默认主题二次开发的,此方法仅测试了默认主题,其他主题未测试,可照葫芦画瓢参考修改 CSS 以及评论框架。

之前修改了整体UI样式,简约风格一直是我所喜欢的,主题也不便开源,因为有些实现的功能是修改了 Typecho 程序源码的,一旦分享,当你安装之后有可能出现未知 BUG,除非你动手能力强,否则别轻易找我要,虽然我很乐意分享。

本来想把功能都集成在主题里,开源也方便,但是我也忘记修改了哪些具体的源码,这个网站修改的时间前前后后大概有两三个月,毕竟上班族,只能抽出闲时时间慢慢修改,就这样吧,如果想要此主题的人比较多了,我再抽出时间慢慢集成在主题里并开源。

新评论框架:

20181206230457.png

看上去是不是比默认主题的评论框架更顺眼呢?

修改方法:

进入后台编辑 style.css 主题文件,在最后添加以下 CSS 代码;

#comment-form {
padding-top: 5px;
}
.col1 {
margin-right: -210px;
height: auto;
float: left;
width: 100%;
position: relative;
background-position: 0 0;
}
.col2 {
width: 194px;
float: right;
position: relative;
overflow: hidden;
background-position: right top;
}
.clear {
clear: both;
}
.col2 p, .col1 p {
margin: 9px 0;
}
#comment-form label {
display: block;
color: #888;
position: absolute;
margin: 8px;
}
#comment-form input {
padding: 5px 6px;
line-height: 16px;
height: 32px;
-moz-box-sizing: border-box;
-webkit-box-sizing: border-box;
-ms-box-sizing: border-box;
box-sizing: border-box;
border: solid 1px #D4D4D4;
background: #fdfdfd;
font: 14px;
padding-left: 50px;
}
button.submit {
border: 1px solid #ddd;
display: block;
line-height: 32px;
width: 100%;
outline: none;
background: #e8e8e8;
}
button.submit {
color: #6E7173;
text-decoration: none;
-webkit-transition: all .1s ease-in;
-moz-transition: all .1s ease-in;
-o-transition: all .1s ease-in;
transition: all .1s ease-in;
border: 1px solid #ddd;
display: block;
line-height: 32px;
width: 100%;
outline: none;
background: #e8e8e8;
}
button.submit:hover {
background: #dfdfdf;
}
.col1 p {
margin-right: 210px;
}
textarea.textarea {
line-height: 1.8;
padding: 5px 10px 5px 10px;
width: 100%;
height: 162px;
padding: 10px;
overflow: auto;
margin: 0;
line-height: 1.8;
color: #222;
font-size: 14px;
background: #fdfdfd!important;
font-family:"Microsoft Yahei";
}
input[type="text"], input[type="email"], input[type="url"], input[type="password"], textarea {
padding: 5px;
border: 1px solid #ddd;
width: 100%;
border-radius: 2px;
-webkit-box-sizing: border-box;
-moz-box-sizing: border-box;
box-sizing: border-box;
outline: none;
}

点击保存.

进入后台编辑 comments.php 主题文件定位到以下标签;

<form method="post" action="<?php $this->commentUrl() ?>" id="comment-form" role="form">

在定位到以上代码之后,删除此代码之后</form>标签之前的所有代码,并添加以下代码;

 <div class="col1">
  <p><textarea rows="8" cols="50" name="text" id="textarea" class="textarea" required><?php $this->remember('text'); ?></textarea></p>
 </div>
 <div class="col2">
  <p><label for="author" class="required">称呼</label><input type="text" name="author" id="author" class="text" value="<?php $this->remember('author'); ?>" required=""></p>
  <p><label for="mail" <?php if ($this->options->commentsRequireMail): ?> class="required"<?php endif; ?> >邮箱</label><input type="email" name="mail" id="mail" class="text" value="<?php $this->remember('mail'); ?>" <?php if ($this->options->commentsRequireMail): ?> required <?php endif; ?>></p>
  <p><label for="url"<?php if ($this->options->commentsRequireURL): ?> class="required"<?php endif; ?>>网站</label><input type="url" name="url" id="url" class="text" placeholder="https://example.com" value="<?php $this->remember('url'); ?>" <?php if ($this->options->commentsRequireURL): ?> required<?php endif; ?>></p>
  <p><button type="submit" class="submit">提交评论</button></p>
 </div>
 <div class="clear"></div>

点击保存.

Bug:后台登陆之后切换到前台无法直接回复评论(无管理员已登录提示)

现在清空一下 cookie 缓存或者浏览器无痕模式刷新一下,即可看到新的评论框。

如果您怕修改出错,可使用我已经修改好的两个主题文件,直接上传覆盖即可;

下载地址:comment.zip

技术支持:https://vircloud.net

平民服务器常见 DDOS 防御解决方案

转载:hostloc.com

这里收集的都是平民可接受的抗D方案,亚马逊/网宿那类高大上的在这就不写了。Sharktech/Psychz那种虚标的也不写了,10G打过去就关机或绕路。

多少G如果是我测过的,都是以前买的booter站付费套餐,实际攻击量有没有掺水不得而知。对DDOS种类也没啥了解,只是泛泛而谈,欢迎补充指正。

1.CeraNetworks(BGP)

中美宽带大户,远超楼下几家。防火墙集群,高质量防御。土豪专用。

2.Cloudflare(CDN)

不多介绍了,都知道。主要说下套餐区别。之前(2017年左右)用免费套餐,遇到(流量估算至少10G起步)DDOS,切到了CF(后端也换了IP),刚开始没问题,过几天从国内就没法访问了,但是机器本身运行平稳,挂梯子也能访问。然后买了20刀套餐,网站又能访问了,而且没出啥问题。

不知道是遇到CC了被付费WAF挡住了,还是免费版被Anycast到了垃圾节点(这种说法没有实锤,不过很多人都说过)。反正当时免费版即便开了5秒盾也抗不住大流量攻击,平时freeboot一类小学生攻击可以挡住,关键时候还要上付费版。

3.DDOS-GUARD(CDN)

毛子家的,基本上没啥人知道。免费套餐和CF差不多,单域名,可以购买多个,也有SSL(http需要在网站设置跳转)。有个站挂了一下试了试,联通和电信线路走俄罗斯,移动以前绕美,现在走NTT或狗通走欧洲了,整体速度比CF要好。

没遇到DDCC,不知道防御效果如何,但官网声称也是BGP线路能扛1T+。缺点是免费套餐动不动就5秒盾,还没法设置开启频率(付费版才能设置)。基本刷新几次就会出,如果网站有大量JS调用,那用他家免费版就动不动加载失败了。

4.VOXILITY(BGP)

这家市面上很流行,无论美国还是欧洲机器,高防经常接入他家。采用的是机房托管或线路接入,直接分配高防IP的形式。我用了几个月接入他家罗马尼亚总部线路的机器,感觉实在不怎么样。不被打的时候线路就不怎么快,只要流量稍微一高,上行就限速。限速的时候服务器下载速度(客户->主机)基本是几KB一秒,连APT UPGRADE都不能正常运行,更别说网站上传图片啥的。这个有人说可以设置防御级别,但是大多主机商(包括我那家)都不会给VOX防火墙设定功能的。而且听说把防御级别调低的话就会侧漏,直接打到服务器,抗D效果几乎没有。

最恶心的是他家被LAYER7攻击后,会自动替换你的SSL证书,导致https访问网站时提示证书错误。官方说明是可以给IP绑定SSL证书,但是我一直没搞明白怎么弄,好像必须得买企业EV证书才能绑IP。反正使用起来麻烦多多,虽然能抗D但只适合http展示类网站或者文字论坛。

5.OVH(IDC)

OVH家的硬防不是吹的,基本上没见过把OVH服务器打瘫痪的。但是这个指的是DDOS流量无法到达主机,不会导致关机或涌入大量访问,不代表网络就能正常使用。

OVH无论哪个机房,和中国大陆接入的宽带都不大。所以一旦遇到大量DDOS(别人说100G,我没测过)攻击,流量还没有到达OVH时,运营商为了网络稳定就会把你IP空路由,所以对于国内用户来说防御效果不好。此外OVH惨绝人寰的垃圾线路相信大家都有所耳闻,欧洲机房SSH都连不上,加拿大、悉尼能连上网站但也基本8秒左右才能加载。最近出了个新加坡所谓路由优化,走日本NTT线路,速度比其他机房好点,但是也不禁打(实测50G+大陆空路由),管理也非常严格,禁止大姐姐。

6.大陆攻击模式

中国用户/DDOS肉鸡->大陆运营商(电信/联通/移动)->国际出口宽带->外国运营商->IDC机房->服务器

DDOS防御的基础是带宽对拼,如果某条线路带宽小于DDOS带宽,那肯定是会瘫痪的。解决这种问题,要么提升带宽(或分流到多条线路),承接大量数据,在IDC机房进行过滤。要么在攻击源头路由进行处理,让恶意流量无法传入国际出口宽带。假如DDOS攻击全部来自于大陆肉鸡,那么中间几个环节都是瓶颈。最关键的就是国际出口宽带,如果访问某个IP的宽带总量超过了国际出口宽带一定比例,那就会被大陆运营商屏蔽IP(空路由)或把访问流量绕路到其他出口国家(比如原本走美国改道走欧洲)。

Cloudflare说的接入163(电信直连)线路共享150G,也就是说大陆内攻击超过150G的话电信直连线路肯定抗不住,应该会改用第三方线路(Telia一类)或者绕欧洲。免费用户攻击超过10G我觉得就会切到第三方垃圾线路了,付费用户阙值可能20G左右,然后超过绕路的话可能走稍微优质些的线路(比如PCCW?)。还有一点要考虑到CF在国内的合作商百度,可能有些国内流量路由就走了百度的服务器进行过滤。当然关于CF线路这些都是我个人猜想,只有一点可以确定就是CF的20刀付费版抗揍能力确实比免费版好一些,没遇到攻击的情况下线路都一样,速度也一样。

Cera和VOX都是BGP路由,就是接入N个运营商,自动调度走哪条线路。像Cera中美所有线路接入有1T以上,每台机器专属宽带,价格也是上天。VOX接入总量应该也不小(因为和很多运营商都有合作,可能中美宽带总和比CF还大点),虽然能和Cera一样抗大流量,但线路质量是比较差的。加上前面说的那堆问题,总而言之就是被打后网站速度慢,还经常访问中断。

7.总结

后端推荐用OVH,毕竟从保护数据放面考虑,OVH口碑还是不错的。前端建议套CF或DDOS-GUARD,能抗住一些20G以下的普通攻击,如果攻击再大影响到网站正常使用时,就买个付费套餐扛一个月。如果攻击量巨大又不想购买太贵的CDN套餐的时候,可以考虑用VOXILITY严格模式的机器,可以扛很大量同时保证国内能勉强访问。但这种情况你必须用硬件足够好的服务器,用http连接,而且几乎是只读模式,没法上传大点的数据。如果需要高质量又快又稳的访问,那得舍得花大价钱,上Cera企业套餐吧。

一般个人博客一类的小网站被攻击,都是小学生炫技类型,毕竟拿个freeboot一分钱不花就能打,这种随便套个CF或者买个低防御机器能扛5G+就行。套图站那种因为有竞争对手,被打一般都是竞争对手付费boot,超不过50G而且肉鸡来源不全是国内,拿CF免费套餐也足够抗住。上百G的攻击那一般都是对某站有深仇大恨类型了,买的boot攻击套餐成本也不便宜,这种还是建议拿CF付费跟他对抗,一般一俩月打不死对方就没精力了。

如果200G+而且大量来自国内的攻击,那种基本是被党中央盯上了,赶紧收拾收拾跑路吧。

「免费」ShadowsocksR 高速自由重新起航

socksr

方法:找到本站关于页面点击 Please Click to get 弹出我微信二维码之后扫一扫添加即可,待我微信通过之后我会及时发送 ShadowsocksR 参数给您(加微信防止滥用,直接公布死的更快,请理解繁琐的操作)。

算算时间也免费提供了长达一年多的自由上网服务,由于个人原因,在9月份的时候就暂停了这项服务,主要是国防网打击力度太大了,IP接二连三的被屏蔽,太多人使用导致流量特征明显,主要是没精力及时更新,被屏蔽还要重新花钱购买,暂停了一个月今日重新起航,只进行小规模分享。

由于国内特殊的环境以及网络领土安全,自2018年开始国防网加大了针对翻墙的打击力度,也有很多的免费科学上网软件神器要么被约谈,要么就已经消失在历史的长河中,如果您只是想上上 Google 查查资料,看看 Youtube 一些新奇视频,我这里可以完全满足你,而且还是免费提供。

不会用?我教你!

如果您不想使用免费的,想自己买一个搭建自用,完全可以!

推荐全网最便宜的美国 vps 商家:virmach(可搭建代理)

先在 virmach 网站注册后购买一台 vps,使用折扣码 zhujiceping 可享受循环 7 折优惠(仅限新用户),每月只需 0.87 美金,支持支付宝付款。

20181120162027.png

注册购买好之后,跟随以下教程链接操作;

教程地址:Win、Mac、移动端自由上网软件以及方法

注意事项

1.如果使用存在以下禁止行为,对于违法行为,将保留追究权利。

2.不得使用 BT,eMule,迅雷,FlashGet,Tor 等 P2P 工具下载非法和国家禁止的互联网信息内容。

3.不得长期大流量挂机下载使用。

4.不得用于“注册机/发贴机/垃圾邮件/群发外链/黑帽SEO/网络攻击/网络诈骗”等用途。

5.不得下载或传播侵犯知识产权相关内容。

6.不得发布任何非法、威胁、诽谤、反动、淫秽、色情信息或其它违法信息。

7.不得利用本系统可能存在漏洞以各种形式为自己及他人牟利。

8.不散布电子邮件广告、垃圾邮件(SPAM):不利用本平台提供的服务散发大量不受欢迎的或者未经请求的电子邮件、电子广告或包含反动、色情等有害信息的电子邮件。

9.不利用本平台提供的服务上传、下载、发布如下信息或者内容,不为他人发布该等信息提供任何便利。

10.违反国家规定的政治宣传或新闻信息。

11.涉及国家秘密或安全的信息。

12.封建迷信或淫秽、色情、下流的信息或教唆犯罪的信息。

13.违反国家民族和宗教政策的信息。

14.妨碍互联网运行安全的信息。

15.侵害他人合法权益的信息或其他有损于社会秩序、社会治安、公共道德的信息或内容。

16.其他违反法律法规、部门规章或国家政策的内容。

17.不进行任何破坏或试图破坏网络安全的行为(包括钓鱼,黑客,网络诈骗等)。

HSTS SSL Protocol

两年前我发布了关于 Nginx 配置加入 HSTS 相关文章,也一直没实行加入 HSTS 预加载列表,今天闲的没事干给网站做各种测试,发现用360浏览器测试网站强制访问 http 时发现右下角有广告出现,很明显 http 已经被劫持而 https 没有被劫持,但是其它浏览器强制访问 http 却没有被劫持,直接申请加入 HSTS 移除后患。

在这里说一句:360 垃圾!

采用HSTS协议的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址(防http劫持)。

该协议将帮助网站采用全局加密,用户看到的就是该网站的安全版本。

HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。服务器开启HSTS的方法是,当客户端通过HTTPS发出请求时,在服务器返回的超文本传输协议响应头中包含Strict-Transport-Security字段。非加密传输时设置的HSTS字段无效。

比如,https://xxx 的响应头含有Strict-Transport-Security: max-age=31536000; includeSubDomains。这意味着两点:
在接下来的一年(即31536000秒)中,浏览器只要向xxx或其子域名发送HTTP请求时,必须采用HTTPS来发起连接。比如,用户点击超链接或在地址栏输入 http://xxx/ ,浏览器应当自动将 http 转写成 https,然后直接向 https://xxx/ 发送请求。
在接下来的一年中,如果 xxx 服务器发送的TLS证书无效,用户不能忽略浏览器警告继续访问网站。

Nginx 配置 HSTS

Nginx 服务器中的配置最为简单,只需要编辑 Nginx 配置文件(如:/usr/local/nginx/conf/vhost/xxx.xxx.conf)将下面行添加到你的 HTTPS 配置的 server 块中即可(子域名配置文件也要添加):

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

保存后重启 Nginx

开启了HSTS后,你部署SSL/TLS的服务检测得分就可能是A+以上了。

20181102083459.png

加入 HSTS Preload List

拥有合法的 SSL 证书;

将所有 HTTP 流量重定向到 HTTPS;

确保所有子域名都启用了 HTTPS;

输出 HSTS 响应头:

max-age 不能低于 18 周(10886400 秒);

必须指定 includeSubdomains 参数;

必须指定 preload 参数;

HSTS preload list是Chrome浏览器中的HSTS预载入列表,在该列表中的网站,使用Chrome浏览器访问时,会自动转换成HTTPS。Firefox、Safari、Edge浏览器也在采用这个列表。

https://hstspreload.org/

测试HSTS是否生效

直接打开Chrome查看网络,就可以看到头部已经包含了HSTS信息了。

20181102091128.png

做好Http跳转Https

将 xxx.com 以及任意二级域名都要做好 Http 跳转到 Https。

加入HSTS Preload List

进入 hstspreload 官网,输入你的域名,然后检测结果会告诉是否符合加入HSTS Preload List,没有问题的话勾选确定。

提交之后会提示您正在等待提交到预加载列表:

20181102083921.png

由于人工审核机制,需要1至2月时间才能申请成功;

本以为需要一个多月,刚好半个月就申请通过了HSTS;

20181201181510.png

这样,就可以关闭服务器 80 端口,不需要设置重定向,彻底默认 https 协议了。