安全防范：Linux系统下防DDOS攻击的方法    用squid也是利用端口映射的功能，可以将80端口转换一下，其实一般的DDOS攻击可以修改/proc/sys/net/ipv4/tcp_max_syn_backlog里的参数就行了，默认参数一般都很小，设为8000以上，一般的DDOS攻击就可以解决了。如果上升到timeout阶段，可以将/proc/sys/net/ipv4/tcp_fin_timeout设小点。大家都在讨论DDOS，个人认为目前没有真正解决的方法，只是在缓冲和防御能力上的扩充，跟黑客玩一个心理战术，看谁坚持到最后，网上也有很多做法，例如syncookies等，就是复杂点。sysctl -w net.ipv4.icmp_echo_ignore_all=1echo 1 > /proc/sys/net/ipv4/tcp_syncookiessysctl -w net.ipv4.tcp_max_syn_backlog="2048"sysctl -w net.ipv4.tcp_synack_retries="3"iptables -A INPUT -i eth0 -p tcp --syn -j syn-flood# Limit 12 connections per second (burst to 24)iptables -A syn-flood -m limit --limit 12/s --limit-burst 24 -j RETURN这个地方可以试着该该：iptbales -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT虚拟主机服务商在运营过程中可能会受到黑客攻击，常见的攻击方式有SYN，DDOS...

Centos5 配置pppoe服务器pppoe拨号上网是解决内网arp病毒的一种方案。而且效果很不错。不少公司，由于使用傻瓜交换机。而且也使用是普通路由器。经常会出现内网有arp病毒问题，导致没法上网。如果换设备，又花钱，不如搞个软路由。只要有台旧主机外加两个网卡，就OK了。费话不多说了。环境： 电脑主机一台，外加一个网卡系统： Centos5.4  外网IP：192.168.10.10  netmask:255.255.255.0  gateway:192.168.10.1内网卡IP配置：ip :0.0.0.0 netmask :0.0.0.0这里用户拨号时分配置IP使用 172.16.10.20-172.16.10.100 这里只是给个实验用IP。一，在主机上安装好centos系统，并且配置好IP。以下是我的外网IP配置信息：# cat /etc/sysconfig/network-scripts/ifcfg-eth0DEVICE=eth0BOOTPROTO=staticBROADCAST=192.168.10.255HWADDR=00:1e:8c:c0:3e:b0IPADDR=192.168.10.10NETMASK=255.255.255.0ONBOOT=yesGATEWAY=192.168.10.1TYPE=Ethernet下面是内网卡配置信息：# cat /etc/sysconfig/network-scripts/ifcfg-eth1BOOTPROTO=staticTYPE=EthernetHWADDR=00:1e:8c:c0:25:28DEVICE=eth1NETMASK=0.0.0.0IPADDR=0.0.0.0ONBOOT=yes注意IP与子网掩码配置呀...

h3c S3100与S5000交换机恢复出厂配置S3100系统交换机与S5000系列交换机恢复出厂配置有些不一样。S3100系列交换机使用超级终端：#reset saved-cunfiguration然后按提示进行，就可以清除配置文件，恢复出厂配置。S5000系列交换机使用超级终端：进入system-view视图：# restore default 使用以上命令将设备恢复出厂配置。

华为S2300交换机作双向端口限速 华为的交换机限速有些庥烦，qos lr cir cbs 只能作接口出口方向限速。S2300的限速命令格式是：system-view         //进入系统视图interface [端口号]         //进入接口视图qos lr cir [cir值] cbs [cbs值]       //配置接口出方向的流量限速qos lr cir 2048 cbs 409600端口上的限速可以使用流控的方式，还可以采用修改接口的工作模式，直接在接口上强制接口speed为10M的方式。流控的方式配置参考如下：E0/0/1口限速，出接口方向限速10M（下载）：[Quidway] interface ethernet 0/0/1[Quidway-Ethernet0/0/1] qos lr cir 10240 cbs 6400000E0/0/1口限速，入接口方向限速10M（上传）：[S-switch-B] acl number 2000[S-switch-B-acl-2000]rule permit[S-switch-B] traffic classifier xiansu[S-switch-B-classifier-xiansu] if-match acl 2000 [S-switch-B] traffic behavior xiansu[S-switch-B-behavior-xiansu] permit[S-switch-B-behavior-xiansu] car cir 10240 pir 10240 cbs 2048000 pbs 4096000 green pass remark-8021p 5 yellow pass red discard[...

华为S2300交换机配置端口限速。华为交换机S2300限速方法很多。可以根据自己情况选择下面就说下，最简单的端口限速以下是华为官方给的说明。使用QOS命令来配置。qos lr命令功能qos lr命令用来在接口出方向上实施限速。undo qos lr命令用来禁止接口出方向上的限速。命令格式qos lr cir cir cbs cbsundo qos lr参数说明[td]参数参数说明取值cir cir表示承诺信息速率。整数形式，取值范围是64～接口自身带宽（例如Ethernet接口带宽为100000，GE接口带宽为1000000），单位是kbit/s。cbs cbs表示承诺突发尺寸。整数形式，取值范围是8192～1040384，单位是byte。视图Ethernet接口视图、GE接口视图缺省级别2：配置级使用指南当S-switch设备与别的设备对接时，如果其端口速率大于对端速率，则S-switch设备向对端发报文，可能会导致报文在对端设备接口处被丢弃。为避免这种情况，需要对本S-switch设备的接口出方向速率进行限制。本命令为覆盖式命令，即在接口视图下多次配置接口出方向上的限速后，按最后一次配置生效。使用实例# 在接口GigabitEthernet0/0/1的出方向上配置限速，承诺信息速率为100kbit/s，承诺突发尺寸为200000byte。<Quidway> system-view[Quidway] interface g...

cisco 1841 密码修改方法                                                           Cisco 1841路由器下面介绍如何清除Cisco 1841路由器的密码： (1) 退回特权模式并重启路由器，等待路由器开始启动时按[Ctrl+Break]键中断正常的启动过程，进入到ROM状态。 (2) 修改配置寄存器的值，并重新启动 rommon >confreg 0x2142     //修改寄存器的值为0x2142，目的跳过NVRAM,不检查原先设置的密码。 rommon 2>i                        //重启路由器 (3) 等待路由器启动完毕并进入setup模式后，按[Ctrl+C]键退出setup模式，修改密码 Router>enable Router# copy startup-config running-config    //将路由器NVRAM中的配置文件调出 RouterA# config teminalRouterA(config)# enable password cisco        //修改enable密码，替换原先的密...

华为 S2300 交换机配置端口镜像<Quidway> system-view[Quidway] observing-port 1 interface Ethernet0/0/1 （首先配置接口1为观察接口为索引号为1）[Quidway] interface gigabitEthernet 0/0/2（进入总接口2）[Quidway-GigabitEthernet0/0/2] port-mirroring to observe-port 1 both（将镜像接口与索引号为1的观察接口进行关联，both为出和入流）

电信送的上海贝尔无线路由猫 超级帐号与密码本人是计算机网络工程专业的，公司装了电信的宽带。送了一个上海贝尔的无线路由猫。找到路由器上面标的用户与密码 。立即进到配置界面看看。可是一进去之后，就傻眼了，怎么没有什么内容呀？这时我想，那个用户名与密码肯定不是超级用户。于是到网上找一下，花了很长时间才找到。因为很多人都不知道呀。我打电话到电信技术员那里。他也不说。下面我就把它发表出来。方便其它网络技术员与用户。注意：如果你对路由器不懂的话，不要随便修改里面的配置。否会不能上网。用户名是 telecomadmin密码 nE7jA%5m这是超级密码进去后就可以设置啦

PIX内网用户无法用外网地址访问发布的DMZ区的服务器的故障解决 环境：在PIX上为一台DMZ区域的Web 服务器做了静态地址映射 Public IP:200.200.200.200 Private IP:10.10.10.10故障现象：在公网上可以通过200.200.200.200访问这台Web服务器，但在内网中只能通过10.10.10.10访问这台Web服务器，无法通过其公网ip（200.200.200.200）来访问故障解决：     通过pix的alias命令来实现      pix的Alias命令有两个功能:1，利用DNS Doctoring修正外部DNS服务器回复  o 利用DNS Doctoring,PIX 将"改变" 外部DNS响应的地址到另一个IP，这个地址不同于DNS服务器上真实提供的域名-IP记录。   o 此功能实现从内部客户端通过内部IP地址连接到内部服务器上。2，转换目标IP地址的dnat（Destination NAT）到另一个IP。   o 用dnat改变应用程序的标地址.   o 此功能实现从内部客户端调用外部地址访问周边网络（例如DMZ区），不修改DNS回复。例如，一台机器发送数据到99.99.99.99,可使用alias命令把数据重定向到另一个地址10.10.10.10.可使用此命令避免你网络里的IP与互联网或另一个企业内部网的IP冲...

强制DHCP服务器分配上网IP 【内容导航】    第1页：网管支招强制DHCP上网的思路    第2页：实战强制采取DHCP上网   在企业内网管理过程中笔者接触过很多网络管理员都针对IP地址分配问题抱怨过，一般来说为了合理有效的管理内网IP地址信息企业管理者都会尽量选择 DHCP这种为客户机提供自动分配地址的方式，一方面客户员工计算机连接后配置更简单，另一方面由于DHCP地址池以及租约的存在使得内网管理更加有据可 依。出现安全问题时可以在第一时间发现故障根源。然而在实际使用中总有人捣乱，妄图通过手工设置 IP地址的方法来上网。那么有没有办法可以强制客户端计算机必须使用DHCP自动获得方式取得IP等地址才能够顺利上网呢？答案是肯定的，今天就请各位跟 随笔者一起领教网管支招强制采取DHCP上网。    一，DHCP环境下手工上网简介：    DHCP服务能够自动为连接到网络的计算机提供包括IP地址，子网掩码，网关地址以及DNS服务器地址等信息，通过DHCP分配后我们的客户机应该可以顺利上网。不过在DHCP环境下如果客户机不将网 络参数设置为“自动获得地址”方式而是手工指定上述地址信息的话，如果设置得和DHCP服务器分配一致并...