分享

   这篇引自著名华人经济学家(准确的用其本人的话说应该是金融学家)郎咸平教授的视频讲述了一个可怕而又不容忽视的问题，在弯曲中看到了一则关于都市化的视频，于是我想为那个视频补续上这个精彩的视频。

郎咸平教授其人简介：

郎咸平，49岁，1956年出生，祖籍山东。美国宾西法尼亚大学沃顿商学院博士；长江商学院（首席）教授；香港中文大学最高学术级别的（首席）教授；沃顿商学院，密西根州立大学，俄亥俄州立大学，纽约大学和芝加哥大学教授；世界银行、深交所和香港政府财经事务局公司治理顾问；2003年世界最有影响力的经济学家；被中小投资者赞誉的“郎监管”；1990年金融学论文引用率排名全世界第一；畅销书《公司治理》的作者。郎咸平是位观点鲜明而且具有世界级学术成就、在中国博得极高知名度的大师级学者。他在美国宾西法尼亚大学沃顿商学院于1986年以创世界纪录的两年半时间连拿金融学硕士和博士学位。郎教授曾经执教于多家知名的商学院，其中包括沃顿商学院、密歇根州立大学、俄亥俄州立大学、纽约大学、芝加哥大学等，现任香港中文大学最高学术级别的（首席）教授和长江商学院金融学讲座教授。郎教授曾担任世界银行、深交所和香港政府财经事务局公司治理顾问。
    郎教授曾于1998-2001在世界银行担任公司治理顾问，致力于研究公司治理以及保护小股民权益的课题。在东亚地区，此项研究尚属首次。其论文在美国最富盛名的《2000年金融经济学期刊》、《2002年美国金融学会期刊》发表，被专业学者、研究人员及《经济学家》、《华尔街日报》等知名媒体广泛引用，并且被收存在美国国会图书馆。
    郎咸平作为世界级的公司治理和金融专家，主要致力于公司监管、项目融资、直接投资、企业重组、兼并与收购、破产等方面的研究，成就斐然。根据统计：郎咸平的破产论文和另一篇有关公司兼并论文同时被列入全世界引用率最高的28篇公司财金方面论文。有四篇论文被《金融经济学期刊》评为“明星论文”。
    郎咸平作为金融学家在经济（管理）学界极富盛名。被列入2002、2003年世界经济学家名人录中。而且大多数世界通用的金融管理教科书均引用郎咸平的论文。
    郎咸平教授2001年下半年，在国内股市极力推广“辩方举证” 以及“集体诉讼”
措施以保护小股民的正当权益。他的观点受到媒体， 学术界以及政府的高度重视，因此被媒体尊称为
“郎监管”。众多的知名媒体报道了郎咸平对各项法律、政治和经济的观点。根据《深圳特区报》的统计，郎咸平的观点以网页数而言列全国财经人物之前矛。
    2003年6月提出制度化解决民企原罪的问题，并被远在海外的仰融委托，出任“独立第三方”，为制度化解决日益突出的民营企业与主管部门矛盾的问题进行积极探索。 
    2003年9月，当关于人民币汇率的问题讨论进入白热化的阶段，郎咸平在广州某论坛一语“人民币应该再贬值2％以打击进入中国市场的游资”，再次惊动天下人。
    2004年郎教授提出“中国企业如要做大做强，只会造成悲剧！”的论点，又在中国企业界掀起了轩然大波。
    2003年以来，他把主要精力转向企业战略研究，为企业高管人士进行“公司治理与企业战略”剖析，被称为“中国民营企业教父”。
    

农民进城安得广厦

分享

分享

凡大政治家，军事家都有大胸怀，如果兴趣在于文学，也必有大手笔。笔者在读过诸葛亮的“出师表”后，惊为天人，如果诸葛前辈专心写字，应该可以和苏东坡有一拼。同理，曹操，毛泽东也是类似的。这方面岳飞元帅虽然仅留下只言片语但水平也不逞多让，下面是一小段：

帝问岳飞曰：“卿得良马否？” 对曰：“臣有二马，日啖刍豆数斗，饮泉一斛，然非精洁即不受；介而驰，初不甚疾，比行百里，始奋迅，自午至酉，犹可二百里，褫鞍甲而不息不汗，若无事然。此其受大而不茍取，力裕而不求逞，致远之材也。不幸相继已死。今所乘者，日不过数升，而秣不择粟，饮不择泉，揽辔未安，踊跃疾驱，甫百里，力竭汗喘，殆欲毙然。此其寡取易盈，好逞易穷，驽钝之材也。” 帝称善。

虽然只有寥寥术语，但是文采飞扬，可见岳飞不是不写，而是项目比较繁忙。

看了这段话后，笔者略感苦涩，在此为岳元帅贬低的驽马说两句公道话。

首先同懒马相比，驽马也是好马，也是宝马，因为驽马虽然力量有限，但尽心尽责，精神可嘉。 想想我们身边有多少这样工作的人呢？这样的家伙，管理得当也会成为公司财富，但作为管理者，应开车的同时要注意保养，才是长久之计。笔者的性格同驽马有一拼，一个事情过来比谁干的都快，三天的工作一天完成，勉力为之，但是力不能持久，如果三年的事情扔过来要一年完成，基本上就废掉了。但是，笔者好在是过来人，对于类似胡新宇这样的新手往往就是杯具了。直接管理者如果允许（即使不是要求）一个新毕业员工累月的加班到半夜，不是人文漠视，就是心智不全。再紧张的工作也可以做到张弛有度，苦中作乐。

其次，文中的良马确实存在，但招的到未必养的起。养得起，也未必留得住。即使留得住，也必然很快会青云直上。这种良马是可以做大事的人，应该直接面对前线，任何公司都需要这样的人冲锋陷阵。

为此，我觉得一线管理人员和驽马型工程师都应该反思。前者对于驽马使用应留有余地，后者做事也要留有余力。当然如果公司危急之时，项目存亡之秋，该出手就出手，该咬牙就咬牙。出去做startup自不必说，拼一下也是必然的。日常工作应量力而行，如果老大觉得你好用就玩命的用，基本上这样的老大也没有想同你长久合作的意思，自己也的考虑一下出路。出门混的，努力工作与跟对老大，笔者觉得后者更重要。

虽然笔者没有管理经验，但是做工程师多年了，亲眼看到了n多的一线经理以及小工程师的悲欢离合，在此小小的和入行新人共享一下心得。立此存照，也算是对自己的一个提醒。

分享

分享

【陈怀临注：原文来自大清国清华大学计算机系网络安全课程的作业–穿越GFW技术及其控制方法。主讲老师是段海新教授。他整的这个course.ccert.edu.cn有点像MIT的Open Course。有点意思。另外，大家请注意，弯曲评论不反对转载文章，但务必请注明出处。从而编辑们可以做一些调研以决定发表于否。在提交文章的时候，请自己先Preview；否则我们花费大量的时间帮您调整格式，您自己也过意不去。。。】

一、引言

WWW空前广泛的应用，正在影响和改变人们的生活方式。但在WWW庞大的网络信息空间中，夹杂着大量的有害信息，主要包括：垃圾信息、虚假信息、政治渗透信息、种族歧视信息和恶意代码等，这些信息的泛滥对Internet造成了严重的信息污染。 对网络空间的监控能有效地阻止有害信息的传播，控制计算机犯罪。放置在可信任网络和不可信任网络之间的防火墙，是运用非常广泛和效果最好的选择[1]。 Internet可以分为国内网络与国外网络两部分。由于各国的安全策略各不相同，因此不同的国家对有害信息的认定有不同的标准。对于我国来说，不良信息主要集中在国外网络。防止信息污染不仅要保证国内网络空同的洁净，同时要防止国外网络不良信息的侵蚀。目前我国的国际互联网出口的核心节点设在北京、上海和广州，国内的计算机信息网络进行国际联网，必须使用国家公用电信网提供的国际出入口信道。为了有效的控制信息流动，在出口处安装了防火墙[2]。 防火长城，也称中国防火墙或中国国家防火墙，这是对“国家公共网络监控系统”的俗称，是指中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统的总称，包括相关行政审查系统。其英文名称Great Firewall of China，缩写为GFW[3]，国内简称“防火长城”，国外也叫“功夫网”。

二、GFW及其主要技术

1、概述

GFW主要指公共网络监控系统，尤其是指对境外涉及敏感内容的网站、IP地址、关键词、网址等的过滤。GFW的效果通常为，国内网络用户无法访问某些国外网站或者网页；或者国外网络用户无法访问国内的某些网站或者网页。这里的无法访问，有永久性的无法访问（比如某些色情网站），也有因为URL中含有敏感关键词或者网页上有敏感内容而暂时性的无法访问。国家防火墙并非中国的专利。其他国家也有类似的防火墙，对危害其国家安全的信息进行侦听，而中国的国家防火墙会直接切断敏感连接。伊朗、巴基斯坦、乌兹别克斯坦、北非共和国、叙利亚、缅甸、马尔代夫、古巴、北韩、南韩、沙特阿拉伯、阿拉伯联合酋长国、也门使用与GFW类似的国家防火墙。以下是猜想的GFW工作原理图[5]。 

2、GFW所采用的关键技术

（1）、国家入口网关的IP封锁从90年代初期开始，中国大陆只有教育网、高能所和公用数据网3个国家级网关出口，我国政府对认为违反国家法律法规的站点进行IP封锁，这是有效的封锁技术。对于IP封锁，用普通Proxy技术就可以绕过。只要找到一个普通的海外Proxy，然后通过Proxy就可以浏览自己平时看不到的信息了。所以，网络安全部门现在通常会将特别反动的网站的网址加入关键字过滤系统，以防止网民透过普通海外HTTP代理服务器访问。 一般情况下，GFW对于海外非法网站会采取独立IP封锁技术。然而，部分非法网站使用的是由虚拟主机服务提供商提供的多域名、单（同）IP的主机托管服务，这就会造成了封禁某个IP，就会造成所有使用该服务提供商服务的其他使用相同IP的网站用户一同遭殃，就算是内容健康、正当的网站，也不能幸免。例如如森美的个人网站，内容并无不当之处，但网站使用的是虚拟主机托管服务，而因为有一个香港BBS亦使用该托管服务，这就造成了GFW为了封锁该BBS，直接把这个固定IP：203.80.210.5封禁了。随之，有82个香港网站由于GFW封锁了这个IP地址，不论合法与否，都不能在中国大陆访问。

（2）、主干路由器关键词过滤拦截主干路由器关键字过滤拦截在2002年左右开始，中国公安部门研发了一套系统，并规定各个因特网服务提供商必须使用。思科等公司的高级路由设备帮助中国大陆实现了关键字过滤，最主要的就是IDS（Intrusion Detection System）— 入侵检测系统。它能够从计算机网络系统中的关键节点（如国家级网关）收集分析信息，过滤、嗅探出指定的关键字，并进行智能识别，检查网络中是否有违反安全策略的行为。 IDS主要进行IP数据包内容的过滤，如果符合既定的规则，则向该连接两端的计算机发送IP RST包，这可以从前后IP报头TTL值相差较大的特点可推测出来，用这种方法干扰两个通信终端间的正常TCP边接，使数据流中断，而在终端主机上会显示连接失败。这种关键字过滤-重置技术只对TCP连接有效。而广泛应用的HTTP协议正是使用TCP作为传输层协议，从目前来看，GFW对HTTP报文的过滤仅限于HTTP头，通常URL请求就位于HTTP的头部分，而GFW对HTTP数据部分很可能不作过滤，这正是某些用PHP编写的HTTP在线代理能避开关键词过滤的原因，例如PHProxy，它将明文的URL请求放在HTTP数据部分，而不是放在HTTP的头部。对UDP（DNS通常使用UDP，GFW对捕获的DNS查询报文也进行关键词过滤并返回伪DNS响应，但因UDP没有复位标志而无法进行传输层的干扰）及其他第四层协议无效，对明文数据有效，对加密数据无效。不同的IDS有可能在一段预定或随机的时间内持续干扰刚刚被中断的两计算机间的所有TCP通信。所以在访问境外网站时，如果数据流里有敏感字词，即会立即被提示“该页无法显示”或网页开启一些后突然停止，随后在1-3分钟或更长时间内无法用同一IP浏览此域名或IP地址上的内容，屏蔽时间可能与敏感词等级以及所属网站有关。此种过滤是双向的，也就是说，国内含有关键词的网站在国外不可访问，国外含有关键词的网站在国内不可访问。以上所述的技术，也称为域名劫持，原理如下图所示。

某些特定的海外网站网址会被列入关键词过滤，即使IP地址未被封锁，也不能访问。 不过，GFW对于网页中含有的关键词字符并不是100%可以过滤成功，即使某些网页被成功过滤并导致“该页无法显示”，此时只要在浏览器进行多次刷新就有机会显示出来。而且，GFW还会偶尔出现故障而导致关键词过滤系统失效，此时部分只被网址关键词过滤的网站就能正常使用。 对于Google.com的查询返回结果可能是专门过滤的，即GFW针对Google.com返回结果中的网页地址进行过滤，对关键词的过滤并不严格。 从GFW的分布来看，审查过滤系统主要位于国际出口处，但最近通过对审查过滤系统返回的RST复位包IP头进行TTL值分析，发现存在两个欺骗源，其一位于国际出口处，另一个位于骨干网省级接入处。因此推测GFW对于境内的非法内容也具有一定审查能力。对于境内网络内容的审查可能主要是通过ICP备案来实现的。 从2007年2月前后，GFW开始对境外及境内的WAP网站含有的敏感字符进行过滤，原本在移动版Google可以打开的维基百科中文版现已不能通过Google网页转换功能进行访问，连带的就是在访问含有“zh.wikipedia.org”的Google连结后，5分钟内再次访问Google被拦截。 关键字过滤的弱点就是对已加密的信息无能为力，而网址的关键字和网页的关键字都可以用不同的手段来加密，从而使这样的信息过滤系统从根本上失去作用。不同的加密手段也是后来所有突破网络封锁软件的基础。

（3）、关键词过滤-复位包分析有些网站含有大量的有用信息，同时也夹杂着大量的有害信息，如Google搜索引擎，如果使用域名重定向、lP地址过滤或者URL过滤都会禁止用户访问合法的信息。在这种情况下，可以使用基于内容的过滤，即只屏蔽掉含有有害信息的页面。 通常使用网址的关键字和网页的关键字过滤的方法屏蔽有害页面。防火墙建有一个敏感词词库，一旦网址或Web页面中的内容含有这个词库中的词时，防火墙将截获该网页，阻止对该页面的访问。 这种过滤是一种细粒度的过滤，实际上是对报文数据内容的过滤。在应用层可以实现对URL的过滤以及报文内容的过滤。应用层有害内容过滤不可避免地降低了互联网的通行效率，并且一般其有较大的误报率，但总的来说监控效果较好。 当前基于内容的过滤主要针对文本内容，对图像、音频、视频等多媒体内容的过滤仍未达到实用阶段。 由文[7]的试验，可得GFW具体的过滤方式：采用嗅探软件记录HTTP客户端进出站数据包，且只考虑TCP连接。从进站RST复位包IP头TTL域值的分析，可认为逻辑上存在两个欺骗源（实际可能只是初始TTL不同），可分别称为“伪源1”和“伪源2”，伪源1离客户端路由跳计数较大，逻辑位置大致在因特网运营商国际出口处，伪源2离客户端路由跳计数较小，逻辑位置大致在因特网运营商骨干网省级节点处。  1）IP头部分： Identification（标识）字段：在第一批RST包中，伪源1和伪源2将其设置为一个固定的值，而正常的处理方式是发送的每个IP报文都有不同的标识值，一般按生成次序递增。观察中发现伪源2的第二批RST包中该域值会改变。 Flags（分片标志）字段：伪源1和伪源2处理方式不同，例如伪源1将DF（不分片）标志置0，伪源2将DF标志置1。 Time to Live（生存时间）字段：如前所述，伪源1的RST包到达客户端PC时经过的跳计数较大，而伪源2较小，且可推测与真正的源物理位置有差距。  2）TCP头部分： Sequence number（序列号）字段：关键词过滤系统很可能会偶而繁忙导致本地出口堵塞，以致RST包发送延迟并晚于真正的源发回的数据包到达客户端PC，造成RST包被客户端PC丢弃，从而整个过滤干预行为失败。考虑到这个因素，伪源还具有序列号预测功能，例如伪源2相邻的3个RST包中该值分别相差1460（以太网默认MSS值）和2920（即1460*2）。 Window size（窗口大小）字段：伪源1和伪源2处理方式不同，例如伪源1似乎为该字段设置了一个随机值，伪源2将其置0。正常的RST包是将该字段置0。 此外还包括HTTPS证书过滤、对破网软件的反制、对电子邮件的通讯的拦截等技术。 从以上的分析可知，GFW的主要技术手段大概有两种： 1）、IP封锁 这种方法主要针对国外知名的新闻网站，比如：http://news.bbc.co.uk/，http://wikipedia.org等，从技术上直接禁止了国内对这些IP地址的访问，或者利用的是国内的域名解析服务，可以将某些网站导向到广告网站或者警告网站。但是，这样的手段只能是重点防卫，而不能全面使用。为了规避IP封锁，只能通过借用国外代理服务器的方式，以国外的代理服务器为跳板，间接的访问这些被封锁的网站，具体的工具如无界浏览器、加拿大大学研究人员开发的Psiphon等。 2）、关键字过滤 针对多若繁星的个人网站，博客网站，社群网站，采用IP封锁的方法就不合适了，对这些网站的防卫主要依靠关键字过滤，比如说，一旦发现内容中包含了china，中国共产党这样的关键字，就切断连接。但是，这种技术手段很难在骨干网和骨干路由器上实现，否则骨干路由器的负担太重，难以保持合理的运行速度。所以，一般的做法是在接入网末端部署具备关键字过滤功能的防火墙，一旦检测到不和谐的关键字，这些防火墙就向两端都发送TCP RST包，让两端的机器以为连接中断了，实际上，原始的TCP包已经通过了防火墙，路本来是通的，只是亮了一下红灯，如果假装没看到红灯，闭着眼睛走过去，反而不会有任何障碍。

阅读全文»

分享

分享

某日,在论坛上见两个网友掐 架. A男是藕粉,B男是藕黑.在芙蓉姐姐是否漂亮的问题上争执不下.然后网友C感慨,要是能有一个benchmark来测试人是否漂亮就好了,再也不用争执谁 漂亮谁丑了. 用benchmark一测,得到一个分数,再来一个全国排名,直接印在身份证上. 这下,整个世界清静了.

听完故事,再来看一个广告. 这个是某公司用来忽悠客户的某个CPU IP的参数.

请注意用红线划出来的部分,显示performance 是 2.50 DMIPS/MHz. 如果你是被忽悠的客户,你该如何来看待这个指标呢?

说 DMIPS之前,先说一下在业界比较有名的但是口碑不太好的Dhrystone benchmark.这是诞生在上个世纪80年代的一个用来测试CPU性能的测试用例.把这个benchmark在CPU上一跑,然后看看每秒能跑多少次 这个程序,然后除以1757,从来计算出DMIPS的值.为啥要除以1757呢?因为这个是拿VAX 11/780来做参考的.VAX 11/780每秒能执行1757次的Dhrystone benchmark. 那么来看上面的广告中的2.50 DMIPS/MHz.这个说明Cortex-A9这个IP每秒能跑1757×2.50xFreq=4392.5xfreq 次的Dhrystone程序. 如果Freq为650Mhz的话,那么没秒能跑的Dhrystone程序的次数为4392.5×650=2855125.

听上去不错阿,通过一个benchmrak就能知道不同的CPU之间的性能了.只需要在不同的CPU上都跑这个benchmark,然后比较DMIPS/MHz不就行了吗? 为什么说Dhrystone的口碑不太好呢? 原因就是奸商们滥用了Dhrystone.

上 面我们说在CPU上跑 Dhrystone其实不太准确,准确的说法是在一个系统上跑Dhrystone.这个系统包括硬件如CPU,还包括软件如 OS/Library/compiler. 因此Dhrystone反映的是系统的性能还不单单是CPU的性能. 同时,奸商们为了去忽悠客户,搞应试教育来提高Dhrystone的分数,从来让Dhrystone变得不太那么客观. 通常奸商们使用的方法包括使用特定优化的library.由于在执行Dhrystone 程序的时候,有一些library的函数调用.比如strcpy/strcmp这一类使用比较频繁的函数,如果能有一个优化版本,那么Dhrystone 程序跑起来一定更快. 就象一个富二代和穷二代,输在了起点上,不服气不行阿. 另外,采用优化的编译器也是另外一个方法. 编译器针对Dhrystone做特定的优化,这就相当于考试的时候发现监考的是你家亲戚,爽大了.

另 外,由于微结构的关 系,OS/compiler都会影响到最后的benchmark 得分. 下面来分析一个具体的案例. 在分析案例之前,先给大家出个问题. 现代的CPU的流水线越来越长,那么长的pipeline的好处和缺点是什么? 答不上来的同学复习复习量化. 这个问题也是做CPU相关的公司面试经典问题.

通常来说,长的流水线可以把 CPU的工作切的更细,这样每一个阶段所需要的时间会很少,那 么一个cycle所需要的时间变小,这样就可以提高系统的频率.这个和生产车间细分工种有异曲同工之妙.那么带来的问题是什么呢? CPU和生产车间流水线不同. CPU的执行不是完全顺序的(如果是的话,那该多好阿).在程序中会有各种各样的打乱CPU执行顺序的事情.比如跳转指令. 流水线不喜欢这些指令,因为这会使得已经进入流水线并且已经做了一些事情的指令被flush掉,等于这些工作白做了. 因此长的流水线所带来的问题就是流水线stall带来的代价变大.

那好,了解了流水线的优缺点,下面来说一个案例. 某一款CPU具有18级的流水线,但是其benchmark/MHz的分数反而不如前一代的8级流水线的CPU. 这是为什么呢? 可能的原因大概有这样几个.

(1) 如果CPU的branch prediction预测失败次数比较多,那么长的流水线带来的代价更大
(2) 如果benchmark中跳转指令是寄存器跳转(也就是跳转的目标在寄存器中),那么由于这种情况CPU不能对跳转目标做predict,就回浪费流水线. 长的流水线带来的浪费更大.
(3) TLB缺失的exceptin太多. 长的流水线带来的浪费更大.
(4) benchmark中数据依赖太多
(5) 其他原因(请读者自己补充)

正是由于这一系列的综合因素,导致了太多的流水线stall. 而长流水线对stall比短流水线敏感,导致了benchmark分数/MHz反而不如短的流水线. 当然了由于长流水线能带来更高的频率,因此频率和benchmark/MHz的乘积还是会显著提高的.

那 么即使公平竞争,单纯 Dhrystone用来衡量CPU性能的好坏也是不太恰当的.问题在于Dhrystone benchmark太小,因此能衡量的东西就太少. 吃西瓜吃得快的(如猪八戒)并一定跑步就跑得快. 为了克服Dhrystone的缺点,EEMBC这个机构推出了一系列的benchmark.当然这些都是要收费的.另外,EEMBC还”发扬雷锋精神”, 提供了一个免费的类似于Dhrystone的benchmark,称为CoreMark.其FAQ值得一读.

上述是对Dhrystone以及流水线的一些乱谈的,本文中一定会有一些错误,欢迎大家指出和评论.

分享

分享

现在网络越来越普及，在我们那个穷乡僻野，已经开始有人买电脑上网聊QQ，淘宝，偷菜了，不过上一辈不说“上网”，说“打电脑”。我们那边一般都是向电信申请宽带，大多是2M，一家人用足够，费用也不贵。

但是大城市情况就不一样了，比如你去广州这样的城市，你先得租房，然后得问是否有宽带。但是在这里不像家里，因为你今天在白云区，说不定明天就去岗顶了。而如果自己申请宽带，一般都是半年或者一年，并且费用比“乡下”（据说很多上海老人会把其他地方称为乡下）高多了。这个时候，有人发现了一些商机，并成为老板级人物，他说：”你到我这边申请宽带，随时申请随时用，如果换地方了，可以随时退，并且费用比电信那边低很多。”这样，一个“地下”市场就形成了。老板先自己向电信申请宽带，然后再“出售”给客户。互惠互利。由于一个老板一般会负责整个地区，这个地区上网的机器可能有几百台，这样老板就会申请多条线路（我见过有人申请了25条4M的线路，那家伙机房一眼望过去都是黑色的猫！），这样带宽可以汇聚到很高，比如100M。但是为何不直接申请100M的光纤呢？请读者回答。

这样的事情，终究要被电信发现，本来我2M宽带只卖给一家人，但是被你这样一弄，我等于2M宽带卖给了n家人，那我不亏大了。这时，“大名鼎鼎”的网络尖兵便孕育而生。

大家也许能想到了，网络尖兵其实就是把一个账户限制成只给一家人用（4台电脑），如果超过了，就弹出一个销魂的页面，告诉你人太多了。这件事情在网民中引起轩然大波，说“给我1度电，还管我接几个灯泡”。由于中国IP地址紧张，网民又多，所以一般都是采用NAT方式上网。所以就有一个技术问题，如何识别NAT后面的主机数。

我们要识别NAT后面的机器数量，办法只有一个，那就是通过数据包来进行识别（废话？）。
– 链路层，MAC地址以及协议不能作为识别的根据，因为MAC只有一个，那就是网关的MAC；
– 网络层，有一个非常重要的特征，IPID;
– 传输层，对于TCP，有seq为重要特征。

有一篇论文《A Technique for Counting NATted Hosts》，论述了采用IPID作为识别主机数的根据是可行，他根据IPID在一台主机上是连续增长这样一个特征，得出如果在外面可以监测到多条IPID增长线，那么就可以判断有多台主机以及机器数。

网络尖兵确实利用了这样一个特征来获取上网人数。

自从电信采用网络尖兵来限制共享上网以来，一些网关厂商如TPLINK也暗地与其进行了斗争，他们在转发数据的时候，修改了IPID的增长情况，让其符合一台主机的特征，从而对其进行了突破。

不过这场斗争不会消停，传闻电信在某些地区通过限制连接数来控制上网人数，如果真的是这样，网关厂商都会叫苦不迭。更何况传输层的SEQ也可以作为判断的根据，到时候估计要采用seq代理？另外还有应用层呢，谁能保证某些应用不会提供线索？
在这个时候，宽带老板能做的并不多。

参考：
1. 《异形大战铁血战士》

分享

分享

参考前述的RPSEC工作组的成果我们来分析一下路由协议以及BGP之中的安全问题。

首先有一个前提，ugly的协议软件实现会带了很多安全漏洞，这个不值得我们讨论，这里讨论的是协议设计上没有cover的安全隐患。另外一些加密之类的简单场景就不用讨论了。

路由协议的基本组件如下：

1.传输子系统

对于OSPF就是IP，对于BGP就是TCP。传输层面的安全，我们掠过。其中包括一些问题，例如嗅探，会话劫持，信息篡改等等问题笔者认为可以用常规的方法，例如TLS等解决。不过对于OSPF相关的组播安全好像尚未制定标准。

2.邻居状态维护

邻居之间要有认证等等问题，如何确定一个路由器有权代表某AS（autonomous system） number通告路由是路由协议中的未决问题。

3.路由信息维护

路由信息的问题最大，尤其是路由与AS的关联，即一个AS是否是其通告路由的真正拥有者是路由安全的基本问题。

我们以BGP为例来说一下这一问题。

假定Appleleaf的AS属于中国电信，首席的AS属于AT&T。

由于misconfig或者被攻击或者whatever什么问题，Appleleaf的AS向全世界通告：陈怀临家的IP在我的AS中，且Appleleaf的AS Path看起来更舒服，于是首席家的流量都跑到Appleleaf这边了（科学的说法是首席被从internet踢出去了），首席自然也就无法上弯曲发文了。

BGP协议并未cover这个问题，而现实世界中笔者记得也听说过有这样的Bad Guy AS，像黑洞一样吸收和很多的internet流量，最后把自己噎死了，损人且不利己，因此安全问题不是耸人听闻。对于ISP，Traffic就是金钱，断开一天Revenue损失1/356，ISP对此问题最为关注。

上述问题是IGP, EGP路由协议共有问题，但大家都不太关注IGP，原因在于IGP的东东都在一个AS内部，安全问题是家事，清官难断家务事，自己捣鼓去吧。

分享

分享

【陈怀临注：SRI的机器人实验室是大辽国比较先进的一个实验室。在SRI，其实是一个Department。陈首席是陈少席的时候，机器人方面当时是一个老印当头，非常能干，能说，是来自乔治亚理工的一个博士，当年40出头，现在估计也50多岁了。但是，在SRI那种地方，印度人也是不灵的。Director也就差不多了。印度人一旦在国防，政府这方面沾上，天花板也是很明显。陈首席离开后的第二年，听说他效仿我，也开溜了。去向不明。。。这就好比硅谷商业公司里，大宋的移民能整个Director也就算优秀了，很会玩政治了。从下面这个SRI发布在youtube的视频里，在57秒的时候，机器人在到处探测。看见了几个同事的门牌。Scott Stanford还在。当年是刚从斯坦福毕业的年轻人，现在估计也成老Scott了。Greg Mayers当Director了。他是个美国人。不过确实很踏实，肯干。可见关键岗位还是美国人干才放心。。。其实哪都一样。听说大宋的华为虽然在世界各地招兵买马，但据说有一个潜规则：可以给高薪，但是绝不放权。人事权，干部升迁，都是共军任正非部说了算。。。另外，视频里那些在过道里到处乱爬的机器人就是在我们的3楼。】

分享

分享

【陈怀临注：这个Slides是我在2009年3月清华计算机系研究生操作系统课上的一个Speech。后来整理拆成了几个小pdf文件。但WP对文件大小有限制，我删除了一些Slides。今天整个传上来，作为资料，并将会更新阿拉的陈怀临空间。我个人对QFP的把握只能通过一些猜想和推理。错误之处难免。其实做系统到最后，技术是次要的；关键是一个产品，一个芯片，你的定位是什么，这样就Top Down, Step by Step, 你的需求，指标就慢慢清晰了。做芯片，做系统不能Bottom UP。工程师，例如我，这样的人，说了算，要害死一个产品。。。另外，通常一说芯片，似乎就是EE或者写RTL的人的工作。其实恰恰相反。一个芯片的最大成分其实仍然是软件。换言之，软硬件的人Co-Design的思想和工作流程一定要具备。】

分享

分享

【陈怀临注：3G性能测试城市包括巴尔的摩，波士顿，芝加哥，丹佛，新奥尔良，纽约，奥兰多，凤凰城，波特兰，圣地亚哥，旧金山，圣何塞和西雅图。似乎ATT最优秀的说。有点意外。一直感觉Verizon不错。估计iPhone的压力使得ATT换了一圈设备。得罪谁，也不能得罪买单的人。这与大宋似乎有点不一样，据说大宋是得罪谁，也不能得罪卖单的人。Anyway，如果移动设备的video需求持续增压，Edge和网络安全市场会非常看好。。。读者们可以想想股票的事情了。毕竟绿花花的美金还是很charming的东东。。。】

分享