计算机网络

CMI (China Mobile International)，即中国移动国际网络，是中国移动的国际出口骨干网络。与中国电信的 CN2 和中国联通的 AS4837/AS9929 类似，CMI 专注于提供中国移动用户的高质量国际互联服务。它随着中国移动国际业务的扩张而迅速发展，成为连接中国大陆与全球各地的重要网络基础设施之一。 核心思想：CMI 是中国移动为提升其用户国际访问体验而建立的国际骨干网络。它通过建设自有海缆和海外节点，提供相对稳定、大带宽的国际互联通道。 一、为什么需要 CMI？1.1 中国移动网络的挑战在早期的国际互联方面，中国移动（China Mobile）主要依靠租用其他运营商的国际出口带宽，或者将流量转接到中国电信或中国联通的网络进行国际互联。这种方式存在一些固有的问题： 网络质量不稳定：路由路径通常较长，经过的中间运营商和节点多，导致延迟高、丢包率大。 带宽不足：租用带宽的成本和可用性限制，使得在国际流量高峰期容易出现拥堵。 服务不可控：缺乏对国际链路的端到端控制，难以保证服务质量 (QoS)。 成本高昂：长期租用国际带宽的成本较高。 ...

渗透测试（Penetration Testing） 是一种有目的、有计划的模拟攻击行为，旨在评估信息系统、网络、应用程序或组织的安全防护能力。它模拟恶意攻击者可能使用的技术和方法，主动发现系统中的安全漏洞、弱点和配置错误，并评估这些漏洞可能造成的潜在影响。渗透测试的最终目标是帮助组织识别并修复安全缺陷，提高整体的安全韧性，而非破坏或窃取数据。 核心思想：渗透测试像一次“模拟实战演习”，由专业的“红队”（渗透测试人员）扮演“黑客”，通过合法授权的攻击手段，挑战组织的“蓝队”（安全防护系统），从而发现真实世界中可能存在的安全盲点和薄弱环节。 一、为什么需要渗透测试？在当今高度互联的世界中，网络攻击日益频繁且复杂。传统的安全审计、漏洞扫描、代码审查等方法虽然重要，但它们往往局限于静态分析或已知漏洞的检测。渗透测试的价值在于： 主动发现未知漏洞：通过模拟真实攻击者的思维和手法，发现仅靠工具扫描难以识别的逻辑漏洞、业务漏洞和组合漏洞。 验证安全控制的有效性：测试已部署的安全设备（如防火墙、IDS/IPS）、安全策略和人员响应机制是否能有效抵御攻击。 评估业务影响：清晰地...

雪花算法 (Snowflake Algorithm) 是 Twitter 公司开源的一种分布式唯一 ID 生成算法。它旨在解决在分布式系统中生成全局唯一、递增（但非严格递增）且高性能 ID 的需求。其生成的 ID 是一个 64 位的整数，具有时间有序性，并且不依赖于数据库，易于扩展。 核心思想：将 64 位的 Long 型 ID 拆分为多个字段，分别存储时间戳、数据中心 ID、机器 ID 和序列号，通过位运算拼接以保证全局唯一性和大致的时间有序性。 一、为什么需要雪花算法？在分布式系统中，传统的单点自增 ID 方案面临巨大挑战： 唯一性问题：不同的数据库实例或服务节点可能生成相同的 ID。 性能瓶颈：为了保证唯一性，可能需要引入中心化的 ID 生成服务或数据库锁，成为系统瓶颈。 可用性问题：中心化服务一旦宕机，整个系统的 ID 生成将受影响。 虽然 UUID 能够保证全局唯一性，但它存在一些缺点： 存储和传输效率低：128 位，比 64 位 ID 更占用空间，索引性能较差。 无序性：UUID 是无序的，插入数据库时会导致 B+ 树索引频繁分裂和重建，影响数据库性能。...

NAT (Network Address Translation) 是一种在 IP 数据包通过路由器或防火墙时，修改 IP 地址信息 (通常是 IP 地址和端口号) 的技术。其主要目的是缓解 IPv4 地址枯竭问题，并为内部网络提供地址隐藏和一定的安全性。然而，NAT 也为点对点 (P2P) 通信带来了挑战，因为不同类型的 NAT 对数据包的转发行为差异巨大。 通过了解 NAT 的不同类型，我们可以选择合适的 NAT 穿越技术 (如 STUN, TURN, ICE) 来实现内网设备间的直接通信。 一、NAT 的基本概念与作用基本概念： NAT 是将一个 IP 地址空间映射到另一个 IP 地址空间的技术。最常见的是将私有 IP 地址（如 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16）映射到公有 IP 地址。 主要作用： 缓解 IPv4 地址枯竭：允许一个公网 IP 地址被多个内网设备共享，大大减少所需公网 IP 的数量。 隐藏内部网络拓扑：对外只暴露一个或少数几个公网 IP 地址，内部网络结构对外部透明，...

STUN (Session Traversal Utilities for NAT)，即 NAT 会话穿越工具，是一种网络协议，它允许位于NAT (Network Address Translation，网络地址转换) 设备之后的客户端发现其外部（公共）IP 地址和端口号，以及 NAT 设备的类型。STUN 的主要目的是协助建立对等连接 (P2P)，尤其是在 VoIP、视频会议和 WebRTC 等实时通信应用中。 核心思想：帮助内网主机探测 NAT 类型和获取公网 IP:Port，为 P2P 连接做准备。 一、为什么需要 STUN？现代互联网中，IPv4 地址资源日益枯竭，导致大多数终端设备都部署在 NAT 设备（如路由器）之后。NAT 设备通过将内部私有 IP 地址映射到外部公共 IP 地址和端口，允许多个内部设备共享一个公共 IP 地址访问互联网。 然而，NAT 给直接的点对点 (P2P) 通信带来了巨大的挑战： 内网 IP 地址不可路由：内部私有 IP 地址在公共互联网上是不可见的，外部设备无法直接通过私有 IP 地址联系到内部设备。 端口映射不确定：NAT 设备...

DHCP (Dynamic Host Configuration Protocol)，即动态主机配置协议，是一个应用层协议，它允许服务器动态地为客户端（例如计算机、智能手机、物联网设备等）分配 IP 地址和其他网络配置参数。DHCP 是目前最常用的网络配置方式，极大地简化了网络管理，避免了手动配置 IP 地址可能出现的冲突和错误。 核心思想：自动化分配 IP 地址和其他网络参数，简化网络管理，提高效率。 一、为什么需要 DHCP？在没有 DHCP 的情况下，每台连接到 TCP/IP 网络的设备都需要手动配置以下信息： IP 地址：设备在网络上的唯一标识。 子网掩码：用于区分 IP 地址的网络部分和主机部分。 默认网关：设备访问外部网络的路由器的 IP 地址。 DNS 服务器地址：用于将域名解析为 IP 地址的服务器。 手动配置的弊端显而易见： 复杂且耗时：对于大型网络，手动配置数百甚至数千台设备的网络参数是一项繁琐且容易出错的工作。 易出错：人为输入错误可能导致网络连接问题或 IP 地址冲突。 IP 地址冲突：如果不小心将同一个 IP 地址分配给多台设备，...

NAT (Network Address Translation，网络地址转换) 是一种在 IP 数据包通过路由器或防火墙时，修改其 IP 地址信息（有时也包括端口号）的技术。NAT 是 IPv4 时代的核心网络技术之一，它在缓解 IPv4 地址枯竭和提高内部网络安全性方面发挥了不可或缺的作用。 核心思想：NAT 允许一个拥有私有 IP 地址的内部网络通过一个或几个公共 IP 地址与外部网络（如互联网）通信，从而实现地址共享和隐藏内部拓扑。 一、NAT 的背景与重要性1.1 IPv4 地址枯竭原始的 IPv4 地址空间大约为 40 亿个地址。随着互联网和智能设备的普及，全球对 IP 地址的需求爆炸式增长，远超 IPv4 的设计容量。NAT 的出现使得多个设备可以共享一个公有 IP 地址，极大地延缓了 IPv4 地址耗尽的速度。 1.2 网络安全考量通过 NAT，内部网络的私有 IP 地址空间对外部网络是不可见的。外部攻击者无法直接访问内部主机，因为他们只看到 NAT 设备的公共 IP 地址。这为内部网络提供了一层基本的安全屏障。 1.3 灵活的网络设计NAT 允许企业和...

在现代 Web 和移动应用中，基于 Token 的认证方式（如 JWT）已成为主流。它解决了传统 Session-Cookie 认证在分布式系统和跨域场景下的诸多痛点。然而，Token 的有效期问题又带来了新的挑战：如果 Access Token 长期有效，一旦泄露风险巨大；如果短期有效，用户又会频繁因 Token 过期而被迫重新登录，严重影响用户体验。无感刷新 Token (Silent Token Refresh) 正是为了解决这一矛盾而生，它旨在提升安全性、兼顾用户体验，让用户在不感知的情况下，始终保持登录状态。 “无感刷新 Token 的核心思想是：使用一个短期有效的 Access Token 负责日常业务访问，同时使用一个长期有效但受严密保护的 Refresh Token 来在 Access Token 过期时重新获取新的 Access Token，从而实现长期登录且不牺牲安全性的目标。” 一、为什么需要无感刷新 Token？在基于 Token 的认证系统中，通常会涉及到两种 Token： Access Token (访问令牌)： 用途：用于访问受保护的资源...

JWT (JSON Web Token) 是一个开放标准 (RFC 7519)，它定义了一种简洁、自包含且安全的方式，用于在各方之间安全地传输信息。这些信息通过数字签名进行验证，可以被信任。JWT 通常用作无状态 (Stateless) 认证机制，替代传统的 Session-Cookie 模式。 核心思想：将用户认证信息和少量授权信息编码进 Token 本身，并通过签名确保其不可篡改。 服务端无需存储 Session 状态，只需验证 Token 即可。 一、为什么需要 JWT？传统的基于 Session-Cookie 的认证方式有其局限性： 有状态 (Stateful)：服务端需要存储每个用户的 Session 信息。随着用户量增加，存储和管理 Session 成为负担，特别是分布式部署和微服务架构下，Session 共享和同步变得复杂。 跨域问题：Cookie 默认是同源策略，跨域请求携带 Cookie 会比较复杂，需要复杂的 CORS (Cross-Origin Resource Sharing) 配置。 移动端不友好：移动应用通常不依赖 Cookie，需要更灵活的...

SAML (Security Assertion Markup Language) 是一种基于 XML 的开放标准，用于在安全域之间交换身份验证和授权数据。它主要用于实现单一登录 (Single Sign-On, SSO) 功能，允许用户在一个身份验证服务器（Identity Provider, IdP）上登录一次后，即可访问多个服务提供商 (Service Provider, SP) 上的应用程序，而无需在每个应用程序上重新输入凭据。SAML 2.0 是当前最广泛使用的版本。 核心思想：将用户身份验证的职责从各个服务提供商剥离到专门的身份提供商，通过可信的 XML 断言 (Assertion) 在两者之间传递身份和授权信息。 一、为什么需要 SAML？随着企业和组织越来越多地使用 SaaS (Software as a Service) 应用和跨域资源，用户常常需要在多个独立的应用程序中重复登录，这不仅降低了用户体验，也增加了密码管理的负担和安全风险。传统的做法是每个应用程序维护自己的用户数据库和认证机制。 SAML 旨在解决这些问题，它提供了一种联邦身份 (Feder...

五层因特网协议栈，也常被称为 TCP/IP 五层模型，是现代互联网架构中实际使用和教学中最常见的网络模型。它结合了 OSI (开放系统互连) 参考模型的层次化思想和 TCP/IP 协议族的实际应用，将复杂的网络通信功能划分为五个逻辑层级，每个层级负责特定的任务，并通过定义良好的接口与相邻层交互。与 OSI 七层模型相比，五层协议栈更贴近实际实现，是理解互联网如何工作的核心。 核心思想：将互联网的通信过程划分为五个逻辑层级，自顶向下依次为应用层、传输层、网络层、数据链路层和物理层，每层负责不同的通信职责，协同工作以实现全球互联。 一、为什么选择五层协议栈？尽管 OSI 七层模型提供了非常详细的理论分层，但由于其设计时在标准制定上花费了大量时间，并且部分层次划分在实际实现中显得过于细致，导致其未能大规模落地。相反，TCP/IP 协议族在互联网的早期发展中迅速崛起并成为事实标准。五层协议栈结合了二者的优点： 实用性：它直接反映了 TCP/IP 协议族栈的工作方式，是互联网实际运行的写照。 简洁性：相比 OSI 七层模型，它将 OSI 的...

OSI (Open Systems Interconnection) 参考模型 是由国际标准化组织 (ISO) 于 1980 年代初期推出的一套概念性框架，旨在提供一个开放、标准化的通信协议分层结构。它将网络通信过程划分为七个不同的功能层，每个层级负责特定的网络通信任务，并向上层提供服务，向下层请求服务。OSI 模型是一个重要的理论基石，帮助人们理解和设计复杂的网络系统，尽管在实际应用中更常见的是 TCP/IP 四层或五层模型，但 OSI 模型的分层思想对网络学科产生了深远影响。 核心思想：将复杂的网络通信过程分解为七个逻辑上独立的功能层，每层只关注自己的职责，通过标准接口与相邻层交互，从而简化网络设计、实现和故障排除。 一、为什么需要 OSI 模型？在早期，计算机网络发展非常混乱，各个厂商都有自己独有的网络架构和协议，导致不同厂商的设备之间无法通信。为了解决这种“信息孤岛”的问题，急需一个统一的标准来指导网络系统的设计和实现。OSI 模型应运而生，其主要目标包括： 标准化：提供一个通用的框架，使得不同厂商、不同系统之间可以进行互操作。 模块化：将复杂的网络通...

BBR (Bottleneck Bandwidth and Round-trip Propagation Time) 是由 Google 开发的一种 TCP 拥塞控制算法。与传统的基于丢包的拥塞控制算法（如 Cubic, Reno）不同，BBR 专注于测量网络瓶颈带宽 (Bottleneck Bandwidth) 和往返传播时间 (Round-trip Propagation Time)，并以此为基础来控制发送速率，旨在达到高吞吐量和低延迟的最佳平衡。 核心思想：基于带宽和 RTT 测量，而不是丢包，来探知网络的实际容量，从而更精准地控制发送速率，避免不必要的丢包，并充分利用带宽。 一、为什么需要 BBR？传统的 TCP 拥塞控制算法（如 Cubic、Reno）主要依赖于丢包作为网络拥塞的信号。它们的工作原理是： 不断增加发送窗口，直到出现丢包。 丢包发生后，认为网络拥塞，降低发送窗口。 循环往复，形成“锯齿状”的发送速率。 这种基于丢包的机制存在以下问题： “缓冲区膨胀” (Bufferbloat)： 现代网络设备通常拥有较大的缓冲区。当网络开始拥塞时，数据包不会...

TUN (Tunnel) 隧道 是一种操作系统内核模块提供的虚拟网络接口，它允许用户空间的应用程序注入和接收 IP 数据包。与传统的网络接口不同，TUN 接口没有物理硬件与之对应，而是纯软件实现的。它在 OSI 模型的网络层（第三层）进行操作，因此能够处理 IP 协议栈的完整功能。 核心思想：TUN 接口模拟了一个点对点连接的网络设备，允许应用程序以编程方式像操作物理网卡一样，来处理 IP 层的数据包。 它使得在用户空间实现复杂的网络协议栈成为可能，是构建 VPN (Virtual Private Network) 等虚拟网络技术的基石。 一、TUN 隧道概述TUN 隧道，全称为 “Tunnel” 虚拟网络接口，是一个 Linux/Unix 系统内核提供的一个机制，用于创建虚拟网络设备。这些虚拟设备允许用户空间的程序读取和写入网络层（IP 层）的数据包。当数据包被写入 TUN 接口时，它会被传递给关联的用户空间应用程序；反之，当用户空间应用程序将数据包写入 TUN 接口时，这些数据包会被内核视为从网络中接收的 IP 数据包，并根据路由表进行进一步处理。 1.1 ...

Hysteria2 是 Hysteria 协议的下一代版本，它是一种高性能、抗审查的代理协议，专注于在高丢包、高延迟、带宽受限的网络环境下提供稳定快速的连接。Hysteria2 在其前身的基础上进行了多项重大改进，将底层传输协议从 QUIC 升级为基于自定义 UDP 的协议栈，并引入了更灵活的流量控制和更强大的抗审查特性。其核心理念是通过高效的 UDP 传输、TCP BBR 拥塞控制算法和 TLS 加密，在恶劣网络条件下最大化可用带宽，同时保持高度的隐蔽性。 核心思想：在不可靠的 UDP 传输之上构建一个可靠的、高性能的、基于 TCP BBR 算法的传输层，并结合 TLS 加密和流量伪装，以应对高丢包、高延迟和严格审查的网络环境。 一、为什么需要 Hysteria2？传统的代理协议，无论是基于 TCP (如 Shadowsocks TCP, VLESS/Trojan over TCP+TLS) 还是基于 QUIC (如 Hysteria1)，在高丢包率、高延迟的网络环境中（例如跨国长距离传输、卫星网络、受到干扰的网络）都可能表现不佳： TCP 协议的固有局限性...

QUIC (Quick UDP Internet Connections) 是由 Google 最早开发的一种通用的传输层网络协议，它旨在通过在 UDP 协议之上实现可靠性和安全性来加速 HTTP 流量。QUIC 合并了 TCP、TLS 和 HTTP/2 的最佳特性，并针对现代互联网环境进行了优化，解决了 TCP 的一些固有局限性。目前，QUIC 已经由 IETF (Internet Engineering Task Force) 标准化为 RFC 9000 系列，并作为 HTTP/3 的底层传输协议。 核心思想：QUIC 将 TCP 连接管理、TLS 加密和 HTTP/2 多路复用等功能集成到 UDP 上，通过 0-RTT 连接、独立流、更快的连接迁移和可插拔拥塞控制，实现了低延迟、高吞吐量和强大的安全性。 一、为什么需要 QUIC？尽管 TCP/IP 协议栈在过去几十年中支撑了整个互联网，但随着网络应用的发展和移动设备的普及，TCP 的一些固有缺陷逐渐显现出来： TCP 三次握手延迟 (3-RTT)：每次建立新的 TCP 连接...

REALITY 是 Xray-core 团队在 2022 年底推出的一种创新型传输协议，旨在彻底解决传统代理协议在 TLS 流量伪装上面临的主动探测和 TLS 指纹识别问题。REALITY 的核心思想是“无服务器指纹，无 TLS 握手特征，无需伪装域名和证书”，它通过重用目标网站的 TLS 证书和握手，将代理流量伪装成访问真实网站的流量，从而达到前所未有的隐蔽性。 核心思想：服务器不再持有自己的 TLS 证书和域名，而是被动地作为中继，复用一个真实存在且受欢迎的 HTTPS 网站的 TLS 证书和握手，将代理流量伪装成访问该网站的流量，从而达到极高的隐蔽性，并且不再需要自签证书和伪装域名。 一、为什么需要 REALITY？尽管 VLESS+XTLS 和 Trojan 等协议已经提供了很强的隐蔽性，但它们仍面临一些挑战： TLS 指纹识别 (TLS Fingerprinting)：即使使用合法证书，客户端（如 Xray 客户端）在进行 TLS 握手时，其行为模式（支持的密码套件、扩展顺序、记录大小等）可能与主流浏览器存在细微差异，形成独特的“TLS 指纹”。审查者可以分析...

TUIC (TCP User Datagram Internet Connections) 是一个创新的代理协议，旨在结合 TCP 的稳定性和 UDP 的灵活性及高效率。它基于 QUIC 协议的思想，但在用户空间实现了一套自定义的拥塞控制和可靠传输机制，运行在 UDP 端口上，并利用 TLS 1.3 进行加密。TUIC 的核心目标是提供一个高性能、低延迟、抗审查且在各种网络环境下（尤其是高丢包、高延迟）表现优异的代理解决方案，同时保持极高的隐蔽性。 核心思想：在 UDP 端口上模拟 TCP 的可靠传输和拥塞控制（但拥有更强的灵活性和性能），并融入 QUIC 的多路复用优势，所有流量均通过 TLS 1.3 加密，以实现高性能、高隐蔽性和强抗审查能力。 一、为什么需要 TUIC？在代理协议的发展历程中，TCP 和 UDP 各有优劣： TCP 协议： 优点：可靠传输、有序交付、广泛兼容性、穿越 NAT 能力强。 缺点：队头阻塞 (Head-of-Line Blocking)、拥塞控制在高丢包/高延迟环境下效率低下、握手开销大。 UDP 协议： 优点：无连接、低延...

Trojan 是一个开源的代理协议，其核心设计理念是“伪装为最常见的 HTTPS 流量”。它通过模仿 HTTPS 流量的特征，并利用 TLS (Transport Layer Security) 的加密和认证机制，旨在实现几乎无法被识别和阻断的代理连接。Trojan 协议放弃了传统代理协议常见的复杂头部和混淆算法，转而直接将代理数据封装在 TLS 中，并强制要求使用 443 端口和合法 TLS 证书，以最大化其隐蔽性。 核心思想：将代理流量深度伪装为 HTTPS 流量，通过在 443 端口上直接利用 TLS 协议的加密会话来传输代理数据，从而使其在外部看来与正常的 HTTPS 流量几乎无异。 一、Trojan 协议的诞生背景与目标Trojan 协议的出现，是对传统代理协议（如 Shadowsocks、VMess 等）在对抗深度包检测 (DPI) 和主动探测时的局限性的一种回应。主要背景如下： 协议特征识别：许多代理协议，即使经过混淆，仍可能因其特定的协议头部、握手流程、流量模式或不符合 TLS 规范的行为而被识别。 主动探测：审查系统可能会主动连接代理服务器，发送探测包...

随着数字化时代的深入发展，网络已成为我们工作和生活中不可或缺的一部分。然而，伴随而来的网络攻击也日益猖獗，形式多样且破坏力巨大。理解常见的网络攻击类型及其防御方法，对于个人、企业乃至国家层面的网络安全防护至关重要。 核心思想：网络攻击的本质是利用系统、网络、应用或人为的漏洞，破坏信息资产的机密性、完整性、可用性。有效的防御需要结合技术防护、安全管理和人员意识培训。 一、网络攻击概述网络攻击是指以获取、破坏、更改、禁用、窃取或秘密访问计算机系统、基础设施、计算机网络或链接设备为目的的恶意行为。攻击者利用各种技术手段，针对不同层面的漏洞发起攻击，以达到其非法目的。 1.1 攻击目标 数据 (Data)：窃取敏感信息（用户数据、商业机密、知识产权），篡改数据，删除数据。 系统/应用 (Systems/Applications)：破坏服务可用性（拒绝服务）、获取系统控制权、植入恶意代码。 网络 (Network)：瘫痪网络基础设施、监听网络流量、劫持通信。 用户 (Users)：欺骗、诱导用户泄露信息（钓鱼）、传播谣言或虚假信息。 1.2 攻击动机 经济利...