lan – Gea-Suan Lin's BLOG

阻擋網站透過瀏覽器掃 localhost

五月的時候，DuckDuckGo 的 Charlie Belmer 發了一篇關於網站透過瀏覽器掃 localhost 的文章，引起了不少重視：「Why is This Website Port Scanning me?」。

這個月陸陸續續看到一些反制方式了，比較簡單的是透過像 uBlock Origin 這類可以擋特定 url 的方式，像是 EasyPrivacy 裡面把一些大站台的 javascript script 擋下來：「uBlock Origin ad blocker now blocks port scans on most sites」。

在同一篇文章的 comment 處也有人提到 uBlock Origin 可以做的更廣泛：「Block access to 127.0.0.1/localhost and LAN address from the internet #4318」，裡面有人已經整理好丟出來了：「lan-block.txt」，看起來也可以擋一些...

要擋得比較完整的還得考慮 scan.example.com IN A 127.0.0.1 這種方式繞過去的情況？這可能需要用 extension 了...

在 LAN 裡把 TCP timestamps 關閉擠出頻寬

由於 TCP timestamps 會使得封包多 12 bytes，關掉後可以在 LAN 裡面擠出頻寬，是個小孩子不要亂學的方法：「Save Some Bandwidth By Turning Off TCP Timestamps」。

文章裡是在 10Gbps 網路上測試，看測出來的圖片也只是一點點 (不到 1%)，但仍然是有提昇：

Results show that it's reasonable to turn off timestamps on 10GE interfaces, but keep in mind that it should be performed only in low latency networks.

沒必要就不要亂動 :o

NSA 聽 Google 與 Yahoo! 跨機房的 LAN...

最近幾天揭露的文件顯示 NSA 在監聽 Google 與 Yahoo! 在內部機房內的通訊：「NSA infiltrates links to Yahoo, Google data centers worldwide, Snowden documents say」。

不是 Google 與 Yahoo! 之間的通訊，而是 Google 自家資料中心之間交換的資料 (以及 Yahoo! 自家資料中心交換的資料)，像是這樣：

重點在右半塊的內部通訊內容未必會被加密...

Switch 與 Router 要內建 Wirespeed IPsec 的時代要來臨了嗎... 40Gbps (甚至 100Gbps) 的 IPsec 能力！XDDD