依云's Blog

WoSign 最近曝出一大堆问题，而且其处理问题的态度、解决问题的方式十分令人担忧。其官方形象也很糟糕，比如对国内 Let's Encrypt 用户进行 FUD 式威胁，比如只吊销了因 bug 误发的 GitHub 域名的证书，给某大学误发的证书视若无睹。具体问题有兴趣的可以去相关邮件组查看讨论。

这次问题我认为比起 CNNIC 要严重多了（最主要是这态度、这水准，就算它不主动作恶，也很容易被利用的样子），所以我获知情况之后就取消对了 WoSign 的信任。StartCom 签名 WoSign 的证书，所以需要一并吊销（反正也是一家人）。

火狐（桌面版）

依次打开「首选项」->「高级」->「证书」->「查看证书」，找到并选择 StartCom 和 WoSign 下的所有证书（使用 Shift 键可以选择连续的项目），然后点「编辑信任」按钮，取消弹出框中三个选项框的勾选。

Arch Linux

archlinuxcn 源用户直接执行命令：

sudo pacman -Sy revoke-disputable-ca

手动操作的话，是这样子。把需要取消信任的证书复制（不要软链接）到 /etc/ca-certificates/trust-source/blacklist/ 目录下，然后执行 update-ca-trust 命令即可。

我那个包里取消信任的证书是下边这八个：

CA_WoSign_ECC_Root.pem                    CNNIC_ROOT.pem                          StartCom_Certification_Authority_G2.pem  WoSign_China.pem
Certification_Authority_of_WoSign_G2.pem  StartCom_Certification_Authority.1.pem  StartCom_Certification_Authority.pem     WoSign.pem

Android

在「设置」->「安全」->「受信任的凭据」中禁用掉相关证书。这对 Opera Mobile 有效，但是对火狐无效。

目前还没找到火狐 Android 版禁用根证书的方式。

确认方法

访问 https://www.wosign.com/ 即可。

目前 USTC 已经更改证书，禁用这些根证书不影响 USTC 镜像源的使用。现在我因此不能访问的网站主要是 Python 邮件列表。

之前写的那个处理 DNS AAAA 的程序，后来请求量大的时候就经常报错。经过研究，是在sendto的时候返回了「Pemission Denied」错误。后来的 Rust 版本也发生了类似的问题，得到操作系统返回的代码「EPERM」。

我翻了半天 man 手册，其中只说到向广播地址发包可能会得到 EACCES 错误。Google 也没有得到结果（都是些权限不够的问题，但我的程序是 root 跑的呀，并且错误比较零星）。后来发到 shlug 邮件列表中询问，才终于得知了和我有同样问题的人，但是也没有结论，只是说关掉 iptables 就正常了。可我的程序依赖 iptables 呢……而且我要的不仅仅是解决方案（实际上这个问题并没有造成什么可感知的影响，就算有，我也有办法 migrate），我更想知道为什么。

确定是发包太快造成的问题，拿着相关关键词去搜，还真找到了一些有用的信息。比如之前看过的 CloudFlare 低延迟 UDP 实验时会让 iptables 不跟踪相关数据包，有人在使用 SIP 协议时也遇到了同样的问题，并且在内核日志的帮助下解决了。于是我照着做，让 conntrack 放过我发出的 UDP 包：

iptables -t raw -I OUTPUT -p udp -m udp --sport 53 -j NOTRACK

然后不仅那些错误都没了，而且处理速度快了一倍！（图中红虚线是发生错误的时候。）

发生了这么一件事：服务器访问某些 URL 时经常会花费好几秒的时间。重现并分析 strace 记录之后，发现是 DNS 的 AAAA 记录的问题。

情况是这样的：CentOS 6 默认启用了 IPv6，于是 glibc 就会同时进行 A 和 AAAA 记录查询。然后呢，上游 DNS 是运营商的，不给力，经常在解析 AAAA 记录时花费几秒甚至十几秒，然后超时或者返回个 SERVFAIL。

不过咱在天朝，也没有 IPv6 网络可用，所以就禁用 IPv6 吧。通过 sysctl 禁用 IPv6 无效。glibc 是通过创建 IPv6 套接字的方式来决定是否进行 AAAA 请求的。查了一下，禁用掉 ipv6 这个内核模块就可以了。可是，rmmod ipv6 报告模块正在使用中。

lsof -nPi | grep -i ipv6

会列出几个正在使用 IPv6 套接字的进程。重启服务，或者重启机器太麻烦了，也不知道会不会有进程会起不来……于是我想起了歪心思：既然是因为 AAAA 记录回应慢，而咱并不使用这个回应，那就及时伪造一个呗。

于是上 nfqueue。DNS 是基于 UDP 的，所以处理起来也挺简单。用的是 netfilterqueue 这个库。DNS 解析用的是 dnslib。

因为 53 端口已经被 DNS 服务器占用了，所以想从这个地址发送回应还得用底层的方法。尝试过 scapy，然而包总是发不出去，Wireshark 显示 MAC 地址没有正确填写……实在弄不明白要怎么做，干脆用 RAW 套接字好了。man 7 raw 之后发现挺简单的嘛，因为它直接就支持 UDP 协议，不用自己处理 IP 头。UDP 头还是要自己处理的，8 字节，其中最麻烦的校验和可以填全零=w= 至于解析 nfqueue 那边过来的 IP 包，我只需要源地址就可以了，所以就直接从相应的偏移取了～（其实想想，好像 dnslib 也不需要呢～）

代码如下（Gist 上也放了一份）：

#!/usr/bin/env python3

import socket
import struct
import traceback
import subprocess
import time
import signal

import dnslib
from dnslib import DNSRecord
from netfilterqueue import NetfilterQueue

AAAA = dnslib.QTYPE.reverse['AAAA']
udpsock = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket.IPPROTO_UDP)
PORT = 53

def handle_packet(pkt):
  s = time.time()
  try:
    ip = pkt.get_payload()
    # 28 = 20B IPv4 header + 8B UDP header
    dns = DNSRecord.parse(ip[28:])
    if dns.q.qtype == AAAA:
      ret = dns.reply()
      src = socket.inet_ntoa(ip[12:16])
      sport = struct.unpack('!H', ip[20:22])[0]
      p = ret.pack()
      # print(ret, p)
      checksum = 0
      p = struct.pack('!HHHH', PORT, sport, len(p) + 8, checksum) + p
      udpsock.sendto(p, (src, sport))
      pkt.drop()
    else:
      pkt.accept()
  except KeyboardInterrupt:
    pkt.accept()
    raise
  except Exception:
    traceback.print_exc()
    pkt.accept()
  e = time.time()
  print('%.3fms' % ((e - s) * 1000))

def main():
  nfqueue = NetfilterQueue()
  nfqueue.bind(1, handle_packet)
  try:
    nfqueue.run()
  except KeyboardInterrupt:
    print()

def quit(signum, sigframe):
  raise KeyboardInterrupt

if __name__ == '__main__':
  signal.signal(signal.SIGTERM, quit)
  signal.signal(signal.SIGQUIT, quit)
  signal.signal(signal.SIGHUP, quit)
  subprocess.check_call(['iptables', '-I', 'INPUT', '-p', 'udp', '-m', 'udp', '--dport', str(PORT), '-j', 'NFQUEUE', '--queue-num', '1'])
  try:
    main()
  finally:
    subprocess.check_call(['iptables', '-D', 'INPUT', '-p', 'udp', '-m', 'udp', '--dport', str(PORT), '-j', 'NFQUEUE', '--queue-num', '1'])

写好之后、准备部署前，我还担心了一下 Python 的执行效率——要是请求太多处理不过来就麻烦了，得搞多进程呢。看了一下，一个包只有 3ms 的处理时间。然后发现 Python 其实也没有那么慢嘛，绝大部分时候不到 1ms 就搞定了～

部署到咱的 DNS 服务器上之后，AAAA 记录回应迅速，再也不会慢了～

调试网络程序，Wireshark 就是好用！

PS: 后来有人告诉我改 gai.conf 也可以。我试了一下，如下设置并没有阻止 glibc 请求 AAAA 记录——它压根就没读这个文件！

precedence ::ffff:0:0/96  100

PPS: 我还发现发送这两个 DNS 请求，glibc 2.12 用了两次 sendto，但是 Arch Linux 上的 glibc 2.23 只用了一次 sendmmsg～所以大家还是尽量升级吧，有好处的呢。

发现一只32G内存的服务器，上边跑了几个 sharding 模式的 mongod，把内存吃到只剩下4G，8G swap 更是丁点不剩。

我见过吃内存的 mongod，可没见过大胃口的 mongod 啊。不过以前我也没怎么见到在这么大内存的机器上跑的 mongod。不过不管如何，把 swap 全吃掉总归是不对的。

于是翻了翻 mongodb 源码，发现出现这种情况还真是机器的配置的问题。代码里有这么一段（在 GitHub 上的位置）：

        if (cacheSizeGB == 0) {
            // Since the user didn't provide a cache size, choose a reasonable default value.
            // We want to reserve 1GB for the system and binaries, but it's not bad to
            // leave a fair amount left over for pagecache since that's compressed storage.
            ProcessInfo pi;
            double memSizeMB = pi.getMemSizeMB();
            if (memSizeMB > 0) {
                double cacheMB = (memSizeMB - 1024) * 0.6;
                cacheSizeGB = static_cast<size_t>(cacheMB / 1024);
                if (cacheSizeGB < 1)
                    cacheSizeGB = 1;
            }
        }

大概这就是决定它自己要用多少内存的代码了。先留出1G，然后再留出40%，剩下的能吃就吃！于是，好几只 mongod 开始抢食了！默认vm.swappiness=60的内核看到内存快用完了，于是开始往 swap 挪。结果造成内核挪多少，mongod 吃多少……

这种情况在机器内存少的时候没有出现，大概是因为内存少的时候，mongod 留出的比例比较高，内核就没那么卖力地把数据往 swap 上挪了。而且这次是好几只 mongod 哄抢呢。

从这里看到 ssh 的 Control master 特性之后，就在~/.ssh/config里启用了这个特性：

ControlPath ~/.ssh/master-%r@%h:%p
ControlMaster auto
ControlPersist yes
Compression yes

会话连接复用，对于以交互操作的使用，很不错的！对低延迟的服务器可能只是少了用户认证过程，但对于连接国外服务器，少了 TCP 握手、SSH 握手与认证等来来回回的过程，连接会快非常多的，尤其是对于常用的服务器，比如 GitHub 之类的，提速非常明显。

然后，问题就来了：系统挂起再恢复之后，大部分连接会 stalled，需要手工断开连接。即使配置了超时，它也不一定及时。于是我想，既然 netctl-auto 之类的服务能够在挂起系统时适当处理，那么我是不是也能写一个用户级的 systemd 服务来处理这件事情呢？

于是我按系统级的配置方法弄好了，结果什么也没有发生……后来才明白，只有系统级的 sleep.target，没有用户级的啊。

在 Arch Linux 官方论坛看到有人这么尝试，让系统级的 systemd 调用用户级的 systemd。配置有点不对，但是想法是非常好的！

于是就有了我现在用的方案：

[Unit]
Description=sleep.target of a systemd user session
Before=sleep.target
StopWhenUnneeded=yes

[Service]
Type=oneshot
User=%I
Environment=DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/%I/bus
RemainAfterExit=yes
ExecStart=/usr/bin/systemctl --user start sleep.target
ExecStop=/usr/bin/systemctl --user stop sleep.target

[Install]
WantedBy=sleep.target

启用（enable）user-sleep@1000.service之后，系统挂起时，就会调用 ID 为 1000 的用户的用户级 systemd，也 reach sleep.target 啦。当然这个用户级的 sleep.target 也得自己写：

[Unit]
Description=Sleep
Documentation=man:systemd.special(7)
DefaultDependencies=no
StopWhenUnneeded=yes

然后就可以让用户级的服务WantedBy=sleep.target啦～

2015年9月13日，我的博客流量突然少了很多：

因为博客突然被百度标记为「安全联盟提醒您：该页面可能已被非法篡改！」（后边那个峰的流量来源于知乎，与此事件并无关联。）

然而我一直未发现任何异常。我使用了 Google 站长工具，Google 也没说有任何异常。所以我以为这不过是百度又发了什么神经。毕竟它也说，「有一个网友举报」。「安全联盟」那里可以申请解封，但是需要出卖手机号等隐私。更神奇的是，它要求你修正问题，却连是什么问题都不清楚。「安全联盟」的客服表示，这事他们也不清楚。

然而几天前，又有网友报告我的博客跳转到了奇怪的页面。第一次有人报告时我只当用户系统或者网络的问题，虽然我也疑惑，恶意软件或者 ISP 插广告不至于插 CJB 的广告啊。但是对方并没有能力来调查此事。这次总算是遇到了一个会抓包的读者了。于是让报告者 @xuboying 帮忙抓包，这才真相大白。

简单地说，确实有页面在传输过程中被篡改了。至于是不是非法的，就得问「有关部门」了。

事情是这个样子的：我有一篇文章嵌入了 GitHub Gist。而 GitHub Gist 的域名 gist.github.com 被污染，其中一个污染 IP 为 216.234.179.13。这大概是 CJB 的源服务器地址。

本来呢，嵌入 GitHub Gist 的代码是这样子：

<script src="https://gist.github.com/lilydjwg/0bfa6807b88e6d39a995.js"></script>

当解析到 216.234.179.13 之后，最奇妙的事情发生了：

1. CJB 使用了自签名、过期、弱密钥的证书。火狐会嫌它太弱而不可覆盖地拒绝，其它主流浏览器也会因为证书问题而报错。小米浏览器会询问用户是否接受有问题的证书（普通用户哪里懂这个啊，估计大都会选择接受吧）。一旦接受，则进入下一步。
2. 该服务器在访问时会返回一句复合了 HTML 和 JavaScript 的脚本，修改window.location到 CJB 的主页。而引入 GitHub Gist 的方式恰好是 JavaScript 脚本，于是它得到执行，跳转到 CJB 主页去了……（不过现在只会返回空白页了。）

后来百度取消了那个「被非法篡改」的提示，不过权重依然很低，不注意看根本找不到我博客唉。

知道是 GitHub gist 的原因之后就可以很快找到遇到同样问题的人了，比如：

• 【吐槽】gist.github.com疑遭中间人攻击 - ahdung - 博客园
• 部分网站跳转CJB问题求教.................._firefox吧_百度贴吧
• 为什么访问 XDA 总被跳转至 cjb.net？ - V2EX

Google Chrome 把这些信息保存在配置目录下的Current Session文件里了，比如我的位于~/.config/google-chrome/Default/Current Session。这个文件是二进制的，使用 Chromagnon 里的脚本可以解析成文本，然后拿 Vim 编辑编辑就可以得到一行一个链接的文本文件了。这样就可以很容易地把它们在火狐里打开了，比如：

cat links | xargs firefox

这样就把链接们从 Google Chrome 里迁移到了一个单独的火狐窗口中。

我做这个的原因是，最近我的火狐运行微信时会持续占用一个 CPU 核。改用 Google Chrome 来运行微信之后风扇才能安静下来。然而 Google Chrome 的字体渲染我并不喜欢，更重要的是它会不时地崩溃一下。所以我辛辛苦苦「转发」了N个链接到「文件传输助手」，并艰难地（因为这个过程非常卡）将它们一一点开之后，希望能把这些页面转到火狐中来阅读。

暂时手工操作了。以后用得多的话再写自动化脚本。

知乎专栏不提供 RSS，那我自己做一个好了。用法见网站：https://rss.lilydjwg.me/。计划是支持各种我想要使用 RSS 订阅却又不提供的网站。当然目前只支持知乎专栏啦。代码是开源的，欢迎来提交 pull request :-)

2015年11月12日更新：其实我所使用的 RSS 阅读器——InoReader——是支持订阅知乎专栏的……不过我有对其排版做处理的，就是删掉所有的 <br>。知乎专栏的页面有时会有很多 <br>，其页面使用 CSS 隐藏掉了一些 <br>，但是 RSS 阅读器里它们都显示出来了，搞得段落间距很大。

我这个程序打算支持多种多样的来源的。而最初的想法是针对性地做中文乱码的处理，只是现在那些乱码早已消失了。知乎专栏只是开了个头，以后有需要慢慢加别的东西啦。

2016年12月14日更新：支持订阅知乎用户的动态了。

人们对 TCP 的误解

因为我们的教育总是只教人「怎么做」，而根本不管「为什么这么做」，所以造成了很多误解。

今天（恰巧是今天）看到有人在 SegmentFault 上问「TCP server 为什么一个端口可以建立多个连接？」。提问者认为 client 端就不能使用相同的本地端口了。理论上来说，确定一条链路，只要五元组（源IP、源端口号、目标IP、目标端口号、协议）唯一就可以了，所以这不应该是技术限制。而实际上，Linux 3.9 之后确实可以让客户端使用相同的地址来连接不同的目标，只不过要提前跟内核说好而已。

当然，你不能使用同一个 socket，不然调用connect连接的时候会报错：

[Errno 106] (EISCONN) Transport endpoint is already connected

man 2 connect里说了：

Generally, connection-based protocol sockets may successfully connect() only once; connectionless protocol sockets may use connect() multiple times to change their association.

想也是，一个 socket 连接到多个目标，那发送的时候到底发给谁呢？TCP 又不像 UDP 那样无状态的，以前做过什么根本不管。

那用多个 socket 就可以了嘛。服务端其实也一直是用多个 socket 来处理多个连接的不是么，每次accept都生成个新的 socket。

>>> import socket
>>> s = socket.socket()
# since Linux 3.9, 见 man 7 socket
>>> s.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEPORT, 1)
>>> s2 = socket.socket()
>>> s2.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEPORT, 1)
>>> s.bind(('127.0.0.1', 12345))
>>> s2.bind(('127.0.0.1', 12345))
# 都可以使用同一本地地址来连接哦
>>> s.connect(('127.0.0.1', 80))
>>> s2.connect(('127.0.0.1', 4321))

连上去之后 netstat 的输出（4568 进程是上边这个程序，另两个进程一个是 nginx，另一个是我的另一个 Python 程序）：

>>> netstat -npt | grep 12345
(Not all processes could be identified, non-owned process info
 will not be shown, you would have to be root to see it all.)
tcp        0      0 127.0.0.1:4321          127.0.0.1:12345         ESTABLISHED 18284/python3
tcp        0      0 127.0.0.1:12345         127.0.0.1:4321          ESTABLISHED 4568/python3
tcp        0      0 127.0.0.1:80            127.0.0.1:12345         ESTABLISHED -
tcp        0      0 127.0.0.1:12345         127.0.0.1:80            ESTABLISHED 4568/python3

当然你要是连接相同的地址会报错的：

OSError: [Errno 99] Cannot assign requested address

那个五元组已经被占用啦。

同时创建连接：恰巧你也在这里

有时候，我们不能一个劲地等待。主动出击也是可以的，即便对方并没有在等待。

这个在 TCP 里叫「simultaneous open」，用于 TCP 打洞。但是比起 UDP 打洞难多了，因为那个「simultaneous」字眼：必须同时调用connect，双方的 SYN 包要交叉，早了或者晚了都是会被拒绝的。

所以手工就办不到啦，在本地测试也不容易办到。我本地的系统时间是使用 NTP 同步的，再用一个时钟也和 NTP 同步的 VPS 就可以啦，我这里延迟 80ms 左右，足够那两个 SYN 「在空中会面」了。以下是代码：

#!/usr/bin/env python3

import time
import sys
import socket
import datetime

def wait_until(t):
  deadline = t.timestamp()
  to_wait = deadline - time.time()
  time.sleep(to_wait)

s = socket.socket()
s.bind(('', 1314))

if sys.argv[1] == 'local':
  ip = 'VPS 的地址'
else:
  ip = '我的地址'

t = datetime.datetime(2015, 8, 19, 22, 14, 30)
wait_until(t)
s.connect((ip, 1314))

s.send(b'I love you.')
print(s.recv(1024))

当然，我是公网 IP。在内网里包就不容易进来啦。

然后双方在约定的时间之前跑起来即可，结果是这样子的：

# 本地
>>> python3 t.py local
b'I love you.'

# VPS 上
>>> python3 t.py remote
b'I love you.'

一个人也可以建立 TCP 连接呢

如果你没有 VPS，或者没有公网 IP，也是有活动可以参与的哦。即使只有一个 socket，也可以自己连接到自己的：

>>> import socket                                                               
>>> s = socket.socket()
>>> s.bind(('127.0.0.1', 1314))
>>> s.connect(('127.0.0.1', 1314))
>>> s.send(b'I love you.')
11
>>> s.recv(1024)
b'I love you.'

netstat 输出：

>>> netstat -npt | grep 1314
tcp        0      0 127.0.0.1:1314          127.0.0.1:1314          ESTABLISHED 8050/python  

有个需求，保存一个网页里的所有图片。

看上去是件简单的事情，拿火狐的 DownThemAll 扩展下载不就好了么。

然后发现那个网页仅限移动版访问。好吧，装个 UserAgent Switcher。然后发现它是通过 JavaScript 检测 UA 的，而 UserAgent Switcher 只改了 HTTP 头里的 UA。好吧，换个 muzuiget 的 User Agent Overrider。然后发现那些图片是动态加载的，DownThemAll 根本看不到地址。后来知道「查看网页信息」的「媒体」选项卡里也是可以保存图片的，不过那里显示的图片也不全……

于是我怒了，放弃继续尝试不同的工具，决定用程序员的方式来解决问题。

我管你怎么加载的，你总归是要从网络上下载图片不是么？那我就拿个代理把你访问过的所有图片全部保存下来好了 :-)

打开 mitmproxy 文档页，发现并没有现成的保存文件的功能。但是没关系，可以写脚本。看看示例，迅速写了以下不到二十行代码：

#!/usr/bin/mitmdump -s

from __future__ import print_function

import os
from urlparse import urlsplit

from libmproxy.protocol.http import decoded

def response(context, flow):
  with decoded(flow.response):
    if flow.response.headers['Content-Type'][0].startswith('image/'):
      url = urlsplit(flow.request.url)
      name = os.path.basename(url.path)
      with open(name, 'wb') as f:
        f.write(flow.response.content)
      print(name, 'written')

当然这是最终结果。不过和初版差别不大，毕竟就这么点儿代码。思路也很简单，凡是经过代理的图片都存起来。有点粗暴，但是好用。

代理脚本跑起来。然后启动一个全新的 Google Chrome，一个没有任何缓存存在的实例：

google-chrome-stable --proxy-server=http://localhost:8080 --user-data-dir=new

访问目标页面，启用移动版模拟并刷新，就可以看到各种图片都被保存下来了～～