俞敏洪把当下社会分析的太真实了，他说，现在中国的一些小城市，尤其是县级或者地级市的城市，后面有着纵横交错的关系，人与人之间的相互勾连，会导致大部分没有背景和关系的人，很难混进去。 大城市，虽然表面看上去竞争很激烈，但是相互之间，并没有那么多乱七八糟的关系，所以在大城市混，凭借自己的能力想要出人头地，相比小城市更大一些。 所以这就是为什么，大城市，虽然身累但心会轻松，因为凭本事吃饭，靠的就是实力。只要你有能力有专业，不怕辛苦，你就有机会出头。 但小城市不一样，小城市是心累但身轻松，小城市不需要你在外奔波，不需要你掌握那么强的专业能力，可能把关系维护好了，这碗饭你就可以一直端着。 所以我劝各位年轻人，如果家庭条件允许，有一定的基础，那就守家在地吧，因为大城市几乎没有什么幸福指数可言。 相反，如果你有一腔热血，也有一股不达目的不罢休的精神，那你可以选择来大城市，这里不需要你维护谁的关系，更不需要你喝酒陪唱，只要你有本事，无数个平台都会给你施展手脚的机会。 @复见-今日头条...

人们普遍认为macOS比Windows更安全，于是乎很多中小企业就利用macOS来追求安全性，但对于完全依赖macOS来保证安全的中小型企业来说，这是非常危险的。比如，用户将找不到macOS中内置的类似Defender的安全中心。 在这篇文章中，我们将从三方面介绍macOS安全性，这对于目前没有在macOS设备上部署额外终端保护的企业来说是至关重要的。 苹果的平台安全策略 苹果关于在macOS上防范恶意软件介绍的最近一次更新是在2022年5月，最新公开文件指出，其恶意软件防御分为三方面： 防止恶意软件启动或执行：App Store或Gatekeeper与Notarisation的结合； 阻止恶意软件在客户系统上运行：Gatekeeper、Notarisation和XProtect； 修复已执行的恶意软件：XProtect，macOS 内建了称为 XProtect 的防病毒技术，可基于签名检测和移除恶意软件。系统使用由 Apple 定期更新的 YARA 签名，YARA 是一款用来基于签名检测恶意软件的工具。你可以认为它是 macOS 系统中的“Defender”。 不过这些技术的透明性和可做作性都不是太好，例如，不可能允许或排除用户或设备之间的特定应用程序或代码。在单个设备上，用户可以制定非常广泛的系统策略决策，例如允许或拒绝来自App Store外部的所有应用程序，但即便如此，除非系统由移动设备管理平台(MDM)解决方案管理，否则本地用户在没有管理员权限的情况下也可以覆盖该策略。 从企业安全的角度来看，更令人担忧的是，几乎看不到哪些代码被阻止，何时以及为什么被阻止，也不清楚这些扫描是何时执行的，也不知道它们的有效性。另外就是恶意软件修复会在后台悄无声息地发生，而不会向用户发出提示或警告。在企业环境中，这些远远不够的，因为安全维护人员无法掌握信息。如果要充分保护企业，安全团队需要了解恶意软件是何时出现在系统的，存在了多长时间以及恶意软件的攻击源在哪里等。 1. XProtect签名经常会忽略一些最新的恶意软件 根据苹果的说法，macOS内置了名为XProtect的防病毒技术，用于基于签名的恶意软件检测和删除。该系统使用YARA签名，这是一种用于进行基于签名的恶意软件检测的工具，苹果会定期更新。 苹果XProtect的最后一次更新，包含这些YARA签名的bundle是在6月29日开发的，但根据设备的位置，更新可能要几天后才能发布。 不幸的是，这次更新没有包括对文件签名的任何更改，苹果称这些更改增强了XProtect的阻止能力。YARA文件具有与去年2月更新的版本2166相同的哈希。 如果从版本号来看，在过去的12个月里，XProtect的YARA规则应该有7次更新，但实际上在网络安全公司SentinelOne的测试设备中只观察到3次。此外，去年11月发布的2165版本与最近发布的版本之间的区别仅仅是增加了针对两个恶意软件家族的规则：一个针对Keysteal，2019年2月7日。德国安全研究人员 Linus Henze 发现了 macOS 零日漏洞,名为“KeySteal”,它可以用来获取 Mac 用户在钥匙串访问应用中存储的所有敏感数据；另两个是Honkbox。 由于在过去的几个月里，SentinelOne和许多其他供应商都报告了多种新的macOS恶意软件，因此完全依赖XProtect规则的用户和管理员应该提高防护意识。 2. XProtectRemediator会隐藏攻击痕迹 XProtect Remediator 是对现有 XProtect 系统工具的补充。去年九月，在 macOS 12.3 Monterey 发布前后，苹果悄悄为其 XProtect 服务推出了一种新的 XProtect Remediator 工具，该工具可在后台检查恶意软件。XProtect Remediator 会更频繁地查找恶意软件并在检测到恶意软件时对其进行修复。尽管苹果的主要恶意软件拦截工具缺乏更新，但其一直在定期地更新其MRT替代工具XProtectRemeditor。XProtectRemeditor每天每隔6小时运行一次，查找已知恶意软件家族。 对于信息窃取者来说，6个小时的时间太长了，尤其是他们只需要几秒钟就可以完成工作。会话cookie是攻击者进一步潜入组织的主要目标，并将单个Mac的攻击转化为严重的漏洞，例如最近在CircleCI发生的情况。CircleCI是一个非常流行的CI/CD持续集成开发平台，号称向超过一百万软件工程师用户提供“快速可靠的”开发服务。 如上所述，macOS上没有用户界面来让用户了解哪些恶意软件已被修复，何时以及如何被引入系统。然而，从macOS Ventura开始，没有第三方可见性工具的系统管理员可以尝试利用macOS 13引入的eslogger工具。Apple 并不经常为我们提供专门针对安全性的新工具，但 ESLogger 看起来对安全从业人员、恶意软件分析师和威胁检测工程师来说可能非常有用。根据发布的该工具的手册页，ESLogger 与 Endpoint Security 框架共同记录 ES 事件，这些事件可以输出到文件、标准输出或统一的日志系统。Apple 还通过向 ES 框架添加更多 NOTIFY 事件来重申其对第三方安全产品的承诺，并且 ESLogger 支持现在在 macOS Ventura 中可用的所有 80 个 NOTIFY 事件。ESLogger 为研究人员提供了对安全相关事件的急需且方便的可见性，而无需部署完整的 ES 客户端。 不幸的是，eslogger并没有考虑到企业规模。这将需要一些基础设施和外部工具，以便将整个检测结果带入一个可以监控和挖掘数据的中央数据库。在这两种情况下，除非安全团队积极主动，否则苹果的XProtectRemediator将会在发现恶意软件时悄悄地将其删除，而不会提醒用户或管理员曾经发生过攻击。类似地，该工具既不会警告也不会记录可疑恶意活动，因为它没有明确地编程工具来检测。 对企业和苹果来说，依靠这种补救方式来提高自身安全是一种高风险的策略。在这种情况下，误报的风险可能会对用户和企业造成严重伤害，所以苹果很可能在检测和默默删除方面设计了非常保守的工具。 对于企业来说，无法接收警报和难以检查日志意味着，XProtectRemeditor几乎不可能发现遗漏的感染，也不可能追踪其删除的感染的根本原因，也不太可能进一步调查事件及其对组织的影响。 3.XProtectBehaviorService：隐藏检测活动 苹果公司最近增加了一项恶意软件检测技术，该技术尚未公开发布，名称为XProtectBehaviorService。 目前，该服务只是静默地记录违反某些预编程行为规则的应用程序的详细信息，这些规则目前在/usr/libexec/syspolicyd中定义。 这些规则(内部称为“堡垒规则”)在位于/var/protected/xprotect/ xpdb的隐藏sqlite数据库中记录违规行为。值得称赞的是，苹果正在记录对Slack和Teams等企业应用程序以及各种浏览器和聊天应用程序中数据的访问。然而，问题仍然存在，苹果打算为用户，特别是管理、IT和安全团队提供什么访问权限，以及在进一步操作过程中收集的信息。例如，这些日志最近被用于调查APT攻击，该攻击感染了四个macOS Ventura系统，XProtect既没有成功阻止该攻击，XProtectRemediator也没有将其删除。 尽管这些数据现在可以由事件响应人员找到，但收集这些数据并学习如何使用这些数据却落在了负责安全的人员的肩上。上述示例说明那些完全依赖苹果提供保护的It团队，必须主动分析他们的macOS设备，并挖掘苹果隐藏的日志和监测数据。 总结 如上所述，苹果在安全方面的做法与其他操作系统供应商不同，这本身并无好坏之分，重要的是管理员要清楚地知道他们的操作系统是如何处理安全事件的。一个好的、安静的系统并不一定意味着一个安全可靠的系统。 了解公司终端上发生的事情是保护设备的第一步，在macOS后端发生的与安全相关的事件比面上看到的要多得多。...

警方破获非法注册贩卖微信号300余万个新型高科技犯罪团伙； 2023年8月13日，据报道，山东淄博一犯罪团伙利用境外通讯软件Telegram联络，非法注册微信号300余万个，非法获利达到1000余万元，该网点已被当地公安查获并彻底打掉。警方介绍，犯罪窝点的客厅内摆放了四个铁架子，上面布满手机，且每台手机均自动输入手机号、密码完成微信账号注册流程。 而这些自动生成的微信号，则通过Telegram与境外团伙完成微信账号买卖交易。经侦查人员清点发现，该犯罪窝点拥有用来注册微信号的手机达3000余台，前后总共注册微信号300余万个，用于电信诈骗、网络**屏蔽敏感词**等犯罪活动。此前，中央政法委日前召开全体会议指出，当前境外电信网络诈骗集团手段多样、胁迫毒辣、金额庞大、组织严密、分工明确、诈骗手段日趋多样。同时，提出坚持系统治理、依法治理、源头治理，依法从重打击境外电信网络诈骗等违法犯罪活动，依法从重打击境内协同犯罪人员，坚决维护人民群众切身利益。 广西一公司泄露22万个人信息，当地公安依据网络安全法罚款20万元   近日，广西北海公安网安部门在查处一起涉个人信息保护违法案件时发现，北海某网站存在数据泄露问题，网站约22万个人信息数据被挂在境外论坛售卖。经查，涉案公司主要提供网上咨询服务，建设有一网站，在日常工作中收集了个人和企业等大量公民信息，但未能按照《中华人民共和国数据安全法》《中华人民共和国网络安全法》以及有关等级保护工作要求落实网络安全保护主体责任。公司网站服务器安全防护措施不足，仅能对SQL注入、XSS、WebShell等简单攻击手段进行防御，网站存在被多个境外IP攻击入侵的情况。此外，公司未采取数据加密等有效的技术保护措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失，且在发现公司发生个人信息泄露的情况下，未及时告知用户和主动向公安机关报告。该公司还存在网站日志只存储30日，网络日志留存不足六个月及相关安全管理制度缺失等问题。 对此，广西北海公安机关根据《中华人民共和国网络安全法》第四十二条的规定，对公司及直接负责人员分别作出罚款20万元、3万元的行政处罚。同时，北海网安部门应用网络与信息安全信息通报机制，将该案例通报各党政机关单位，监督指导其落实主体责任，提升网络安全保护能力和水平。下一步，公安机关将继续严格落实《网络安全法》《数据安全法》及《关键信息基础设施安全保护条例》等法律法规要求，全方位加强网络安全监督检查，持续高压严打违法行为，监督指导网络运营者依法履行安全保护责任和义务，做好源头防控，减少违法犯罪发生，坚决维护国家网络安全和数据安全。...

就算离地千里、时速万里，遨游太空的计算机仍然是计算机，并没有变成其他什么神奇物种。而每台联网计算机都存在其攻击面。 长期以来，研究人员、国家，甚至普通网络罪犯都展示过如何劫持卫星技术的控制与通信。就在去年，特别军事行动发起之日，俄罗斯黑客就搞垮了乌克兰卫星互联网服务提供商Viasat。而在11月18日，亲俄罗斯的激进黑客组织Killnet对SpaceX的星链系统发起了分布式拒绝服务（DDoS）攻击，试图阻止该公司为乌克兰边境地区提供网络服务。最近，瓦格纳集团宣称为俄罗斯互联网提供商Dozor-Teleport的临时中断负责。据称，该雇佣兵组织通过将恶意软件上传到多个卫星终端来实现了这一点。 很明显，黑客可以破坏卫星链路，那么卫星本身及盘旋在地球上空的那些固件和软件呢？都是暴露在太空的设备。 在拉斯维加斯举行的2023年美国黑客大会上，德国波鸿鲁尔大学博士研究生Johannes Willbold将演示黑客如何将卫星玩弄于股掌之间。 Willbold坦承：“确实存在隐匿式安全，但除此之外，很多卫星并未采取任何其他措施来防止滥用。” 01 卫星依靠隐匿式安全   在今年早些时候发布的一篇论文中，Willbold和五位同事咨询了代表17种不同型号卫星的19位工程师和开发人员。这17个案例的其中三个受访者承认卫星没有采取任何措施来防止第三方入侵。在五个案例中，受访者不确定或拒绝置评，而其余九个案例里确实实现了一些防御措施。不过，即便是表现稍好的那些也不是固若金汤，比如说，这九个案例中只有五个实现了某种形式的访问控制。 “除了隐匿式安全，我们观察的卫星有太多就这么毫无防护地高悬空中。”Willbold称。 在这个问题上，卫星制造商可以蒙混过关，因为这个行业是如此封闭。长期以来，行业专业人士同时充当着看门人的角色，阻止潜在攻击者和安全分析人员窥探卫星内部。 Willbold及其团队直面这一现实。他们花了整整四个月才招募到这19名受访者。在论文中，Willbold团队哀叹：“总体而言，人们非常不情愿透露关于他们卫星及其安全方面的任何细节。” 问题在于，卫星不再像以前看起来那么晦涩难懂了。 02 卫星的构成   Willbold解释道：“可以想见，昂贵的大型卫星上装载着各种非常专业的抗辐射硬件，这是深入太空所明确需要的。” 但是，大多数卫星都漂在近地轨道（LEO）上，不需要那么专业的抗辐射硬件。 “近地轨道上的计算硬件跟地球上的嵌入式设备没什么两样，因为这种东西都是现成的，而且很便宜。”Willbold解释称。比如说，“你可能会在LEO卫星上发现常规ARM板，就跟地球上常见的嵌入式设备一样——汽车行业所用同款处理器。” 在软件方面，卫星往往采用VxWorks之类实时操作系统（RTOS），甚或基本的Linux，比如SpaceX的星链就用了Linux。最近几年，卫星开始采用更为现成的开源组件，而且以多种方式连接的通信和控制系统还能连接普通企业网络。 这些熟悉的技术打开了各种潜在的入侵之门，例如通过现成组件进行的供应链攻击。 或许，借助不设防的通信链路劫持航天器还来得更为容易。 “只需要花1万美元搞个直径两米的碟形天线，黑客就能拥有自己的超高频（UHF）和甚高频（VHF）地面站。然后你就能跟大量近地轨道卫星通信了。”Willbold警告称。 然而，时机是个主要障碍。Willbold指出，卫星链路已经很慢了，“而由于地球的形状，你每次看到卫星的时间也就能持续10分钟”。 近地轨道卫星时速上万公里，大约90分钟绕地球转一圈。 “如果你想延长与卫星通信的时间，你就需要多个地面站。只要有足够多的地面站，你最终就能一直与卫星通联，但这显然会变得非常昂贵。” 03 劫持卫星危害很大   卫星撑起了我们生活中一些最为关键的部分和一些相当日常的方面。卫星给我们提供了GPS和电视信号。我们借助卫星跟踪并预测天气，通过卫星与万里之外的人联系。工程师、研究人员、农民和军事情报官员都依赖太空探测器。 “结果明显取决于你实际突破了卫星的哪个部分。”Willbold说道，“比如说，入侵了观测卫星的总线系统。那你或许就能将你的技术升级到有效载荷系统。然后，你就可以盗取本无权访问的图像，甚至可能引入伪影或将伪影从图像中移除，就像数据篡改一样。” 自此，染指卫星的种种可能性只会变得更加异想天开，尤其是你开始考虑航天器的推进器时。 举个例子，未经授权的操作员可能会将卫星转向太阳，造成物理损坏和拒绝服务，或者改变卫星的轨道导致碰撞。 “如果两个轨道匹配，”他解释道，“那你至少就有可能试图撞击其他卫星，或者对轨道上的其他人造成威胁。” 04 卫星安全的未来   最依赖卫星的政府和军方处在卫星防御的最前线。 为开始应对这一威胁，2022年3月，美国联邦调查局（FBI）和网络安全与基础设施安全局（CISA）建议卫星通信提供商实施加密、监控和修复等基本安全预防措施。两个月后，美国太空军第6太空三角翼部队（Space Delta 6）新增四个中队，促进军事防御并使老化的卫星控制基础设施现代化。美国国家标准与技术研究所（NIST）和MITRE，以及非营利政府承包商Aerospace Corp.，针对太空威胁进行了威胁建模分析、遭遇太空威胁的应对框架。 整个安全界也都参与了进来。6月6日，美国空军和太空军与非营利政府承包商Aerospace联合举办了“黑掉卫星”（Hack-a-Sat）夺旗赛，这是围绕在轨黑客沙箱“Moonlighter”展开的一场卫星黑客竞赛。在其他地方，开发人员还测试了抗量子计算的信道，用于同航天器进行数据传输。 未来几年里卫星安全将走向何方我们不得而知。 “航天工业已经延续了几十年。”Willbold说道，但另一方面，“我们又有多少次见证了几十年来一直以一种方式运作的东西瞬间改变？”...

近期，西方执法部门加大了针对匿名托管服务、DDoS攻击服务等网络犯罪源头的打击力度。“Kirin博客”注意到，多家存在了许久的大型网站或者平台服务已经被国际执法合作摧毁。 美国当局取缔防弹托管提供商Lolek Hosted 著名的防弹（bulletproof）托管平台Lolek Hosted已被美国和波兰警方关闭，以限制欺诈者使用支持匿名在线行为的工具。 该行动逮捕了五人，并没收了涉嫌为Netwalker勒索软件攻击和其他恶意活动提供便利的服务器。此次行动是美国当局在过去几年中积极努力阻止防弹托管服务运营的结果，这些努力基本上取得了成功，其中包括对这些平台的重要运营商判入狱等重大成功。 Lolek将自己宣传为“100% 隐私托管”服务，并实行无日志政策，这意味着他们不会在其服务器或路由器上记录任何可能用于指控客户的活动。 Lolek平台为黑客提供了匿名性，并经常用于恶意活动，例如恶意软件分发和协助网络攻击。   联邦调查局和美国国税局早在周二就在Hosted网站（lolekhosted[.]net）上展示了一条扣押横幅。 横幅上写着：“该域名已被联邦调查局和国税局刑事调查局扣押，作为针对Lolek Hosted采取的协调执法行动的一部分。” Lolek Hosted的历史 自2009年以来，Lolek Hosted是一家知名的防弹托管服务商，总部位于英国，数据中心位于欧洲。Lolek是暗网上的一个热门供应商，在有关匿名托管服务的报道中经常提到该网站。 该服务将自己定位为臭名昭著的CyberBunker服务的竞争对手，后者已于2019年关闭。 虽然承诺保护客户的身份安全，但该防弹托管提供商却对用户发布的内容视而不见。 这些企业因向犯罪分子出租IP地址、服务器和域名而臭名昭著，犯罪分子利用它们传播恶意软件、建立僵尸网络大军以及进行与欺诈和网络攻击相关的其他活动。 近年来美国当局一直在打击参与防弹托管服务的个人 近年来，美国执法部门一直致力于追查防弹托管公司的运营者，追究个人责任并处以严厉处罚。 美国司法部于今年6月判处39岁的Mihai Ionut Paunescu三年联邦监禁，罪名是他协助管理防弹托管公司PowerHost[.]ro。 爱沙尼亚30岁的帕维尔·斯塔西（Pavel Stassi）和立陶宛33岁的亚历山大·肖罗杜莫夫（Aleksandr Shorodumov）均因经营一家防弹托管公司、在2009年至2015年间协助对美国目标发动攻击而被判处两年以上监禁。 俄罗斯公民亚历山大·格里奇什金（Aleksandr Grichishkin)因创立和经营防弹托管业务而于2021年被判五年徒刑。 伊利诺伊州一名33岁的居民也因拥有和运营DDoS 促进网站DownThem.org和AmpNode.com而被判入狱，这两个网站还为用户提供防弹服务器托管。 该打击行动更多内幕被欧洲刑警组织和美国司法部公开 虽然联邦调查局和美国国税局本周早些时候拒绝就调查发表评论，但欧洲刑警组织和司法部宣布查获 Lolek，并在波兰逮捕了五名管理员。 “本周，波兰中央网络犯罪局（Centralne Biuro Zwalczania Cyber​​przestępczości）在卡托维兹地区检察官办公室（Prokuratura Regionalna w Katowicach）的监督下对LolekHosted.net采取了行动，这是犯罪分子用来发动网络攻击的防弹托管服务世界各地。”欧洲刑警组织的公告中写道。 “五名管理员被捕，所有服务器被查封，LolekHosted.net网站已无法使用。” 欧洲刑警组织表示，Lolek被抓获是因为网络犯罪分子利用其服务器发起DDoS攻击、分发信息窃取恶意软件、托管命令和控制服务器、托管虚假在线商店以及开展垃圾邮件活动。 接着，美国司法部的一份公告揭示了警方行动的更多信息，该公告称，一位名叫Artur Karol Grabowski的波兰人昨天因运营LolekHosted而受到指控。 虽然尚不清楚Grabowski是否是在波兰被捕的管理员之一，但司法部表示，他允许客户使用假名注册、频繁更改服务器IP地址以及通知客户进行法律咨询，从而促进了网络犯罪。 Lolek托管服务被Netwalker勒索软件团伙使用 美国司法部还表示，Grabowski涉嫌协助现已中断的名为Netwalker的勒索软件业务，其在攻击中租用了50多次服务器，用于入侵网络并存储窃取的数据和黑客工具。 DOJ 声明中写道：“LolekHosted的客户利用其服务对包括佛罗里达州中区在内的世界各地的受害者实施了约50次NetWalker勒索软件攻击。” “具体来说，客户利用LolekHosted的服务器作为中介，在未经授权的情况下访问受害者网络，并存储从受害者处窃取的黑客工具和数据。” 执法部门于8月8日在FBI和IRS牵头的行动中扣押了这家防弹托管提供商的服务器，欧洲刑警组织提供支持，将可用数据与欧盟境内外的各种刑事案件联系起来，并追踪加密货币交易。 Grabowski现在面临共谋计算机欺诈、共谋电信欺诈和国际洗钱的指控，如果全部罪名成立，可能会被判处45年监禁。 Telegram中著名的DDoS频道DDoS Empire被FBI取缔 8月5日，一家名为”DDoS Empire“的大型DDoS攻击雇佣服务提供商的Telegram频道宣布，其网站与频道被联邦调查局与欧洲刑警组织的联合行动中被接管。   联邦调查局更改了该频道的名称（It was seized by the FBI and the European police force.）和形象（FBI的logo）。 DDoS攻击雇佣服务 DDoS攻击是攻击者最青睐的武器之一，DDoS攻击雇佣服务（”DDoS即服务“）因其成本更低、更简单、更容易获得而受到欢迎。DDoS攻击服务的另一个优势是提供匿名性，因为攻击者和接收者之间没有个人联系。 DDoS攻击雇佣服务承诺，攻击将更具破坏性，持续时间更长，目标无疑将遭受巨大损失。攻击者声称，他们可以通过每分钟1500万次请求和80万个僵尸网络使目标系统瘫痪，即使是Vshield和Cloudflare等受DDoS保护的系统也不例外。...

最近在站长圈很多人在传某SEO培训大咖出事了，站长朋友给出的理由如下： (1)他的公众号从2月份到现在已经半年不更新了。 (2)松松视频陪跑群一位成员他说也是该人的学员，去年在他那交的费，找不到人了。 (3)百度搜索下拉框该SEO大咖，出现的全是负面消息。例如跑路了吗?进去了吗?被抓?等等下拉词汇，都是负面信息。 总之，这件事在群里越传越凶。甚至群里还一个人说，他已经被抓几个月了，原因是割韭菜割的太狠了，线下聚会的时候，直接实名举报，把他搞进去了。 同时，还有另外一个重量级大咖发朋友圈曾表示说： 都说他进去了，我只能说这是我能够预料的事情，2014年认识他已经10年，2018年参加我的线下面授课(还是白嫖的)以后回去做黑帽SEO培训，再然后屏蔽我，所有客户称只是讲的算法也好、策略一和，基本上都可以从我17年到18年讲的东西找到一样的答案，我觉得人应该怀有感恩，不让容易找不到北。 因为这事均为网传，并没有真实定论，本文均为匿名。 首先，黑帽SEO就是灰色擦边行为，市场上谈到的黑帽SEO基本都是这样，这个100%肯定。如果他的黑帽SEO涉及到一些“个人信息”“FQ”“批量点击”等行为，那基本没跑了。 其次，如果说自己没有做黑帽SEO而是培训。那就容易涉嫌欺诈行为、非法经营行为，如果说一旦“割韭菜”一旦被举报，那100%没跑了。轻则行政罚款，重则进去踩缝纫机。一般这种情况都是“收钱不办事”!...

自2023年年初，深信服深瞻情报实验室监测到大量来自南亚地区的APT组织针对我国科研院所开展定向窃密攻击，其中航空航天领域成为其攻击核心，国内有关科研单位和高校相继受到攻击。通过深度参与事件调查，我们逐渐可以揭示出本轮攻击的模式与特征，以及潜藏在攻击活动背后的野心。 航空航天领域高速发展引来知识产权窃密风险 我国的航空航天事业自新中国成立以来就始终保持着高速发展的态势。近年来随着C919大飞机、天宫空间站、歼-20、神舟十六号载人航天等项目的顺利运行,我国在航空航天技术领域取得巨大突破，逐渐走在了世界前沿。然而高速发展带来的不止是荣誉，也伴随着一些负面问题，在竞争激烈的时代，窃取知识产权成为一种较低成本的快速追赶手段。 基于此，源自南亚地区的SideWinder（响尾蛇）、Bitter（蔓灵花）、Patchwork（白象）、Donot（肚脑虫）、CNC等APT组织闻风而动，开始在网络空间大肆活跃。为获取政策情报、军事秘密、科研进展、知识产权等数据，上述组织近年来持续对我国及南亚部分国家开展攻击，攻击范围包括政府部门、国防军工单位、科研院所等。 西工大遭受网络攻击以来，科研院所一直是APT攻击的重要目标，据监测，2023上半年受攻击的相关单位至少包括5所高级院校以及1所高级科研单位。 其中最引人注意的是CNC组织针对某学校的攻击事件。此次攻击自23年1月起筹划，定向针对某重点实验室实施窃密攻击。据历史披露，CNC组织2021年6月，就曾在我国神舟十二号载人飞船成功点火升空，与天和号核心舱对接之际，针对我国航空航天领域相关单位发起集中攻击。 本轮攻击的模式与特征 （一）伪装境外学术期刊钓鱼 历年来我们对印度APT组织的印象是广泛使用钓鱼邮件作为攻击入口，这些钓鱼邮件通常会蹭当下社会新闻热点，例如疫情话题，招聘话题等。而在近期CNC组织针对某学校的攻击活动中，攻击者结合目标的特点，使用了更加定向的投递方式，即仅向近期即将发表论文的作者发送“论文校对”或“论文确认”邮件，邮件内容除链接外，均与真实邮件完全相同。该特征在不同目标中多次出现，具有稳定性，攻击成功率极高。 具体来说，推测攻击者首先通过其他渠道，获得多个研究人员个人邮箱，监控其中的论文投递情况，当出现近期投递的论文，攻击者在适当的时间，模拟期刊方，仅向几位文章作者发送“论文校对”邮件，邮件包含该论文的编号、投递时间、在线发表地址等信息。 由于论文作者都密切关注其论文投递后的状态变更，且发件人刻意模仿期刊方，文章编号等这类保密信息真实，作者通常会无防备的点击该邮件中的链接，如下图红框所示，哪怕恶意超链接以明文形式展示，也会有受害者点击。同时，由于发送的校对邮件极真实，不排除国际上多个航空航天相关期刊的邮箱也遭到窃取，攻击者从此处获得某期刊论文校对邮件模板。 在CNC组织针对另一学校的攻击中，我们看到以“论文确认”为主题的钓鱼邮件，该论文同样为受害者近期在投的文章。 调查中，由于攻击者配置错误，我们在攻击者托管下阶段恶意样本分发的服务器中看到了其他期刊的相关载荷，如下表，充分印证了攻击者正积极采用这种手法进行攻击。 名称 组织 组织网站 Journalx_kjdb 科技导报 kjdb.org aippublishing 美国物理联合会出版社 publishing.aip.org aipscitation 美国物理联合会出版社 publishing.aip.org apcats2023 航空航天技术与科学亚太会议 apcats2023.org eg2.novatechset Nova Techset电子出版 novatechset.com hindawicentral Hindawi出版社 hindawi.com Journalx_yhxb 宇航学报 yhxb.org.cn sciencedirect sciencedirect期刊 sciencedirect.com asmesociety 美国机械工程师学会 asme.org sprintnature 施普林格·自然出版社 springernature.com   （二）伪装境外业内大牛钓鱼 除了“论文”主题外，攻击者还模仿领域内某位韩国知名教授，向航空航天相关专业的老师发送会议邀请函。邀请函正文从某个真正受到邀请的老师邮箱中获得，收到邮件的老师都熟识该教授，部分老师出于信任点击了恶意链接。 由于攻击者对邮件内容非常自信，攻击者近乎嚣张地与多名老师进行了近十轮的邮件交流而未被识破，交流中攻击者以“核对参会人信息”等方式，十分自然地发送携带恶意链接或附件的邮件使受害者中招。 （三）跨网段的U盘传播模式 攻击手段除安装各类文档窃密程序外，还投递了可通过U盘进行大范围传播的恶意样本，此类恶意样本通过不间断地监控目标主机是否有新的移动设备或存储设备接入，当检测到新的设备接入时，将自身复制到新设备中并进行伪装。此类样本不仅具有跨网段传播的功能，还下载后续阶段的其他样本进行驻留。这种意图跨越隔离网络，多种传播方式共用的方式，充分契合高校科研实验室网络架构。 恶意样本将自身复制到U盘后，伪装成图片，并取名为“私人图片.png”，引诱其他使用该U盘的受害者点击。在事件调查过程中，已经多次提醒注意不打开未知文件的情况下，仍有受害者出于好奇打开“私人图片”，使样本在内网进一步传播。   （四）高度定制化木马，明确的窃密目标 CNC组织针对高校的攻击手法如下图，经过多阶段的恶意程序下载释放，最终主机中会落地文档窃取程序。 攻击者通过钓鱼邮件成功攻陷主机后进行信息收集，后续对文档窃取程序进行定制化开发，窃取攻击者感兴趣的目标，例如在某校发现的样本中存在硬编码的最近文档路径，在另一发现的样本中存在硬编码的微信聊天文件路径和杂项路径。 攻击中使用的基础设施分析 对本轮针对航空航天领域攻击中使用的IP基础设施所属地理位置进行分析，其使用的C2地理位置集中在欧洲地区。 攻击者在后阶段样本中多次使用第三方平台github作为载荷和C2托管平台，“59degf”、“xerox211”、“kkrightjack”等账号接替出现。 “59degf”于2022年5月26日加入github，并且活跃到2022年8月，不排除后续继续使用。 其首先创建“stylefonts”仓库，并上传一份pip9.0.3的安装包进行伪装，接着上传多个文件，并将加密C2信息存储于其中。 其还会在该仓库中存放使用base64编码的载荷文件“jquery-img.css”，通过分析该载荷为GRAT2开源远控，且被用于历史活动。 其他的C2更新信息如下表。 时间 文件名 数据 2022.7.4 CustomLogktr56632404 menu-items#8080@Ulzc7AnSIBk7shxMu7bc+Z8PGYo= 2022.7.5 CustomLogktr56632404 background-color@8080:eJGipVAZxpwarQ4Rt+vXyg== 2022.7.5 CustomLogktr56632404 menu-items#8080@eJGipVAZxpwarQ4Rt+vXyg== 2022.7.5 CustomLog menu-items#8080@eJGipVAZxpwarQ4Rt+vXyg== 2022.7.5 CustomLog menu-items#8080@MoTyR1NbFGeJ7G7lhgos 2022.7.5 CustomLog1 menu-items#8080@MoTyR1NbFGeJ7G7lhgos 2022.8.4 License-rtm.txt 6ZBsOoSsfGBn4RVOdh49BhEBvX5tc18=（解密为https://94.140.115.232/） 2022.8.5 License-rtm.txt 6ZBsOoSsfGBv7AlRcxwiGRgDvX1seV/KybQNFZTCOGIm6JPNkdnI8Tl6Zv7A（解密为https://192.121.87.128/gtjuik75743.php?huyice） 另外，在分析的样本“e1d12807f017c8f827fe586a19b91f1f0903d0acbb693901762adfaab638f619”中提取出其通信的github URL为“https://raw.githubusercontent.com/59degf/charsets/main/fonts-store.txt”，并未发现其使用的charsets仓库，需持续观察。 “xerox211”于2022年9月28日加入github，并创建了仓库“service”，使用github存放加密的C2数据，当未获取到对应样本时无法对该数据解密。 2022年9月29日上传数据“21/3/231/347”（该数据格式暂不清楚）。 接着在2022年10月12日多次更新该数据。 将上述数据更新为"262/347/28/256”（该数据格式暂时不清楚），期间进行过多次格式调整。 接着在2022年11月4日将数据再次更新为“0x41,0x51,0x8d,0x3e,0x5e,0x70,0x21,0xc4,0x40,0xe5,0x7d,0xd6,0x7b,0x04,0x95,0x31,0xf0,0xc7,0xef”。 最终再次进行格式调整，将数据更新为“41518d3e5e7021c440e57dd67b049531f0c7ef”。 “kkrightjack”于2022年8月23日加入github，于2022年8月24日快速上传config.json文件后又在短时间内删除“msecnd-tray!8080$vH71iikBrM0YKkmpvugwHA==”。 2022年9月23日重新更新该数据为“msecnd-tray!8080$v5w0/D/EvtqeYBANF9Rrmg==”   附录：IoC IOC类型 IOC MD5 bffa445f8f99a05384c3a61b9eaabc2f ca7276e10fcf08ec118b7cdd4e191ae8 390f9430d01e499719e9a36af5489808 869d595bbc42335fcf27321b60421582 6c65f3eea8c6b85cfae319a85d39eb55 0d5554ffd44fb843e0f41dce571c78d5 9bba6c6eb20046e40e4c6bedff370614 3af8b5681908426e817f906ff0d08b6e ce3b254fc75fe4210aa509581ca42848 774f5270c753a8651e81a2886130908f 29bbb78c7a9873836d7e76198f9e1f6c 63944ca21aee1ea6f5cfed011c7173b0 040c572499115880acf1704cdf0c4aec f75ac8caca2e3b8f1becd26c7d6542d7 d3d227719260091b7bb58111f0b219fa 88b2e156b43b650705d895b595d59087 018bb9c176732dfc7879a6c3bca8e0aa 3a79ef175d63e504eb9442e64af12661 b1e792da3e146ebabc76219ffe2385a4 337899dc4fe9e74935678cf6fd067c31 ef6e329c6fb3eb2a93cabadd6798cd20 32fdd60c5366c924b3cceb95dadc4c2e 70f134f39ef48ea6f8be96bd05d299a2   ...

1 概述 安天CERT近期发现APT组织Konni的攻击活动，结合诱饵文件内容及以往的攻击活动推测，此次攻击可能为针对韩国企业进行的网络攻击。APT组织Konni的攻击活动最早可以追溯至2014年，并一直活跃至今。该组织长期针对俄罗斯、韩国等国家进行定向攻击活动，擅长使用社会热点话题作为诱饵对目标进行鱼叉式网络钓鱼攻击。 近期发现，Konni组织可能通过向目标投递与税务相关的ZIP文件实施攻击。在用户打开ZIP文件内的诱饵LNK文件时，执行设置好的PowerShell指令，打开LNK文件内包含的掩饰文档以及压缩包，执行压缩包内的脚本文件，设置注册表实现持久化机制，获取目标机的部分文件列表、进程列表等基础信息并回传至服务端，最终下载后续载荷并执行。 2 Konni攻击活动分析 表 2‑1 ZIP文件 Konni组织可能通过钓鱼攻击的手法投递税务相关主题的ZIP文件，ZIP文件内容如下表： 表 2‑2 ZIP文件内容 ZIP文件的内容如下图所示：   图 2‑1 ZIP文件内容 表 2‑3 LNK文件 上表中的LNK文件包含在ZIP文件内，LNK文件指向攻击者构造的一段PowerShell代码，该代码用于解码其中十六进制编码的数据并执行，将这段PowerShell代码提取出来如下所示。 图 2‑2 LNK文件指向的PowerShell代码 解码后的内容用于释放掩饰文档소명자료 목록(국세징수법 시행규칙).hwp到LNK文件所在的目录、删除LNK文件、提取内嵌的ZIP文件并将ZIP文件中的条目提取到%public%\documents目录下，最终执行start.vbs。   图 2‑3 释放后续文件 LNK文件内存储的掩饰文档及ZIP文件数据相连，数据结构如下图所示。   图 2‑4 LNK文件内存储的掩饰文档及ZIP文件 LNK文件释放的掩饰文档正文内容如下所示。   图 2‑5 소명자료 목록(국세징수법 시행규칙).hwp   申明资料目录（国税征收法实施规则） ZIP文件内包含的条目及对应文件的功能如下所示。   图 2‑6 ZIP文件内包含的条目 表2-4 ZIP内的文件及对应功能 ZIP文件内各文件之间的调用关系如下图所示：   图 2‑7调用关系图 start.vbs，该文件用于执行78788188.bat文件。   图 2‑8 Start.vbs文件 78788188.bat，执行流程如下： 判断是否存在bat，如果存在23965250.bat，会将Start.vbs添加至注册表RUN中实现开机自启动，执行23965250.bat、27355145.bat后删除23965250.bat文件。如果不存在23965250.bat，判断是否存在upok.txt文件，如果upok.txt存在，执行步骤2)；如果upok.txt不存在，执行27355145.bat，该文件用于收集本地数据并回传至服务端，然后执行步骤2)。 判断是否存在txt，如果存在pakistan.txt，删除该文件并退出；如果不存在pakistan.txt，执行步骤3)。 判断是否存在bat，如果存在temprun.bat，删除该文件，执行步骤4)；如果不存在temprun.bat，直接执行步骤4)。 执行bat，该文件用于下载文件。传递参数http[:]//overseeby.com/list.php?f=%COMPUTERNAME%.txt、%~dp0SbJAZ.cab、1，下载SbJAZ.cab文件。如果第三个参数为0，会进行加密传输。以上操作完成后，执行步骤5)。 解压cab到当前路径下，而后删除SbJAZ.cab并执行temprun.bat。以上操作完成后，执行步骤6)。 等待57秒，再次判断是否存在txt，如果不存在pakistan.txt，跳到步骤3)继续执行。若存在pakistan.txt，删除该文件并退出。 图 2‑9 78788188.bat文件 23965250.bat，执行流程如下： 调用bat，发送http请求，下载97157.zip文件，请求的网址为https[:]//naver.cloudfiles001.com/v2/read/get.php?hs=ln3&fj=bv8702。然后判断下载是否成功，如果97157.zip文件存在，执行步骤2)。如果该文件不存在，退出。 获取压缩包中的第一个条目的名字，如果该名字存在，以字符a作为密码解压zip，而后删除压缩包，执行步骤3)；若该名字不存在，直接删除压缩包并退出。 判断压缩包中的第一个条目对应的文件是否存在。若存在，使用exe执行该文件的Run导出函数，等待60s；若不存在，等待60s，退出。此次操作将会循环执行三次。 图 2‑10 23965250.bat文件   27355145.bat，执行流程如下： 获取C:\Users\%username%目录下downloads、documents、desktop以及C:\Program Files中的文件及文件夹列表，并将其输出到bat文件所在目录对应的txt、cuserdocu.txt、cuserdesk.txt、cprot.txt中。然后通过nslookup命令获取myip.opendns.com、resolver1.opendns.com的域名解析地址，通过tasklist和systeminfo获取进程列表和系统信息，将他们分别输出到对应的ipinfo.txt、tsklt.txt、systeminfo.txt中，然后执行步骤2)。 等待5秒后，调用bat，将其加密处理后上传到http[:]//overseeby.com/upload.php地址。 图 2‑11 27355145.bat 28499076.bat，该文件内部存在一个自定义的加密函数，获取当前时间作为密钥。该文件的主要功能为加密27355145.bat生成的存放信息的txt文件，并将传入的带有计算机名称的文件名在加密后，与key和加密后的txt文件一同上传到指定的URL。在上传成功后会删除txt文件并在当前目录下新建一个upok.txt文件。 图 2‑12 28499076.bat 60937671.bat，主要功能用于下载文件，可根据传递的第三个参数来选择是否进行加密传输。若选择加密传输，则会获取当前时间作为密钥，并将其作为参数添加到URL中传递至服务端。 图 2‑13 60937671.bat 3 关联归因 根据初始压缩包内的诱饵文档以及脚本代码的相似性进行关联，发现了几个同为税务主题的压缩包，压缩包内同样包含LNK文件，且LNK文件中的掩饰文档与ZIP数据相连。将包含在LNK文件内的ZIP内容提取出来，发现内部脚本的功能大致相同，部分文件在传输加密、变量命名和文件命名上存在不同。 对关联到的所有文件进行分析，压缩包内的恶意LNK文件及对应域名列表如下所示： 表3-1 LNK文件对应的hash、文件名及域名列表 其中最早发现的两个文件的上传、下载功能的脚本文件内并无加密函数。 图 3‑1 早期攻击活动中用于文件上传、下载的脚本 图 3‑2 之后捕获到的攻击活动中用于文件上传、下载的脚本 此次捕获到的样本中，存在从伪装成韩国Naver公司相关的URL中下载文件的行为，具体URL如下表所示： 表3-2 URL列表 归因分析： 诱饵文件类型均为HWP文件，为韩国常用的文档格式。诱饵文件的文件名与内容所用语言均为韩语，且诱饵文档内容为税务相关内容，与以往Konni组织的攻击目标相符[1]。 在代码层面，仍沿用之前的脚本模式来进行文件的调用、初步的信息收集、文件的上传与下载，代码结构及内容与以往攻击活动相似程度较高，部分内容存在重叠。 图 3‑3 左侧为本次攻击活动中的信息收集脚本，右侧为以往攻击活动中的信息收集脚本[2]   图 3‑4 左侧为本次攻击活动中用作文件调用和下载的脚本，右侧为以往攻击活动中用作文件调用和下载的脚本[2] 4 威胁框架映射 本次捕获到的Konni组织疑似针对韩国企业的攻击活动共涉及ATT&CK框架中9个阶段的15个技术点，具体行为描述如下表： 表4-1 本次Konni组织攻击活动的技术行为描述表 将涉及到的威胁行为技术点映射到ATT&CK框架如下图所示： 图 4‑1 本次Konni组织攻击活动对应的ATT&CK映射图 5 总结 根据捕获的样本内容并结合已有情报来看，Konni组织从今年年初开始便以采用税务相关主题的诱饵进行钓鱼攻击。该组织继续沿用以往的LNK攻击手法，将恶意脚本文件添加到压缩包内并嵌入LNK文件中，待受害者打开LNK文件，执行恶意脚本文件，下载后续载荷。相比于早些时间捕获到的样本，差别主要存在于脚本中新增的数据传输前的加密功能。 IoCs 参考资料 세무조사관련정상한글문서로위장한악성링크파일유포 https://www.boannews.com/media/view.asp?idx=113686 코니(Konni) APT 조직, HWP 취약점을이용한 'Coin Plan' 작전감행 https://blog.alyac.co.kr/2543 ...

一．摘要 获取网空测绘数据后，去分析数据和解读数据、让数据说话，这是 ZoomEye 团队常说的“赋予数据灵魂”，也是网空测绘的真正价值所在。网空测绘数据，不仅可以应用于网络空间领域，去感知网络空间层面的态势，也可以与其他行业领域的数据进行结合，通过分析挖掘去印证和感知现实实体空间的态势，进而发挥其更大价值。 印度和巴基斯坦是两个位于南亚的相邻国家。本文主要基于 ZoomEye 网络空间搜索引擎 [1] 的测绘数据，从多个维度进行两个国家的对比分析，并与其他行业领域的数据结合进行解读。 对比两个国家的人均 IPv4 地址拥有数量，印度略高于巴基斯坦，反映出印度的信息化水平略高于巴基斯坦；与南亚其他国家（例如不丹、斯里兰卡、尼泊尔、孟加拉）进行横向比较，这些国家的信息化水平处于同一层级别上；与信息化水平较高的国家（例如美国、韩国、英国、德国、日本）进行横向比较，差距比较大。 对比 2022 年两个国家在线IPv4地址（此处"在线IPv4地址"指的是对互联网开放某个端口提供某种协议服务的IPv4地址）占其IPv4地址总量的比例，印度高于巴基斯坦，说明印度在 IP 地址服务提供率上高于巴基斯坦，反映出印度的信息化水平高于巴基斯坦。 我们将近 4 年两个国家的 GDP 数值和在线 IPv4 数量的变化趋势结合起来观察，发现：两个国家的 GDP 数值和在线 IPv4 数量，在 2020 年均有明显下降，在 2021 年和 2022 年均为上升趋势。推测原因：受全球疫情影响，两个国家在 2020 年出现经济衰退，互联网应用服务相应较少，因此出现在线 IPv4 地址数量下降的现象；2021 年和 2022 年经济复苏，互联网应用服务也随之增加，因此在线 IPv4 地址数量呈现上升趋势。 对比两个国家使用了 SSL/TLS 协议的 IPv4 资产占总资产数量的比例，印度高于巴基斯坦；对比两个国家防火墙设备资产占总资产数量的比例，印度也高于巴基斯坦；这两个维度的数据对比，反映出印度的信息化建设安全水平高于巴基斯坦。 针对使用了 SSL/TLS 协议的 IPv4 资产，提取 SSL 证书中的关键词样例进行设备厂商的分析对比，我们可以发现：美国设备厂商在两个国家的市场覆盖率基本相当；相比较而言，中国设备厂商的市场覆盖率比较低。这些说明，在“一带一路”倡议的大背景下，中国设备厂商在海外的市场存在广阔增长空间。 二．国家概况对比 2.1人口和经济 印度的人口数量（14.13 亿）是巴基斯坦的人口数量（2.35 亿）的 6 倍 [2] 。在 2022年，印度的 GDP（国内生产总值） [3] 是巴基斯坦 [4] 的 9 倍，印度的人均 GDP 是巴基斯坦的 1.43 倍，如表1所示。受限于全球疫情影响，印度和巴基斯坦在 2020 年均出现明显的经济衰退；而在 2021 年和 2022 年，两国经济均有所复苏。从数据可以看出，印度的国家经济实力要强于巴基斯坦。 表1： 印度和巴基斯坦GDP比较 2.2电信运营商 印度的 5 家主要运营商 [5] ，其企业大股东所属国家均为印度自身；而巴基斯坦的 4 家主要运营商 [6] ，只有 1 家企业大股东所属国家为巴基斯坦自身，另外 3 家分别属于荷兰、挪威和中国 ，如表2所示。从这个维度上进行对比，可以一定程度上反映出：印度的通信基础设施能力要高于巴基斯坦，并且主要由国家自身进行主导。 其中，位于巴基斯坦的 CMPak Limited 企业（中文名：中国移动辛姆巴科公司），是中国移动在海外的第一张通信网络，也是中国移动参与“一带一路”建设的重要实践[7] 。 表2 ：印度和巴基斯坦主要运营商 三．拥有 IP 数量对比 3.1 IPv4 拥有总量 我们比较两个国家拥有 IPv4 地址的数量，及其年度变化 [8] 。详细数据见下表3。可以看出，印度作为 IPv4 地址拥有数量全球排名第 13 位的国家，其绝对数量值远大于巴基斯坦IPv4 地址拥有数量（全球排名第 51 位）；年度变化方面，2021-2023 年，两个国家拥有 IPv4 地址的数量整体呈上升趋势，推测与疫情之后两国经济复苏相关。 表3 ：印度和巴基斯坦拥有 IPv4 地址的数量比较 3.2 IPv4 人均拥有数量 IPv4 地址拥有数量绝对值的对比，未必能够真实反映两国信息化水平现状，因此，接下来我们比较两个国家人均 IPv4 地址的数量。详细数据见下表4。可以看出，印度的人均 IPv4 地址数量略高于巴基斯坦，一定程度上反映出印度的信息化水平略高于巴基斯坦；与信息化水平较高的国家（例如美国、韩国、英国、德国、日本）进行横向比较，差距比较大；与南亚其他国家（例如不丹、斯里兰卡、尼泊尔、孟加拉）进行横向比较，这些国家的信息化水平处于同一层级别上。 表4：IPv4 地址拥有数量对比 四．在线 IP 数量对比 4.1 在线 IPv4 数量及占总量的比例 对比 2022 年两个国家的在线 IPv4 地址（此处"在线IPv4地址"指的是，对互联网开放某个端口提供某种协议服务的IPv4地址），印度的绝对数量高于巴基斯坦；对比 2022 年两个国家在线 IPv4 地址占 IPv4 地址总量的比例，印度为 13.84%，巴基斯坦为 8.28%，如表5所示，说明印度在 IP 地址服务提供率上高于巴基斯坦，反映出印度的信息化水平高于巴基斯坦。 表5：印度和巴基斯坦在线 IPv4 数量及占总量的比例比较 4.2 在线 IPv4 数量的变化趋势 接下来，我们查看近 4 年两个国家在线 IPv4 地址数量的变化情况，详细数据见下表 6。可以看出，两个国家在线 IPv4 地址数量，在 2020 年均有明显下降，然后在 2021 年和2022年均为上升趋势。 表6：近 4 年印度和巴基斯坦在线 IPv4 地址数量的变化情况我们将近 4 年两个国家的 GDP 数值和在线 IPv4 数量的变化趋势结合起来观察，发现：两个国家的 GDP 数值和在线 IPv4 数量，在 2020 年均有明显下降，在 2021 年和 2022 年均为上升趋势，如图1、图2所示。推测原因：受全球疫情影响，两个国家在 2020 年出现经济衰退，互联网应用服务相应较少，因此出现在线 IPv4 地址数量下降的现象；2021 年和 2022 年经济复苏，互联网应用服务也随之增加，因此在线 IPv4 地址数量呈现上升趋势。 图1：印度近4年GDP数值和在线IPv4数量的变化趋势 图2：巴基斯坦近4年GDP数值和在线IPv4数量的变化趋势 五．设备资产数据对比 本章节，我们挑选具体的 IP 设备资产数据进行对比分析。 5.1 SSL/TLS协议资产和防火墙设备资产 我们提取这两个国家使用了 SSL/TLS 协议的 IPv4 资产，并统计其占在线 IPv4 总资产数量的比例，印度的该占比值为 23.17%，而巴基斯坦的该占比值为 7.87%，如表 7 所示。 然后，我们提取这两个国家的防火墙设备资产，并统计其占总资产数量的比例，印度的该占比值为 0.69%，相当于平均使用 1 个防火墙保护 145 个 IP 资产；而巴基斯坦的该占比值为 0.25%，相当于平均使用 1 个防火墙保护 400 个 IP 资产。 这两个维度的数据对比，可以一定程度上反映出：印度的信息化建设安全水平高于巴基斯坦。 表7：SSL/TLS协议资产和防火墙设备资产比较 5.2 不同厂商设备资产 接下来，我们针对使用了 SSL/TLS 协议的 IPv4 资产，提取 SSL 证书中的关键词样例进行设备厂商的分析对比。此处的数据分析是基于 SSL 证书中的关键词，所以，我们统计设备厂商资产数量占比比例的时候，不是统计其占在线总资产数量的比例，而是统计其占使用SSL/TLS协议资产数量的比例。（注：此处从 SSL 证书中提取设备厂商关键词样例，不代表覆盖全部厂商，也不代表覆盖一个厂商的全部设备型号。） 通过表 8 的详细数据可以看出，在这两个国家，4 个美国设备厂商资产数量占比基本持平。 表8：印度和巴基斯坦不同厂商设备资产的比较这个维度的数据比对，可以反映出：**美国设备厂商在两个国家的市场覆盖率基本相当；相比较而言，中国设备厂商的市场覆盖率比较低。**这些说明，在“一带一路”倡议的大背景下，中国设备厂商在海外的市场存在广阔增长空间。 六．结语 本文主要基于 ZoomEye 网络空间搜索引擎的测绘数据，从多个维度进行印度和巴基斯坦两国的对比分析，数据可以反映出印度的信息化水平要高于巴基斯坦。 网空测绘数据和国家GDP数据结合进行解读，可以反映出两个国家在2020年出现经济衰退，互联网应用服务相应较少，因此出现在线IPv4地址数量下降的现象；2021年和2022年经济复苏，互联网应用服务也随之增加，因此在线IPv4地址数量呈现上升趋势。 设备资产测绘数据的对比分析，可以发现美国设备厂商在这两个国家的市场覆盖率高于中国设备厂商；说明在“一带一路”倡议的大背景下，中国设备厂商在海外的市场存在广阔增长空间。 基于网络空间测绘数据，不仅可以感知网络空间层面的态势，还可以与其他行业领域的数据进行结合，通过分析挖掘去印证和感知现实实体空间的态势，这也是网空测绘数据的魅力所在。 七．参考链接 [1] ZoomEye 网络空间搜索引擎https://www.zoomeye.org [2] 国家人口数量https://zh.wikipedia.org/zh-hans/各国家和地区人口列表 [3] 印度的GDP数值https://en.wikipedia.org/wiki/Economy_of_India [4] 巴基斯坦的GDP数值https://en.wikipedia.org/wiki/Economy_of_Pakistan [5] 印度的电信运营商https://en.wikipedia.org/wiki/List_of_telecom_companies_in_India [6] 巴基斯坦的电信运营商https://en.wikipedia.org/wiki/List_of_telecommunication_companies_in_Pakistan [7] 中国移动筑就“一带一路”信息高速路http://ccnews.people.com.cn/n1/2019/0701/c141677-31204950.html [8] 国家拥有IPv4地址数量数据来源于埃文公司的IP地理位置库 作者：知道创宇404实验室English version: https://paper.seebug.org/2094/** ...

什么是网站免费收录？ 网络中的网站免费收录是指搜索引擎或者第三方网站收录平台免费为网站提供收录服务，即搜索引擎或者第三方网站收录平台将网站的内容加入索引中，使得用户可以通过搜索引擎或者第三方网站收录平台找到该网站。这种免费收录的方式对于网站主人来说，可以提高网站的曝光率和流量，为网站的推广和发展提供了便利。 搜索引擎通常会根据网站的质量和相关性对网站进行评估，评估结果越好，网站收录的机会就越大。而第三方网站收录平台为你提供外链支持，也将有利于搜索引擎对你网站的评价和网页的抓取。网站可以通过提高质量和关联性来提高被免费收录的机会，例如优化网站的内容、提高用户体验和提高网站的权威性和可信度等。此外，也可以通过提交网站地图和使用搜索引擎的工具和资源来提高网站收录的机会。 网站免费收录对网站 搜索引擎优化（SEO）有什么好处？ 1. 提高网站权威性 当一个网站被搜索引擎或者其他第三方网站免费收录平台免费收录后，相当于搜索引擎或者其他第三方网站免费收录平台认可了该网站的内容质量和价值，在搜索引擎或者其他第三方网站免费收录平台页面上也可以给用户显示该网站的相关信息。这会给用户带来一个更直观的认知，并建立网站在用户心中的权威形象，提高了网站的信誉度。 2. 提高网站的曝光率和流量 搜索引擎或者其他第三方网站免费收录平台页面是大多数用户了解网站的方式之一。当一个网站被搜索引擎或者其他第三方网站免费收录平台免费收录后，就可以在搜索引擎或者其他第三方网站免费收录平台页面上展示，并有更多的机会被用户点击，这可以明显提高网站的曝光率和流量、增长网站的知名度。 3. 可帮助网站提高关联性 搜索引擎通过对网站内容的解析、分析和评估，来确定网站和搜索关键词之间的相关性。当一个网站被搜索引擎免费收录后，说明该网站的相关性较高，这可以在用户搜索相关关键词时提供更多机会让网站第一时间出现在搜索结果页面上，从而提高网站的关联性和排名。 4. 对网站SEO优化有益 在搜索引擎优化（SEO）中，免费收录是一个重要的环节。当网站被搜索引擎或者其他第三方网站免费收录平台免费收录后，它会为我们的网站增加外链、有助于得到搜索引擎官方的认可或者吸引蜘蛛前往抓取，并且有助于网站的权威性提升、页面排名上升和优化流量的增加。因此，网站 SEO 优化过程中，免费收录是非常重要的一步。 以上是网站免费收录对网站 SEO 搜索引擎优化的几个好处，同时网站也可以通过不断优化内容、提升用户体验、提高网站的权威性和可信度等方法来进一步提高自己的搜索排名和流量。 网站免费收录平台有哪些？ 中国国内还有一些非搜索平台的第三方网站收录平台，比如： 1. 百万站：百万站是中国最大的网站资源库之一，提供了大量免费的网站提交、网站分类目录、站长平台等服务。 2. 目录网：目录网的特色是提供了众多的行业分类，用户可以根据自己的行业特点进行网站的免费提交和收录。 3. 站酷：站酷是一个专注于设计、创意和视觉艺术领域的综合性平台，提供了免费的创意作品上传和展示、设计师社区、设计资源下载等服务。 4. 天极网站库：天极网站库是天极网旗下的一个收录平台，提供了网站免费收录、网站分类目录、站长工具、网站建设等服务。 5. 网站大全：网站大全是一个聚合中国境内外优秀网站和资源的导航平台，提供了网站分类目录、免费收录等服务。 6、链接交易网和站长交易网。不要以为链接交易网或者站长交易网不属于网站收录平台了，他们提供了网站信息展示和链接直达，实实在在为你提供了外链输入。 7、导航网站：国内的导航网站数量还是不少的，如果每个导航网站你都能成功申请收录，将会给你带来不错的外链数量。 以上是一些非搜索平台的第三方网站免费收录平台，这些平台的服务类型和特点各不相同，用户应根据自身需求选择合适的平台进行网站收录。还有很多类似网站，本文这里就不详细列举了，需要你去费心发现。...

如果这样，那就那样，否则就……。还不明白吗？了解了 Bash Shell 脚本中的 if-else 语句后就明白了。 Bash 支持 if-else 语句，以便你可以在 shell 脚本中使用逻辑推理。 通用的 if-else 语法如下： if [ expression ]; then ## 如果条件为真则执行此块，否则转到下一个 elif [ expression ]; then ## 如果条件为真则执行此块，否则转到下一个 else ## 如果以上条件都不成立，则执行此块 fi 正如你所注意到的： elif 用于 “否则如果” 类型的条件。 if-else 条件始终以 fi 结尾。 使用分号 ; 和 then 关键字 在展示 if 和 else-if 的示例之前，我先分享一下常见的比较表达式（也称为测试条件）。 测试条件 以下是可用于数字比较的测试条件运算符： 条件 当满足以下条件时为真 $a -lt $b $a < $b（$a 小于 $b） $a -gt $b $a > $b（$a 大于 $b） $a -le $b $a <= $b（$a 小于等于 $b ） $a -ge $b $a >= $b （$a 大于等于 $b） $a -eq $b $a == $b $a -ne $b $a != $b 如果你要比较字符串，可以使用以下测试条件： 条件 当满足以下条件时为真 "$a" = "$b" $a 与 $b 相同 "$a" == "$b" $a 与 $b 相同 "$a" != "$b" $a 与 $b 不同 -z "$a" $a 为空字符串 文件类型检查也有条件： 条件 当满足以下条件时为真 -f $a $a 是一个文件 -d $a $a 是一个目录 -L $a $a 是一个链接 现在你已经了解了各种比较表达式，让我们在各种示例中看看它们的实际应用。 在 Bash 中使用 if 语句 让我们创建一个脚本来告诉你给定的数字是否为偶数。 这是我的脚本，名为 even.sh： #!/bin/bash read -p "Enter the number: " num mod=$(($num%2)) if [ $mod -eq 0 ]; then echo "Number $num is even" fi 当模数运算（%）整除给定数字（本例中为 2）时，它返回零。 ? 特别注意空格。左括号和右括号与条件之间必须有空格。同样，条件运算符（-le、== 等）前后必须有空格。 这是我运行脚本时显示的内容： 你是否注意到，当数字为偶数时，脚本会告诉你，但当数字为奇数时，脚本不会显示任何内容？ 让我们使用 else 来改进这个脚本。 使用 if else 语句 现在我在前面的脚本中添加了一条 else 语句。 这样，当你得到一个非零模数（因为奇数不能除以 2）时，它将进入 else 块。 #!/bin/bash read -p "Enter the number: " num mod=$(($num%2)) if [ $mod -eq 0 ]; then echo "Number $num is even" else echo "Number $num is odd" fi 让我们用相同的数字再次运行它： 正如你所看到的，该脚本更好，因为它还告诉你该数字是否为奇数。 使用 elif（否则如果）语句 这是一个检查给定数字是正数还是负数的脚本。在数学中，0 既不是正数也不是负数。 该脚本也检查了这一事实。 #!/bin/bash read -p "Enter the number: " num if [ $num -lt 0 ]; then echo "Number $num is negative" elif [ $num -gt 0 ]; then echo "Number $num is positive" else echo "Number $num is zero" fi 让我运行它来涵盖这里的所有三种情况： 用逻辑运算符组合多个条件 到目前为止，一切都很好。但是你是否知道通过使用与（&&）、或（||）等逻辑运算符可以在一个条件中包含多个条件？ 它使你能够编写复杂的条件。 让我们编写一个脚本来告诉你给定的年份是否是闰年。 你还记得闰年的条件吗？ 它应该被 4 整除，但如果它能被 100 整除，那么它就不是闰年。 但是，如果能被 400 整除，则为闰年。 这是我的脚本。 #!/bin/bash read -p "Enter the year: " year if [[ ($(($year%4)) -eq 0 && $(($year%100)) != 0) || ($(($year%400)) -eq 0) ]]; then echo "Year $year is leap year" else echo "Year $year is normal year" fi ? 注意上面双括号 [[ ]] 的使用。如果你使用逻辑运算符，则这是强制性的。 通过使用不同的数据运行脚本来验证脚本： ?️ 练习时间 让我们做一些练习吧 ? 练习 1：编写一个 Bash Shell 脚本，检查作为参数提供给它的字符串的长度。如果未提供参数，它将打印 “empty string”。 练习 2：编写一个 Shell 脚本来检查给定文件是否存在。你可以提供完整的文件路径作为参数或直接在脚本中使用它。 提示：文件使用 -f 选项 练习 3：通过检查给定文件是否是常规文件、目录或链接或者是否不存在来增强之前的脚本。 提示：使用 -f、-d 和 -L ...

SSD采用闪存技术来存储数据，相比HDD具有更快的读写速度和更短的访问时间。 这使得SSD在许多场景下能够提供更高的性能，特别是在需要快速随机访问的应用中，如虚拟化、数据库和Web服务器。 另外，SSD没有机械部件，因此更耐受冲击和振动，具有更高的可靠性。 然而，SSD的主要缺点是价格较高。 相比之下，SSD的价格通常更高，容量较小。 这对于需要大量存储空间的项目可能会成为限制因素。 但随着技术的发展，SSD的价格逐渐下降，容量逐渐增加，逐渐成为越来越受欢迎的选择。 ...

HDD是一种传统的存储设备，其工作原理是利用磁性技术来存储和检索数据。它的主要优势之一是成本效益。 与SSD相比，HDD的价格更低，容量更大，这使得它成为存储大量数据的理想选择。 对于需要存储海量数据、成本敏感的项目，HDD可能是更好的选择。 然而，HDD在性能方面存在一些局限性。 由于其机械性能，HDD的读写速度相对较慢，访问时间较长。 这在需要快速数据检索和高吞吐量的应用中可能导致性能瓶颈。 此外，HDD较易受冲击和振动影响，可能导致损坏或故障。 ...

特点 HDD SSD 工作原理 机械旋转部件和磁性技术 闪存技术 读/写速度 相对较慢 更快 随机访问速度 较慢，受寻道和旋转延迟影响 更快，无寻道和旋转延迟 访问时间 较长，受机械部件影响 更短 可靠性 机械部件易受冲击和振动影响 无机械部件，较耐久 耐用性 机械部件易损坏 抗冲击和振动 能耗 较高，机械部件需要较多能量 较低，节能 发热量 较高，机械部件运转产生热量 较低，不产生太多热量 噪音 机械运动产生噪音 无噪音 容量 容量较大 容量较小 价格 通常较便宜 通常较贵 适用场景 大容量存储，成本敏感项目 高性能、速度和可靠性要求 长期闲置可能性 可能引起数据丢失或降级 数据保持时间较长 数据持久性（断电情况） 需要时间将数据写入磁盘，较易丢失 数据写入速度快，断电时更可靠 技术发展趋势 逐渐被淘汰，但仍用于大容量存储 不断发展和改进，逐渐普及 ...

在选择服务器存储方案时，需要综合考虑多个因素： 性能需求： 如果项目需要高性能、快速的数据访问速度，特别是在虚拟化、数据库等应用中，SSD可能更适合。 存储容量： 如果项目需要大量存储空间，HDD可能是更经济的选择。但是，如果预算允许，也可以考虑使用更大容量的SSD。 可靠性和耐用性： 如果项目需要更高的可靠性和抗冲击性，SSD可能更合适，因为它没有机械部件。 成本预算： HDD通常比SSD更便宜，适用于成本敏感的项目。但是，如果性能要求较高，可能需要权衡性能和成本之间的关系。 未来扩展性： 考虑到项目未来的增长和扩展，可以选择支持更多硬盘的服务器，以便在需要时可以轻松扩展存储容量。 ...

互联网上，稍微有点粉的都在变现，比如跨境电商的，有点粉丝的，变现无非几种：卖课、卖圈子(小红圈，知识星球)、做代运营、自己直接带货、赚服务商的钱(各种软件，工具)。 其实我一直都觉得赚钱也没什么，这和你开亚马逊店铺，淘宝店铺，本质上没有任何区别。都是赚钱的一种形态。 因为任何赚钱的背后都是因为满足了需求，没有需求就不会延伸出产品。你不做，照样有人做。并且一旦你变现，总有不好的声音，哪怕你做知识星球99块一年，照样有人说你割韭菜。所以，不要太在意，你做的所有的事，就是对你自己认知的变现。 还有因为有付出，有回报，这才是真实的回馈。人不可能没有回馈的，没有回馈就是不正常的商业形态。 当然有些人也可能为爱发电，那他收获的也是美誉，这都是一种回馈。即便不变现的，其实也收获了影响力，影响力是可以做很多东西的。 比如掌握的信息更多了，再比如和供应商谈判就有优势，比如我做亚马逊，利用影响力，供应商直接都是给我支持100w的货，先卖再说。完全不用钱自己先掏着。所以，如果你有本事你就上，任何在一个领域取得成功的人，都是值得我们学习的。 那些你看起来很简单的事，其实每一点做起来都不容易。 比如：持续内容输出/获客/裂变/投流/交付/迭代/团队管理/内部效率管理 你去做了你就知道，真正做出效果的人，远比那些高谈阔论的人，厉害太多了。所以我不喜欢那些整天看这不爽，看那不爽的人，指点江山的人一点意义都没有。 所有人，我建议直接学习那些有结果人，去剖析他们为什么成功，成功在哪里，有什么是我们可以学习的。这种直接快速的拆解，反复训练，对你帮助最大。 @小北带你飞的微博...

随着上面的一声令下(工信部要求所有APP、小程序进行备案)，各大互联网大厂都开始实施具体政策了。来的可真快啊! 首先来的就是微信公众号，它是跟进政策是最快的了。微信公众号要求所有的微信小程序都要备案。9月起小程序必须备案才能上架。 未履行备案手续的，不得从事APP互联网信息服务。 微信要求： 1、若微信小程序未上架，自2023年9月1日起，微信小程序须完成备案后才可上架; 2、若微信小程序已上架，请于2024年3月31日前完成备案，逾期未完成备案，平台将按照备案相关规定于2024年4月1日起进行清退处理。 同时，微信也在建设ICP代备案管理系统了，系统将于9月1日上线，功能大概率会和网站备案一样。 小程序备案周期大约是：1-20个工作日内(具体以实际审核时间为准)完成审核。可以说小程序备案和网站备案的流程一摸一样。 小程序，一般都是依托于各个平台下的网站程序，比如微信生态、支付宝生态、百度生态等等都有自己的小程序。美其名曰小程序，其实就是移动站，唯一不同的是只能在自己平台下访问的小程序。 其实小程序的发布挺麻烦的，比如网页上有个错别字，修改一下，后面都要重新审核才能发布。松松简单看了一下小程序备案的材料，政策备案到是挺简单的，但一些特殊行业是真的麻烦。要求有前置审批材料。比如你小程序做出版的必须要有网络出版服务许可证，你做新闻的必须要有互联网新闻服务许可证。总之，小程序的创业门槛越来越高了。 APP备案还能理解哈，但像微信小程序在正式发布的时候其实已经做过实名认证了，域名也做了备案了。而且微信也验证了企业资质，但有点想不明白，为什么还要单独做备案。但国家一定有自己的考虑，我们只要遵守就好了。...

近日，全国信息安全标准化技术委员会秘书处就《信息安全技术 敏感个人信息处理安全要求》，公开征求意见。 根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全技术 敏感个人信息处理安全要求》由中国电子技术标准化研究院负责承办。本标准由全国信息安全标准化技术委员会归口管理。 本标准适用于规范个人信息处理者的个人信息处理活动，也可为监管部门、第三方评估机构对个人信息处理者开展个人信息处理活动进行监督、管理、评估提供参考。 为落实《个人信息保护法》对敏感个人信息处理规则的要求，本标准对生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人信息等敏感个人信息进行场景化规定，明确数据处理者对这些敏感个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等处理活动的安全要求，重点突出采集必要性、安全保护、脱敏规则、告知同意等方面的具体要求。 《敏感个人信息处理安全要求》在各个行业，例如网上购物、网络支付、网络预约汽车、快递物流、网络音视频、即时通信等典型行业领域的推广应用，可以很好地帮助这些行业领域的企业提升自身的个人信息保护能力，有效促进各行业的健康发展。标准将为规范个人信息处理者的行为，保障个人信息权益，促进个人信息合理利用提供支持。目前，国内大部分企业均处理敏感个人信息，标准应用范非常广泛，标准应用将取得良好的效果。 原文链接： https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20230809174946&norm_id=20221102151828&recode_id=52543 ...

面试官：TCP三次握手和四次挥手的工作流程是什么？ 不念：首先说一下TCP三次握手。 第一次握手，客户端发送链接请求报文，此时SYN=1、ACK=0、seq=x，这就是个连接请求此时客户端处于SYN_SENT状态，等待服务器响应。 第二次握手，服务端收到SYN=1的请求报文后需要返回一个确认的报文，ack=x+1，SYN=1，ACK=1，seq=y，发送给客户端，自己处于一个SYN_RECV的状态。 第三次握手，客户端接着又给服务端发送了ack=y+1，ACK=1，seq=x+1 简单总结：其实说白了三次握手就是来回来去的三次请求，每次请求携带上次一堆的TCP报文头，根据报文头是否正确从而建立连接。 面试官：为什么不是五次握手或者两次握手？ 不念：假设如果是两次握手的话，第一次客户端握手过去结果卡在某个地方了，没有到达服务端。 可是客户端再次重新又发送了第一次握手过去，服务端收到了并握手返回，接着彼此就建立了连接。 意外的是，之前卡住的第一次握手又死灰复燃发送到了服务端。 服务端直接返回一个第二次握手。这个时候服务器也就开辟了一个资源等待接收客户端的数据。 可是客户端直接就忽略了该回合的第二次握手，因为之前已经通信过了。 如果要是三次握手的话，那个第二次握手发回去之后客户端发现第一次握手已经被丢弃了，就会发送个复位的报文过去，避免了资源的开销。 说白了就是两次握手可能会导致服务端资源的一个浪费。三次握手会有一个复位的报文从而避免这种情况。 不念：既然三次握手都可以保证连接，四次五次握手就有些浪费资源了。 面试官：不错，继续聊一聊为什么是四次挥手。 不念：好的。 第一次挥手，客户端发送报文，FIN=1，seq=u，此时进入FIN-WAIT-1状态。 第二次挥手，服务端就收到报文，这是便进入CLOSE_WAIT状态，返回一个报文，ACK=1，ack=u+1 seq=v。客户端收到这个报文后，直接进入到FIN-WAIT-2状态，此时客户端到服务端的连接断开了。 第三次挥手，服务端发送连接释放的报文，FIN=1，ack=u+1，seq=w服务端进入LAST-ACK状态。 第四次挥手，客户端收到连接释放的报文后，发应答报文，ACK=1，ack=w+1，seq=u+1，进入到TIME_WAIT状态，等待一会客户端进入到CLOSED状态，服务端收到报文之后就进入到CLOSED状态。 ...

面试官：TCP、IP四层模型有了解吗？可以简单说说嘛。 不念：主要包括数据链路层、网络层、传输层、应用层。 面试官：可以简单聊聊什么是OSI七层网络模型吗？ 不念：可以的，其实它和四层网络模型主要区别是多了表示层、会话层、物理层，依次顺序是应用层``表示层、会话层、传输层、网络层、数据链路层、物理层 面试官：可以简单聊一聊各个层不同的含义，存在的意义吗？ 不念：当然：首先来说：从底向上的4层模型： 物理层：所谓的物理层就是指将各个电脑直接通过某种介质(WiFi、网线)连接起来形成一个网络，这就是物理层的含义。物理层负责传输0和1的电路信号。 数据链路层：架构在物理层之上，定义一些协议，将电路信号0和1进行分组。后来统一固定为以太网协议，一组电信号就是一个数据包又叫一个帧，每帧分成两个部分，标头(head)和数据(data)，标头会包含一些说明性的东西，比如发送者接收者和数据类型等等。 数据链路层：网络交换机就是工作在该层的。网络交换机是通过MAC地址来寻址和传输数据包的；但是路由器/网关是通过IP地址寻址和传输数据包的。网络交换机主要用在局域网的通信。一般你假设一个局域网，里面的电脑通过数据链路层发送数据包，通过MAC地址来广播的，广播的时候就是通过网络交换机这个设备来吧数据广播到局域网内的其它机器上去的。路由器一般用来让你接入英特网。 这里涉及到了以太网协议，它规定了只要接入网络的设备都必须要有一个网卡，以太网规定了，每个网卡必须包含一个Mac地址，Mac地址是这个网卡的唯一标识，唯一的Mac地址是一个48位的二进制，但是一般为了方便使用12个16进制数据表示，前6个事厂商编号，后6个16进制是网卡流水号。然后通过广播的方式在同一个子网内进行传播。 网络层：上面说通过广播的方式将数据包在同一个子网内传播出去，那么是确定是同一个子网、局域网呢？那这个时候就需要网络层。 在网络层中最重要的就是IP协议，IP协议可以给每个电脑定义一个IP地址(IPV4、IPV6)，范围是0.0.0.0~255.255.255.255，这里的IP地址中前24个二进制位(也就是前3组十进制的数据)中表示的是网络，后8位(最后一组十进制)代表了主机。运算公式为：通过将两个IP地址的二进制与子网掩码的二进制进行与运算，并判断前面的3部分二进制是否一样，一样则是一个子网。否则不是一个子网/局域网 传输层：这里有个问题是。一台机器上很多程序使用的都是一个网卡进行通信的。这些软件都是从一个网卡往外面发送数据，完后并从该网卡接收数据。如何区分不同应用软件接收的不同数据呢，此时就需要引入一个端口(范围是0~65536、0~1023被系统占用了)的概念。从上面说的我们可以发现网络层是基于IP协议进行主机间的寻址和通信的，传输层则是建立在主机的某个端口上到另外主机的某个端口上完成连接和通信的这个通信是通过socket来实现的。通过socket就可以基于tcp/ip协议完成上述所说的基于IP地址和MAC地址转换和寻址。以及通过路由进行通信然后建立一个端口到另外一个端口的连接。 TCP/UDP都是传输层的协议，作用就是在数据包里面加入端口号，可以通过端口号进行点对点通信。UDP是不可靠的。TCP是可靠的。 应用层：通过TCP协议可以完成端口对端口的一个通信，但是通信成功后拿到的这个数据应该如何去处理，这里就涉及到了应用层。比如最常见的应用层协议就是http协议(按照什么格式封装的就需要按照什么格式去解析响应。)。进行网络通信。 不念：总结，其实最常见的就是四层网络协议，分别是：数据链路层(以太网协议)、网络层(IP协议)、传输层(TCP协议)、应用层(http协议)所谓的七层就是引入了物理层(网线、光缆)、会话层、表示层、应用层 这三层一个并也就是四层里的应用层了 面试官：不错不错，那你知道如果不在一个子网数据应该如何传播的吗？ 不念：当然知道啦，不过这次有点累了，下次吧。 ...