报名时间为2011年5月20日至22日。回复形式至少包括3个元素“安，选1，2人”。
投票结束后，将公布活动细节及准备方案。请大家届时留意。

选项1：

丝凉夏日的度假首选！仅88元享原价290元雾灵山金水屯度假村双人套餐：原生态纯木制标间住宿1晚+营养早餐+景点门票2张（雾灵湖或东极仙谷）+山庄内娱乐项目免费玩。邀好友返利！仙境、梦幻？最好您来亲自体验一下！

★ 位于雾灵山国家AAAA级自然保护区内
★ 原生态的环境，纯木制标间住宿
★ 山庄内娱乐项目免费畅玩

选项2：

团购史上最超值度假，邂逅大自然！仅95元尊享原价200元舒艺园度假村二人二日游套餐：普通标准间+2张大佛山门票+2人早餐+1.5小时2人真人CS+免费娱乐，节假日及周末通用。带着父母领着孩子一起到舒艺园转转，度一个不一样的假期吧！邀好友获返利！

★周边景点众多，环境优美
★真人CS，疯狂体验
★交通便利

选项3：

水清鱼读月，山静鸟谈天！仅128元享原价398元读月山庄度假村2人游套餐：双人标准间住宿（1晚）+双人营养早餐+金海湖、石林峡门票8折优惠+娱乐设施免费畅玩2小时（限台球+棋牌）+免费停车。节假日通用，邀好友返利！在小桥流水人家饮山间矿泉水，赏原生态自然风光。会议休闲好去处，读月山庄享美景！

★ 集住宿、会议、餐饮、娱乐、旅游于一体的多功能度假山庄
★ 周边旅游资源十分丰富：金海湖、飞龙谷、大溶洞等
★ 极富营养价值的山间矿泉水直接入房

选项4：

超低劲爆价，距京最近的“世外桃源”。仅70元尊享原价200元精灵度假山庄二人二日游套餐：含标准间/大床房+24小时热水洗浴+电视+无线宽带上网+2人早餐+免费山庄内娱乐+享受周边景区门票8折优惠+免费停车+平时周末通用。休闲假日，邂逅美丽精灵！让我们一起HAPPY吧！邀好友获返利！

★良性循环的生态乐园
★周边景点众多，环境优美
★交通便利

第一种情况：出现交通事故，能确定是你的全责的话：

1，打开你的双闪（空调调节按钮的正上方中间的红色三角按键，按下后左右转向灯一起亮！）拿出三角牌支在你车后10至20米地方（如果在高速公路就要适当往远放一些，以保证你安全为目的！三角牌在后备箱里，红色长方形塑料盒装的！）

2，拿出你的 手机 或相机（至少200万像素以上，支持自动对焦的）尽量清晰的拍下，你们双方的位置，特别要注意拍一下车的各种侧面，轮胎在马路的各种标识标线上的位置，最后如对责任有分歧的时候，可以拿出来给警察看！同样，如果手机或相机带录音的话，现在就要打开，把你和对方交涉的所有通话都录音！

3，看一下对方有无驾照，是否喝酒，是否有交强险！

4，写交通事故快速处理书，留下双方电话号码（一定要用你电话打通一下对方电话，避免对方使用假号码）然后双方签字！

5，马上挪车，避免拥堵！如果车已经撞得不能开动了，就马上打保险公司电话要求救援，电话忘了的话，保单和前风挡玻璃上贴的交强险圆标上面都有！注意，私自叫的救援车有可能得不到赔偿！

6，然后互相约好时间（一般2天内，如果两天内来不了，就必须要48小时内打保险公司电话报案，否则保险公司拒赔）去你上保险的地方，也可以就近找保险公司指定定损点，但手续可能繁琐很多，所以还是建议直接去能定损直赔的４Ｓ办理！定损修车！

7，定完损就可以走了，等车修好直接过来开就行！你的车在直赔的4S维修是不用负任何费用的！

8，对方的车是在你4S定完损，回对方指定修车场先自行垫钱维修的！

9，维修完成后拿着发票维修单等所有手续跟你一起去4S或者保险公司指定地点去报销！

10，保险公司确认手续都没问题的话把钱给你，你再转手给对方！注意：虽然是你全责，但维修期间你一定不要给对方垫付一分钱，你上的是全险，任何费用都是由保险公司来承担的，如果你私自出钱给对方垫付修车款，如果对方修好车后以种种理由不给你报销所需单据的话，你就一点办法也没有了！同样对方如果提出要赔偿修车期间的车费或误工费，油钱什么，一律不用理睬，这些都是得不到保险公司赔偿的！他要不服就让他去告保险公司，他告赢了的话保险公司会帮你负担，但如果你私下给了，保险公司一分钱也不会给你报销的！但只有一种情况特殊，就是撞了出租车和其他营运性车辆，国家规定你要负担他们维修期间的“份儿钱”这个保险公司不会给你报销，只能你自己负担了！所以平时开车离出租车和公交车远点，万一与它们出现小刮蹭，赔个一百二百的也可以，破财免灾出租车一天份儿钱就300左右呢，呵呵！

第二种情况：你能确定对方全责的请况下

1，重复第一种情况 1 2 3 4 5 的步骤

2，和对方约好时间（一般三天内，如果对方说没空，就直接打122报警，以免对方无故拖延！）去对方的保险公司定损！

3，在定损前你最好开到你这次准备维修车的４Ｓ店或者修理厂，先问一下修你的车一共需要多少钱！因为有很多咱们看着不重要的撞伤，实际伤及到内部或者你没注意到的部位，所以提前问一下4S，避免定损的钱不够维修费！

4，去对方保险公司定损，如果定的价格不够，或有任何分歧，直接让他们保险公司出人和你一起来咱们4S找咱们的售后维修部门协商解决！

5，修车价格谈好后一定要问清楚报销需要什么手续，什么票据，还有需不需要换下来的旧配件，因为缺少其中任何一项，保险公司都有可能不赔付！

6，把车放在我们4S维修！

7，修好后付款把所有报销所用票据都自己拿好，车就可以开走了！（维修费最好想办法让对方先行垫付，对方垫付完了，你就可以要求对方赔偿你的油钱误工费车辆折旧费等等的各项费用，否则可以拒绝把保险报销的手续给他，然后就看你讨价还价的功夫了，呵呵）

8，把报销所用手续都给对方或者和对方一起去他们保险公司，对方或对方保险公司给你维修款！注意：这个和第一种情况不同，你要尽可能的要求对方先给你垫付修车款，这样你就可以有要求更多赔偿的主动权了！（在对方未给你垫付修车款之前不要透露你想要更多赔偿的想法，对方也不会给你的！）还有一点，如果被出租车撞了，不太严重的情况下（维修费1500元以内！）你又能伪造一个你的单方事故现场的情况下，可以和出租车协商给你一部分钱私了（因为出租车公司都有对出租司机出全责的事故有严格规定和很高的处罚），记住多要点，一块划痕喷漆官方报价500元，（注意，如果一道划痕贯穿两块金属，比如一道划痕把前后门都挂了，这算两块喷漆要500*2=1000元）金属车体有凹凸变形的话，板金加喷漆600元左右， 保险杠等塑料部分无法板金破损后只能更换加喷漆1000元左右！

第三种情况：你的单方事故撞到其他物体上（如墙，树，水泥柱）

1，重复第一种情况的 1 2 5 项，不过拍照改为要清晰的拍下你所碰撞物体的角度和细节！

2，事故现场如果不堵车不碍事的话，最好当时给保险公司打电话报案，切记48小时内一定要报案！

3，如果撞了市政或路政管辖的物品，比如中间隔离带或电线杆，可能警察或管理者会要求你马上进行赔偿，这时候最好打电话问清楚保险公司需要怎么做，实在不赔钱不让走的话只能自掏腰包了，人家位高权重咱们惹不起！

4，就是按照正常手续修车，然后报销！

第四种情况：

双方同等责任，或一方付主要责任这样的情况一般都是警察或法院判定的，一般很少有，我也没有可参考的办法！ 总的原则和上面几种情形相仿，大家参考就可以了！

第五种情况：

分不清谁责任或对责任有异议啥也不用考虑，直接打122报警，在警察没来之前，不要挪动车，重复1的步骤！警察分清责任后，看心情可能对全责方进行100元的罚款，但这样点罚也比事后扯皮的好，切忌不要因小失大！最后按上面第一或第二种情况说的办法修车就行了！

第六种情况：伤人的事故（不管是直接撞到人了，还是因为撞车而伤到车里的人了，都视为伤人的事故）

1，这种事故是必须拨打122报警的！不管受伤的是你，还是你把别人撞伤了，都要第一时间报警！

2，拿出你的手机或相机尽量清晰的拍下，你们双方的位置，特别要注意拍一下车的各种侧面，轮胎在马路的各种标识标线上的位置，车和行人碰撞点，人坐下或躺下的位置，防止万一有一方挪动，警察来了以后不好分清责任！同样，如果手机带录音的话，现在就要打开，把你和对方所有对话都录音，防止碰瓷！

3，如果对方伤得很重，原则上应该以治病救人为主，但你送人去医院势必要挪车，挪完车就有可能分不清责任而扯皮，还有可能到医院让你付钱医治！还有一种情况，就是对方如果得救了，但医疗费和赔偿的各种费用，可能远远比他的死亡赔偿金多很多！在这样的情况下，我建议及时拨打120或999急救电话，这样你既保持了原状，又没有延误治疗，因为只有医生才是最好的救治者，普通人有可能越救治伤的越重，比如颈椎腰椎受伤或者内脏损伤！

4，不管是在医院还是别的任何情形下都不要先拿出一分钱，医院有可能要求你先付检查费治疗费什么的，记住一定不要掏任何钱，切记，切记，因为保险公司对伤者赔偿是有严格要求的，就算是正常医疗费，也很有可能因为伤者不配合出具相应证明而使你的不到赔偿！说法也很简单：你没钱，刚撞完去医院紧急治疗，你直接说今天出来没带钱就可以了要是医院现场不交钱不给治疗也不用你管，救死扶伤是医院的职责，你已经把人送到医院已经尽到责任了，没有法规要求撞人前自己先带好10万块钱医疗费的！就算日后治疗期间你好心探望他，就说最近都揭不开锅了，紧剩的一点钱都给你买水果了！或者直接说治疗费应该他自己垫付，然后保险公司会给他报销的，你上的是全险，所以赔偿都由保险公司负担！如果遇到不讲理的，你也不用看望了，直接让他们自己治疗完去法院告你吧！

5，一般出现车撞人的事故，警察都判机动车全责，因为机动车有保险！现在国家政策机动车与非机动车和行人发生事故，机动车都要进行无责赔偿，就是说你没有责任都要赔他钱，而且拿不到保险赔偿！所以一般这种情况下警察都判你全责，你也能得到保险公司赔偿，不用自己掏腰包了！但这有个弊端，万一对方死亡或者其他严重后遗症什么的，你会遭到多年禁驾，甚至短期刑罚！所以担不担全责大家自己决定吧，但愿大家永远不到撞到人！

6，最后看好病的赔偿问题，万八千的正常医疗费一般保险公司就给你报了，但是太多或者要精神赔偿金什么的你就直接让他去法院告你吧，只有国家司法才是最公正的，而且有很多费用，如果不是法院判决保险公司是不赔付的！而且法院判决，也能避免事后因后遗症等问题你再陷入赔偿麻烦！

总结：有人说我自私，那么请你绕行，我做人标准从来是不害人，但必防人！ 买一个好一些的手机或者相机，有至少200万以上像素自动对焦摄像头，有录音软件，至少应该能录音30分钟以上！把所有现场能拍下来的证据都自己保留好！ 无论出现什么事故，只要是你全责，就不要轻易付给对方一分钱，因为都有可能要不回来！只要对方全责，就想尽一切办法多要回点钱，至少不能连修车钱都不够！ 行人或者其他非机动车是相当可怕的，尽量躲远点，实在不行宁可找日本车撞，也不要撞行人！出现死亡事故，大多数人的保险都不够赔！下次上保险我建议第三者责任险尽可能多上一些！

最后祝愿大家一路平安！！！

人民网12月14日报道为加强域名注册信息审核工作，中国互联网络信息中心(CNNIC)昨日发布公告规定，从2009年12月14日上午9时起，个人用户将没有资格进行域名注册。

据了解，前日晚间，CNNIC经过研究后决定，要求用户向域名注册服务机构在线提交域名注册申请时，应当同时提交书面申请材料。

申请材料包括：加盖公章的域名注册申请表(原件)、企业营业执照或组织机构代码证(复印件)、注册联系人身份证明(复印件)。

记者随后联系了CNNIC相关人士，该人士表示，目前不便对公告做任何解释，一切以公告传达的意思为准。

那么，是否个人用户只要无法提供企业营业执照或组织机构代码证，便不能注册域名？在记者的追问下，该人士表示确定，公告中所述三种证件缺一不可。

而此前已经注册完毕的个人网站，CNNIC将对其域名注册信息进行逐个审核，对发现域名注册信息不真实、不准确、不完整的，会在五个工作日内联系用户进行修正。对过期未修正的域名，将按照《中国互联网络域名管理办法》第二十八条、第三十四条的规定，进行注销。

此外，CNNIC还一并处罚了三家域名注册服务及代理机构。

三家遭受处罚的对象为，郑州大煌网络发展有限公司(大煌网络)、北京新网数码信息技术有限公司、北京众鑫乾坤网络科技有限公司(名富网)。其中，大煌网所有域名注册均被停止，新网和名富网CN注册权限已被取消。

服务贴士

明日个人域名停止注册之后，公众如有疑问，或者对不良应用和域名违规注册的投诉举报，可通过以下方式联系CNNIC：

7×24小时客服电话：010-58813000

邮件：supervise@cnnic.cn

传真：010-58812666

SAS为我们带来全新水平的性能、可靠性和用户选择灵活性。由于SAS同时支持企业级应用的SAS硬盘 和成本敏感型应用的SATA硬盘，使OEM厂商和 IT 管理人员可单独或同时使用这两种磁盘技术来灵活配置存储子系统，在同一台存储子系统上实现高性能和低成本存储，因此最大程度地提高了用户的投资回报率，并 为未来的发展提供了灵活性…

性能提高

SAS之所以备受市场关注，主要缘于其几个方面的性能优势。例如，一个SAS接入可支持 四路SAS宽线，换言之即每个连接支持4 x 300 MB/秒。

一个JBOD 系统上的SAS连接在理论上可支持最大1,200 MB/秒（如图2）。SAS还可作为一个经济有效的高性能扩展端口，实现与另一个SAS子系统的菊链式连接。

图2

另外，每个性能为3Gb的SAS硬盘（10000rpm或15000rpm转速）连接到一个3Gb的硬 盘接入口，可提供充足富余的带宽以实现顶级驱动性能（见图2）。假定一个子系统中有16块SAS硬盘，每块硬盘的性能为75MB/秒，则16块硬盘提供的 性能相当于1,200MB/秒，大大优于2Gb光纤通道环和U320并行SCSI总线。SAS的开发路线图计划相当完善，将使用户投资得到足够保护。该计 划从3Gb 开始，到2007年加倍到6Gb ，然后再次加倍至12Gb。

可用性提高

基于SAS的存储子系统的另一个优势来自每块SAS硬盘本身所具有的端口能力，在控制器故障恢复时为硬 盘提供了冗余路径。另外，由于每块硬盘占据一个独立的点对点连接，损失一路硬盘连接仅影响到一块单独的硬盘。同等情形下，并行SCSI损失的是一根总线， 影响到这根总线上的所有硬盘。

和光纤通道硬盘一样，SAS硬盘也是为苛刻的企业级应用和承担繁重负载而设计的，其MTBF 超过1百万小时，保修期长达5 年。

SAS硬盘所采用的工程设计面向复杂的企业应用，其中每个部件（电机、转轴、驱动臂和固件等）都针对苛刻使用环境进行了特别的设计和制造。SAS硬盘还通过其全面的校验/纠错功能来保证数据准确性。

基于SAS（硬盘）的子系统还支持具有自动故障恢复功能的主动-主动式控制器；可由SAS、光纤通道或iSCSI提供的冗余主机连接；冗余热插拔电源、冷却系统；机架服务以及与基于光纤通道和SCSI的阵列相同的RAID功能和软件。

顶级灵活性

SAS 最为人们所熟知的优势当属其在外部存储中的配置灵活性。无需对系统进行任何修改和变化，一块SATA硬盘即可插入到一张SAS的中间背板上，而阵列中的控 制器和软件也能够无缝地支持由SATA和SAS混合构成的系统。如图3所示，6块SAS硬盘可被分区为一个存储池或LUN，分配给一台运行交易密集型应用 的服务器，如一个订票系统；而另外6块同样分区为一个存储池或LUN的SATA硬盘则分配给另一台服务器，这台服务器上运行的是参考型数据应用，如医学影 象处理。换一种方法，也可以用一个阵列支持所有SAS硬盘，另一个与之相连或菊链式连接的阵列支持所有SATA硬盘。这种为用户同时提供两种优越技术的灵 活能力是光纤通道和并行SCSI子系统所难于实现的。

图3

无缝扩展，降低拥有成本

SCSI其由于结构性局限，无法扩充多个硬盘机架。与之不同的是，利用SAS可以将系统扩充到 超过100块硬盘，或使用300GB的SAS硬盘使容量达到36TB，或以400GB的SATA硬盘使容量达到48TB，为用户提供大容量存储池和经济有 效的途径来代替基于光纤通道的SAN。

SAS硬盘价格有望与SCSI硬盘持平，而在一个RAID控制器或JBOD输入/输出模块中将SAS部 署为主机接口和扩展接口都要比使用光纤通道成本更低。另外，在同一系统中同时支持SAS 和SATA硬盘降低了总体拥有成本，简化了培训和产品维护，加大了对用户投资的保护。

SAS为我们带来全新水平的性能、可靠性和用户选择灵活性。由于SAS同时支持企业级应用的SAS硬盘 和成本敏感型应用的SATA硬盘，使OEM厂商和 IT 管理人员可单独或同时使用这两种磁盘技术来灵活配置存储子系统，在同一台存储子系统上实现高性能和低成本存储，因此最大程度地提高了用户的投资回报率，并 为未来的发展提供了灵活性。

了解更多Adaptec存储解决方案，请访问：

http://www.adaptec.com/worldwide/product/prodindextech.html?source=menu

谢谢作者！

版权声明：原创作品，如需转载，请与作者联系。否则将追究法律责任。

这是我申请Blog以来写的第一篇博客、今天给大家介绍一下搭建一个Windows Server 2003 域并把Windows Server 2008加入其中，并把它做成一个额外域控制器。 本实验大概可以分为三步 1、现在Windows Server 2003中搭建一个域：2、把Windows Server 2008加入Windows Server 2003域中：3、再在Windows Server 2008中搭建一个 额外域控制器。用两台计算机，一台是Windows Server 2003的操作系统、一台是Windows Server 2008的操作系统。 这台计算机是Windows Server 2003的操作系统IP是192.168.11.101。 这台是Windows Server 2008 的操作系统 IP 是192.168.11.105 DNS 就是Windows Server 2003的IP 192.168.11.101 。 现在先来做第一步： 先来给Windows Server 2003 配置IP 192.168.11.101 、DNS也是192.168.11.101 IP配置完成 就开始在Windows Server 2003 上搭建域、运行命令 dcpromo现在就开始了。 出现了Active Directory 安装向导，点击下一步。 这是操作系统的兼容提示，没有选项、点击下一步继续。 出现域控制器类型、由于我们只在Windows Server 2003 搭建第一个域、所以要选新域的域控制器、然后下一步。 由于域是搭建在林的基础上、所以我们要点击在新林中的域 然后点击下一步。 到这我们要选择第二个、只在这一台计算机上安装DNS，点击下一步继续。 我们输入一个域名itet.com 点击下一步。 这要我们输入一个显示名称、我们不用改就用默认的 这样也可以便于记住、点击下一步继续。 这是要我们选择一个安装路径、在这我们选择默认 。 这个跟上个界面一样、点击下一步继续。 这是选择权限、由于我们用的是Windows Server 2003操作系统所以就选择第二项。 输入目录服务还原模式的密码、 点击下一步继续。 看一下“摘要”里面的内容有没有错误、确认无误后 继续。 到这一步就开始搭建了、稍等几分钟 。 这提示安装关盘的路径。 找见安装关盘所在的磁盘位置直接输入磁盘盘符、我的安装光盘在D盘所以输入d：\i386 表明需要的东西在D盘目录下的i386文件夹里、点击确认继续。 现在配置组件、需要几分钟。 这张图显示正在配置Active Directory、到这域就快搭建完成了。 域搭建完成、点击完成。 现在提示是否现在立即重启、选择立即重新启动。 到这第一步在Windows Server 2003 中的域已经搭建好了，现在我们就去做第二步把Windows Server 2008 加入到Windows Server 2003域中。 这台是Windows Server 2008 的操作系统 IP 是192.168.11.105 DNS 就是Windows Server 2003的IP 192.168.11.101。 现在把Windows Server 2008 加入Win 2003 的域中、 点击“改变设置” 点击“更改” 点击“域”填入itet.com 确认继续。 在计算机名/域更改里填入Windows Server 2003 的管理员的用户名和密码（也就是itet域的管理员用户名和密码）。 现在已经加入itet.com这个域了 确认继续。 现在提示要重新启动、确认重启。 点击立即重新启动。 到这第二步把Win 2008 加入Win 2003 域中也已经做完了 现在来做第三步 启动完成后、在运行栏里输入命令dcpromo 命令。 现在正在检测 稍等几分钟。 点击下一步。 这是操作系统的兼容提示、点击下一步继续。 现在我们要选择“现有林”和“向现有域添加域控制器”、因为在Wind 2003中我们已经建了林所以在这就不用建新林了。 输入管理员用户名和密码。 在这选择“备用凭据”设置填入用户名和密码以后点击下一步。 点击下一步继续。 这个界面报错了、让我们看看是哪错了、提示“在Windows Server 2008 安装光盘“sources\adprep”文件找到“Adprepaid”文件在Active Directory中用“adprep/forestprep文件来做准给林工作。 那我们就先回来Win 2003 点击 开始、 程序、 管理工具 、 Active Directory域和信任关系。 我们就先来提升域级别、提升到Windows Server 2003 级别。 提升成功、确认继续。 现在提升林级别、同样提升到Windows Server 2003级别。 提示提升后无法还原、确认继续。 确认继续。 提升完成后在域控制器上挂上windows server2008 的安装光盘 在运行里输入CMD进入cmd.exe界面。 由于我的安装光盘在D盘所以先进入D盘的根目录下。 再输入cd sources \adprep命令。 现在进入D：\sources\adprep下输入adprep /forestprep命令。 为了满足条件出入c回车来完成林架构扩充。 现在正在扩充、稍等几分钟。 Adprep 以成功更新了全林性的信息、并输入“adprep/domainprep”命令来更新全域信息。 全域更新已完成 那我们就继续回到Win 2008 中继续、点击确认继续来完成实验。 我们点击下一步来继续。 由于我们之前就在Win 2003域中搭建了DNS我们的Win 2008也把DNS指向了Win2003 我们只需要全局编录 ，不必勾选DNS服务器选项。 由于是实验环境，我们就采用默认路径 下一步继续。 在这填入密码。 确认“摘要”里的内容无误后继续。 到这一步我们的实验就完成了。由于我点了完成后重启 所以没能截下最后一张完成的图了。 现在我们来测试实验是否完成、先来从Win 2003 中把Active Directory 中的内容复制到Win 2008中。 在把Win 2008中的Active Directory中的内容复制到Win 2003 中。 到这这个实验都做完了、第一次写请大家多多支持。 本文出自 “———誰、茬苸莪。。” 博客，转载请与作者联系！

我一开始觉得很激动，貌似去年年底开始的Technet Plus订阅体验又可以以MSDN形式续订了。我甚至想立即给老总打报告说“我们企业正好是微软这个活动的扶植对象，符合所有的四个条件，正好可以解决正版化问题。。。”

但转念一想，这是个套儿啊！微软此举就是在收集那些企业是正在使用盗版的产品！通过注册收集来它的企业名称，收入状况，开发人员名单；通过MSDN下载统计和激活收集这家企业有使用那些产品的需要，需要多少份；通过后期的观察收集这些企业的发展情况、盈利状况、业界知名度等等，来决定3年之后要跟这家企业实现多少正版化收入。

这会儿企业想，我们几乎免费的使用微软的几乎全套产品，这叫一个划算。殊不知3年后，得为这便宜吃大亏，做正版化的榜样去吧。这就犹如老罗讲的那个Las Vegas的现象——
“Las Vegas的酒店和赌场都是开在一起的。客人每次走到客房要经过一个狭长的通道，两侧玻璃后就是诱人的赌场。纵然会有一些定力好的，不去涉赌。赌场这会儿就会出招了，白送你100美元的筹码，让你体验！大约有万分之1的圣人会把这100美元筹码直接换成现金后转身离开，但绝大数人都会输掉这100美元后自己再搭上若干”。

作为系统工程师来说，我还是认为企业软件正版化是必要的。但是既然一直是盗版的，也就甭高调的说“我要求转正！”，然后当了3年预备D员后光荣转正了，结果——“我日！D费咋这贵呢！”

中国的网民不缺乏技术牛逼的，用google应用的网民更是不缺乏。SBGFW真把这些人惹毛了，真不是好看的。到时候外国人笑话咱们内讧，我想这些人只能说不是他们挑起来的。官方说官话，民间说什么就不一定了。

这么大一个GFW干点正事儿了吗？老干那 的了的瑟 的事儿。

看到的人，如果您觉得博主我不是“一小撮人”，看客您也不是“由一小撮人挑唆的不明真相的群众的一员”，就请理解下面这句话的意思

——如果我们连Google都不能上，那就只有上街了。

1. (B) –> [SYN] –> (A)

假如服务器A和客户机B通讯. 当A要和B通信时，B首先向A发一个SYN (Synchronize) 标记的包，告诉A请求建立连接.

注意: 一个 SYN包就是仅SYN标记设为1的TCP包(参见TCP包头Resources). 认识到这点很重要，只有当A受到B发来的SYN包，才可建立连接，除此之外别无他法。因此，如果你的防火墙丢弃所有的发往外网接口的SYN包，那么你将不 能让外部任何主机主动建立连接。

2. (B) <– [SYN/ACK] <–(A)

接着，A收到后会发一个对SYN包的确认包(SYN/ACK)回去，表示对第一个SYN包的确认，并继续握手操作.

注意: SYN/ACK包是仅SYN 和 ACK 标记为1的包.

3. (B) –> [ACK] –> (A)

B收到SYN/ACK 包,B发一个确认包(ACK)，通知A连接已建立。至此，三次握手完成，一个TCP连接完成

Note: ACK包就是仅ACK 标记设为1的TCP包. 需要注意的是当三此握手完成、连接建立以后，TCP连接的每个包都会设置ACK位

这就是为何连接跟踪很重要的原因了. 没有连接跟踪,防火墙将无法判断收到的ACK包是否属于一个已经建立的连接.一般的包过滤(Ipchains)收到ACK包时,会让它通过(这绝对不是个 好主意). 而当状态型防火墙收到此种包时，它会先在连接表中查找是否属于哪个已建连接，否则丢弃该包

四次握手Four-way Handshake

四次握手用来关闭已建立的TCP连接

1. (B) –> ACK/FIN –> (A)

2. (B) <– ACK <– (A)

3. (B) <– ACK/FIN <– (A)

4. (B) –> ACK –> (A)

注意: 由于TCP连接是双向连接, 因此关闭连接需要在两个方向上做。ACK/FIN 包(ACK 和FIN 标记设为1)通常被认为是FIN(终结)包.然而, 由于连接还没有关闭, FIN包总是打上ACK标记. 没有ACK标记而仅有FIN标记的包不是合法的包，并且通常被认为是恶意的

连接复位Resetting a connection

四次握手不是关闭TCP连接的唯一方法. 有时,如果主机需要尽快关闭连接(或连接超时,端口或主机不可达),RST (Reset)包将被发送. 注意在，由于RST包不是TCP连接中的必须部分, 可以只发送RST包(即不带ACK标记). 但在正常的TCP连接中RST包可以带ACK确认标记

请注意RST包是可以不要收到方确认的?

无效的TCP标记Invalid TCP Flags

到目前为止，你已经看到了 SYN, ACK, FIN, 和RST 标记. 另外，还有PSH (Push) 和URG (Urgent)标记.

最常见的非法组合是SYN/FIN 包. 注意:由于 SYN包是用来初始化连接的, 它不可能和 FIN和RST标记一起出现. 这也是一个恶意攻击.

由于现在大多数防火墙已知 SYN/FIN 包, 别的一些组合,例如SYN/FIN/PSH, SYN/FIN/RST, SYN/FIN/RST/PSH。很明显，当网络中出现这种包时，很你的网络肯定受到攻击了。

别的已知的非法包有FIN (无ACK标记)和”NULL”包。如同早先讨论的，由于ACK/FIN包的出现是为了关闭一个TCP连接，那么正常的FIN包总是带有 ACK 标记。”NULL”包就是没有任何TCP标记的包(URG,ACK,PSH,RST,SYN,FIN都为0)。

到目前为止，正常的网络活动下，TCP协议栈不可能产生带有上面提到的任何一种标记组合的TCP包。当你发现这些不正常的包时，肯定有人对你的网络不怀好意。

UDP (用户数据包协议User Datagram Protocol)
TCP是面向连接的，而UDP是非连接的协议。UDP没有对接受进行确认的标记和确认机制。对丢包的处理是在应用层来完成的。(or accidental arrival).

此处需要重点注意的事情是：在正常情况下，当UDP包到达一个关闭的端口时，会返回一个UDP复位包。由于UDP是非面向连接的, 因此没有任何确认信息来确认包是否正确到达目的地。因此如果你的防火墙丢弃UDP包，它会开放所有的UDP端口(?)。

由于Internet上正常情况下一些包将被丢弃，甚至某些发往已关闭端口(非防火墙的)的UDP包将不会到达目的，它们将返回一个复位UDP包。

因为这个原因，UDP端口扫描总是不精确、不可靠的。

看起来大UDP包的碎片是常见的DOS (Denial of Service)攻击的常见形式 (这里有个DOS攻击的例子，http://grc.com/dos/grcdos.htm ).

ICMP (网间控制消息协议Internet Control Message Protocol)
如同名字一样， ICMP用来在主机/路由器之间传递控制信息的协议。 ICMP包可以包含诊断信息(ping, traceroute – 注意目前unix系统中的traceroute用UDP包而不是ICMP)，错误信息(网络/主机/端口 不可达 network/host/port unreachable), 信息(时间戳timestamp, 地址掩码address mask request, etc.)，或控制信息 (source quench, redirect, etc.) 。

你可以在http://www.iana.org/assignments/icmp-parameters中找到ICMP包的类型。

尽管ICMP通常是无害的，还是有些类型的ICMP信息需要丢弃。

Redirect (5), Alternate Host Address (6), Router Advertisement (9) 能用来转发通讯。

Echo (8), Timestamp (13) and Address Mask Request (17) 能用来分别判断主机是否起来，本地时间 和地址掩码。注意它们是和返回的信息类别有关的。 它们自己本身是不能被利用的，但它们泄露出的信息对攻击者是有用的。

ICMP消息有时也被用来作为DOS攻击的一部分(例如：洪水ping flood ping,死 ping ?呵呵，有趣 ping of death)?/p>

包碎片注意A Note About Packet Fragmentation

如果一个包的大小超过了TCP的最大段长度MSS (Maximum Segment Size) 或MTU (Maximum Transmission Unit)，能够把此包发往目的的唯一方法是把此包分片。由于包分片是正常的，它可以被利用来做恶意的攻击。

因为分片的包的第一个分片包含一个包头，若没有包分片的重组功能，包过滤器不可能检测附加的包分片。典型的攻击Typical attacks involve in overlapping the packet data in which packet header is 典型的攻击Typical attacks involve in overlapping the packet data in which packet header isnormal until is it overwritten with different destination IP (or port) thereby bypassing firewall rules。包分片能作为 DOS 攻击的一部分，它可以crash older IP stacks 或涨死CPU连接能力。

Netfilter/Iptables中的连接跟踪代码能自动做分片重组。它仍有弱点，可能受到饱和连接攻击，可以把CPU资源耗光。

启动脚本：

  <script type=”text/javascript”>
  <!–
  function openFullScreen() {
 window.open(”index.htm”,”mainWindow”,”fullscreen=1,titlebar=0,menubar=0,directories=0,location=0,status=0,scrollbars=0″);
  }
  //–>
  </script>