05月23日
一、今日完成情况
- 完成vps学习和切换,所有客户端重新配置
- 完成win10 arp实验的环境部署,自己这边打通所有流程
- 理解arp原理的细节
- windows模拟mac环境插件测试,发现是东施效颦,没有mac 的丝滑,反而丢失了Windows自带的特点,因此我 放弃了这个方法 MyDockFinder
- 测试新的vps服务器的IP纯净度等特点,等待ing
二、今日感悟
- 核心业务数据:
- 实验系统性的部署,其实没有达成预期目标,教程只能明天系统性完成了。
- 今日工作总结:
- 对于arp和wireshark抓包总算有一点理解了,果然纸上得来终觉浅,绝知此事要躬行。
- 明日工作计划:
- 必须完成教程的制作,明天是ddl,必须完成
- 音频转文字也要琢磨一下如何实现
- 未来需要完成的任务:
- 1、理财记录方案找到一个自动化工具
- 2、语言转文字,查看groq方案和性价比,实现ubuntu、Windows还有mac都实现快捷键立即启动语音转文字的服务。
- 3、完成个人博客传送门的效果,这个比较重要,我已经厌倦每次都要QQ或者微信中转一下的麻烦了。或者直接服务器可以中转也行。
- 4、复盘中兴面试的问题,并且查看是否有值得优化的地方
- 未来需要完成的任务:
- 今日学习成长:
- 对于系统性的学习vps还有各种不同机房的定位有了一个粗浅的理解了,还有AI的内容确实不可以太相信,毕竟AI的内容就是从网页当中获取的,网页的内容宣传的多,AI就会说出来,但是质量是无法保证的,所以在专业性的问题上,AI无法代替传统博客的测评。
三、备注
- 无
四、wireshark 安装包
https://www.wireshark.org/download/src/all-versions/ 要安装旧版本的wireshark参考此链接
五、纯净IP探索
vps专业测评,好好参考
https://meowvps.com/blog/script/
服务器性能IP测试脚本,好好利用学习
https://linux.do/t/topic/1428787
论坛推荐
美国家庭宽带,我未来有钱了一定要搞一个。预算需要达到25刀每个月才可以。
QQPW
https://linux.do/t/topic/2123556/17
新兴美国夏威夷家宽oneman商家,有独一无二的夏威夷家宽ip,机器性能强劲,ip质量优秀,相同价格下口子是VIRCS的8倍,更有超量停机不限速策略,相当不错。美中不足的是位于夏威夷导致延时会比美西高60ms,如果本身对延时要求不高的用户可以选择这家,但总体而言物有所值。他家还有NAT家宽机器,质量也是相当优秀,除了延时这个缺点,真是无懈可击。
缺点:中转延时高
常见产品线:
- Residential VPS NAT Tiny:1C238MB 4GB 1GB/月 超量限速1Mbps 12刀/年
- Dedicate IP VDS Intern:2C3G 20GB 1TB(双向/月) 超量限速35Mbps 35刀/年
当前我使用的新的vps 是这个:
介绍如下:
https://meowvps.com/blog/ipraft/
六、踩坑记录
1. Wireshark安装与兼容性问题
问题1:新版Wireshark不支持旧版Win10
现象:安装Wireshark 4.6.6时提示”Windows 10 versions before 1607 are no longer supported”
原因:Wireshark 4.0及以上版本提高了系统最低要求,强制需要Win10 1607及以上版本
解决:安装Wireshark 3.6.x系列(最终稳定版3.6.24),这是最后一个完全兼容旧版Win10的版本问题2:下载了错误的pdb调试包
现象:下载了Wireshark-pdb-win64-3.6.x.zip文件,解压后没有主程序无法运行
原因:pdb文件是调试符号包,仅用于开发者排查崩溃,不是普通用户的安装包
解决:下载后缀为.exe的完整安装包,文件名格式为Wireshark-win64-3.6.24.exe问题3:DLL入口点缺失错误
现象:启动Wireshark时提示”无法定位程序输入点SystemParametersInfoForDpi于动态链接库Qt6Gui.dll上”
原因:即使是Wireshark 4.0.x系列,也依赖旧版Win10没有的系统API
解决:彻底卸载4.0.x版本,重新安装3.6.x系列
2. NetFuke工具配置问题
问题1:转发模式选择错误导致靶机断网
现象:启动ARP欺骗后靶机完全断网,Wireshark抓不到任何响应包
原因:NetFuke默认选中”关闭转发”,攻击机只接收流量不转发
解决:转发模式选择”主动转发”(软件级转发)或”路由转发”(系统级转发)问题2:系统IP转发与软件转发冲突
现象:同时开启系统IP转发和NetFuke主动转发,出现大量重复包和乱序包
原因:两个转发机制同时工作,导致数据包被重复处理
解决:二选一,推荐关闭NetFuke主动转发,只用系统IP转发(更稳定)问题3:单向欺骗导致流量只进不出
现象:靶机可以发送请求,但收不到响应,Wireshark里全是[RST, ACK]包
原因:只配置了”靶机→网关”的单向欺骗,网关的响应包直接发给靶机,不经过攻击机
解决:必须同时配置双向欺骗:- 欺骗靶机:让靶机把网关当成攻击机
- 欺骗网关:让网关把靶机当成攻击机
问题4:嗅探设置弹窗警告
现象:启动嗅探时弹出”在欺骗情况下,关闭了转发功能,您确定这样做?”
原因:NetFuke检测到系统IP转发未开启,提示用户靶机会断网
解决:先开启系统IP转发,再点击”取消”关闭弹窗,不要点击”确定”
3. 系统层面配置问题
问题1:系统IP转发开启后无法验证
现象:执行了开启IP转发的注册表命令,但不确定是否生效
原因:IP转发需要重启系统才能生效,且没有直观的图形化显示
解决:用注册表查询命令验证:reg query "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v IPEnableRouter返回
0x1表示开启,0x0表示关闭问题2:Windows防火墙拦截转发流量
现象:IP转发已开启,ARP欺骗也生效,但靶机还是无法上网,Wireshark里全是RST包
原因:Windows防火墙默认会拦截不是发给本机的转发流量
解决:完全关闭攻击机的所有防火墙(域网络、专用网络、公用网络),同时关闭实时保护
4. VMware虚拟机网络配置问题
问题1:找不到混杂模式选项
现象:在单个虚拟机的”网络适配器高级设置”里找不到”允许混杂模式”选项
原因:混杂模式是针对整个虚拟交换机(VMnet)的设置,不是单个虚拟机的功能
解决:在VMware主界面→编辑→虚拟网络编辑器→选中VMnet8→更改设置→勾选”允许混杂模式”问题2:混杂模式开启后不生效
现象:已经勾选了允许混杂模式,但ARP欺骗还是不生效,靶机ARP表没有被篡改
原因:没有以管理员身份运行VMware,或者没有重启虚拟机让配置生效
解决:右键VMware快捷方式→以管理员身份运行,然后重启攻击机和靶机虚拟机
5. 流量分析与抓包问题
问题1:过滤规则太宽泛导致包太混乱
现象:用ip.addr == 192.168.150.12筛选,出现大量重复、乱序的TCP包,看不到ARP欺骗报文
原因:该规则会显示所有进出靶机的IP包,包括大量外网服务器的HTTPS流量
解决:使用更精准的过滤规则:- 只看ARP欺骗包:
arp and arp.src.hw_mac == 00:0c:29:a7:44:09 - 只看靶机与网关的流量:
ip.addr == 192.168.150.12 or ip.addr == 192.168.150.2
- 只看ARP欺骗包:
问题2:看不到ARP响应包
现象:Wireshark里只有ARP请求包,没有NetFuke发出的ARP响应包
原因:NetFuke这种老版工具发出的ARP欺骗包,Wireshark不会标记为Reply,而是直接显示为is at
解决:查看Info列中192.168.150.2 is at 00:0c:29:a7:44:09这样的包,这就是欺骗包问题3:大量噪音包干扰分析
现象:抓包里有很多[TCP Out-Of-Order]和[TCP Dup ACK]包,影响正常分析
原因:VMware虚拟网络转发延迟和ARP欺骗导致的数据包重传
解决:用过滤规则去掉噪音:ip.addr == 192.168.150.12 and tcp.analysis.out_of_order == 0 and tcp.analysis.duplicate_ack == 0
七、记录vps修改
简单记录一下,我的vps如何从vultr修改为另一个服务器。
1、https://porkbun.com/account/domainsSpeedy 域名解析这里需要修改
2、Cloudflare解析修改
注意,这里使用kipleyarch这个账号登录,别弄错了
3、服务器端开启Nginx服务,并且开启端口。
4、服务器重启hysteria服务,参考这个教程:
https://v2.hysteria.network/zh/docs/getting-started/Server-Installation-Script/
5、客户端文件修改:
mixed-port: 7897
allow-lan: true
mode: rule
log-level: info
proxies:
- name: "Hysteria2-easytake"
type: hysteria2
server: easytake.work
port: 443
password: Se7RAuFZ8Lzg # 修正:老版本内核必须用 password 才能正确传参
alpn:
- h3
sni: easytake.work
skip-cert-verify: false
udp: true
proxy-groups:
- name: "Proxy"
type: select
proxies:
- "Hysteria2-easytake"
- "DIRECT"
rules:
- DOMAIN,easytake.work,DIRECT # 确保你访问自己域名时不走代理死循环
- GEOIP,CN,DIRECT
- DOMAIN-SUFFIX,baidu.com,DIRECT
- DOMAIN-SUFFIX,bilibili.com,DIRECT
- DOMAIN-SUFFIX,qq.com,DIRECT
- DOMAIN-SUFFIX,weibo.com,DIRECT
- DOMAIN-SUFFIX,alipay.com,DIRECT
- MATCH,Proxy
八、Windows 模范mac系统美化
我用夸克网盘给你分享了「MyDock 付费主题」,点击链接或复制整段内容,打开「夸克APP」即可获取。
伏脂瑮锉乊爻***洞座
/97d03983Uo:/
链接:https://pan.quark.cn/s/e8a1efb38df7
MyDockFinder 常用设置教程
https://www.kdocs.cn/l/cfdF4BBd9qCP
九、新服务器检测报告
bash <(curl -sL https://run.NodeQuality.com)
https://nodequality.com/r/21BpP1FLijF9Ysm2EEBTSaRHpkvO7hwd
流媒体与 AI 服务解锁 (极佳)
这是该 IP 表现最优秀的板块,属于大水管/优质解锁盘:
全原生解锁:除了 TikTok 失败外,Disney+、Netflix、YouTube、Amazon Prime Video、Reddit 以及 ChatGPT 全部实现了 [SG] 新加坡本地原生解锁 (Original/Native)。
能够原生解锁 ChatGPT 和 Netflix 意味着该 IP 的 ASN(自治系统号)欺骗性很强,普通的流媒体风控很难封杀它。
判断一个海外节点对国内稳不稳定,过去看去程,现在决定性因素是“回程”(即数据从新加坡服务器发回你国内设备走什么路)。 从图中的“三网回程路由”来看,情况非常糟糕:
- 电信回程:走的是
PCCW -> 163。这里的 163 指的是电信普通民用网络(AS4134),没有走 CN2 GIA 高端优化线路。 - 联通回程:走的是
Level3/Verizon -> 4837。走的是联通普通骨干网(AS4837)。 - 移动回程:走的是
PCCW/Arelion -> CMI。走的是移动普通 CMI 国际网。
总结:三网回程全部落在了最基础、最拥堵的普通民用公网骨干网上。只要一到晚高峰(晚上 8 点到 11 点),国内骨干网网关(如上海/广州/北京出口)一挤,你的数据包就会被优先抛弃。
断流与报错:香港联通、深圳移动直接显示
ERROR,这意味着在测试期间,节点和这些国内省份节点之间直接断流,或者丢包率高到连测速握手都无法完成。延迟高得离谱:从新加坡到中国大陆,正常的直连延迟一般在 30ms - 80ms 之间(比如走优质专线或直连优化)。而你的报告中:
- 苏州电信延迟:324ms
- 杭州电信延迟:374ms
- 上海联通延迟:436ms
- 苏州移动延迟:746ms
这种几百毫秒的延迟意味着你的流量极大概率没有直回收发,而是绕路了(例如从新加坡先绕去了欧洲或美国,再回到了中国大陆)。
- 即使在它物理定位的新加坡本地,延迟也有 162ms(正常本地应该在 1-5ms 之间)。这再次印证了第一张图的结论:这是一个广播 IP。它的物理服务器极大概率根本不在新加坡,而是在英国或其他欧洲机房,只是在网络上“广播”宣告自己是新加坡。这种肉体与灵魂分离的“地理撕裂感”是导致高延迟和丢包的元凶。
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 kipleyarch@gmail.com
