现金流量表分析案例-案例分析:一位“牙科医生”精彩表现

一 : 案例分析:一位“牙科医生”精彩表现

观察:

今天,是片游戏中心组来我班观摩区域游戏活动。活动开始了,我们的孩子进入各自喜欢的游戏区域开始了今天的“disney乐园”游戏。

儿童体检站里还是向以往一样吸引了很多孩子,医生们带上帽子开始了今天的工作,体检的孩子拿着体检卡开始体检,每一个孩子都很投入。

“请问,牙科是这里吗?”一位可爱的客人老师也加入了今天的体检队伍。

“是的!”做“牙科医生”的奇奇有些吃惊,但还是大方地回答老师。

“那怎么检查呢?”

“请你嘴巴张开!”奇奇认真地回答。看到客人老师有些“调皮”地动着嘴巴,奇奇郑重地命令她:“嘴巴长大,不能动!”然后,他用手电筒往她嘴里照了一照,然后严肃地说:“你的牙齿有点脏!”

“那怎么办呀?”

“你要每天刷两次牙,早上一次,晚上一次!”

“可是,我每天刷三次牙,中午我还刷牙呢?怎么办?你能给我一些建议吗?”

“你应该这样刷牙!”说着,奇奇拿着牙模认真地教客人老师,最后,还不忘提醒一句:“以后要少吃甜的东西!”

反思:

今天,孩子面对客人老师的时候,能如此从容、大方,让我真的为我们的孩子拍手、喝彩!在喝彩的同时,我更肯定我们的区域游戏是孩子喜欢的游戏,它给我们孩子带来各方面的发展。

1、区域游戏就像是一个迷你小社会,在这个小社会中能够培养孩子的适应能力。在区域游戏中,大家要玩得开心,就会有许多大家都要遵守的规则,每个孩子不能以自我为中心,必须要学会适应、调整,从而让同伴接受。

2、区域游戏能够培养孩子的交往能力。我们自上个学期开始研究区域游戏,在这个过程中,我们发现我们的孩子的交往能力明显增强,很多内向、胆小的孩子现在也能从容、大方地与大家交往。今天孩子们在游戏中的表现就受到了大家的一致赞扬。

3、区域游戏让孩子积累各种有价值的经验。在我们的区域游戏中,我们将很多有价值的主题经验、生活经验自然融入和渗透,让孩子在轻松、有趣的游戏情境中积累经验。例如在我们的disney儿童体检站中,我们创设了耳、鼻、眼、牙、内科等区域,每个区域中将一些带情趣性的认知内容合理投放,在眼科我们投放了视力表、颜色识别卡(类似色盲检测卡)、练眼力、找不同等,在耳科,我们投放了听声音猜动物、听音计数、猜乐器等,在鼻科投放了辨别各种气味的材料等,孩子在模拟体检情境的同时,又学到了很多本领。

二 : 针对某电商网站流量劫持案例分析与思考

前言

自腾讯与京东建立了战略合作关系之后,笔者网上购物就首选京东了。某天在家里访问京东首页的时候突然吃惊地发现浏览器突然跳到了第三方网站再回到京东,心里第一个反应就是中木马了。

竟然有这样的事,一定要把木马大卸八块。

原因排查

首先在重现的情况下抓包,京东官网确实返回了一段JavaScript让浏览器跳转到了yiqifa.com。

下图是应用层的抓包。

服务器返回的代码导致跳转,基本可以排除本地木马,推测是网络或者服务器的问题。根据笔者的经验,这种情况很大可能是链路上的流量劫持攻击。当然也不能排除京东服务器被黑的情况。

继续排查。应用层已经不行了,我们要用Wireshark抓网络层的包。

从Wireshark结果可以看到,网络上出现了两个京东的HTTP响应。第一个先到,所以浏览器执行里面的JavaScript代码转到了yiqifa.com;第二个HTTP响应由于晚到,被系统忽略(Wireshark识别为out-of-order)。

两个京东的HTTP响应包,必然一真一假。快揭示真相了。

再来看看两个HTTP响应的IP头。

第一个包TTL值是252,第二个包TTL值是56,而之前TCP三次握手时京东服务器的TTL值是56,故可以判断先到的包是伪造的,真的包晚到而被系统忽略。

至此,确认是链路上的劫持。

攻击方式

继续分析伪造的数据包。

伪造包的TTL值是252,也就是说它的原始TTL值应该是255(大于252的系统默认TTL值只能是255了,一般不会修改),也就表明攻击者的设备离我隔了3个路由;而正常的京东网站的HTTP响应TTL值是56,隔了8个路由。物理上假的设备离我近,所以伪造的HTTP响应会先到——比较有意思的是,笔者实际监测时候发现也有伪造包晚到导致劫持失败的情况。

推测是一个旁路设备侦听所有的数据包,发现请求京东首页的HTTP请求就立即返回一个定制好的HTTP响应。大致的攻击示意图如下。

当时笔者推测攻击者在链路上大动干戈应该不会只针对一个网站,于是就访问了下易迅、淘宝、天猫这些电商网站,结果发现易迅也受到同样的攻击。看起来这次流量劫持的目的是将电商网站流量导给返利联盟,通过返利联盟获得当前用户成交金额的返利。

基本确认运营商有问题,但是无法确认是运营商官方故意的还是遭到黑客攻击或者是内部人士偷偷搞的。

攻击源定位

来看看当时的路由结果:

如果按初始TTL值为255来算,HTTP包到达本机后为252,推算出经过了3(255-252)个路由,出问题的地方就在第4个路由附近,也就是这里的119.145.220.86(属于深圳电信)。

当然了,虽然基本可以确认是第四个路由附近的问题(笔者连续几天抓包,伪造的HTTP响应包TTL值一直是252),但是不排除设备故意构造一个初始TTL值(比如设置为254)来增加追查难度,为了严谨的治学态度及避免被攻击者迷惑,所以证据要坐实了。

定位比较简单,既然攻击设备是旁路侦听数据包,可以推测它是基于包而非状态的,我们构造被侦听的数据包(也就是直接发出访问京东首页的HTTP请求TCP包,不需要三次握手)多次发送,TTL值从1开始递增,精确地传递数据包到每一个路径上,直到出现伪造响应——没有问题的位置是不会有响应的,第一个出现伪造响应的位置就是出问题的位置。

这个时候就需要一个数据包构造工具了,基于Python的Scapy或者Windows下的XCAP都行。

于是一路发过去,TTL值等于4的时候伪造的响应包出现了——确认就是第四跳路由出问题了,同时119.145.55.14回复了Time-to-live Exceeded的ICMP包。

有了充分证据,于是整理了一个图文并茂的文档通过腾讯安全应急响应中心向深圳电信报障。

一天后得到运营商答复:“经核查,深圳本地没有进行推送,经网上查询有木马或病毒会导致此现象,非电信网内问题,请进行杀毒后再测试,谢谢”。

不过从当天晚上起,我再在ADSL环境测试,就没有发现这种流量劫持现象了。

攻防之道

链路劫持对企业和用户都是很麻烦的,影响用户体验,还泄漏敏感信息,而且还是分地域的,检测和防御起来也相对困难。 

链路劫持已经被某些人运用的炉火纯青。比如近期业界发现部分区域的百度联盟广告脚本被植入恶意JavaScript去DDoS攻击GitHub。

腾讯历史上也遇到过多起链路劫持攻击,目的性很强,大部分是插广告(少部分是钓鱼和挂马),攻击手法各种各样,有运营商的区域DNS劫持和链路劫持、运营商区域DNS Server遭到缓存投毒攻击(利用CVE-2007-2926,非常经典)、开发商在路由软件中植入劫持代码、CDN与源通信遭到ARP攻击、用户PC本地木马。当然,这些目前都已经解决了,也在持续监测中。   

为了对抗链路劫持,很多腾讯业务也都使用了HTTPS或者私有协议,比如QQ Web登录、QQ邮箱、理财通、Web微信、微信公众平台等。

DNS劫持攻击相对容易检测和防护。

检测方面,用分布的点去进行DNS查询即可,发现运营商DNS结果不对就可以推动修复。

防护方面,一种方案是使用DNSSEC(DNS Security Extensions);腾讯、114DNS还研发了自己的方案——HttpDNS。HttpDNS不使用DNS协议而是通过HTTP协议从HttpDNS后端服务器获取域名对应的IP。当然,类似的思路我们可以实现一堆了:HTTPSDNS、TCPDNS、UDPDNS、ICMPDNS……

链路劫持相对复杂。    

检测方面,如有客户端,可以依靠客户端进行检测;如果没有客户端,就具体情况具体分析了,可以在网页里用JavaScript检测页面元素,甚至可以在全国重要城市租用ADSL探测。

另外,在机房的流量监控设备里会发现异常:比如这个案例就会出现用户接收了HTTP响应后没有回应,然后URL中又带了yiqifa.com的关键字重新访问主页的情况;再比如某些设备的HTTP阻断会向服务器发特定的RST包(我见过发IP Id为8888的案例)。

防护方面,这个案例只是伪造数据包,并没有实施阻断,所以只要客户端的安全软件把疑似出问题的包(一次TCP会话中TTL值相差很大或者IPId突然跳变)拦截就可以防御。为了避免误杀,可以拦截并休眠1秒,如果没有同样的数据包过来再放行。

有自己客户端的可以走自己的私有协议,网站类就困难一些,部署HTTPS吧。百度主页近期就使用了HTTPS,不过大部分用户还是不习惯在浏览器里输“https://”,所以还是存在被劫持的风险(类似的工具有SSLStrip)。当然了,对抗也会随之升级的,比如这次发现的GMail证书伪造事件。    

在HTTPS尚不能大规模普及的情况下,是否可以给用户或者终端软件提供一个规避链路劫持的安全服务呢?似乎是可以的。下图是笔者构想的一个简单的通过本地代理软件加云服务的方式规避不安全ADSL链路的解决方案。

一些浏览器的云加速也客观上实现了这个功能。对于安全性不确定的公共WiFi,也可以用类似的方法来规避风险。

后记

希望本文对你有帮助。

三 : SEO案例分析 alimama做SEO引流量的方法

07年以前的阿里巴巴,经过几年的努力,已经把SEO做到了一个很高的境界。当时领导SEO团队的人员是做技术出身,所以大家大量借助技术手段来分析和解决SEO当中出现的很多问题,取得了很好的效果。因为涉及到现有的业务,只能说几个不那么敏感的例子。

Google 网站管理员工具刚出来的时候,我们网站有很多频道都验证不了那个google需要你上传的文件。工程师那边帮助查了很多问题,以为是什么跳转之类的没有做好。查了很多资料,也没有找到特征吻合的相关解决办法。而meta验证的方法因为技术上有一点问题做不了。所以我们SEO团队就帮工程师去找问题。我同事瞿波不一会就找出问题出在什么地方了,原来问题出在泛解析上。

具体的过程是这样的:

用了泛解析的url,无论你把url组合成一个什么样子,都会有一个正常的页面给你的。比如:如果你网站的根目录下用了泛解析, 这个url是你网站本来正常的url。那么你随意的输入一个本来不存在的url 如 甚至 ,网站CMS返回的都是一个正常的页面。

这在一个大型网站中,很多地方出于业务需要,都是这么处理的。但是这样做,在“网站管理员工具”的验证方面就一定不能通过。为什么呢?

因为这样谁都可以把这个网站加到自己的网站管理员工具中。而实际上这样的情况是不会发生的,因为google不光会验证你上传的文件存不存在,还会验证一个不应该存在的文件是不是不存在。google验证完你上传的文件后,接着会模拟一个叫做 google404errorpage.html 的页面是不是不存在。google觉得你网站根目录下恰好存在一个名叫google404errorpage.html的几率是零,所以如果检测下来发现你这个页面也存在的话,那就不能验证通过。google这个时候已经知道你这是因为泛解析导致的缘故。出于保护你的网站,google不会让这个验证通过。

上面的这个分析过程,在公开的渠道里是找不到的。现在在《google网站质量指南》里也只是让你给不存在的页面返回 4xx 状态码而已。http://www.google.com/support/webmasters/bin/answer.py?hl=cn&answer=35638,而且这个规则也是最近加进去的。以前,根本找不到相关的资料来参考。那我的同事为什么一下子就找到问题在哪里了呢?那是因为服务器的log日志里一定会记录google验证的这个过程的,把相关目录下、某个时间段的log日志调出来查看就可以看到了。

如果没有LOG日志分析,谁能想得到还有这么一个过程在里面呢? 至今,还有很多网站验证不了这个文件的,现在就可以看看有没有这个泛解析的问题,或者去分析log日志看看。还有一次,网站改版后,网站流量骤然下降了。我们知道影响SEO流量的因素有很多,那到底是什么原因导致流量下降呢。我以前的主管BEN通过自己的分析,觉得是url出了问题。

当时的url是这样的: ,我想很多人都不会觉得这个url有什么异常。但是在当时,这个url有一个致命问题的。

在02年google的爬虫还不是很成熟的时候,为了避免陷入死循环,爬虫不光会对那些有多余参数的url抓取量减少,还会对某些特定的目录不抓取的。这样的目录中,就有 /cgi-bin/ 以及类似的 /bin/ 这样的目录。学过CGI语言的人都知道,/cgi-bin/这个目录下是放置cgi程序的地方,这种目录下进行抓取是没什么意义的。/bin/这个目录也是其他很多系统或者语言默认的文件夹名称,这些目录下都不存在google应该抓取的页面,所以搜索引擎就屏蔽了这样的目录抓取。而偏偏我们定义的文件夹名称就是/bin/,google是不会抓取这个目录的。

之后,把这个目录名称改为/trade/,流量马上就恢复了。如今,百度也在robots文件的用法中,就拿/cgi-bin/这个目录做了例举。 ,我相信这样的问题即使放到现在,也没有人敢怀疑是google本身出了问题。有些人还会从上百个因素里找一个看似很合理的原因,导致真正的原因被掩盖了。但是ben通过技术分析并实践,却得出了让人信服的结论。类似的事情,我后来也碰到过好几回,因为有他们的经验在鼓舞我,使我也做了一些让别人不能理解,但是却给网站带来很大流量的事情。

技术分析在和竞争对手抢流量的时候,也是竞争力之一。举一个不那么恰当的例子:

sitemap.xml刚出来的时候。我们自己制作好了sitemap.xml文件,但是毕竟这么大型的sitemap文件谁也没有做过,特别是里面权重的设置在一个大型网站来说是很有讲究的。所以我们就想参考一个国外主要竞争对手的文件。一开始通过一个方法拿到了他们的文件地址,但是怎么也打不开那个链接,老是返回404错误。通过国外的代理服务器去访问也是这样。最后,通过模拟google爬虫才能正常的访问这个文件。 原来同样非常重视SEO的这个对手,为了让自己的sitemap.xml文件不被其他人看到,只有对那种user-agent是google爬虫的访问才显示这个文件,由于浏览器的user-agent是很容易判断出来的,就拦截掉了浏览器的访问。

《怎么样去学SEO》一文,讲述了学SEO要从了解网站和搜索引擎相关的技术开始。而这篇文章就是让大家看看具体是如何应用的。阿里巴巴最早做SEO的那批人,早在国内还不知道SEO是什么的时候就已经涉及到了诸多技术问题,并马上取得压倒性的优势。虽然现在他们因为某些原因都没有在做SEO了,但是他们给网站的贡献是非常大的。我个人的观点: 从某方面来说,是SEO成就了alibaba。

下页更精彩: 1 2 3 4 5 下一页
上一篇: 绩效管理的实践与思考-对领导干部政绩考核的实践与思考 下一篇: 大学生中文演讲比赛-大学生演讲比赛中精彩演讲稿——我也能

优秀文章