阳光梦的专栏

原创 AI工具-解决内存泄露问题

程序员最头疼的问题之一就是 内存泄露。有时候查半天都找不到是哪一行代码出了问题。# 启用内存泄露检测；将内存地址转换为源码位置，需要-g配合；AI工具codebuddy结合libasan。# 开启ASAN，保留调用栈。，10秒就能解决 bug。4，AI工具解决问题。

原创 AI-生成自己声音+图像的短视频

将数字人视频 + 背景素材 + 字幕整合 → 最终短视频文件。+ 音频 → 输出数字人讲解视频。DeepSeek 自动提取核心内容。可选：加上背景素材，做画面合成。输入照片（真人或 AI 生成）（可选，数字人前景可叠加）。→ 获取专属音色ID。生成音频用于数字人驱动。

原创 负载均衡-会话保持技术

真实场景：web代理一般处理用户请求时有基于请求轮训调度，加权轮训调度，这样会将用户的请求打散到应用池的多个rser上。但对于用户登录类web业务，此用户的后续请求一直要交给最初的rser处理，而不是交由其他rser处理。，比如对rserip:rserport计算MD5值），因此客户端请求携带cookie时与应用池中rser摘要值对比知道转发请求给哪个rser。请求到来时首先根据源ip查找rbtree,存在则更新有效时间（定时清理rbtree中失效的节点）;客户端源ip和选中rser的对应关系。

原创 代理实现客户端地址透传

服务器一般根据客户端IP做请求限速或者请求统计，日志审计功能。但在复杂的网络架构中，中间存在许多代理设备，如何将客户端真实 IP 地址在多层代理建透传呢？给透传的数据包打上标识，凡是打了标识的包让走指定路由表规则，让数据包交给本机lo网卡处理。rser需要支持proxy protocol 协议解析才能获取客户端地址。请求过程中代理只是改写了客户端请求包中目标mac地址。nginx支持L4和L7代理客户端地址透传？通过一个tcp包携带客户端地址；L4代理客户端地址透传。L7代理客户端地址透传。

原创 不安全通信实现安全传输-stunnel

stunnel 用于给原本不支持加密的应用通信“套一层 SSL/TLS 加密通道”，实现安全传输。

原创 四层代理-nat模式

L4代理改写客户端请求数据包头部信息：客户端请求包为 [sip=ip1 sport=port1 =》dip=ip2 dport=port2]，L4代理改写数据包为 [sip=ip2 sport=port2 即vser的地址 =》dip=ip3 dport=port3 即rser地址侦听地址]。性能：客户端请求数据包，rser响应数据包均经过代理设备，故性能较低；支持端口映射（即rser侦听ip+port与vser侦听地址不同）。NAT 模式数据包均会经过L4代理；真实服务器无需额外配置。

原创 四层代理-tunnel隧道模式

1.L4代理利用IP隧道技术，在客户端请求vser的ip数据包基础上，再包裹一层IP数据包头，转发至rser，L4代理发给rser的请求数据包格式：[外层IP头：sip=IP3，dip=IP4]+[内层IP头：sip=ip1，dip=ip2]+[tcp头：sport=port1，dport=port2]。2.rser解封装后得到目的为vip即ip2的数据包，rser响应数据包不经过L4代理设备直接转发至客户端（rser需要配置vip）。仅仅对客户端=》vser的请求ip包新增了IP头部，故不支持端口映射；

原创 四层代理-DR三角模式

4.注意事项：后端服务器的 lo 回环网卡上，需要配置虚拟服务的IP地址，并且需要配置 ARP 抑制（即局域网内有通过ARP请求获取虚拟服务ip对应的mac时，此rser不能给应答自己的mac地址）。3.后端服务器返回的响应数据包，不需要经过代理而直接转发至客户端：数据包源ip源port=L4侦听的ip和port=》数据包目的ip和port是客户端的。2.L4代理收到客户端请求后，将请求数据包中目的MAC改为后端服务的MAC，转发至后端服务器（如rser1）；1.客户端请求L4侦听的IP2+PORT2；

原创 linux系统创建加密分区

建立文件系统结构后，但是此时文件系统只是存在于磁盘块中，操作系统还'看不见'，mount挂载后就可以像操作普通目录一样操作文件了。分区只是空间，LUKS 加密分区后是暗盒，都不能直接拷文件；必须先在明文空间里创建文件系统，挂载后才能操作或拷贝文件。核心工具使用：cryptsetup。

原创 流量审计产品

问题：网络拓扑：

原创 ping命令工作流程

给指定目标IP发送一定长度的数据包，按照约定：若指定IP地址存在的话，会返回同样大小的数据包，如指定时间内没有返回，就是“超时”，会被认为指定的IP地址不存在。由于ping使用的是ICMP协议，有些防火墙软件会屏蔽ICMP协议，所以有时候ping的结果只能作为参考，ping不通并不一定说明对方IP不存在。

原创 新建并发吞吐

以 银行处理用户 为比喻，理解服务器的新建，并发，吞吐。

原创 git分支管理

合并到develop分支和master分支。拉feature分支或fixbug分支。合入到 pre-release分支。创建pre-release分支。合并到develop分支。合并到develop分支。合并到master分支。合并到master分支。

原创 nginx惊群问题

master进程并不处理网络请求，主要负责初始化和调度工作进程，如加载配置、启动工作进程 ，升级等；worker进程用来处理网络请求，并且一个连接的多个阶段处理都在同一个worker中进行。master侦听socket，多个worker继承侦听socket，同时等待同一个socket事件，当这个事件发生时，所有worker同时唤醒，但最终只能有一个进程能建立成功。nginx进程主要是一个主进程（master)和多个工作子进程（worker）。，其他进程都会失败，造成了资源的浪费（这就是所谓的惊群问题）。

原创 ftp，sip，rtsp协议特点

ftp，sip，rtsp协议特点：ftp协议：

原创 ipsec应用场景

ipsec保证了通信的安全性：会做认证，数据加密和完整性校验。

原创 nginx和openresty和apisix区别

可以作为web静态文件服务、SSL/TLS 卸载功能。采用c语言，核心是反向代理、负载均衡功能。

原创 ansible-远程自动化部署

【代码】ansible-远程自动化部署。

原创 LD_PRELOAD-hook系统函数

【代码】LD_PRELOAD-hook系统函数。

原创 加解密和摘要算法

原创 TLS-ECDHE握手流程

ECDHE 是基于椭圆曲线离散对数问题的密钥协商算法，客户端和服务端各自生成临时密钥对(即私钥和公钥)，只交换公钥(这个也可以叫DH参数)，双方通过“自己的私钥 h和 对方的公钥”计算出相同的预主密钥，从而在不传输密钥的情况下建立共享秘密，并天然具备前向安全性。

原创 TLS-国密ECC握手流程

身份认证(sm3 sm2)：通过数字证书认证对端身份。机密性(sm4)：传输数据的加解密。完整性(sm3)：传输数据的完整性校验。

原创 TLS-算法套件

TLS 从 ECDHE 开始，双方不再"传递密钥本身"，而是各自生成临时密钥对，互换其中一个给对方，再各自计算出预主密钥=》主密钥=》会话密钥(用于传输数据的加解密)。RSA是认证算法：证书中签名值 是ca对证书请求文件先计算摘要值，再使用自己私钥加密的结果。这里是一个加密套件的例子：TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。AES_128_GCM 是批量【对称加解密算法】：对通信数据的加解密。加密套件是用于在SSL/TLS握手期间协商安全设置的算法的组合。

原创 TLS-RSA握手流程

身份认证：通过数字证书认证对端身份。机密性：传输数据的加解密。完整性：传输数据的完整性校验。

原创 证书信息介绍

假设上述证书用于服务器使用，浏览器需要导入CA证书(权威的证书一般会内置集成，自己做的CA需要手动导入)，使用sha256计算摘要值，再使用自己的rsa私钥对摘要值加密。私钥加密公钥可以解密，公钥加密私钥也可以解密。使用ca证书校验用户证书流程。

原创 iptables使用

添加，修改，删除，查看规则；规则组成部分：1--报文的匹配条件;2--匹配到之后的处理动作;匹配条件：根据协议报文特征;--基本匹配条件：源ip，目标ip，源端口，目标端口等--扩展匹配条件：比如连接追踪等功能；处理动作(比如, 丢弃/拒绝/接受/返回调用的链)：--内建处理机制;--自定义处理机制;Note：报文不会经过自定义链，只能在内置链上通过规则进行引用后生效；

原创 iptables-底层工作机制

理解：相关钩子函数。

原创 域套接字和本机ip-收发包流程

域套接字(Unix domain socket)数据包传输不需要经过网络协议栈，不需要封装和解封装等操作，只是数据的拷贝过程(不经过任何网卡)。使用本机IP通信时，数据包不经过网卡，但内核协议栈还得走(会走lo网卡)。可以使用tcpdump抓取lo虚拟网卡上数据包。

原创 国密nginx服务搭建

【代码】国密nginx服务搭建。

原创 向cfca权威机构-申请国密证书

很多政府机关对于加密要求非常严格，必须遵循 国密算法（SM2/SM3/SM4），web站点要求使用国家标准的国密证书，而国密证书通过 CFCA 等认证机构获得。今天主要介绍下如何从cfca权威机构获取认证的国密双证书：签名证书+加密证书，而不是使用自签名的国密证书。

原创 linux-本机发包流程

linux发包流程：socket buffer大小：网卡的接收和发送队列大小：

原创 linux-本机收包流程

根本原因是：很多人只看应用层，却不知道数据包在内核的收发流程中经历了什么。

原创 vmware虚拟机-NAT模式下使用

解决两个问题：配置nat模式下网关地址：登录虚拟机查看网关地址：虚拟机上访问外网服务：宿主机上访问其他设备：

原创 tcp三次握手四次挥手

三次握手四次挥手状态迁移：查看连接状态命令：

原创 NAT转换

NAT地址转换解决什么问题？

原创 ARP-工作机制

应用层发包时会指定目标IP+port：应用层发送数据包经过L2层时会添加L2头部，目标MAC通过查ARP缓存或者ARP请求获取：

原创 DNS工作原理

当我们在浏览器中输入 www.baidu.com时，计算机如何知道它对应哪台服务器？

原创 网络分层-收发数据包

L4中最关键的是源port和目标port。L2中最关键的是源MAC和目标MAC。L3中最关键的是源IP和目标IP。

原创 原始socket-SOCK_RAW使用

第一个参数domain：第二个参数type：第三个参数protocols值如下:通常，套接字API用于传输层（OSI第4层）的进程间通信。然而，一些特殊的套接字类型可用于访问网络层（OSI第3层）和数据链路层（OSI第2层）。这些套接字类型称为原始套接字。当我们想直接访问网络层和数据链路层时，会使用原始套接字。例如，我们可以使用原始套接字在传输层下实现网络协议，如ICMP、ARP或OSPF。此外，我们还能利用它们监控网络、监听数据包，或通过发送伪造数据包进行黑客攻击。总之，原始套接字与传统套接字有以下区别

原创 tun和tap虚拟网卡使用

这使得 veth 对非常适合连接不同的虚拟网络组件，如 Linux 桥、OVS 桥和 LXC 容器。其中 veth 对用于连接多个 Linux 桥接器，而目前基于 TAP 的设备无法实现这一点。你通常会看到 TAP 设备用于 KVM/Qemu 虚拟化，在创建时将 TAP 设备分配给虚拟访客接口。Veth Pairs：Veth设备由两对连接的虚拟以太网接口构建，可以被视为虚拟跳线。TAP（网络分流器）的工作原理类似于TUN，但不仅能写入和接收第3层的数据包，写回设备的数据也必须以IP包的形式。