作者在家里遇到 IPv4 断连但 IPv6 正常的情况,许多网站因此无法访问。他通过一个拥有 IPv4 和 IPv6 的 VPS,利用 WireGuard 隧道将家里的流量通过 IPv6 发送到 VPS。VPS 再使用自己的 IPv4 地址访问互联网,并将结果通过隧道返回,成功恢复了完整的网络访问。
IPv4 断连下的技术自救:利用 WireGuard 和 IPv6 隧道
在一次停电后,作者家里的网络出现了奇怪的问题:IPv4 连接中断,但 IPv6 却工作正常。这导致许多仅支持 IPv4 的网站和服务(如 GitHub)无法访问,严重影响了正常工作和学习。面对 ISP 可能需要数天才能解决的问题,作者决定寻找一个快速的技术自救方案。
文章解释了网络地址转换(NAT)和运营商级 NAT (CG-NAT) 的原理,以及 IPv6 地址充足无需 NAT 的优势,这有助于理解为何只有 IPv4 受影响。作者想到自己有一个 Hetzner 的 VPS,它同时拥有静态的 IPv4 和 IPv6 地址,并且可以通过 IPv6 访问。
核心解决方案是利用 WireGuard 在本地机器和 VPS 之间建立一个隧道。本地机器通过 IPv6 连接到 VPS 上的 WireGuard 服务端。一旦隧道建立,本地机器发出的 IPv4 流量会被封装在 IPv6 包中,通过隧道发送到 VPS。VPS 接收到这些流量后,进行解封装,并使用自己的 IPv4 地址访问目标网站。目标网站的回复流量会通过 VPS 发回隧道,最终到达本地机器。
文章提供了详细的 WireGuard 服务端和客户端配置示例,包括如何设置路由规则和 NAT 规则(使用 iptables/ip6tables)。作者还讨论了在 WireGuard 隧道内部使用 IPv6 ULA 地址进行 NAT,或者直接使用 GUA 地址的不同考虑。此外,文章还介绍了如何结合网络命名空间(network namespaces)来处理更复杂的场景,例如在不影响主机原有路由的情况下,让特定的应用(如工作 VPN)通过这个 WireGuard 隧道连接。
这个案例突显了 IPv6 普及的必要性,因为对 IPv4 的过度依赖可能成为单点故障。作者的解决方案展示了个人用户在面对网络基础设施问题时的技术能力,以及 WireGuard 和网络命名空间等工具在构建灵活网络环境中的强大作用。这种通过隧道绕过网络限制的方法在技术社区中并不少见,常用于访问特定资源或增强隐私。文章也间接指出了 CG-NAT 可能带来的不便,比如端口转发困难,以及故障影响的局部性。总的来说,这是一篇非常实用的技术分享,不仅解决了特定问题,也普及了重要的网络知识。
作者将英国护照申请过程比作一个复杂的“冒险解谜文档收集游戏”,规则晦涩且充满挑战。为了理解并探索所有可能的“英国人证明”路径及其所需文档,他决定使用函数式编程语言 Haskell 进行建模。特别是利用 LogicT monad,他构建了一个系统来枚举证明方式并计算文档集合。
用 Haskell 建模英国护照申请的“官僚游戏”
英国护照申请被作者戏称为一个由“国王陛下护照办公室”(HMPO)开发的、耗时耗钱的“冒险解谜文档收集游戏”。这个游戏的目的是证明申请人是英国人,规则隐藏在复杂的法律条文中。游戏过程充满挑战,比如需要找到特定职业的人进行身份确认,处理文件的官方认证翻译,甚至需要追溯到曾祖父辈的文档,直到找到一个符合“基础情况”的祖先。作者认为 HMPO 的逻辑是一种“官僚逻辑”,它要求提供具体的“证据”(原始文件),而不是允许通过排除法进行证明。
为了理解这套复杂的规则,作者决定用 Haskell 来建模。他特别使用了 LogicT monad 来探索所有可能的“英国人证明”路径,并计算每条路径所需的文档集合。他定义了 Person, Document, Proof 和 Predicate 等数据类型,并构建了一个状态单子栈来处理交互式查询和全局知识。
核心函数 brit 递归地检查一个人是否是英国人,通过出生地、父母状态等条件进行分支判断。最终目标是枚举所有有效的证明方式及其对应的文档需求。这种方法能够系统地梳理出复杂的依赖关系和证明链条。
这篇文章提出的问题和解决方案引发了关于官僚机构效率和规则系统建模的讨论。许多人对各国官僚机构的低效和荒谬表示共鸣,分享了类似的“游戏”经历(如签证、驾照申请)。开发者们讨论了使用函数式编程(特别是 Haskell 或 Prolog)来建模复杂规则系统的优劣,认为这种方式适合处理逻辑严谨但规则繁琐的问题,但也可能存在过度工程化或难以覆盖边缘情况的担忧。评论也批评了 HMPO 流程缺乏透明度和效率,认为可以用更现代化的系统简化。文章将枯燥的行政流程比作游戏,用轻松幽默的方式展现了其中的荒诞,也受到了读者的赞赏。
为了对抗恶意软件的虚拟机检测手段,作者探索了如何让虚拟机相信自己拥有一个物理 CPU 风扇。通过研究 Windows 如何获取硬件信息(依赖 SMBIOS 数据),他成功地将伪造的风扇和温度探头信息注入到虚拟机中。最终,恶意软件常用的 WMI 查询不再能检测到虚拟机环境。
让虚拟机拥有“虚拟风扇”:对抗恶意软件检测的底层技术
恶意软件有时会检测自己是否运行在虚拟机(VM)环境中,以此逃避安全研究人员的分析。一个常见的检测手段是检查虚拟机是否模拟了物理硬件组件,比如 CPU 风扇。恶意软件可能通过 Windows Management Instrumentation (WMI) 查询 Win32_Fan 类。如果查询不到风扇信息,它就可能判断自己在 VM 中,并改变行为或停止运行。作者的目标就是通过伪造硬件信息,让 VM 看起来更像一台物理机。
作者发现 Windows 是通过读取 SMBIOS (System Management BIOS) 数据来获取风扇信息的,具体对应 SMBIOS 的 Type 27 (Cooling Device) 条目。他尝试修改 Xen 虚拟机的 SMBIOS 数据,但发现直接添加 Type 27 默认不受支持。经过一番研究,他找到了一个未被合并但可用的 Xen 补丁,允许注入 Type 27 数据。
应用补丁并重新编译 Xen 后,Type 27 数据成功注入 VM,但 WMI 仍然报告没有风扇。进一步排查发现,Type 27 条目引用了一个温度探头(Temperature Probe),对应 SMBIOS Type 28。VM 中缺少 Type 28 数据,导致风扇信息无法完整呈现。作者接着将 Type 28 数据也添加到自定义的 SMBIOS 文件中,并再次启动 VM。这次,WMI 终于成功查询到了 CPU 风扇信息,显示状态为 OK。文章还提到,如果使用 QEMU/KVM,这个过程会简单得多,可以直接通过命令行选项加载自定义 SMBIOS 文件,无需像 Xen 那样处理结构大小信息。
评论区普遍认为这是一个深入且酷炫的底层技术探索,反映了恶意软件检测与安全分析之间的“军备竞赛”。大家指出,伪造 SMBIOS 只是众多 VM 检测方法中的一种,恶意软件还可能检查注册表、硬件 ID、指令集或时序差异。因此,彻底隐藏 VM 痕迹需要多种反检测措施。评论者分享了在其他虚拟化平台(如 VMware, VirtualBox)上的类似经验,并讨论了不同 hypervisor 在 SMBIOS 处理上的差异。大家赞赏作者深入研究 SMBIOS 规范和 hypervisor 内部机制的精神,认为这类底层知识对于理解系统工作原理和进行高级安全研究非常有价值。
苹果最近通过 Wallet 应用向用户推送 F1 电影广告,引发了广泛争议。作者认为此举严重损害了用户对 Apple Wallet 的信任,因为 Wallet 应该像物理钱包一样私密。这种广告推送让用户担忧 Wallet 可能在追踪其兴趣,破坏了苹果在隐私方面建立的差异化形象。
Apple Wallet 推送广告:信任的侵蚀与隐私的担忧
苹果最近在 Wallet 应用中推送 F1 电影广告的事件,在用户社区中引起了强烈不满。文章作者认为,这一行为是对用户信任的严重损害。作者的核心观点是,Apple Wallet 承载着银行卡、身份证、钥匙等高度敏感的个人信息,它应该是一个像物理钱包一样私密和神圣的空间,不应该出现广告。
苹果一直在努力向用户强调 Wallet 的安全性和隐私性,以建立用户将其最敏感信息存放于其中的信任。然而,这次广告推送,即使可能只是一个简单的群发行为,却让用户产生了 Wallet 可能正在追踪他们兴趣的担忧。