pptp ，怎么这东西还是这么多人用。

vpn 的话 l2tp 没问题，但是还是推荐 ocserv 提供的 anyconnect ，主要优势在于端口可以随意指定， udp 流量夸张，客户端丰富，连接非常稳定。 softethervpn 提供的 l2tp 目前只有手机端正常， windows 还是会被干扰，而 SSTP 似乎是有 linux 下的客户端，还是建议 ocserv ，可以更改端口就是一个很大的优势。

ss 的话， 8 月份就爆出返回探测的时候有问题，虽然前段时间用了一下最新的 libev 版本，但是 windows-gui 客户端还是老提示 timeout ，不大用这个。

用 stunnel 吧， v5.26 版直接内置 sock5 实现
https://www.stunnel.org/config_windows.html

stunnel 是个很安全的软件，它有 linux windows openwrt 的客户端，用了 3 张自签证书，基于 pki 认证 1.pem 用于服务器端 verify 3 验证客户端身份， verify 2 用于客户端验证服务器端加密用证书。所以它是个很安全的防止中间人攻击的方案。又是 linode ，看论坛的反应， linode 还不如搬瓦工。。。搬瓦工的掉包率 1%不到。

client = yes
;compression = zlib

socket = r:TCP_NODELAY=1
socket = l:SO_LINGER=1:60
socket = r:SO_OOBINLINE=no
;socket = a:SO_REUSEADDR=yes
TIMEOUTconnect = 10

RNDbytes = 1024
RNDfile = r:/rnd.txt
RNDoverwrite = yes
debug = 6

sslVersion = all
;options = NO_TLSv1.2
options = NO_TLSv1.1
options = NO_TLSv1
options = NO_SSLv3
options = NO_SSLv2

;ciphers = ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384
;ciphers = ECDHE-RSA-AES256-GCM-SHA384
;ciphers = ECDHE-RSA-AES128-GCM-SHA256

cert = 1.pem
verify=2
CAfile = stunnel.pem
checkHost = XXX.XXX.XXX.XXX


[server1]
accept = 127.0.0.1:1081
connect = XXX.XXX.XXX.XXX:1723

>at 23:00 "shutdown -s -t 0 -f"
新加了一项作业，其作业 ID = 1

>at
状态 ID 日期 时间 命令行
-------------------------------------------------------------------------------
1 今天 23:00 "shutdown -s -t 0 -f"

>at 1 /delete

这真的很平常，难以理解的是那些吃胡萝卜干，省出两个月工资去买 iphone 的人。还有那土豪金。。。以前记得有个人说过买 iphone 保值，以后就算卖了还值个 2 千。

psping
https://technet.microsoft.com/en-us/sysinternals/psping.aspx

排序，计算的是 ping 的延迟命中数量。不像 windows ping ，刚还开始还以为是渐涨的。

哈，我都不敢说了，上次说 nghttpx 快，现在一过 20:00 TLs1.2 都没流量。。。

。。。放着计划任务不用。

普通环境就开机批处理加载 at 实际上终止计划任务仍然运行不了 at 。

https://www.v2ex.com/t/235392
http://linuxmantra.com/2010/06/how-to-stop-syn-flood-attack-using-iptables.html
ddos 不是 iptables 防得住的，以前就拿到一个 ip 可能前人把它做成 dns 服务器， iptables drop 53 端口还是收到警告邮件，最后只能换 ip ，这日志也交待不清是别人 ddos 服务器，还是服务器 ddos 别人。

倒是经常用 stunnel ，按实例的话它都能把 google tcp 53 加密到本地，不知道 tcp 80 是否可行。然后它的 verify 3 就是用来对客户端证书进行认证用的，只是看起来还是不如浏览器方便。

这个网站还活着 www.cn-dos.net

批处理这东西比 shell 难多了。。。一点都没 shell 好用，经常想破脑袋，最后算了还是看看有什么 windows 版的 gnu 工具。

这个最好具备 iptables 相关知识，很多教程不知道防火墙设置就教人关掉 iptables 大错特错。好像很多人用的 fail2ban 还什么来着，其实 iptables 的 recent 模块就可以定义一些常见扫描端口，有人扫就马上 drop 。去 linux 版看看吧，那里有个常见的 state 状态的防火墙规则默认 DROP 只开放必要端口。上面的两步基本一个人用没问题。
前几天 ip 一公布就被系统判定有高达 30000 个并发和你这描述不大一样，小打小闹的话可以搜一下 hashlimit syn flood 。目前就弄了这三步，等待新情况。

电信普通线路，晚高峰现在一个比较让人可以安慰的答案是人多路拥挤。

从论坛反应的情况，晚高峰似乎除了 CN2,大多数的 vps 都没什么特别，要吗就是前段时间很 ok ，这段时间就废了。通过./speedtest-cli 测试看起来服务器也没限速，国内的电信基本下行速度在 300kb/s 左右。
平时在工作中防止拥塞的解决方法要吗对 ip 进行限速，要吗对 ip 实行并发限制，这些都是有效的抑制流量的方法。每天总感觉很准时的，真的基本就差不多那个点流量就上不去。今天晚上 20:00 以前 udp 流量竟然达到 4000kbps ， tcp 流量当然很废了，可是过了 20:00 以后基本连 udp 也废了。

目前通过 iperf 测试可以准确得测得 vps 到家里 ip 的上行流量，但是具体，到底是什么原因测不出来，按平时工作的经验来看铁定是电信限速了，至于它的限速 tcp reset 是很常见了，是否也连带并发限制，不知道该用什么工具测试，反正电信网络基本是没什么希望了， 2006 年都高瞻远瞩提出 CN2 是增值业务，它当然有必要技术上做出差异。。。都是怀疑，猜测。。。
http://www.cnblogs.com/feisky/archive/2011/11/12/2246626.html

做为公共服务器要考虑太多问题了，原先自己一个人用时只做了端口扫描防护 1 年下来也没问题，做公共服务器就考虑限制流量，结果被 ddos ，现在又布置了一些并发限制。像这种情况，没有日志记录系统的话，只能背黑锅了。