今天我的一位仁兄被人误导说HTTPS慢，就这个问题我们来浅谈下HTTPS的速度和安全。首先HTTPS是一个优良而且很棒的协议，他为服务器和客户端之间的数据传输提供了强有力的保障。浅谈HTTPS的速度和安全事实证明HTTPS速度是快的。

Mrxn通过实验测试结果证明，HTTPS确实需要CPU来中断SSL连接，这需要的处理能力对于现代计算机而言是小菜一碟了，你会遇到SSL性能瓶颈的可能性完全为0，首屏加载时间与HTTP协议的时间几乎一致。慢，只会在你网络出现问题的时候发生，和SSL/HTTPS毫无干系，或者极有是你的应用程序性能上遇到瓶颈。
HTTPS是一个重要的连接保障
虽然HTTPS并不放之四海而皆准的web安全方案，但是没有它你就不能以策万全。所有的web 安全都倚赖你拥有了HTTPS。如果你没有它，不管对密码做了多强的哈希加密，或者做了多少数据加密，攻击者都可以简单的模拟一个客户端的网络连接，读取它们的安全凭证，极具威胁。此外，证书签名很显然不是一个完美的实践，但每一种浏览器厂商针对认证机构都有相当严格和严谨的规则。要成为一个受到信任的认证机构是非常难的，而且要保持自己良好的信誉也同样是困难的。
HTTPS流量拦截可以避免
本质上讲，可以使自己的客户只去信任真正可用的 SSL 证书，有效的阻挡所有类型的SSL MITM攻击，如果你是要把 SSL 服务部署到一个不受信任的位置，你最应该考虑使用SSL证书。
HTTPS拥有免费的证书服务
国内和国外都提供了免费的基础等级SSL证书，普及了SSL的支持。 一旦让加密的方案上线，你就能够对你的网站和服务进行100%的加密，完全没有任何花费。
HTTP 在私有网络上并不安全
如果一个攻击者获得了对你的任何内部服务的访问权限，所有的HTTP流量都将会被拦截和解读，这就是为什么HTTPS不管是在公共网络还是私有网络都极其重要的原因。如果是把服务部署在AWS上面，就不要想让你的网络流量是私有的了，因为AWS网络就是公共的，这意味着其它的AWS用户都潜在的能够嗅探到你的网络流量。
2015年百度启用HTTPS搜索
在2015年5月，百度也启用了HTTPS安全搜索，并且支持HTTPS站点的积极优先收录，更可以证明，互联网巨头也开始注重网络传输安全了。
总结
如果你正在做网页服务，毫无疑问，你应该使用 HTTPS。它很容易且能获得用户信任，没有理由不用它。作为ICP，作为程序员我们必须要承担起保护用户的重任。
PS：没有经过事实验证的任何说法，不值得我们信任！

最近在研究ssl，所以就给自己得博客使用了ssl，拿自己的博客实战研究ssl，哈哈，废话不说，如果你也想体验一下ssl，那就开始吧：

科普一下（ssl有啥好处呢）：参考-浅谈HTTPS链接的重要性和安全性 这篇文章。

ssl传送大概示意图：

emlog配置ssl很简单，只需要三步：

第一步：申请ssl证书，学习研究推荐使用免费的ssl证书（如果你是土豪，请无视-_-|），申请教程不写了，没时间，google搜索一大把。

第一个：https://www.startssl.com/ 第二个：https://www.wosign.com/  第一个是英语的，如果看不懂就用第二个国内的，但是国内的只支持sha1算法，国外的可以选择sha2-256位RSA公钥，和4096位的服务器crt身份密钥，更高的加密算法。效果请查看我的网站。

申请成功解压之后，文件目录结构如下图所示：

因为这里我们是用NGINX WEB环境的，所以我们需要解压FOR NGINX.ZIP文件包，然后看到一个CRT一个KEY文件。

openssl rsa -in ssl.key -out /root/ssl.key
chmod 600 /root/ssl.key

登录SSH，执行上述两行脚本，解密私钥和授权。

我们需要在已有的LNMP添加了站点，然后在站点对应的CONF文件设置。

在"/usr/local/nginx/conf/vhost/"目录文件中，找到对应站点的conf文件，然后修改设置如下

server
{
 listen 80;
 listen 443 ssl;
#listen [::]:80;
ssl on;
        ssl_certificate /root/ssl.crt;
        ssl_certificate_key /root/ssl.key;
server_name mrxn.net mrxn.net;

/root/ssl.crt 是我自己的设置，对应路径我们要与之前上传的CRT和KEY文件路径对应以及文件名不要搞错。

最后，我们重启LNMP，可以看到SSL证书生效，且HTTPS可以访问站点。

这是在网站所有资源都在本域名下，而且是https 加密安全访问的情况下。一般你一操作完都不是这样的，而是这样的：

小锁头上面有一个感叹号标志的，如何解决呢：

首先是在后台设置域名地址为：https://mrxn.net 然后，修改 /include/lib/function.base.php ，把头像获取的链接修改成https://开头的：$avatar = "https://cn.gravatar.com/avatar/$hash?s=$s&d=$d&r=$g"; 再回来  数据--更新缓存 之后，打开首页 Ctrl + F5 基本上就是绿色的小箭头了。

如果还没有呢，那多半就是你文章的图片地址是 https://mrxn.net 这样开头的，所以，直接更新数据库的blog表的content和excerpt字段即可：

update emlog_blog set content=replace(content,'https://mrxn.net','https://mrxn.net');

update emlog_blog set excerpt=replace(excerpt,'https://mrxn.net','https://mrxn.net'); 

这样更新完数据库之后，你的网站就基本上全部替换完了非加密连接了（内容页和摘要都更新了，其他的地方貌似没有了，自己写的不算）。
如果我们需要强制使用HTTPS网址访问，那我们就需要取掉 listen 80;脚本。或者是在 listen 80;前面加上# 修改成：#listen 80;

最终修改配置大概如下：

server
    {
        #listen 80;
        listen 443 ssl;
        #listen [::]:80;
        ssl on;
        ssl_certificate 存放ssl证书文件路径.crt;
        ssl_certificate_key 存放ssl证书文件路径.key;
        server_name mrxn.net mrxn.net;
        index index.html index.htm index.php default.html default.htm default.php;
        root  网站存放文件路径;
        keepalive_timeout   60;
       .......此处省略.......
    }
server {
listen 80;
server_name mrxn.net mrxn.net;
return 301 https://mrxn.net$request_uri;
}

注意将域名修改成你自己的域名。至此，基本上就完成了ssl证书的安装，开启https访问了。

相关文章：

一段代码让nginx实现网站资源防盗链

nginx配置location总结及rewrite规则写法

nginx配置ssl加密（单双向认证、部分https）

NginxRewrite规则判断普通用户与搜索引擎爬虫（UA）实现https跳转

SSL/TLS原理详解

OpenSSL 与 SSL 数字证书概念贴

基于OpenSSL自建CA和颁发SSL证书

最后呢，希望有高手带我学习https方面的东西呀，这篇文章呢，也希望对想要使用ssl的童鞋一点帮助，如果哪位看官有更好的方法或者是建议，欢迎留言/评论 不吝赐教啊，我洗耳恭听，多帮忙吧 谢谢。

端口扫描的目的是识别目标系统中哪些端口是开启状态，哪些服务可以使用。比如FTP/SSH/TELNET/打印服务/web服务等等。计算机系统中共有65536个端口，因此连接这些端口并扫描出可用的端口就变的有意义了。

1、网络连接

kali的网络默认是 设备未托管状态，因此需要开启。开启方法：修改/etc/NetworkManager/下的NetworkManger.conf文件，managed = false修改为true，重启。

2、FPing工具

root@walfred:~# fping -h

Usage: fping [options] [targets...]
   -a         show targets that are alive
   -A         show targets by address
   -b n       amount of ping data to send, in bytes (default 56)
   -B f       set exponential backoff factor to f
   -c n       count of pings to send to each target (default 1)
   -C n       same as -c, report results in verbose format
   -e         show elapsed time on return packets
   -f file    read list of targets from a file ( - means stdin) (only if no -g specified)
   -g         generate target list (only if no -f specified)
                (specify the start and end IP in the target list, or supply a IP netmask)
                (ex. fping -g 192.168.1.0 192.168.1.255 or fping -g 192.168.1.0/24)
   -H n       Set the IP TTL value (Time To Live hops)
   -i n       interval between sending ping packets (in millisec) (default 25)
   -l         loop sending pings forever
   -m         ping multiple interfaces on target host
   -n         show targets by name (-d is equivalent)
   -p n       interval between ping packets to one target (in millisec)
                (in looping and counting modes, default 1000)
   -q         quiet (don't show per-target/per-ping results)
   -Q n       same as -q, but show summary every n seconds
   -r n       number of retries (default 3)
   -s         print final stats
   -I if      bind to a particular interface
   -S addr    set source address
   -t n       individual target initial timeout (in millisec) (default 500)
   -T n       ignored (for compatibility with fping 2.4)
   -u         show targets that are unreachable
   -O n       set the type of service (tos) flag on the ICMP packets
   -v         show version
   targets    list of targets to check (if no -f specified)

3、Nmap工具

使用方法：

root@walfred:~# nmap -h
Nmap 6.47 ( http://nmap.org )
Usage: nmap [Scan Type(s)] [Options] {target specification}
TARGET SPECIFICATION:
  Can pass hostnames, IP addresses, networks, etc.
  Ex: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254
  -iL <inputfilename>: Input from list of hosts/networks
  -iR <num hosts>: Choose random targets
  --exclude <host1[,host2][,host3],...>: Exclude hosts/networks
  --excludefile <exclude_file>: Exclude list from file
HOST DISCOVERY:     主机网络发现功能
  -sL: List Scan - simply list targets to scan
  -sn: Ping Scan - disable port scan
  -Pn: Treat all hosts as online -- skip host discovery  禁止网络发现功能，认为所有主机在线
  -PS/PA/PU/PY[portlist]: TCP SYN/ACK, UDP or SCTP discovery to given ports
  -PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes
  -PO[protocol list]: IP Protocol Ping
  -n/-R: Never do DNS resolution/Always resolve [default: sometimes]
  --dns-servers <serv1[,serv2],...>: Specify custom DNS servers
  --system-dns: Use OS's DNS resolver
  --traceroute: Trace hop path to each host
SCAN TECHNIQUES:
  -sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans       SYN/TCP/ACK/windown/conn扫描参数
  -sU: UDP Scan                                                    UDP扫描参数指定
  -sN/sF/sX: TCP Null, FIN, and Xmas scans                         NULL/FIN/xmas扫描
  --scanflags <flags>: Customize TCP scan flags
  -sI <zombie host[:probeport]>: Idle scan
  -sY/sZ: SCTP INIT/COOKIE-ECHO scans
  -sO: IP protocol scan
  -b <FTP relay host>: FTP bounce scan
PORT SPECIFICATION AND SCAN ORDER:
  -p <port ranges>: Only scan specified ports
    Ex: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080,S:9
  -F: Fast mode - Scan fewer ports than the default scan
  -r: Scan ports consecutively - don't randomize
  --top-ports <number>: Scan <number> most common ports
  --port-ratio <ratio>: Scan ports more common than <ratio>
SERVICE/VERSION DETECTION:
  -sV: Probe open ports to determine service/version info
  --version-intensity <level>: Set from 0 (light) to 9 (try all probes)
  --version-light: Limit to most likely probes (intensity 2)
  --version-all: Try every single probe (intensity 9)
  --version-trace: Show detailed version scan activity (for debugging)
SCRIPT SCAN:
  -sC: equivalent to --script=default
  --script=<Lua scripts>: <Lua scripts> is a comma separated list of 
           directories, script-files or script-categories
  --script-args=<n1=v1,[n2=v2,...]>: provide arguments to scripts
  --script-args-file=filename: provide NSE script args in a file
  --script-trace: Show all data sent and received
  --script-updatedb: Update the script database.
  --script-help=<Lua scripts>: Show help about scripts.
           <Lua scripts> is a comma-separated list of script-files or
           script-categories.
OS DETECTION:
  -O: Enable OS detection
  --osscan-limit: Limit OS detection to promising targets
  --osscan-guess: Guess OS more aggressively
TIMING AND PERFORMANCE:
  Options which take <time> are in seconds, or append 'ms' (milliseconds),
  's' (seconds), 'm' (minutes), or 'h' (hours) to the value (e.g. 30m).
  -T<0-5>: Set timing template (higher is faster)
  --min-hostgroup/max-hostgroup <size>: Parallel host scan group sizes
  --min-parallelism/max-parallelism <numprobes>: Probe parallelization
  --min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout <time>: Specifies
      probe round trip time.
  --max-retries <tries>: Caps number of port scan probe retransmissions.
  --host-timeout <time>: Give up on target after this long
  --scan-delay/--max-scan-delay <time>: Adjust delay between probes
  --min-rate <number>: Send packets no slower than <number> per second
  --max-rate <number>: Send packets no faster than <number> per second
FIREWALL/IDS EVASION AND SPOOFING:
  -f; --mtu <val>: fragment packets (optionally w/given MTU)
  -D <decoy1,decoy2[,ME],...>: Cloak a scan with decoys
  -S <IP_Address>: Spoof source address
  -e <iface>: Use specified interface
  -g/--source-port <portnum>: Use given port number
  --proxies <url1,[url2],...>: Relay connections through HTTP/SOCKS4 proxies
  --data-length <num>: Append random data to sent packets
  --ip-options <options>: Send packets with specified ip options
  --ttl <val>: Set IP time-to-live field
  --spoof-mac <mac address/prefix/vendor name>: Spoof your MAC address
  --badsum: Send packets with a bogus TCP/UDP/SCTP checksum
OUTPUT:
  -oN/-oX/-oS/-oG <file>: Output scan in normal, XML, s|<rIpt kIddi3,
     and Grepable format, respectively, to the given filename.
  -oA <basename>: Output in the three major formats at once
  -v: Increase verbosity level (use -vv or more for greater effect)
  -d: Increase debugging level (use -dd or more for greater effect)
  --reason: Display the reason a port is in a particular state
  --open: Only show open (or possibly open) ports
  --packet-trace: Show all packets sent and received
  --iflist: Print host interfaces and routes (for debugging)
  --log-errors: Log errors/warnings to the normal-format output file
  --append-output: Append to rather than clobber specified output files
  --resume <filename>: Resume an aborted scan
  --stylesheet <path/URL>: XSL stylesheet to transform XML output to HTML
  --webxml: Reference stylesheet from Nmap.Org for more portable XML
  --no-stylesheet: Prevent associating of XSL stylesheet w/XML output
MISC:
  -6: Enable IPv6 scanning
  -A: Enable OS detection, version detection, script scanning, and traceroute
  --datadir <dirname>: Specify custom Nmap data file location
  --send-eth/--send-ip: Send using raw ethernet frames or IP packets
  --privileged: Assume that the user is fully privileged
  --unprivileged: Assume the user lacks raw socket privileges
  -V: Print version number
  -h: Print this help summary page.
EXAMPLES:
  nmap -v -A scanme.nmap.org
  nmap -v -sn 192.168.0.0/16 10.0.0.0/8
  nmap -v -iR 10000 -Pn -p 80
SEE THE MAN PAGE (http://nmap.org/book/man.html) FOR MORE OPTIONS AND EXAMPLES

3.1Nmap执行TCP扫描

-sT 对TCP进行扫描

-p- 对所有端口扫描

-PN 禁用Nmap网络发现功能，假定所有系统都是活动的

root@walfred:~# nmap -sT -p- -PN   192.168.115.1

Starting Nmap 6.47 ( http://nmap.org ) at 2014-10-23 20:38 CST
Stats: 0:12:34 elapsed; 0 hosts completed (1 up), 1 undergoing Connect Scan
Connect Scan Timing: About 90.20% done; ETC: 20:51 (0:01:22 remaining)
Stats: 0:16:16 elapsed; 0 hosts completed (1 up), 1 undergoing Connect Scan
Connect Scan Timing: About 94.41% done; ETC: 20:55 (0:00:58 remaining)
Nmap scan report for 192.168.115.1
Host is up (0.0022s latency).
Not shown: 65533 closed ports
PORT   STATE SERVICE
23/tcp open  telnet
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 1274.21 seconds

3.2Nmap执行UDP扫描

扫描udp也是有理由的，比如一些基于udp的服务，SNMP、TFTP、DHCP、DNS等等

root@walfred:~# nmap -sU 192.168.115.188

Starting Nmap 6.47 ( http://nmap.org ) at 2014-10-23 20:21 CST
Nmap scan report for 192.168.115.188
Host is up (0.00069s latency).
Not shown: 994 closed ports
PORT     STATE         SERVICE
137/udp  open          netbios-ns
138/udp  open|filtered netbios-dgm
500/udp  open|filtered isakmp
1900/udp open|filtered upnp
4500/udp open|filtered nat-t-ike
5355/udp open|filtered llmnr
MAC Address: xxxxxxxxxxxxxx (Universal Global Scientific Industrial Co.)

Nmap done: 1 IP address (1 host up) scanned in 974.78 seconds

3.3Nmap执行SYN扫描

nmap默认就是这种方式。这种方式要比TCP扫描快，因为只执行三次握手的前两次。也不会造成拒绝服务攻击

root@walfred:~# nmap -sS -p- -PN 192.168.115.1

Starting Nmap 6.47 ( http://nmap.org ) at 2014-10-23 20:26 CST
Nmap scan report for 192.168.115.1
Host is up (0.0020s latency).
Not shown: 65533 closed ports
PORT   STATE SERVICE
23/tcp open  telnet
80/tcp open  http
MAC Address: xxxxxxxxxxxxxx (Digital China (Shanghai) Networks)

Nmap done: 1 IP address (1 host up) scanned in 368.52 seconds

哇偶，竟然开放了telnet....

3.3Nmap执行Xmas扫描

RFC文档描述了系统的技术细节，因此如果得到RFC文档，那么就可能找到系统的漏洞，xmas和null扫描的目的正是基于这一原因。

如果系统遵循了TCP RFC文档，那么不用完成连接，仅仅在发起连接的时候，namp就可以判断出目标系统的状态。

但是一般xmas针对unix或者linux系统比较有效。

root@walfred:~# nmap -sX -p- -Pn  192.168.115.1

Starting Nmap 6.47 ( http://nmap.org ) at 2014-10-23 20:42 CST
Nmap scan report for 192.168.115.1
Host is up (0.0029s latency).
Not shown: 65533 closed ports
PORT   STATE         SERVICE
23/tcp open|filtered telnet
80/tcp open|filtered http
MAC Address: XXXXXXXXXXXXX (Digital China (Shanghai) Networks)

Nmap done: 1 IP address (1 host up) scanned in 382.91 seconds

3.4Nmap执行Null

root@walfred:~# nmap -sN -p- -Pn  192.168.115.1

Starting Nmap 6.47 ( http://nmap.org ) at 2014-10-23 20:49 CST
Stats: 0:04:54 elapsed; 0 hosts completed (1 up), 1 undergoing NULL Scan
NULL Scan Timing: About 78.30% done; ETC: 20:55 (0:01:20 remaining)
Nmap scan report for 192.168.115.1
Host is up (0.0018s latency).
Not shown: 65533 closed ports
PORT   STATE         SERVICE
23/tcp open|filtered telnet
80/tcp open|filtered http
MAC Address: XXXXXXXXXXXXX (Digital China (Shanghai) Networks)

Nmap done: 1 IP address (1 host up) scanned in 376.37 seconds

对于一个玩渗透的孩子来说，找到使用了CDN加速的网站的源IP（真实IP），就是第一道门槛啊，没找到源IP就别想其他的环节了。。。。

恰好，今天，我在逛一个常去的网站的时候，挺喜欢的！就简单的做了一个检测。。。已通知管理员 

随手把域名丢进站长工具里面查看了一下，发现使用了CDN，网宿科技的，没怎么听说过，

开了好多端口啊。。。21  22 23 1443 3389 不知道是管理员胆子大呢，还是故意是个陷阱。。。暂时不知道

为了验证一下是不是真的，那就需要找到源ip地址，几经google，百度 总算有了一点结果，使用 nslookup domain

从图中知道，域名加www解析出来的结果有 www.xxx.com。wscdns.com 明显是CDN加速服务器的，去掉www之后，得到了一个IP地址和域名，基本可以确定是源IP地址了，为了进一步验证,在站长网工具箱里面使用同IP网站查询，得到结果如下:

唯一域名和IP，80%确定是源IP了。

根据Kali Linux 上的 whatweb扫描的结果确定源IP就是 图中第一次的结果，因为301跳转到带有 www的域名上，第二次明显为cdn加速服务器的IP，两者的服务器一个为IIS 6.0 一个是IIS 7.5 的，都是ASP_NET 2.5 。

最后来链接服务器测试一下：

服务器是Windows server 2003 至于怎么拿下这个Windows server 2003 就是后面的事了（2003_So easy -_-|），信息收集到此就完成了60%，还没对网站进行扫描检测呢。

总结：我测试了自己的博客，发现并不能得到真实的IP地址，因为我的域名都做了cdn加速，所以在此提醒站长朋友们，记得使用cdn加速的时候把所有的二/三/...级域名等等都要做到位，不然很容易得到源IP，如果你的服务器又开放很多端口，就不太安全哦。尽管如此，想要得到源IP的方法还有很多，网上有专门的软件追踪真实IP，善用！我这只是一个简单的傻瓜式方法。。。再见

美国互联网安全公司FireEye旗下安全部门Mandiant今日透露，他们发现一种新的针对路由器的攻击手段，允许黑客盗取海量数据，又不会被当前的网络安全防御系统检测到。思科作为全球最大的路由器厂商，首当其冲成为最大的攻击对象。据悉，这种攻击方法能替换思科路由器的操作系统，截至目前，Mandiant已在印度、墨西哥、菲律宾和乌克兰四国发现了14起攻击事件。

思科方面也在第一时间证实其操作系统遭到攻击，并向用户发出警告。同时他们与Mandiant合作，开放解决方案帮助用户检测设备是否收到攻击。

FireEye CEO戴夫·德沃特(Dave DeWalt)称该恶意程序为“SYNful”，从被入侵路由器的计算机日志判断，至少已经存在了一年时间。据悉，SYNful并不是利用路由器的任何软件漏洞，而是盗取有效的网络管理员凭证，对企业发动攻击或获取路由器的访问权。而一旦控制了路由器，就拥有了使用该路由器的企业或政府机构的数据。

德沃特称，目前已发现多个行业和政府及机构的思科路由器被入侵，其他厂商的路由器同样受到攻击。而FireEye则表示，目前的网络安全工具还无法抵御该攻击方式。

思科近段时间以来被安全问题所困扰，其安全设备频频爆出安全问题，而且都是可轻易被攻击者控制。这与思科安全设备存在漏洞有关，思科在很多安全设备和软件中插入默认密钥，即有默认配置的、经过授权的SSH密钥。攻击者一旦获取该SSH密钥，只要与任何一个思科安全设备进行连接，便可利用该漏洞，从而获取root用户访问系统的权限，并对设备进行任意的操作。

看来这次的系统攻击事件与该漏洞可能同样存在关联，而这种影响是不可想象的，因为这意味着思科所有的安全设备都可能受到攻击。思科尽快修补该漏洞才是重中之重。

路由，一个产品传统而概念不断翻新的产品，如果大家有留意的话。大凡大点的公司，都或多或少有出过路由，尤其在今天。究其原因其实非常简单，传统路由推崇的是有线连接，无线连接设备是非常有限的。而智能时代飞速来临的今天，除了传统电脑联网外，越来越多的智能设备需要以无线方式接入网络来提供服务。

前言：

今晚逛博客的时候偶然进了一个网站，点开了《命中注定》，结合自己的感受，有感而发，在博客小计，或许多年之后，再来看时感概或许又是不同了，每个人看完也许不同，仅此来纪念我这逝去的青春时光，仅此而已。

剧情简介：

电影翻拍自1994年出品的美国电影《我心属于你》，讲述了方圆和闺蜜赴意大利寻找命中注定的爱人，偶遇冯大理后一路成为欢喜冤家的故事。少女时期的方圆经历了两次算命结果命中注定她未来的爱人叫宋昆明。长大成年后的方圆在即将与谢明江结婚前却意外接到假扮宋昆明的冯大理的电话。于是，方圆不顾一切地追到意大利，随后在异国他乡展开了一段充满戏剧性的寻爱之旅。

吐槽集中营：

小提示：

剧中的方圆（汤唯饰）：兽医。两次算命两次都被预测将嫁给宋昆明，为此她不惜离开未婚夫跑到意大利寻找宋昆明，没想到遇见了假扮宋昆明的冯大理，昆明、大理跟方圆展开了笑料迭出的恋曲。

剧中冯大理（廖凡饰）：古董商人。假扮宋昆明。痞意十足的痴情男，语言上犀利幽默，言语间金句百出，追姑娘招数百出。

正文：或许我们自己有过什么命中注定，或许没有，也或是一另一种形式存在的某种执念吧（语文课没用功，用词不准确），但是我们的生活或许会因为这些而变得更加精彩，亦或开心亦或悲伤，其实完全取决我们自己吧，

鲁迅说：人生最苦痛的是梦醒了无路可走。做梦的人是幸福的；倘没有看出可走的路，最要紧的是不要去惊醒他。

剧中女主角前期的那种和做梦差不多，很幸福，但是在她得知真实情况后，那种失落是有多悲愤不言而喻；

另一面，青春就应该有一场说走就走的旅行，话虽不错，但是前提是你得有旅游的资本（经济基础，交际能力，基本的通用语言English或者当地语言，自己脑袋是否正常！），什么蹭游（现在很多人理解成穷游的概念）基本是为了掩盖自己那虚伪的羞耻心（或许过于极端，一竿子打死全部人样 -_- |），所以啊，骚年们，有资本在想是否任性哈，不然结果往往都不会太好，结局虽然不错，但是记住这是电影，导演看中的票房，现实，向 钱 看！如果结局是悲剧，会有很多人会喷的，不排除我！哈哈、、、

再来看冯大理，为人很精明，油嘴滑舌也不为过，从他和那些喝醉的球迷谈话解救女主角闺蜜，虽然最后还是因为一条围巾而露馅儿；但是就像剧中词儿写的一样，他是个诚实有底线的人，在那事儿之前向女主角儿坦承自己不是宋昆明，不知在看的各位看官能否做到呢？扪心自问一下，做人诚实很重要，最后他凭借自己的聪明才智和真情、诚实打动了女主角，抱得美人归。努力总会有回报的！不努力就永远没有希望！fighting now ！

走正直诚实的生活道路，定会有一个问心无愧的归宿－－高尔基，都争取做一个诚实的人吧！

主要吐槽的就这两个主角了，基本上就这么多吧，最后，我要感谢我的夫人，有你真好，感谢你一直以来的支持、包容与理解，让我们一起加油！也希望各位都有一个好的未来，而我最近几个月会很忙而没时间打理博客，感谢各位来访的朋友，有事可以右边的小人联系我，或者留言/评论，我看到了都会及时回复的，谢谢！

最后附上插曲的完整歌词（个人觉得很不错）：

Almost lover(恋人未满)——A fine Frenzy

Your fingertips against my skin                    你的指尖轻滑过我的肌肤
The palm trees swaying in the wind in my chase     棕榈树在风中翩翩起舞
You sang me Spanish lullabies                      你为我吟唱那西班牙摇篮曲
The sweetest sadness in your eyes                  你的眼中映出甜蜜的忧伤
Clever trick                                       和那狡黠的恶作剧

I never wanna see you unhappy                      我不愿看到你的哀伤
I thought you want the same for me                 我以为你也一样
Goodbye my almost lover                            再见了，我无缘的爱人
Goodbye my hopeless dream                          再见了，我无望的梦想
I'm trying not to think about you                  我试着不再想你
Can't you just let me be?                          请让我独自离去
So long my luckless romance                        再见了我不幸的爱
My back is turned on you                           我将转身离去
Should've known you'd bring me heartbreak          早该知道你只能带给我无尽的心伤
Almost lovers always do                            无缘的爱人总是如此

We walked along a crowded street                   我们穿行在拥挤的街道
You took my hand and danced with me In the shade                 你拉住我的手在树荫下与你共舞
And when you left you kissed my lips               当你离开时，你吻着我的唇
You told me you'd never ever forget these images   说着你永不忘记这一幕

I'd never wanna see you unhappy                    我永远不愿看见你不快乐的样子
I thought you'd want the same for me               我以为你也一样
Goodbye my almost lover                            再见了，我无缘的爱人
Goodbye my hopeless dream                          再见了，我无望的梦想
I'm trying not to think about you                  我试着不再想你
Can't you just let me be?                          请让我独自离去
So long my luckless romance                        再见了我不幸的爱
My back is turned on you                           我将转身离去
Should've known you'd bring me heartbreak          早该知道你只能带给我无尽的心伤
Almost lovers always do                            无缘的爱人总是如此

I cannot go to the ocean                           我再也无法回到昔日的海边
I cannot try the streets at night                  我再也无法行驶在午夜的街道
I cannot wake up in the morning                    我再也无法在清晨醒来
Without you on my mind                             若你在我心中从此消失
So you're gonna and I'm haunted                    但你离去我却还留在原地
And I bet you are just fine                        希望你一切都好
Did i make it that easy                            而我是否能轻易的
To walk right in and out of my life                让你走入我的生命再离开

Goodbye my almost lover                            再见了，我无缘的爱人
Goodbye my hopeless dream                          再见了，我无望的梦想
I'm trying not to think about you                  我试着不再想你
Can't you just let me be?                          请让我独自离去
So long my luckless romance                        再见了我不幸的爱
My back is turned on you                           我将转身离去
Should've known you'd bring me heartache           早该知道你只能带给我无尽的心伤
Almost lovers always do                            无缘的爱人总是如此

废话不多说，就直接开始教程吧，总共就三步：

第一步：下载GoAgent：http://pan.baidu.com/s/1jGrkaDS 或者是在文末也有。

下载到本地后解压，有两个文件夹，local和server，只要把server里的fetch.php上传到PHP空间中就可以啦。 关于国外免费空间,可以自行百度下,很多,选择的最好是流量大,并且没有被封锁可以打开的免费空间 访问你上传的fetch.php文件，如果是作为国内代理，那就找国内免费php空间吧。如果空间打开显示的跟以下图片一样,说明可以用,不一样自行更换一个空间即可，

然后修改其中fetchserver = http://****.**/fetch.php

fetchserver =后面的地址改成你刚才上传的fetch.php的绝对地址即可

接着打开local下的goagent.exe，如果你打开时候输出的内容跟我以下图片内容一样说明成功，如果不一样重新操作一次即可,

以上搭建就完毕了,完成上述步骤后，就运行GoAgent.exe。Linux/Mac用户运行proxy.py.

以下用的是360极速浏览器来演示,其他浏览器大同小异

代理地址设置为使用goagent代理，即将代理地址设置为127.0.0.1：8088

要使用的时候需要打开GoAgent.exe，并且设置好代理服务器；不使用的时候取消掉使用代理服务器的选项，关掉GoAgent.exe就可以啦。

打开360极速浏览器之后，在地址栏输入：chrome://settings/proxy360 打开代理设置界面，作如下设置：

chrome请安装SwitchySharp插件，然后自行设置即可

不过这样使用还是有些问题，那就是访问https时会提示证书不安全，我们还需要一步来信任GoAgent的证书。可以参看这篇文章：

解决SSL错误

简单点来说就是：双击local下的CA.crt文件，会提示是否安装证书，我们要选择安装证书，然后把证书存储设置为"受信任的根证书颁发机构"，然后一路"下一步"即可。完成后重启一下浏览器，https的网页也能正常访问。

配置后了之后，直接就可以在浏览器的代理服务器里面切换了，

切换之后，你的浏览器IP就变成了你的代理服务器地址了，你可以建立多个代理服务器的。下面会详细介绍：

好久没更新了，今天送给大家一个浏览器玩玩，安卓,苹果,Mac,Windows 三平台支持的，免费加速器下载 2020最新可用 下载链接：点击下载

很好玩的浏览器仅有884Kb，轻巧，强大，支持自动代理模式（查资料模式）。

X浏览器apk是你手机上的一款帮你省电省内存的手机急速浏览器，它没有任何的插件，没有后台进程，让你轻松浏览，是你手机看电影，看小说的神器。

X浏览器安卓版功能特色：

1、急速浏览，一键开启关闭，绝不残留。

2、智能网址搜索。

3、全屏阅读，一秒变阅读器。

4、支持自动代理浏览（查资料）。

5、支持设置UA（默认，iPhone，iPad，桌面）。

6、支持沉浸模式（阅读小说全屏爽歪歪）。

更多功能等你发现。。。

开启自动代理模式（查资料模式）：

我试了开启广告过滤和自动代理模式后，访问速度和效果都很好，推荐大家下载使用。轻巧，强大！ 

最近比较忙，更新会比较慢，感谢大家的支持。

下载地址：http://pan.baidu.com/s/1qWoV572

或者是附件下载：x浏览器1.4.4 build 40.7z.zip

先来看一下插件冲突导致rss输出出错的样子吧：

估计很多的朋友都有过这种情况吧，rss.php输出出错，我也是，一开始以为是数据库表出错了，还使用工具箱修复，结果发现，还是不可以的。于是就把所有的插件都停用了，然后，慢慢测试，发现下面几个插件在激活状态都会导致rss.php输出出错：

这些都是自己在最新版的emlog5.31上测试发现的，以为这些插件能够使用，但是版本上没有更新，所以兼容性不是很好。当然了，作者有时间最好修复一下，仅此小计一下，方便那些对于rss.php出错但是不知道什么原因的童鞋有点帮助，禁用这些插件就OK了，这些插件其实挺好的，只是没有升级更新。

禁用这些插件之后，rss输出就OK了：

很多童鞋问我怎么免流，但是真的，我玩免流只是当时的一时兴趣，稍作研究，其实免流最重要的就是免流IP，不管你是直连IP免流，还是代理IP免流，总之，需要免流IP，授人以鱼不如授人以渔，今天就把我之前玩免流的时候一些琐碎的经验总结&体会给大家分享吧，希望可以帮到大家，我估计玩免流的一般是没有WiFi，流量不够使的在校的童鞋们吧！其实，我还是希望你们在学校有更多的时间来学习，或者是运动，而不是充当低头一族的成员，当你到了而立之年的时候，或许不用到那个时候，就会发现，过去的自己的行为是多么的幼稚可笑，就像自己曾经的黑客梦一样，或许是自己不够努力，亦或是天分不够吧，终究只是碌碌无为；其实有的时候把这些当做是一种爱好是一件很不错的事情，You can just a test,trust me! 做好自己该做的，别让子欲养而亲不待的痛苦发生在自己身上了。现实一点，会少受伤不少。欢迎大家随时光临博客吐槽围观。

OK，接下来说说提取手机免流ip的一些方法（所有需要用到的工具在结尾出放出）：

<一>利用移动/联通等的掌上营业厅，如果你所在的地方登录掌上营业厅不需要流量，就可以尝试提取它的地址来实现免流，但不保证绝对成功，告诉你们的提取方法吧：打开 wap.ip138.com,点击 ip地址查询 再输入框里面输入你们的掌厅的网址，得到的IP应该就是测试免流的IP。测试有风险，下载需谨慎！

<二>很多人ALMP弄好了却苦于没有免流ip，举个例子，box.10155.com（不同地方网址可能不同），联通沃音乐，我们都知道在这里面下载音乐是不收流量的（或者以M值计算），但是对于网页免不免呢？对于这个我们可以用一种方便点的方法验证，那就是直接翻到网页底部看条款，如果条款上说什么浏览本地址流量不计则就可以进去下一步（如果你嫌麻烦那就直接10010人工服务，问她什么网站或服务不收流量，让她给你网址）。有了免流的网站我们就可以提取ip了，别说用什么把网址转成ip你不会（almp可以直接打网址）。测试相对来说也简单，我们只要用两个软件 网络日志和抓包工具。把找到的ip填进php，然后开启网络日志和抓包工具，随便浏览几个网站然后关闭软件，停止抓包，把抓包文件改成TXT用anyview(或者是其他的文本编辑软件都可以)打开并搜索关键字host，看见都是或大多是所填ip就暂时说它免流吧（全部都是则不走点）；再打开网络日志看日志是否流量大头都是root，是则80%都免，要是看到有部分是被测软件的，大概占测试所用流量3%左右，超过则走点免流，要是超多了就不免！————最后推荐一个软件，联通掌上营业厅客户端，用它很容易就可以看得出免流情况，一般是测试完后断网十分钟左右，上去看看你的流量详单，要是都是从所填ip访问，并且计入免费流量，那么恭喜你找到了一个免流ip（从这里也可以看出免流的程度） 本人广西玉林，如果有广西朋友，我可以提供破6G ip！最后，送广西友友几个ip 58.254.132.196（3g网络下） 114.247.0.137 10.123.254.3 。

<三>准备硬件：一部已root的安卓手机  准备软件：网络日志（建议用汉化版） 首先把接入点切换到wap的接入点，然后打开网络日志后台运行，然后进入可以免流的网站（如掌上营业厅）或软件（360手机助手里好像可以免流量下东西）浏览网页或下东西，网络日志会显示你的ip，这就是免流ip了！当然有时候也不一定就是免流ip这就要各位自己试了！我已经提取了一些ip，发现一个小窍门，如果在免流网页或app多次出现同一个ip，应该这个就是了，注意免流ip一般第一组数字都是211到223之间的数字（这一段是我从信息技术书上贯通过来的）！后面的就大不一样了！网络日志我就不用发了吧！百度一搜就有！ 最后奉上 一些直连免流ip，有些是我提取的，有些是别人提取的，所以可能会有重复，请无视！由于地区原因请自行测试！

218.201.200.5   211.137.118.50   211.138.147.167   218.205.245.9  211.138.236.167   211.136.221.115   211.141.89.5  211.140.12.234  211.139.144.145  211.138.250.72  211.137.181.26  218.200.244.19  218.200.249.38  211.136.18.196   211.136.221.85   211.137.59.68   211.137.69.199   218.207.65.100  211.103.89.1 218.202.4.243  211.138.250.72   211.137.118.250  218.204.255.90  221.179.8.152   211.137.252.250  211.137.210.76  211.138.245.86

211.137.79.87  211.137.33.106  211.137.84.224  221.180.4.27 221.179.8.170   221.178.251.238   211.136.164.134

211.137.181.204  211.138.17.25   211.139.2.75   218.200.160.10  221.179.8.164   221.181.13.25   211.136.110.74   218.202.81.219  221.130.45.154  211.136.110.75   221.130.45.134  211.136.93.36

211.136.26.206   211.137.118.250   211.143.149.167 211.138.198.26   211.140.19.9   218.207.75.8    211.138.224.55

218.201.25.130   211.137.160.95   221.179.8.171   218.200.160.29  221.176.83.73   211.139.95.123   211.138.74.134   218.203.121.35   218.202.0.241   211.141.90.211   221.130.119.94   218.200.160.30   211.136.165.53  211.136.101.123  211.140.17.81  211.140.17.110   221.130.33.21   211.139.145.130   221.130.45.131   221.130.33.18 

<四>首先找到一个移动免流量的下载链接，如:http://abc.com/downlod#safgh.apk ，然后下载软件，用抓包工具进行抓包，抓出host，比如是111.11.245.14，然后填到手机apn的代理中就行了。如果抓到网址，查出ip就行。也可以用当地移动手机营业厅网址查出ip，查出来wap.xx.10086.cn的ip填进去就行。还有一种方法，给自己的手机号码发送一条彩信，插入4张照片，发送成功后立即断网，打开抓包工具，然后立即开网下载彩信，下载完成后停止抓包，找出host，如果host是网址，就到ip138查出ip地址就行了。

<五>利用网站 http://www.66ip.cn/ 里面的IP，使用免流圣子IP。

相关软件下载：

链接:http://pan.baidu.com/s/1780ou 密码:385n

链接:http://pan.baidu.com/s/1i38GgID 密码:db5k

链接:http://pan.baidu.com/s/1kT1QyQ7 密码:r3t6

链接:http://pan.baidu.com/s/1hqhDNxE 密码:qc5a

链接:http://pan.baidu.com/s/1bn76ukR 密码:gt6d

更过的免流教程可以查看这里：免流教程

暂时就总结到这里，希望小伙伴补充，这段时间会有点事，估计不会及时的更新和回复了，欢迎大家留言/评论交流。