我会收到一些读过我帖子的人的提问,有时我会在帖子里回答。这次就是其中一次。
…
有人读了我的“作战室”帖子,注意到我花了几周时间试图弄清楚究竟是什么导致了“kill -9 -1”在一堆 Facebook 机器上引发了全球关注。他们问我那段时间是如何记录事情的,我的工作记忆是什么,是纸张、文本文件、IRC 消息,还是仅仅记住一些事情。
答案是:当我以前做这种事情时,我发现有一个“MMDD”(嘿,我在美国,所以就假装它是8601数字的后半部分……你会明白为什么……)目录非常有用,在里面,我会为那天要处理的事情起一些简称。
这意味着今天是0629,里面的内容可能是“fbar”或“rsw”或“webi”之类的。它的作用是把所有东西放在一起,同时又能与我当天正在做的其他事情区分开来,同时也能与我其他时间可能做的“fbar”或“webi”或其他项目区分开来,如果这样说得通的话。
这些文件会直接保存在我的主目录中,没错,它确实会塞满垃圾,但每年年底我都会把它们分批处理。比如,我会把 01xx 到 12xx 的文件移到“2013”目录下,比如 2014 年开始的时候。所以,正如你所见,它们有点像 ISO-8601 日期,但一旦过期,就会变成 ~/YYYY/MMDD/foobar,而在此之前,就只是 ~/MMDD/foobar 了。这需要在速度和避免主目录中塞满大量旧文件之间取得平衡。
每当我需要临时空间来存储输出时,我都会用它。这可能是为了查找异常而对整个集群进行大量扫描后的输出。假设我运行了一个命令,该命令会 ssh 到几十万台主机,以查找日志中的常见项。该命令的标准输出/错误输出可能就在那里,这样我就可以多次执行它,而无需向作业运行系统请求另一份副本。这样速度会快得多。
但就故障排除和处理各种情况而言,纸张是无可比拟的,我从事任何工作时,通常都会有一些“实验室笔记本”。我能想到一些20多年前就存在的笔记本。唯一的问题是,里面的内容实际上属于公司所有,所以我事后往往不会保留它们。随着时间的推移,很多记录背景信息的页面都被碎纸机吞噬了,这并不是因为我没有要求。我问过是否有人想要,答案一直是“没有”。
还有一些关于事情的内部帖子,以及在 IRC 频道上的评论,但这些往往在事后有用,或者可以用来向其他人寻求帮助。我自己的状态记录通常放在一些触手可及、(通常)有形的东西上。
至于那些 <date>/<term> 目录,有些事后发现还挺方便的。很多时候,事情发生了,时间一长,系统又会以同样的方式再次崩溃,我就会想“我们不是已经处理过这些人了吗?”,然后四处搜索,找到六个月前的东西,然后“啊哈!”。现在有了日期,我就能找到正确的帖子、IRC 日志、群组消息、图表或其他任何东西了。
考虑到我“在桶里”(孩子们,问问你们的父母)那段日子里每天都要处理多少乱七八糟的事情,这成了我日后唯一能弄清楚事情的办法。如果没有这些东西,到周末,我根本不知道周一周二自己在干什么。可见当时的负担有多么重。
…
有人写信问我能否改进一下我上周搞定的溢出计算器。它在移动设备上用起来确实不太好,这毋庸置疑。我是在笔记本电脑上写的,完全没考虑过它在那种通常高度大于宽度的奇怪小屏幕上会是什么样子。
这话说得挺有道理,所以我花了点功夫让它好受一些。它可能还是很糟糕,但就我把手机竖着拿的具体情况而言,现在看起来还能用了。至少,你不用再被迫进入“flyspeck-3”字体模式了。
CSS 真是太混乱了。
…
我偶尔会听到有人说这个网站从某个地方无法访问。这几乎肯定是我的 IP 过滤问题。也许你听说过网上有一群网络黄鼠狼,他们把所有能找到的、以 URL 为模板的东西都搜集了出来。我的东西肯定就在那里,而且他们经常出现在这里。
除此之外,还有一些网络只发送直接的滥用流量。你查看日志,就会发现类似的东西,它们使用 (v4) /24 中的每个 IP 地址来扫描随机的网络漏洞。感觉就像,干得好,伙计,但我这里不运行 PHP。总之,这相当有力地证明了某个网络不值得再联系,所以它被过滤了。
很多这类事情都是自动发生的,仅仅基于先通过这条路发送的流量。发送不良流量,就会遇到比特桶。我甚至都没发现其中的大部分,因为它们是持续不断的,而且完全无趣。
还有人运行着一些运行不太顺畅的 feed 阅读器。正如前面提到的, 429 错误会让他们速度变慢,如果 Web 服务器觉得这些错误没有影响,它就会忽略这些流量,不管它觉得多久。再说一次,我对这类事情也不了解。一切都是自动的。
最后,又出现了一个新的难题。我自学了如何提取 BGP 数据,现在可以轻松地从一个 IP 地址跳转到发布该 IP 地址的自治系统编号,包括重叠的自治系统编号(比如 /20 中的 /24)。然后我编写了一个可以导出整个自治系统的程序,不难想象我会用它做什么。
主机出现足够多的不良行为 -> 过滤该主机。
网络块中有足够多的坏主机 -> 过滤该网络块。
自治系统 (AS) 中存在足够多的坏网块 -> 过滤该自治系统。你可以将其视为“自治系统死刑”。
只要一无所知的网络运营商继续让那些滥用IP地址的用户在数千个动态IP地址之间来回跳转,而这些IP地址中甚至连SWIP数据都没有,那么这些网络块就无法访问大片网络。情况就是这样,而且不是什么新鲜事。发送垃圾信息,就遇到/dev/null了。
处理网络现状是件很累人的事。