黑名单接口源码

‘壹’ Android之隐藏api介绍

..

Android P 引入了针对非 SDK 接口（俗称为隐藏API）的使用限制。这是继 Android N上针对 NDK 中私有库的链接限制之后的又一次重大调整。

从今以后，不论是native层的NDK还是 java层的SDK，我们只能使用Google提供的、公开的标准接口。这对开发者以及用户乃至整个Android生态，当然是一件好事。

但这也同时意味着Android上的各种黑科技有可能会逐渐走向消亡。

公共 SDK 接口是在 Android 框架软件包索引 中记录的那些接口

从 Android Pie 开始，对某些隐藏类、方法和字段的访问受到限制在 Pie 之前，通过简单地使用反射来使用这些隐藏的非 SDK 组件非常容易。

但是，现在当尝试访问时，面向 API 28 (Pie) 或更高版本的应用程序将遇到 ClassNotFoundException、NoSuchMethodError 或 NoSuchFieldException Activity#createDialog() 。

先来看看系统是如何实现这个限制的。

通过反射或者JNI访问非公开接口时会触发警告/异常等，那么不妨跟踪一下反射的流程，看看系统到底在哪一步做的限制。

先来看一下 java.lang.Class.getDeclaredMethod(String) ：

其中看一下 ShouldBlockAccessToMember 的调用，如果它返回false，那么直接返回 nullptr ，上层就会抛 NoSuchMethodXXX 异常；也就触发系统的限制了。

源码如下：

继续跟踪下 GetMemberAction方法 ：

继续跟踪GetMemberActionImpl方法：

其中调用到了

只要 IsExempted 方法返回 true，就算这个方法在黑名单中，依然会被放行然后允许被调用。

IsExempted 方法：

继续跟踪传递进来的参数 runtime->GetHiddenApiExemptions() 发现也是 runtime 里面的一个参数.

这样就可以直接修改 hidden_api_exemptions_ 绕过去限制。

Java 层的，有一个对应的 VMRuntime.setHiddenApiExemptions 方法,通过 VMRuntime.setHiddenApiExemptions 设置下豁免条件，就能愉快滴使用反射了。

IsExempted 方法里面调用 DoesPrefixMatch 方法。DoesPrefixMatch是对方法签名进行前缀匹配。所有Java方法类的签名都是以 L 开头，这样就可以直接传个 L 进去，所有的隐藏API全部被赦免了！

另一种绕过 Android P以上非公开API限制的办法

‘贰’ 黑名单接口调用失败

服务接口调用失败 说明这个服务胡携伍调用的方式，或接受的参隐枣数有问题。 你需要与服务提供方进行对接，了裤或解是以什么协议，什么方式这些基本的参数

‘叁’ OkHttp源码解析 （三）——代理和路由

初看OkHttp源码，由于对Address、Route、Proxy、ProxySelector、RouteSelector等理解不够，读源码非常吃力，看了几遍依然对于寻找复用连接、创建连接、连接服务器、连接代理服务器、创建隧道连接等逻辑似懂非懂，本篇决定梳理一遍相关的概念及基本原理。

● HTTP/1.1(HTTPS)
● HTTP/2
● SPDY

一个http请求的流程（直连）：
1、输入url及参数；
2、如果是url是域名则解析ip地址，可能对应多个ip，如果没有指定端口，则用默认端口，http请求用80；
3、创建socket，根据ip和端口连接服务器（socket内部会完成3次TCP握手）；
4、socket成功连接后，发送http报文数据。

一个https请求的流程（直连）：
1、输入url及参数；
2、如果是url是域名则解析ip地址，可能对应多个ip，如果没有指定端口，则用默认端口，https请求用443；
3、创建socket，根据ip和端口连接服务器（socket内部会完成3次TCP握手）；
4、socket成功连接后进行TLS握手，可通过java标准款提供的SSLSocket完成；
5、握手成功后，发送https报文数据。

1、分类
● HTTP代理：普通代理、隧道代理
● SOCKS代理：SOCKS4、SOCKS5

2、HTTP代理分类及说明
普通代理
HTTP/1.1 协议的第一部分。其代理过程为：
● client 请求 proxy
● proxy 解析请求获取 origin server 地址
● proxy 向 origin server 转发请求
● proxy 接收 origin server 的响应
● proxy 向 client 转发响应
其中proxy获取目的服务器地址的标准方法是解析 request line 里的 request-URL。因为proxy需要解析报文，因此普通代理无法适用于https，因为报文都是加密的。

隧道代理
通过 Web 代理服务器用隧道方式传输基于 TCP 的协议。
请求包括两个阶段，一是连接（隧道）建立阶段，二是数据通信（请求响应）阶段，数据通信是基于 TCP packet ，代理服务器不会对请求及响应的报文作任何的处理，都是原封不动的转发，因此可以代理 HTTPS请求和响应。
代理过程为：
● client 向 proxy 发送 CONNET 请求（包含了 origin server 的地址）
● proxy 与 origin server 建立 TCP 连接
● proxy 向 client 发送响应
● client 向 proxy 发送请求，proxy 原封不动向 origin server 转发请求，请求数据不做任何封装，为原生 TCP packet.

3、SOCKS代理分类及说明
● SOCKS4：只支持TCP协议（即传输控制协议）
● SOCKS5: 既支持TCP协议又支持UDP协议（即用户数据包协议），还支持各种身份验证机制、服务器端域名解析等。
SOCK4能做到的SOCKS5都可得到，但反过来却不行，比如我们常用的聊天工具QQ在使用代理时就要求用SOCKS5代理，因为它需要使用UDP协议来传输数据。

有了上面的基础知识，下面分析结合源码分析OkHttp路由相关的逻辑。OkHttp用Address来描述与目标服务器建立连接的配置信息，但请求输入的可能是域名，一个域名可能对于多个ip，真正建立连接是其中一个ip，另外，如果设置了代理，客户端是与代理服务器建立直接连接，而不是目标服务器，代理又可能是域名，可能对应多个ip。因此，这里用Route来描述最终选择的路由，即客户端与哪个ip建立连接，是代理还是直连。下面对比下Address及Route的属性，及路由选择器RouteSelector。

描述与目标服务器建立连接所需要的配置信息，包括目标主机名、端口、dns，SocketFactory，如果是https请求，包括TLS相关的SSLSocketFactory 、HostnameVerifier 、CertificatePinner，代理服务器信息Proxy 、ProxySelector 。

Route提供了真正连接服务器所需要的动态信息，明确需要连接的服务器IP地址及代理服务器，一个Address可能会有很多个路由Route供选择（一个DNS对应对个IP）。

Address和Route都是数据对象，没有提供操作方法，OkHttp另外定义了RouteSelector来完成选择的路由的操作。

1、读取代理配置信息：resetNextProxy()

读取代理配置：
● 如果有指定代理（不读取系统配置，在OkHttpClient实例中指定），则只用1个该指定代理；
● 如果没有指定，则读取系统配置的，可能有多个。

2、获取需要尝试的socket地址（目标服务器或者代理服务器）：resetNextInetSocketAddress()

结合Address的host和代理，解析要尝试的套接字地址（ip+端口）列表：
● 直连或者SOCK代理， 则用目标服务器的主机名和端口，如果是HTTP代理，则用代理服务器的主机名和端口；
● 如果是SOCK代理，根据目标服务器主机名和端口号创建未解析的套接字地址，列表只有1个地址；
● 如果是直连或HTTP代理，先DNS解析，得到InetAddress列表（没有端口），再创建InetSocketAddress列表（带上端口），InetSocketAddress与InetAddress的区别是前者带端口信息。

3、获取路由列表：next()

选择路由的流程解析：
● 遍历每个代理对象，可能多个，直连的代理对象为Proxy.DIRECT（实际是没有中间代理的）；
● 对每个代理获取套接字地址列表；
● 遍历地址列表，创建Route，判断Route如果在路由黑名单中，则添加到失败路由列表，不在黑名单中则添加到待返回的Route列表；
● 如果最后待返回的Route列表为空，即可能所有路由都在黑名单中，实在没有新路由了，则将失败的路由集合返回；
● 传入Route列表创建Selection对象，对象比较简单，就是一个目标路由集合，及读取方法。

为了避免不必要的尝试，OkHttp会把连接失败的路由加入到黑名单中，由RouteDatabase管理，该类比较简单，就是一个失败路由集合。

1、创建Address
Address的创建在RetryAndFollowUpInteceptor里，每次请求会声明一个新的Address及StreamAllocation对象，而StreamAllocation使用Address创建RouteSelector对象，在连接时RouteSelector确定请求的路由。

每个Requst都会构造一个Address对象，构造好了Address对象只是有了与服务器连接的配置信息，但没有确定最终服务器的ip，也没有确定连接的路由。

2、创建RouteSelector
在StreamAllocation声明的同时会声明路由选择器RouteSelector，为一次请求寻找路由。

3、选择可用的路由Route

下面在测试过程跟踪实例对象来理解，分别测试直连和HTTP代理HTTP2请求路由的选择过程：
● 直连请求流程
● HTTP代理HTTPS流程
请求url： https://www.jianshu.com/p/63ba15d8877a

1、构造address对象

2、读取代理配置：resetNextProxy

3、解析目标服务器套接字地址：resetNextInetSocketAddress

4、选择Route创建RealConnection

5、确定协议

测试方法：
● 在PC端打开Charles，设置端口，如何设置代理，网上有教程，比较简单；
● 手机打开WIFI，选择连接的WIFI修改网络，在高级选项中设置中指定了代理服务器，ip为PC的ip，端口是Charles刚设置的端口；
● OkHttpClient不指定代理，发起请求。

1、构造address对象

2、读取代理配置：resetNextProxy

3、解析目标服务器套接字地址：resetNextInetSocketAddress

4、选择Route创建RealConnection

5、创建隧道
由于是代理https请求，需要用到隧道代理。

从图可以看出，建立隧道其实是发送CONNECT请求，header包括字段Proxy-Connection，目标主机名，请求内容类似：

6、确定协议，SSL握手

1、代理可分为HTTP代理和SOCK代理；
2、HTTP代理又分为普通代理和隧道代理；普通代理适合明文传输，即http请求；隧道代理仅转发TCP包，适合加密传输，即https/http2;
3、SOCK代理又分为SOCK4和SOCK5，区别是后者支持UDP传输，适合代理聊天工具如QQ；
4、没有设置代理（OkHttpClient没有指定同时系统也没有设置），客户端直接与目标服务器建立TCP连接；
5、设置了代理，代理http请求时，客户端与代理服务器建立TCP连接，如果代理服务器是域名，则解释代理服务器域名，而目标服务器的域名由代理服务器解析；
6、设置了代理，代理https/http2请求时，客户端与代理服务器建立TCP连接，发送CONNECT请求与代理服务器建立隧道，并进行SSL握手，代理服务器不解析数据，仅转发TCP数据包。

如何正确使用 HTTP proxy
OkHttp3中的代理与路由
HTTP 代理原理及实现（一）

‘肆’ 710.leetcode题目讲解（Python）：黑名单中的随机数(Random Pick with Blacklist）

这道题信轿的我的主要思路是，先通过累积概率选出各个白名单区间，然后再在白名单区间内生成随机数。网上也有一些其他更好的解法，比如对黑名单的成员进行映射等等，但思路不是特别直观，有些解法生成随机数的概率也并不均匀。

源码地址：
https://github.com/jediL/LeetCodeByPython

其它题目：[leetcode题目答案讲解汇总（Python版 持续更新）]
( https://www.jianshu.com/p/60b5241ca28e )

ps：滑袭肆如果您有好禅备的建议，欢迎交流 :-D，
也欢迎访问我的个人博客 苔原带 ( www.tundrazone.com )

‘伍’ nginx如何实现负载均衡、限流、缓存、黑白名单和灰度发布

1.负载均衡配置

2.失败重试配置

在fail_timeout时间内失败了max_fails次请求后,认为上游服务器不可用,就会将服务地址剔除掉,fail_timeout时间后会再次将服务器加入存活列表进行重试。

limit_req_zone指令设置参数

参数说明

limit_req_zone定义在http块中，$binary_remote_addr表示保存塌耐客户端IP地址的二进制形式。

Zone定义IP状态及URL访问频率的共享内存区域。zone=keyword标识区域的名字，以及冒号后面跟区域大小。16000个IP地址的状态信息约1MB，例子区域可以存储160000个IP地址。

Rate定皮败义最大请求速率。示例中速率不能超过每秒10个请求。

设置限流

burs排队大小,nodelay不限制单个请求间的时间。具体使用可以查看高并发场景如何使用nginx实现限流-实战篇

不限流白名单

该配置说明 192.168.1.0/24网段的ip访问是不限流的,其它限流。ip后面数字的含义

24表示子网掩码:255.255.255.0

16表示子网掩码:255.255.0.0

8表示子网掩码:255.0.0.0

1.浏览器缓存 静态资源缓存用expire

Response Header中添加了Expires和燃衫颤Cache-Control

所谓的静态资源一般包括一直不变的图像,如网站的logo,js、css静态文件还有可下载的内容，媒体文件

协商缓存(add_header ETag/Last-Modified value)包括html文件,经常替换的图片,经常需要修改的js、css文件和基本不变的api接口

不需要缓存包括用户隐私等敏感数据,用户经常变动的api接口

2.代理层缓存

在本地磁盘创建一个文件目录,根据我们的配置把请求资源以k(key自定义,这边用url的hash值)->v形式缓存到目录里,并根据需求对内容设置缓存时长,比如状态码为200缓存10分钟,其余的缓存1分钟等待。要清理缓存可以借助purger的功能。如果ab测试/个性化需求时应禁用浏览器缓存,否则会因为缓存导致误差。

方式一

方式二 lua+redis动态黑名单(openresty)

配置(/usr/local/openresty/nginx/conf/nginx.conf)

lua脚本编写(ip_blacklist.lua)

1.根据cookie实现灰度发布

根据cooke查询version值，根据version跳转到对应的host,如果没有匹配上的就跳转到默认配置。

2.根据来路ip实现灰度发布

‘陆’ CC攻击的网页源码.. 我需要一份[是本机发包]

般cc攻击都是针对网站的域名进行攻击，比如网站域名是“xxx”，那么攻击者就在攻击工具中设定攻击对象为该域名然后实施攻击。
对于这样的攻击措施是在ⅡS上取消这个域名的绑定，让CC攻击失去目标。具体操作步骤是：打开“ⅡS管理器”定位到具体站点右键“属性”打开该站点的属性面板，点击IP地址右侧的“高级”按钮，选择该域名项进行编辑，将“主机头值”删除或者改为其它的值（域名）。
实例模拟测试，取消域名绑定后Web服务器的CPU马上恢复正常状态，通过IP进行访问连接一切正常。但是不足之处也很明显，取消或者更改域名对于别人的访问带来了不便，另外，对于针对IP的CC攻击它是无效的，就算更换域名攻击者发现之后，他也会对新域名实施攻击。
域名欺骗解析
如果发现针对域名的CC攻击，可以把被攻击的域名解析到127.0.0.1这个地址上。知道127.0.0.1是本地回环IP是用来进行网络测试的，如果把被攻击的域名解析到这个IP上，就可以实现攻击者自己攻击自己的目的，这样他再多的肉鸡或者代理也会宕机，让其自作自受。另外，当Web服务器遭受CC攻击时把被攻击的域名解析到国家有权威的政府网站或者是网警的网站，让其网警来收拾他们。现在一般的Web站点都是利用类似“新网”这样的服务商提供的动态域名解析服务，大家可以登录进去之后进行设置。
更改Web端口
一般情况下Web服务器通过80端口对外提供服务，因此攻击者实施攻击就以默认的80端口进行攻击，所以，我们可以修改Web端口达到防CC攻击的目的。运行ⅡS管理器，定位到相应站点，打开站点“属性”面板，在“网站标识”下有个TCP端口默认为80，我们修改为其他的端口就可以了。
ⅡS屏蔽IP
我们通过命令或在查看日志发现了CC攻击的源IP，就可以在ⅡS中设置屏蔽该IP对Web站点的访问，从而达到防范ⅡS攻击的目的。在相应站点的“属性”面板中，点击“目录安全性”选项卡，点击“IP地址和域名现在”下的“编辑”按钮打开设置对话框。在此窗口中我们可以设置“授权访问”也就是“白名单”，也可以设置“拒绝访问”即“黑名单”。比如我们可以将攻击者的IP添加到“拒绝访问”列表中，就屏蔽了该IP对于Web的访问。
IPSec封锁
IPSec是优秀的系统防火墙，在排除其他还有别的类型的DDOS攻击时，针对CC攻击可以用设置IP策略来对付攻击。以219.128.*.43这个IP为例子，笔者实际操作对该IP的访问封锁。
第一步：“开始→管理工具”，打开“本地安全设置”，右键点击“IP安全策略，在本地机器”选择“创建IP安全策略”，然后点击“下一步”，输入策略“名称”和“描述”。然后默认一路“下一步”创建了一个名为“封CC攻击”的IPSec策略。
第二步：右键点击“IP安全策略，在本地机器”选择“管理IP筛选器表和筛选器操作”，在打开的窗口中点“添加”，在“IP 筛选器列表”窗口添人同第一步的名称和描述信息。取消“使用添加向导”的勾选，然后点击“添加”。在“IP 筛选器 属性”窗口的“地址”选项下设置“源地址”为“192.168.1.6”，目标地址为“我的IP地址”，取消对“镜像”的勾选；点击“协议”选项卡，设置“协议类型”为“TCP”，设置“协议端口”为“从任意端口”到“此端口80”最后确定退出。
第三步：在“新规则 属性”窗口中点选刚才创建的“封CC攻击”规则，点击“筛选器操作”选项卡下的“添加”，点选“安全措施”下的“阻止”，在“常规”选项卡下为该筛选器命名为“阻止CC攻击”然后确定退出。
第四步：点选刚才创建的“阻止CC攻击”筛选器，一路“确定”退出IP策略编辑器，可以看到在组策略窗口的中创建成功一个名为“封CC攻击”的策略，然后右键点击该策略选择“指派”。这样就实现了对该IP的封锁。
防火墙
除了利用上述方法外，还可以通过第三方的防火墙进行防范，打开防护墙防火墙可以了，笔者以天鹰ddos防火墙为例进行演示。安装好天鹰ddos防火墙即可开启防护，傻瓜式配置界面，默认参数即可防护网站，误封较少，智能识别蜘蛛。
防CC攻击
使用加速乐云防火墙，若遇到CC攻击时，将自动启动，可以在2分钟内快速确定攻击IP，并封锁IP，完全拦截CC攻击。

‘柒’ 水利五大员黑名单怎么查询

水利五大员黑名单查询方法是：
1、首先登录全国水利建设虚态氏市场监管服务平台官方网站。
2、然后进入主页，在网站上找到查黑名单的差散接口。
3、最后点击黑名单选闭好项即可查到水利五大员黑名单。

‘捌’ java代码中怎么设置白名单黑名单

java代码掘告清中设判前置白名单可以用命令，对白名单的内容友槐进行放行。而黑名单中的内容，可以用命令，让其停止运行。