惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

T
Threatpost
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
Engineering at Meta
Engineering at Meta
T
The Blog of Author Tim Ferriss
Recent Announcements
Recent Announcements
G
Google Developers Blog
Google DeepMind News
Google DeepMind News
The Register - Security
The Register - Security
MongoDB | Blog
MongoDB | Blog
U
Unit 42
B
Blog
H
Hackread – Cybersecurity News, Data Breaches, AI and More
L
LangChain Blog
Stack Overflow Blog
Stack Overflow Blog
P
Privacy International News Feed
L
LINUX DO - 最新话题
博客园_首页
博客园 - Franky
大猫的无限游戏
大猫的无限游戏
小众软件
小众软件
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
T
Tor Project blog
V
Visual Studio Blog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
P
Privacy & Cybersecurity Law Blog
C
Cyber Attacks, Cyber Crime and Cyber Security
K
Kaspersky official blog
C
Cisco Blogs
博客园 - 【当耐特】
阮一峰的网络日志
阮一峰的网络日志
I
Intezer
罗磊的独立博客
MyScale Blog
MyScale Blog
Last Week in AI
Last Week in AI
A
About on SuperTechFans
G
GRAHAM CLULEY
Y
Y Combinator Blog
Microsoft Security Blog
Microsoft Security Blog
GbyAI
GbyAI
T
Threat Research - Cisco Blogs
P
Proofpoint News Feed
D
DataBreaches.Net
The Hacker News
The Hacker News
Spread Privacy
Spread Privacy
AWS News Blog
AWS News Blog
I
InfoQ
T
The Exploit Database - CXSecurity.com
Simon Willison's Weblog
Simon Willison's Weblog
博客园 - 叶小钗
Project Zero
Project Zero

V2EX

我用 AI 写代码,但终端管理反而成了累赘——于是我做了 codux - V2EX [调研] 各位在公司都用什么 ide 和 agent 写代码? 老运维 share 一个运维平台 新电脑 brew install node 之后,一个小设置可以提升对供应链投毒的防御 - V2EX GLM-Coding 调用持续报错: z.ai 的 Lite 套餐几乎无法使用,官方 Pro/Max 是否稳定? - V2EX 上海漕河泾内推,本组有 2 个 hc,一个后端,一个前端,预算都是 20k 左右,不打卡,氛围好 如果 V2EX 上有一组不永久保存聊天记录(比如只保存 7 天或者 24 小时)的聊天室,那么会开启哪些有用或者有趣的可能? - V2EX gemini cli 貌似挂了,一直返回 403 - V2EX 第一次在自媒体上赚到钱 收集了最近在使用的低价 GPT, Gemini,邮箱等 AI 会员的小店合集 讨论个大实话:现在企业还在说 AI 编程提效 20%, 30%的,真的太落后,没用懂 AI。因为包括很多前沿公司,已经狂奔到提效 200%-500%的情况 [招聘][远程][币安] 前端/后端/QA/iOS/Android 至少 3 年以上经验 目前有大量 HC 欢迎投递 Chatgpt Pro 用量用不完的可以开这些设置 面试的时候好像遇到钓鱼了,给各位避个坑 cursor 年续费 22 号到期, 自动续费是否还是老的计次套餐呢 - V2EX 被两件破事毁掉的一下午,琐碎的内耗消磨人的精力 使用 Planet 存储 Codex 的会话或者重要信息 - V2EX 如果业务部门领导不要你开发功能,而是要求你教会它用 claude code 开发功能,你会怎么做? 分享一个 MacOS 接绿联 CM818 USB 转 DP 转接器使用感受 - V2EX 我的 HR 朋友 10 年老 Java ,非全大专,大家帮忙看看简历 开源了一个 AI 口语练习工具,音素级发音评分,完全免费可自部署 V2EX 上有哪些你觉得很有趣、印象深刻的妹纸? 字节为啥不出个国内版 Vercel? 有在大马的朋友吗? 问个运营商问题 你们在有领导的公司大群发过的最大胆的消息是什么 公司裁员,目前没有工作。想试试摆摊,做一个移动鲜啤打酒车 我的硬盘 Memblaze Pblaze 5 Linux 下不识别,给 Linux 内核提交了补丁, AI 说有望被合并 - V2EX 只有我一个人觉得 codex 不好用? 做了个 AI + 真人专家监督的广告投放平台 Auxora, 7 个品牌跑出 6x ROAS 如何走出至亲的离世 Claude Web 端貌似 claude-opus-4-7 偷偷上了? 现在 Apple 开发者帳號應該是用哪个地区会更好? - V2EX 用回测筛选因子的一点经验分享 给女儿 vibe 了一个故事类的 app,做完发现,这类应用似乎上线难度极大? - V2EX 手机格式化 bitget 钱包没了,里面开通的银行卡还有机会拿到吗 - V2EX [送码] TransVoice - 我的第一款 App 上架啦!实时转写+翻译+字幕,会议听课好助手! PictureHub 高清摄影作品的画廊 Planet 的第一个使用 macOS 26 SDK 构建的 Insider 版本 20260416-1 - V2EX 成都二手房是不是在涨价,有点坐不住了 - V2EX claude 生态(skill mcp plugin)等 Studio Display XDR VESA 适配器脱落 有在用印度区 applestore 的大哥嘛,请教一下礼品卡去哪里买呢 - V2EX 我好像知道京东家政爆火的原因了 - V2EX 薅了公司的 a 家 api key,用机场 ip 做代理容易被封吗 如何在初期就识别 HR 在刷 KPI,没打算招你? [分享]精心打造一个 AI 编程知识库(算法/设计模式/提示词/Skills),助力程序员转型 港版 iPhone 在国内支持联通 5GA 吗?在广东用 想办港卡 AI 对 it 行业影响太大了 我做了个把照片变成 iOS 小组件贴纸的 App ChatGPT Pro 5x 套餐 量真的很足! I have found a method to directly generate advertising video materials using scripts 在小城市开个店,给人写软件,有前途吗 chrome 最新的 147 版直接卡爆炸了 - V2EX 为什么厂家不在 skill/mcp 这类的工具中塞广告呢?这样不是可以大赚嘛? minimax 真是脸都不要了,工作日下午 14:00 定时开启 529,脸都不要了。训练模型居然占用用户使用时间 外资非核心部门 vs 另一家外资的核心部门,该跳吗? iTad 标签 扩展 加小动作 ? - V2EX 去年 H200 能买,不让买是代替快出来了? - V2EX AI 赛事通 - 2026 年 4 月中国区新增 AI 竞赛和黑客松汇总 - V2EX V2EX › 登录 现在安卓开发都在做啥 - V2EX 浏览器插件 沉浸式翻译 是不支持自定义模型了吗? - V2EX Codex 里的 GPT5.4 也能降智?上午让它改两个问题,改了一个小时了, plus 额度用了一半了还是没改好,和前几天用的体感完全不一样。要它改的问题也不复杂。服了。 目前有使用 claude code 的收到人脸认证的吗 - V2EX 分享一个自己做的 Nginx 管理工具,实时请求动态预览!(无奈市面上实在找不到好用的,自己撸了个) - V2EX claude code 崩了么? 今天在反重力上用 claude 一点都不丝滑,有同样的感受吗? opencode 消息周知插件 今天 claude opus 和前两天比,质的飞跃 - V2EX 999 包月价? - V2EX 一个版本, 50 项更新:我们几乎重做了整个播放页 本地大模型多大显存够用? GOGDNS 一款简易的私人 DNS 服务器 - V2EX API key (GLM) 怎么使用 claude code desktop ? Claude 这样订阅有问题吗 - V2EX 帮我爸找回了一篇赛博兰亭集序 求推荐稳定、高性价比使用 Claude Opus 4.6 的渠道/平台 搞个云端 claude code 防止 封号 - V2EX 用 Claude 要实名了,内地用户怎么办? OpenAI Plus 和 Team 都缩水了吗 海外 Android 手机有什么好用的国内第三方应用市场推荐吗 - V2EX 把电脑伪装成电视,用 DLNA 投屏拿到视频号直播流地址 - V2EX claude 认证莫慌 北京互联网法院有什么攻略么?起诉北京智谱华章科技股份有限公司退款可行么? - V2EX Claude 开始引入身份验证 求 vscode 做笔记软件的插件推荐 - V2EX 讯飞星辰的 Coding Plan 如何? Anthropic 宣布在 Claude 平台推行身份验证机制 科普一下低价 gpt 是怎么来的 有没有长期关注 Claude 的朋友,我建了一个 Channel 自动抓取 Claude Team 的推文 啃了那篇 54 页的 Agent Harness 综述, 给大伙讲个省流版 现在那家的 coding plan 还能买到 是不是最近会有什么更聪明的大模型要发布了呀? 用多了 AI 后,有没有觉得 AI 生成的文章有很强的既视感? 如何 实践 Harness 工程? 今日份 GPT 5.4 笑话 如何建一个自己的号池,让 cursor 真正实现 token 自由 写了三个月 Agent Harness,我终于敢让 Claude Code 全自动写代码了
写了个 Go 库:在 TCP 应用协议开始前做认证,也支持端口敲门
UG4anS3JspYD · 2026-05-18 · via V2EX

最近整理了一个 Go 库,叫 libknock 。

它解决的问题比较窄: 有些 TCP 服务不太想让随机连接直接打到应用协议解析层,比如内部管理端口、agent/collector 、私有 RPC 、gRPC 服务、自定义 TCP 协议之类。

传统做法一般是:

  • 直接暴露 TCP 端口,让 TLS / HTTP / gRPC / 业务协议自己处理
  • 前面再套一层 proxy / gateway
  • 靠防火墙、VPN 、内网环境隔离
  • 或者用 port knocking 临时放行来源 IP

libknock 的思路是把这类能力做成 Go 里的底层网络库,放在 net.Listener / net.Dialer 这一层。

服务端大概是:

ln, _ := net.Listen("tcp", ":9000")
ln = libknock.WrapListener(ln, knockCfg)

for {
    conn, err := ln.Accept()
    if err != nil {
        return err
    }

    go handleConn(conn)
}

客户端大概是:

d := libknock.Dialer{
    Base: &net.Dialer{},
    Config: knockCfg,
}

conn, err := d.DialContext(ctx, "tcp", "example.com:9000")

连接建立后,客户端先发一个 binary auth frame 。服务端验证 client secret 、timestamp 、nonce 、replay cache ,通过以后才把一个干净的 net.Conn 交给上层程序。

也就是说,上层协议不用知道 libknock 存在。 如果后面是 TLS ,TLS 看到的还是正常 ClientHello ;如果后面是自定义 TCP 协议,业务 handler 看到的就是自己的业务首包。

除了 TCP 前置认证,也可以组合 port knocking / firewall gate:

client
  -> knock
  -> temporary allow / session
  -> TCP connect
  -> TCP pre-auth
  -> application protocol

不过它不是传统意义上的“端口敲门工具”。port knocking 只是可选的一层 gate ;核心还是 Go 程序可嵌入的 TCP pre-application authentication SDK 。

主要特性:

  • Go 原生 net.Listener / net.Dialer 包装
  • TCP 建连后、应用协议开始前认证
  • binary auth frame
  • client secret 校验
  • timestamp window
  • nonce replay 防护
  • 认证失败默认直接关闭连接
  • 不解析、不修改上层应用协议
  • 可用于普通 TCP 、自定义二进制协议、TLS 、HTTP 、gRPC
  • 可选 port knocking / firewall gate / relay gateway

适合的场景大概是:

  • 内部管理端口
  • agent / collector 长连接
  • 私有 RPC / gRPC 服务
  • 自定义 TCP 协议
  • 数据采集、边缘节点、运维控制面
  • 不想让应用协议解析器直接面对随机 TCP 输入的服务

不适合的场景:

  • 想要开箱即用保护任意未改造二进制程序,这种更适合 relay/gateway
  • 想替代 TLS / mTLS / 业务鉴权
  • 想做 VPN 或完整隧道
  • 只想要一个传统 knockd 替代品

现在还在早期阶段,主要想看看有没有人对这种“TCP pre-application authentication + optional port knocking”的组合有类似需求。

仓库地址: https://github.com/libknock/libknock

欢迎拍砖,尤其是 Go API 设计、net.Conn 包装方式、port knocking 和 TCP auth 的边界、安全默认值这几块。

  • 认证
  • 协议
  • 端口

    6 条回复    2026-05-19 15:51:02 +08:00

    povsister

    1

    povsister      5 月 18 日 via iPhone

    我们在生产环境遇到过有 bug 应用创建 slow tcp 和半开连接,导致目标应用 oom 。所以有没有什么能在 ip 层防御的,不进协议栈的那种

    lesismal

    3

    lesismal      5 月 18 日

    AI 太强了,去年中 sonnet 4.0 还是 4.1 之后,我就基本放弃自己手写了、但去年还偶尔自己写一点点。

    之前觉得 golang 如果用标准库 sql 要手写很多 for 循环,根据 sql 语句生成 golang 代码的库涉及到复杂业务逻辑中间夹杂很多 sql 的,修改之类的也是很麻烦,sqlx 、ent 以及那几个 orm 库过于啰嗦而且很多没必要的东西增加学习成本而且性能、隐藏细节带来的工程问题远大于 orm 之类的所谓便利性,即使其他语言我也是抵制使用 orm 这类脏东西的(小项目谁爱用都 ok ,因为没有瓶颈)。
    其实标准库 sql 包主要就是需要手写 for 循环 rows scan 这块麻烦,binding 搞好就轻松的多,所以自己搞了个 https://github.com/lesismal/sqlw ,以前自己用这个。

    但是 AI 来了,AI 不怕手写 for rows scan 这些的麻烦,所以现在我连自己的 sqlw 都不用了,全丢给 AI ,代码我也不 review ,让 AI 自己加适当的日志、监控各种,然后让 AI 自己分析慢日志之类的进行优化。剩下的就是自己测试一些不容易被 AI 自动化发现的问题、然后反馈给 AI 让它修复和优化。

    最近一些人吐槽 bun 换 rust ,infoq 文章评论区里,infoq 的人竟然还用 viber coding 之前的方式去评价不可能那么快合并到主分支——这相当于九品芝麻官里李总管那句“你用前朝的尚方宝剑斩本朝的官”,结果第二天就合并了。

    反正,我大概至少 8 、9 个月没有自己写过代码了。因为会聪明反被聪明误、自己觉得自己行非要瞎鼓捣然后耽误自己使用 AI 进步速度、也耽误自己和 AI 的配合度。

    让 AI 飞吧。

    UG4anS3JspYD

    5

    UG4anS3JspYD      5 月 19 日

    @povsister 这个点要分两层看。

    如果目标是“不进入应用协议解析层”,这类 listener/dialer wrapper 可以做到:连接进来后必须先过 auth frame ,没过就很快 close ,上层 HTTP/gRPC/自定义协议 handler 不会看到这条连接。

    但如果目标是“不进内核 TCP 协议栈 / 不占 SYN backlog / 不占 fd”,那就不是 Go 里的 net.Listener 能解决的了,需要放到更前面,比如 nftables/iptables 、connlimit/hashlimit 、SYN cookies/SYNPROXY ,或者更靠前的 eBPF/XDP 。

    libknock 里可选的 knock + firewall gate 主要就是想覆盖这一类场景:默认 protected port 由防火墙 DROP ,只有 knock 通过后才临时 allow 。这样随机连接不会打到应用 listener 。Auth-only 模式则不解决半开连接和 fd 消耗,只解决“不让未认证流量进入应用协议”。

    bv

    6

    bv      5 月 19 日

    基于 net.Conn 透明包装了一层 pre-payload ,和 proxy-protocol 协议手法类似。