Archive for 2006年7月17日


  中国官方数据显示,今年大学毕业生将有六成失业,中国第三次就业高峰今年9月可能达到最高点,青年人(尤其是高等院校毕业生)将在这波失业高潮里首当其冲。

  由共青团、北京大学公共政策研究所合作完成,在昨天公布的“2006年中国大学生就业状况调查”结果发现,2006年毕业的本科生中,截止5月底还有半数以上未找到工作。

  有66.1%的大学生将月收入定位在人民币1000元到2000元之间(约200到400新元)的低水准,1.58%的学生甚至愿意“零工资”就业。

  调查涉及的样本包括全中国近百所高校的6000多名大学本科毕业生。

  由文化教育以及科学技术工作者组成的中国民主同盟(民盟)中央秘书长高栓平,昨天对《法制晚报》透露国务院人事部的调查数据说,2005年全国高校毕业生338万,2006年增加了75万达到413万,增长率为22%;而市场对高校毕业生的需求预计约为166万5000人,比去年实际就业减少22%。

  高栓平警告说:“这意味着将有六成应届毕业生面临岗位缺口。”民盟是中国执政党中国共产党以外的所谓八个参政党之一。

  《中国青年报》日前报道,申苏浙皖高速公路有限公司7月9日和10日,在浙江的湖州市劳动力市场招聘高速公路收费员,只要高中学历,吸引1600多人报名,其中700多名是大学毕业生。

  报道称,每个高速公路收费员岗位有五个大学毕业生竞争,热烈程度赶上了公务员报考。

  中国国务院劳动和社会保障部官员在5月表示,劳动力总量增加,以及产能过剩和贸易摩擦等原因,使即将到来的第三次就业高峰可能比前两次更为严峻。

  专家称,这次高峰的压力主要在青年人,包括高校毕业生、农村转移劳动力(进入城市找工的农民)、职业技术人员和退伍军人等。

  前两次就业高峰分别是1970年代末的知识青年返回城市,以及1990年代的国企工人大批失业(下岗潮)。

  中国国家信息中心发展研究部战略规划研究室主任高辉清说:“我国经济面临的产能过剩问题导致第三次就业高峰已经到来,预计在今年9月达到最高点,而且要蔓延‘十一五’头两年。”

出现“啃老族”和“校漂”现象

  专家对《中国经济周刊》分析的数据更让人警惕,上海社科院青少年研究所副研究员曾燕波说:“目前国家公布的失业率只统计了城镇失业情况,并没有包括现在农村的1.5亿富余劳动力。如果把1.5亿农村富余劳动力算入,我国失业率就要高达20%。”

  她说,目前的失业率统计中也没有包括500万下岗职工,如果以后“下岗”和“失业”合并计算,失业率的数字就将更高。

  新华社报道,2006年中国官方的失业率数字大约在4.6%以内,大学毕业生的就业率从2003年的83%下降到2005年的72.6%。

  大学毕业生就业的压力形成了“啃老族”和“校漂”现象的出现,前者指没有就业能力,依靠父母过活的年轻人;后者指活动在校园内,居住在校外的出租屋,考不上研究所又找不到工作的毕业生。

  根据一项针对北京、上海、广州、武汉等地的10所重点和普通高校110个毕业班所作的调查统计,重点高校的“校漂族”约占毕业生5%,普通高校的“校漂族”约占10%。教育部统计2004年高校毕业生人数达280万,以此数字推算,再加上前几年还继续“漂”在学校的人,保守估计已达到几十万人。

廣告
  语言表达的方式——说话,我想有三种:第一种是说真话;第二种是不说话;第三种是说假话。

  说真话是大家都欢迎的,但说真话也要讲究方式。创造一个让大家能说真话的环境和氛围是重要的前提。不让别人说话,剥夺别人说话的权利都是非常可怕的事情,许多战争以及不和谐的根源都是因为没有很好地交流和沟通而产生了误解。目前,在已经有这样好的环境和技术手段的前提下,如何表达自己的观点,如何去说话,如何去倾听别人说话成了我们每个人都要注意的问题。通过说话去表达自己的观点是沟通和交流的良好方式,但如果每一次的观点表达和说话都变成吵架和不团结的根源,那就要看看说话的方式是不是出了问题。巴哈欧拉认为要让沟通有效,最重要的是磋商。磋商首先是说出自己的观点,这时就再也不要把自己的观点看成是你自己的私有财产,也不必为了自己的观点对错争得你死我活。如果在磋商的过程中,如果因为有面子,因为个人尊严的问题,把自己的观点死死地看成是自己的私有财产,甚至比财产更重要,那事情一定会变得更可怕,更糟糕,就一定会进入为了说话而说话,为了争论而争论的误区,就会忘记表达和说话的目的,忘记讨论、交流、磋商是为了接近真理和接近真实。所以,讲真话固然重要,但在讲真话的过程中能够有这种磋商的精神和文化,才能避免交流中引起不和谐和不团结,甚至战争。其实在语言的表达过程中,最重要的是两条:一是真诚的态度,二是磋商的精神。其中真诚的态度是前提,如果没有真诚的态度,任何讲话的技巧最终都会是花言巧语。

  还有一种方式就是不说话。一般情况下,不说话可能是因为说话的权利被人剥夺了,这种事在历史上经常发生。为了某些原因,有时会让一批人不说话,有时会让让一个人不说话,最极端的让人不说话的例子就是割掉他(她)的舌头,这虽然对他人的肉体造成了伤害,但对一个人的精神成长我想并不会有多大影响,因为问题不在于不说话的人,而在于那些强制别人不说话的人。还有一种不说话的情况就是自己还想不明白,想不清楚,所以先听别人说,听别人的意见而自己不说。我认为这是一种很好的习惯:“少用嘴,多用耳朵,多用脑子。”与之相反的,有些人讲话没完没了,一分钟也停不下来,这种人大家都叫他“话痨”,“痨”就是一种病,这种人的多话其实就是一种病态的反应。最后一种不说话的情况就是用沉默来对抗,来表示自己的不满,此处无声胜有声,是一种无声的反抗。其实,这种方式是不利于团结的,也不利于交流的,是一种富有战斗性的对抗的作法,对解决问题和自己的成长没有任何的好处,因为在沉默中,仇恨只会越来越深,怨气只会越来越大,自己的心也会越来越扭曲。

  第三种就是说假话。这是最要不得的,这将会把你的灵魂打入十八层地狱,是精神堕落的开始。说假话就是不诚实,一个不诚实的人,他所有的努力、贡献、成绩都将无从谈起,因为他失去了被信任的基础。这和目前提倡的“荣辱观”也是相符的,荣辱观已把不诚实列为耻辱的范围了。在人类历史上所有的宗教信仰都把诚实作为对信仰者的一个最基本的要求。托尔斯泰在他晚年时曾说,他一生都在寻找打开人们灵魂的钥匙,最后他发现这把钥匙就在被关押在土耳其的一位波斯囚犯的手中,这位囚犯的名字叫巴哈欧拉。当然今天这块土地已经不属于土耳其管辖,属于以色列了。巴哈欧拉提出的第一条信念就是“诚实是一切美德的基础”,他还认为人的精神和美德是在不断地成长的。托尔斯泰也曾说:“人类被赋予了一种工作,那就是精神的成长。”

  人说假话的背景常常是感到自己的弱小,或是在压力下言不由衷,或是想骗取一些什么东西。但说假话只能让自己变得更加渺小,尤其是自己的精神,想得到的东西也会得不到或者得到最终也将会失去。有多少想当官的人想得发疯,想要当大官,往往这种人很难当上官,即使当上了也当不好,不久就会下台,也许下来的方式会更惨。也有一些财迷想发财想得睡不着觉,而往往这些人很难掌握巨额的财富。世界上最富有的人,像比尔盖茨、巴菲特掌握的财富占世界GDP的百分之好几,但他们绝对不是爱财如命的人。

  昨天晚上与一同行一起吃晚饭,他说他要对某些事情说一些拍马屁的话。我跟他说:“那就别说了吧!何必在压力下说出些言不由衷的假话,这也不是你一贯的风格,别人也会看出来的。相反,也会让被你拍马屁的人和旁人小瞧你。”

  我估计最近有些同行有一半的时间在传播着各种各样的谣言和无聊的小道消息,这些都是说假话和传播假话。传得最多的一类是关于“70/90”的政策,什么出台的背景,谁对谁如何说的,细则会如何定,细则出台的内幕等等;另一类就是谁谁谁又被抓了。只要你上厕所或者泡热水澡的一会儿功夫没有接电话,你被抓的消息就会以“电”的速度通过手机四处传播,而且越传播越离奇,越传越具体,越传越有细节。等你泡完热水澡后,一大堆的版本就已经在社会上流传了,等你再打电话回去时,他自己也吓了一跳:“你还没有被抓?刚才打电话怎么没人接?”所以,在这“非常时期”,电话也要永远要保持在线的状态。而这“非常时期”其实都是自己吓唬自己想象出来的。沉浸在假话和谣言这种非常负面的环境,也没有心思去盖房子,这种状态实在是害人害已。

  我自己提醒自己:少说,多听,要说就说真话,而且说真话时要有磋商的精神。

  关于概念:

  系统资源(System Resource)和内在并不是同一个概念。

  三个User资源堆分别是:16位的用户堆(User Heap,64KB);32位的窗口堆(Windows Heap,2MB);32位的用户菜单堆(User Menu Heap,2MB)。

  两个GDI资源堆分别是:16位的GDI堆(GDI Heap,64KB);32位的GDI堆(GDI,2MB)。

  从这里的系统资源分类和大小我们应该明白,不管CPU是P4还是486,内存是8M还是1G,所有Windows的用户都拥有同样大小的系统资源(堆),用户不能自己增加或减少系统资源的大小,这是由操作系统决定的,与硬件档次没有任何关系。

  问题原因:

  在Windows中每运行一个程序,系统资源就会减少。有的程序会消耗大量的系统资源,即使把资源关闭,在内存中还是有一些没有的DLL文件在运行,这样就便得系统的运行速度下降,甚至出现上述问题。

  解决办法:

  我们可以通过修改注册表键值的方法,使关闭软件后自动清除内存中没用的DLL文件及时收回消耗的系统资源。打开注册表编辑器,找到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionexplorer"为主键,在右过窗中单击右键,新建一个名这“AlwaysUnloadDII“的“字符串值“,然后将“AlwaysUnloadDII“的键值修改为“1“,退出注册表重新启动机器即可达到目的。

  DoS攻击、DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Denial of Service的简写就是拒绝服务,而DDoS就是Distributed Denial of Service的简写就是分布式拒绝服务,而DRDoS就是Distributed Reflection Denial of Service的简写,这是分布反射式拒绝服务的意思。

  不过这3中攻击方法最厉害的还是DDoS,那个DRDoS攻击虽然是新近出的一种攻击方法,但它只是DDoS攻击的变形,它的唯一不同就是不用占领大量的“肉鸡”。这三种方法都是利用TCP三次握手的漏洞进行攻击的,所以对它们的防御办法都是差不多的。

  DoS攻击是最早出现的,它的攻击方法说白了就是单挑,是比谁的机器性能好、速度快。但是现在的科技飞速发展,一般的网站主机都有十几台主机,而且各个主机的处理能力、内存大小和网络速度都有飞速的发展,有的网络带宽甚至超过了千兆级别。这样我们的一对一单挑式攻击就没有什么作用了,搞不好自己的机子就会死掉。举个这样的攻击例子,假如你的机器每秒能够发送10个攻击用的数据包,而被你攻击的机器(性能、网络带宽都是顶尖的)每秒能够接受并处理100攻击数据包,那样的话,你的攻击就什么用处都没有了,而且非常有死机的可能。要知道,你若是发送这种1Vs1的攻击,你的机器的CPU占用率是90%以上的,你的机器要是配置不够高的话,那你就死定了。

图-01

  不过,科技在发展,黑客的技术也在发展。正所谓道高一尺,魔高一仗。经过无数次当机,黑客们终于又找到一种新的DoS攻击方法,这就是DDoS攻击。它的原理说白了就是群殴,用好多的机器对目标机器一起发动DoS攻击,但这不是很多黑客一起参与的,这种攻击只是由一名黑客来操作的。这名黑客不是拥有很多机器,他是通过他的机器在网络上占领很多的“肉鸡”,并且控制这些“肉鸡”来发动DDoS攻击,要不然怎么叫做分布式呢。还是刚才的那个例子,你的机器每秒能发送10攻击数据包,而被攻击的机器每秒能够接受100的数据包,这样你的攻击肯定不会起作用,而你再用10台或更多的机器来对被攻击目标的机器进行攻击的话,嘿嘿!结果我就不说了。

图-02

  DRDoS分布反射式拒绝服务攻击这是DDoS攻击的变形,它与DDoS的不同之处就是DrDoS不需要在攻击之前占领大量的“肉鸡”。它的攻击原理和Smurf攻击原理相近,不过DRDoS是可以在广域网上进行的,而Smurf攻击是在局域网进行的。它的作用原理是基于广播地址与回应请求的。一台计算机向另一台计算机发送一些特殊的数据包如ping请求时,会接到它的回应;如果向本网络的广播地址发送请求包,实际上会到达网络上所有的计算机,这时就会得到所有计算机的回应。这些回应是需要被接收的计算机处理的,每处理一个就要占用一份系统资源,如果同时接到网络上所有计算机的回应,接收方的系统是有可能吃不消的,就象遭到了DDoS攻击一样。不过是没有人笨到自己攻击自己,不过这种方法被黑客加以改进就具有很大的威力了。黑客向广播地址发送请求包,所有的计算机得到请求后,却不会把回应发到黑客那里,而是发到被攻击主机。这是因为黑客冒充了被攻击主机。黑客发送请求包所用的软件是可以伪造源地址的,接到伪造数据包的主机会根据源地址把回应发出去,这当然就是被攻击主机的地址。黑客同时还会把发送请求包的时间间隔减小,这样在短时间能发出大量的请求包,使被攻击主机接到从被欺骗计算机那里传来的洪水般的回应,就像遭到了DDoS攻击导致系统崩溃。骇客借助了网络中所有计算机来攻击受害者,而不需要事先去占领这些被欺骗的主机,这就是Smurf攻击。而DRDoS攻击正是这个原理,黑客同样利用特殊的发包工具,首先把伪造了源地址的SYN连接请求包发送到那些被欺骗的计算机上,根据TCP三次握手的规则,这些计算机会向源IP发出SYN+ACK或RST包来响应这个请求。同Smurf攻击一样,黑客所发送的请求包的源IP地址是被攻击主机的地址,这样受欺骗的主机就都会把回应发到被攻击主机处,造成被攻击主机忙于处理这些回应而瘫痪。

图-03

  解释:

  SYN:(Synchronize sequence numbers)用来建立连接,在连接请求中,SYN=1,ACK=0,连接响应时,SYN=1,ACK=1。即,SYN和ACK来区分Connection Request和Connection Accepted。

  RST:(Reset the connection)用于复位因某种原因引起出现的错误连接,也用来拒绝非法数据和请求。如果接收到RST位时候,通常发生了某些错误。

  ACK:(Acknowledgment field significant)置1时表示确认号(Acknowledgment Number)为合法,为0的时候表示数据段不包含确认信息,确认号被忽略。

  TCP三次握手:

图-04

  假设我们要准备建立连接,服务器正处于正常的接听状态。

  第一步:我们也就是客户端发送一个带SYN位的请求,向服务器表示需要连接,假设请求包的序列号为10,那么则为:SYN=10,ACK=0,然后等待服务器的回应。

  第二步:服务器接收到这样的请求包后,查看是否在接听的是指定的端口,如果不是就发送RST=1回应,拒绝建立连接。如果接收请求包,那么服务器发送确认回应,SYN为服务器的一个内码,假设为100,ACK位则是客户端的请求序号加1,本例中发送的数据是:SYN=100,ACK=11,用这样的数据回应给我们。向我们表示,服务器连接已经准备好了,等待我们的确认。这时我们接收到回应后,分析得到的信息,准备发送确认连接信号到服务器。

  第三步:我们发送确认建立连接的信息给服务器。确认信息的SYN位是服务器发送的ACK位,ACK位是服务器发送的SYN位加1。即:SYN=11,ACK=101。

  这样我们的连接就建立起来了。

  DDoS究竟如何攻击?目前最流行也是最好用的攻击方法就是使用SYN-Flood进行攻击,SYN-Flood也就是SYN洪水攻击。SYN-Flood不会完成TCP三次握手的第三步,也就是不发送确认连接的信息给服务器。这样,服务器无法完成第三次握手,但服务器不会立即放弃,服务器会不停的重试并等待一定的时间后放弃这个未完成的连接,这段时间叫做SYN timeout,这段时间大约30秒-2分钟左右。若是一个用户在连接时出现问题导致服务器的一个线程等待1分钟并不是什么大不了的问题,但是若有人用特殊的软件大量模拟这种情况,那后果就可想而知了。一个服务器若是处理这些大量的半连接信息而消耗大量的系统资源和网络带宽,这样服务器就不会再有空余去处理普通用户的正常请求(因为客户的正常请求比率很小)。这样这个服务器就无法工作了,这种攻击就叫做:SYN-Flood攻击。

  到目前为止,进行DDoS攻击的防御还是比较困难的。首先,这种攻击的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDoS攻击。不过这不等于我们就没有办法阻挡DDoS攻击,我们可以尽力来减少DDoS的攻击。下面就是一些防御方法:

  1。确保服务器的系统文件是最新的版本,并及时更新系统补丁。

  2。关闭不必要的服务。

  3。限制同时打开的SYN半连接数目。

  4。缩短SYN半连接的time out 时间。

  5。正确设置防火墙

  禁止对主机的非开放服务的访问

  限制特定IP地址的访问

  启用防火墙的防DDoS的属性

  严格限制对外开放的服务器的向外访问

  运行端口映射程序祸端口扫描程序,要认真检查特权端口和非特权端口。

  6。认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击。

  7。限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会,主机的信息暴露给黑客,无疑是给了对方入侵的机会。

  8。路由器

  以Cisco路由器为例

  Cisco Express Forwarding(CEF)

  使用 unicast reverse-path

  访问控制列表(ACL)过滤

  设置SYN数据包流量速率

  升级版本过低的ISO

  为路由器建立log server