这种不是一般的 BGP leak，因为如果是路由泄漏不会只泄漏 443 而 80，ICMP 都正常。应该是在骨干路由器上做的 PBR 仅把 443 端口给劫持了。

能做到七层精准劫持的一定不是那么简单。

5Ghz 速度对信号衰减比较敏感，试试在路由器旁边测试。

朝鲜用的还是免费的 Let's Encrypt 证书，666。

不需要传两遍。实际上很多网站注册或者找回密码都不需要再次确认了，密码输错的毕竟比较低，这样体验反而更好。

不担心，对方使用一个通过 WebTrust 审计 CA 来 MITM 代价太高，只要被人发现直接贴出证书就 gg 了。再加上现在签证书都有 Certificate Transparency 日志更是跑不掉。

只有 DV，没有 EV，没有 OV，没有 SLA，没有售后。

90 天这个真的不能算是缺陷，实际上考虑域名会过期以及 key 需要经常更换反而更安全。君不见 Google 自己给自己签的也都是 90 天的证书。自动化续约即可。

@GeruzoniAnsasu 没看懂你这个比喻是想说明什么，TCP 的 socket API 默认就是阻塞的，你从里面读 x 字节系统在收到 x 字节之前也是不会返回的。这跟读文件流有什么区别？要不怎么 BSD socket 的 API 跟读写文件的都是兼容的呢，否则不如全部重新设计一套。

@sgissb1 你确定面试官不是在给你设套

@lance6716 两个都是伪命题

其实这个问题很好理解，TCP 的设计就是一个类似文件流的读写行为，只是底层用的传输方式 IP 是基于包交换的，这是一种实现细节跟 TCP 想要达到的效果无关。

类比一下，系统读写磁盘也是基于块的，为什么没有人读写文件的时候抱怨过有“粘块”的问题？把 TCP 当作文件读写来对待就 ok 了。思维方式需要改变。

@BBCCBB 业务自己不做分包解包怎么保证发出来的是一个一个的包？更别说接收了。这说明业务根本就不懂流式协议是怎么用的。

或者要是自己实在是不会设计，用个 WebSocket 之类的已经封装好的协议也行啊。

粘包本身就是伪命题，讨论这个毫无意义。

家宽国际访问没有 SLA，说白了还是给的钱不够。

脚本测试有效，另外提醒一下楼上的朋友用之前改一下手机号，否则宽带帐号，IP 会泄漏：

```
isSpeedup
{"result":{"id":528767,"createDate":"2020-02-27 10:33:21","modifyDate":1582770801000,"userid":1535680,"dialacct":"12287427554","sphour":168.0,"ticketid":null,"ip":"49.85.239.148:50903","remotePort":"50904","basicRateDown":"50.0","basicRateUp":"0","maxLinerateDown":"200","maxLinerateUp":"30","createTime":"2020-02-27 10:33:20","endTime":"2020-03-05 10:33:20","province":"bj","ruleid":279,"remark":null,"provinceByPh":"北京","cityByPh":"北京","phone":"18900000000","couponid":null,"channel":"2020XYFREE"},"state":0,"message":"正在提速"}
```

其实问题在于大家经常把 BGP peering 和网络之间 interconnect 的 peering 混为一谈。

Peering 双方属于互利关系，互相不收钱，但是只能发目标是对方网络的流量。
Transit 是要钱的，但是可以通过对方网络来访问别的网络。

Peering 和 Transit 都需要跟对方 BGP Peering，但是有 BGP Peering 并不能一定看不出来是 Peering 还是 Transit。

Wikipedia 说：

> A Tier 1 network is an Internet Protocol (IP) network that can reach every other network on the Internet solely via settlement-free interconnection (also known as settlement-free peering).

也就是说不是只要跟所有的 Tier 1 有 BGP peer 就行，而是要不买任何 transit。我如果跟所有的 T1 都有 BGP 但是是花钱买的 transit 那也显然不能算是 T1。

所以你需要能跟所有的 Tier 1 网络免费 peer 才可以被认为是 Tier 1 ISP。

@liyaojian speedtest.net 安徽电信自己的节点

安徽电信已经成功，变成了 200 下 30 上。

也不一定吧，电信自己 IDC 也是要收服务商钱的，如果移动访问电信 IDC 的流量多了电信还不是能照样多赚钱，从这个角度上来说限制移动自己也不见得就有这么大的好处。

感觉倒是可能让 BGP 机房这种的吸引力下降。毕竟以后可能移动访问电信的机房资源也不会比访问移动自己的慢多少。

不过政策这种东西还是得看实际执行的效果。

这跟 Origin CA 有什么关系。。客户端看到的免费证书只是 SAN 有你的域名，CN 就是 sni.cloudflaressl.com 没问题。