等等，DNSSEC 的问题为啥要折腾这个转发？
你退回到 1.8 的版本试试。我记得 1.8 没有 DNSSEC 要求。

你既然放进教育话题里了：

教育：大家都是第一次做人，年长的人将会告诉你一些经验，让你明辨是非善恶，学会与人为善，遵守规则，融入社会。学习技能，发挥你的价值。

我们的教育：你要服从我，我告诉你怎么得分。

中国人的情商基本靠家长，而后就在走上社会以后慢慢锻炼。中间很长一段时间训练是缺失的。

高考和家庭决定了未来在社会上的起点。hummm ，至于你未来能走到哪里，那的确也和高考没什么关系。


不过我也想说，楼主，这不完全是您太太的问题。这年头奇奇怪怪的人挺多的。职场人心险恶。您太太可能还没适应。
她不是感觉要抑郁了，我觉得是已经抑郁了。你应该鼓励她换一个环境。
我说社会锻炼情商其实也不准确。有些人在痛苦以后锻炼出来了，有些人想开了，还有一些人可能就变得比较.......

我不知道您太太会不会和你分享她工作里的不愉快。您得多问问她，关心一下。
她可能是个要强的人，不要让她一个人扛着。san 掉到底人会坏掉的。

不要听什么”强者的孤傲，有错吗？“ 这是借口罢了。又不是强到不用混社会了...强者应该是能放下傲气的人。

我有个同学，能力也很好，做业务的，书看的很多，人多少有点自闭，一直和同龄人也处不来。毕业混了好几年，发现他和他公司某一派领导反而玩得不错。他现在他正在节节高升...

我也不是说就让您太太和领导玩...我是想说出路总还是有的。出国慎重，出去以后依旧不可能躲开这种问题。国外也有职场。

我相信您太太这么聪明的人应该有一天能行。

@bigbigeggs 其实我觉得你说的是很有趣的。不知道为什么现在人们戾气这么重。
这是很好的思考，这种质疑，是搞信息安全的素养。但是很明显基础知识不够。
然后结论说的比较武断了，防止重放是必要的。但是你说的这种方法的确不是好方法，你对它的质疑是正确的。
一般对抗重放都会引入随机和一次性。引入 Nonce 和速率限制可能是更有意义的做法。而不是用大家都知道的内容比如时间戳之类的 hash 得到 token 。
如果有 HTTPS 也不用特别担心中间人搞重放了。

话说你面试被问这个问题...你准备的这个答案可能就不好...

好几年前，有一个下雨天，我在外面骑电动车，等红灯发呆的时候一阵恍惚。
每个人都披着五颜六色的雨衣，像飞着的幽灵一样。一边飞，一边甩着路上的泥水。
空气里是泥土味和人们不耐烦地讲电话的声音。
穿过一个又一个明亮气派的房产中介和培训机构广告牌下，忙忙碌碌的他们没有人知道他们从哪里来，又要到哪里去。
最后一切都淹没在雨点敲打雨衣帽子的噼啪声里。

理解。
很无奈，如果你是为了活到明天，那么错不在你。环境如此。
但是如果有一天你有能力，也恳请不要忘记善良，对这个世界要抱一丝好的希望。
毕竟我们也曾经被善待过，哪怕一次。

黑客看到普通登录框，没验证码：先上 burp 爆破
黑客看到楼主登录框，没验证码：咦？这个 burp 好像跑不了。（看源码） md 这个人怎么实现登录都搞这么 xxx 复杂！不搞了! burp 关闭！

黑客看到 md5: 查查 cmd5 ，没有？字典跑跑。还没有？算了。(他甚至没注意你有没有加盐)
黑客看到 bcrypt: 字典跑跑(五分钟以后)admin123

楼主你的安全不是因为你 hash 方法牛逼防止拖库后被破解，
而是实现方法足够复杂直接让黑客从开始就放弃。
退敌于千里，治病于腠理。实在是高！

底下讨论：
有些人正在重新发明 TLS ，
有些人说一些有的没的，
只有 Chad0000 在努力证明楼主这样做不值得。

实话说，我也觉得没必要。但是想想也不是不行，理由如上。

唉...又要写很长了
看楼主刚刚入行安全，我这个没有入行的说一句：其实安全和方便（可用性）是要做 Trade-off 的。
这不算漏洞，这是一种灵活。WIFI 甚至允许你不上密码，完全开放。
你要说客户端怎么验证 AP 是否是正常的也有方案，有，就是 EAP-TLS 。这个就要验证 AP 的证书了。可以抵御 Evil Twin.
至于 uuid 那些，SSID 作用就类似 uuid 。但是 uuid 完全没有身份验证的能力。就算有设计，uuid 这种也是可以轻易伪造的。你想，域名是唯一的，如果能身份验证那 https 还要证书干嘛？

至于能不能从客户端骗密码，我说一个极度简化魔改的过程，你学信息安全的，你应该能看懂：
假设你是客户端，你要连 AP 。但是你怕 AP 是假的，怎么办呢？
1.首先让 AP 给你发一个随机数。
2.然后你计算哈希 sha(密码+随机数)。就像加盐一样。发回去。

如果 AP 是真的，它应该也能算出来一样的结果。如果是假的，那它也拿不到你的密码。
这就是一种零知识证明。只不过 WIFI 连接过程比上面这个复杂。

思考题：
上面这种方法能抵御中间人攻击吗？

我最近在写一篇博客，讲这种东西的。定位就是给程序员看的。这个例子我可能写进去。

大概率是假的。AES-CBC 只有密文的情况下 Key 和 IV 这个靠推理推不出来。
你要说他抓了一堆解密后的 https 包而后用 AI 分析流量找到明文 IV 和 Key 倒还有可能。

楼上有人说已知明文啊，可以获取马赛克啊什么的，这个确切的说是 ECB 加密模式的问题。

那么关于有没有(号称)AI 推理密码/解码的工具？有的。
https://github.com/Ciphey/Ciphey

但是这玩意儿并不是（也不可能）破解 AES 这种现代密码的。这个是用来识别和解码一些古典密码，编码，比如 rot ，多重 base 和有缺陷的 xor 之类的。

192.168.12.12 上面跑了什么服务？这样看 12.12 可能已经沦陷了。
赶快把 12.12 隔离开来重点分析 12.12 上面服务的日志吧，一步步理清楚发生了什么，如果还有日志的话。

楼上说的差不多了，我补一些。
一般学校不会要求你安装某些监控软件，不排除个别例外。
首先，大概原理是你们所有人的流量都会通过某个品牌的硬件防火墙，里面有行为管理系统。

HTTP 一清二楚。HTTPS 会知道你访问了什么域名，这个是 SNI 泄漏的。其他通信协议一样都会被分析。
比如说你使用了某些协议访问了什么。还有个别梯子协议也可以被识别。

比如你问的微博，微博通过 HTTPS ，但是域名会被上述问题泄漏从而知道这个是微博的流量，所以可以通过你微博帐号活跃的时间（比如你发帖时间）对比那个时间段正在使用校园网访问微博的校园网账户从而知道你是谁。这个过程不涉及破解。
同样的，也可以对比某条微博发送时间和那个时间段内的不明流量/境外流量来分析。一般人的流量都是微信 QQ 百度微博和某些视频站，而你翻的开心的时候就会有大量流量通向同一个奇怪的域名/IP 。从统计的角度很容易就能发现你在翻。

下载链接失效，谁补一下？我最近在研究逆向工程，想找个样本玩玩。

知道啊。
19 岁离家到异乡，事情做的不顺，和周围的人也有矛盾，打了一架，女朋友和别人跑了。
过了一阵子，我朋友来看我，给了我一支烟，事情早就过去了，唯独抽烟停不下来了。
尽管感觉体力下降了，偶尔胸腔疼，但是也没办法。没那么容易戒。电子烟试过，不是那个味。戒烟口香糖用过，没用。你说抽烟快乐吗？也没多快乐，就是不抽烟就难受。
烈酒喝不了，喜欢啤酒。有时候会惦记早点回家喝啤酒，算是一天比较开心的时候吧。

这被人上了 webshell ，你最好整个服务器都检查一下。一般是找到某个地方可以上传文件然后直接传了一个什么 php 文件上去，cms 过滤没做好，也可能是用了 RCE 。

可以的话去看看日志检查一下。反正这个 cms 毛病多。

最好有之前干净的源码，把配置文件和数据库检查一下是否干净，然后复制过来，连带 windows 整个系统重装。接下来：

1. 如果你用了什么 php 一键安装的什么环境包而且还开机自动启动，那会注册一个服务。如果一定要开机启动的话也给那个服务分配一个权限压很低的普通用户。不然 php 解释器权限默认是 nt system ，最高权限。想做什么都可以。
2. windows 运行 php 的用户的权限花时间设置一下，上传图片的地方不解析 php ，装 php 脚本的地方禁止写入文件。反正写入和运行权限不能并存。
3. 可以的话装个杀毒软件，打打补丁。目的是能查杀部分 webshell 和防止提权。
4. 后台选个稍微复杂一点的密码。因为后台功能多，出问题的概率大。

这样搞能避免绝大多数问题，在入侵的每一步上都设槛，不确保万无一失但是能把黑客心态搞崩。
黑客发现爆破后台密码半天，找到上传点能上传 php 马但也运行不了，就算能 RCE 没权限也做不了什么，想提权已经被打了补丁，搞不好提权工具和传的马还被杀软灭了。危害被控制在 cms 之内。

waf 有闲心可以装，但是可能会误拦你正常业务。谨慎。
最后，最好最好就不要用这个 cms 了。这个 cms 感觉都已经成了给学信安的人刷 cnvd 的了。

我水平不高，就提个个人喜好，生产环境是 Debian+docker ； PC 是 manjaro 。
前阵子有台服务器跑的 Deb 已经算是上古到 Deadsnakes 都不支持了，那就上 Docker 解决问题。
发行版都有老去的一天，依赖参差不齐的应用不可能都开心地跑在一个环境里。
发行版重要但是没有那么重要，这种场合你需要的可能是容器。

@jasonyang9 嘘，大概 LZ 是个老板，人家可以加钱排错。