Lalphbet-CSDN博客

原创利用tcpip堆栈处理不同判断远程操作系统. ..

近年来，网络安全评估软件逐渐被网络安全界所接收，而且在很大的范围内快速地传播起来。远程操作系统探测作为评估软件的一个部分，必须具备几个条件： - 精确性：避免错误的探测结果； - 防火墙和入侵检测系统的影响：避免影响（或被影响于）防火墙和入侵检测系统； - 文雅：低的网络流通和无危险分段； - 灵巧：易于扩展标识数据库和自动探

2004-12-29 14:52:00 1456 1

原创利用TCP/IP堆栈进行远程操作系统判别的方法

利用TCP/IP堆栈进行远程操作系统判别的方法正确识别一个操作系统的类型在网络安全领域的重要性想必大家都是明白的。传统的技术传统的判别操作系统的技术是通过直接登陆主机的办法来识别的。比如： myhost~> telnet hpux.server1.net Trying 123.123.123.123.... Connected to hpux.server1.net. Esc

2004-12-29 14:50:00 1143

最近对SYN Flood特别感兴趣，看到一个关于SYN cookie firewall的文章，在google搜了一下，没中文的，翻译他一下 ####################################在翻译过程中，感谢Shotgun的热心帮助######################################### 原文在：http://www.bronzesoft.org/p

2004-12-23 11:06:00 1093

原创 SYN攻击的基本原理、工具及检测方法以及防范技术

作者:宋振锋发布时间:2004-02-03 --------------------------------------------------------------------- http://www.ntnet110.gov.cn/netsecs/viewNecs.jsp?necsid=76据统计，在所有黑客攻击事件中，SYN攻击是最常见又最容易被利用的一种攻击手法。相信很多人还记得200

2004-12-23 11:00:00 3028

原创关于iptables

同一台机器，eth0-->eth1 这个在iptables里也算是forward链...在加载iptable_nat的模块之后..顺便把ip_conntrack也一起带进了内核...然后/proc/net/ip_conntrack疯涨,怕网关当机,就rmmod iptable_nat啦,结果还是疯涨...于是...rmmod ip_conntrack,一切正常...注意在设置iptables 某个

2004-12-22 19:25:00 1117

原创在Linux路由上使用mac与ip绑定...

如何在Linux路由上设置IP和MAC绑定===================================================用心制作文章系统 http://www.usingdo.net/usingdonews/=================================================== 在有些系统中有这样的需求，希望内部网中的某几个IP地址

2004-12-21 15:27:00 1249

原创 Firewall的untrust口filter表的脚本...hoho...

凑合着用吧,抽空完善，还需要弄点脚本处理病毒#/bin/bash ##Description: the scripts is used to detect internal network#1 Define interfaceIXP1="222.a.a.a"IXP0="222.b.b.b"#2 insert modules#modprobe ip_tables#modprobe iptab

2004-12-20 16:29:00 1020

原创 hping2的使用方法. ..后边再添加其他工具...

Hping2---网络探测工具　　工具名称：Hping2　　应用环境：Linux 　　工具介绍：hping是一个基于命令行的TCP/IP工具，它在UNIX上得到很好的应用，不过它并非仅仅一个ICMP请求/响应工具，它还支持TCP、UDP、ICMP；RAW-IP协议，以及一个路由模型HPING一直被用作安全工具，可以用来测试网络及主机的安全，它有以下功能：　　1.防火墙探测（通过pi

2004-11-24 11:48:00 6285

原创 proc/slabinfo - Kernel slab allocator statistics

DESCRIPTIONFrequently used objects in the Linux kernel (buffer heads, inodes, dentries, etc.) have their own cache. The file /proc/slabinfo gives statistics. For example: % cat /proc/slabinfo

2004-11-24 09:37:00 2054

原创 Linux下缓冲区溢出攻击的原理及对策

前言从逻辑上讲进程的堆栈是由多个堆栈帧构成的，其中每个堆栈帧都对应一个函数调用。当函数调用发生时，新的堆栈帧被压入堆栈；当函数返回时，相应的堆栈帧从堆栈中弹出。尽管堆栈帧结构的引入为在高级语言中实现函数或过程这样的概念提供了直接的硬件支持，但是由于将函数返回地址这样的重要数据保存在程序员可见的堆栈中，因此也给系统安全带来了极大的隐患。历史上最著名的缓冲区溢出攻击可能要算是1988年11月2

2004-11-14 16:56:00 10151 1

原创 UNIX下的缓冲区溢出深度防御体系

谈及防御之前 ------------ 首先简要回顾一下缓冲区溢出的攻击大系： ◆栈溢出（stack smashing）未检查输入缓冲区长度，导致数组越界，覆盖栈中局部变量空间之上的栈桢指针%ebp以及函数返回地址retaddr, 当函数返回执行ret指令时，retaddr从栈中弹出，作为下一条指令的地址赋给%eip寄存器，继而改变原程序的执行流程指向我们的shellcode. ◆堆溢出（ma

2004-11-14 16:20:00 1134

原创 Linux Netfilter实现机制和扩展技术

2.4.x的内核相对于2.2.x在IP协议栈部分有比较大的改动， Netfilter-iptables更是其一大特色，由于它功能强大，并且与内核完美结合，因此迅速成为Linux平台下进行网络应用扩展的主要利器，这些扩展不仅包括防火墙的实现--这只是Netfilter-iptables的基本功能--还包括各种报文处理工作（如报文加密、报文分类统计等），甚至还可以借助Netfilter

2004-11-14 12:53:00 1158

原创 netfilter：Linux 防火墙在内核中的实现

netfilter 和 Linux 防火墙介绍Linux 的防火墙技术经历了若干代的沿革，一步步的发展而来。最开始的 ipfwadm 是 Alan Cox 在 Linux kernel 发展的初期，从 FreeBSD 的内核代码中移植过来的。后来经历了 ipchains，再经由 Paul Russell 在 Linux kernel 2.3 系列的开发过程中发展了 netfilter 这个架构

2004-11-14 12:51:00 974

原创 Linux下一种 ELF 文件的代码签名验证机制

1 引言随着 Linux 的不断发展，已有越来越多的人开始推广和使用 Linux，其安全性也受到越来越多的挑战。ELF（Executable and Linkable Format）[1]作为 Linux 下最主要的可执行二进制文件格式，自然成了病毒及各种恶意代码的攻击目标。事实证明，有不少Linux下的病毒程序就是通过直接修改ELF文件的方法来实现入侵的[10]。传统的Unix系统（包括Linu

2004-11-14 01:13:00 1721

原创 Linux 汇编语言开发指南

内容：一、简介二、Linux 汇编语法格式三、Hello World!四、Linux 汇编工具五、系统调用六、命令行参数七、GCC 内联汇编八、小结九、参考资料关于作者相关内容：介

2004-11-14 01:11:00 1181

原创 Intel平台下linux中ELF文件动态链接的加载、解析及实例分析（二）: 函数解析与卸载

相信读者已经看过了Intel平台下Linux中ELF文件动态链接的加载、解析及实例分析（一）: 加载的内容了，了解了ELF文件被加载的时候所经历的一般过程。那我们现在就来解决在上一篇文章的最后所提到的那几个问题，以及那些在dl_open_worker中没有讲解的代码。一、_dl_map_object_deps 函数分析由于源代码过分的冗长，并且由于效率的考虑，使原本很简单的代码变成了一件

2004-11-14 01:08:00 1535

原创 Intel平台下Linux中ELF文件动态链接的加载、解析及实例分析（一）: 加载

动态链接，一个经常被人提起的话题。但在这方面很少有文章来阐明这个重要的软件运行机制，只有一些关于动态链接库编程的文章。本系列文章就是要从动态链接库源代码的层次来探讨这个问题。当然从文章的题目就可以看出，intel平台下的linux ELF文件的动态链接。一则是因为这一方面的资料查找比较方便，二则也是这个讨论的意思比其它的动态链接要更为重要（毕竟现在是intel的天下）。当然，有了这么一个例子，

2004-11-14 01:07:00 2040

原创 /proc文件系统...

什么是proc文件系统 proc文件系统是一个伪文件系统，它只存在内存当中，而不占用外存空间。它以文件系统的方式为访问系统内核数据的操作提供接口。用户和应用程序可以通过proc得到系统的信息，并可以改变内核的某些参数。由于系统的信息，如进程，是动态改变的，所以用户或应用程序读取proc文件时，proc文件系统是动态从系统内核读出所需信息并提交的。它的目录结构如下：目录名称目录内容 apm 高

2004-11-07 21:07:00 982 3

原创什么是chroot

什么是CHROOT？ [email protected] (2001-04-16 13:51:59) * 什麼是CHROOT？ CHROOT就是Change Root，也就是改變程式執行時所參考的根目錄位置。一般的目錄架構： / /bin /sbin /usr/bin /home CHROOT的目錄架構： /hell/ /hell/bin /hell/usr/bin /hel

2004-11-07 21:01:00 1109

原创关于GRE封装...

GRE——通用路由封装　----GRE在RFC1701/RFC1702中定义，它规定了怎样用一种网络层协议去封装另一种网络层协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义，它允许用户使用IP封装IP、IPX、AppleTalk，并支持全部的路由协议如RIP、OSPF、IGRP、EIGRP。通过GRE，用户可以利用公共IP网络连接IPX网络、AppleTalk网络，还

2004-11-07 14:00:00 3737

原创什么是微内核...

操作系统“代”的划分（P235） * 操作系统有三代 1.无序模块结构：模块之间直接相互调用，不分层次，形成网状调用模式。 2.层次结构：把系统程序按照功能分成若干基本模块，再根据其作用和相互关联分别划归不同的层次。 3.微内核结构：核心态下运行的内核采用层次结构并构成了基本操作系统。用户态下运行的以客户/服务器方式活

2004-11-07 13:54:00 2353 1

原创 ARP协议揭密

1 ARP协议概述IP数据包常通过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。因此，IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射，常常需要查看一张表。地址解析协议(Address Resolution Protocol，ARP)就是用来确定这些映象的协议。ARP工作时，送出一个含有所希望的IP

2004-11-01 11:14:00 872

原创今天操作Cisco的日志...

也不知是对是错... 我要做个SNAT，把169.254.1.5转换成192.168.39.166notebook---->cisco router---->switch---->公司网络其中笔记本ip为169.254.1.5,cisco fast为192.168.39.50,eth0为169.254.1.1SNAT：将169.254.1.5在经过router的时候转换成192.168.39.16

2004-10-26 11:54:00 1189

原创 Cisco路由器的nat设置...

NAT(Network Address Translation)功能配置随着internet的网络以爆炸性的速度膨胀，IP地址短缺及路由规模越来越大已成为一个相当严重的问题。为了解决这个问题，出现了多种解决方案。一种在目前网络环境中比较有效的方法即地址转换(NAT)功能。所谓的地址转换，即NAT功能，就是指在一个组织网络内部，根据需要可以随意自定义的IP地址（不需要经过申请）即假的IP地址。在

2004-10-26 10:49:00 2504

原创 Unix上的PAM

PAM最初是集成在Solaris中，目前已移植到其它系统中，如Linux、SunOS、HP-UX 9.0等。一、PAM的结构 PAM的整个框架结构如下图所示：系统管理员通过PAM配置文件来制定认证策略，即指定什么服务该采用什么样的认证方法；应用程序开发者通过在服务程序中使用PAM API而实现对认证方法的调用；而PAM服务模块（se rvice module）的开发者则利用PAM SPI（S

2004-10-26 10:15:00 1417 1

原创除錯程式: gdb

對程式設計師而言, 最簡單方便的除錯程式就是列印指令/函數 -- 如果你的程式執行結果與預期不符, 就將中間計算過程一路印出。但這並不方便。例如某個迴圈可能在第一百萬零七十三次才出錯, 這當中印出來的 debug 資料可能多到令人頭昏。這時候你需要一個工具, 讓你可以一邊執行你的程式, 一邊視需要將它停下來觀察當中某些變數的變化。如果發現問題不在此處, 還可以叫它繼續執行。執行到一半,

2004-10-25 14:29:00 975

原创缓冲区溢出笔记之---STACK溢出

i.预备知识ii.溢出原理演示iii.三种常用溢出方法演示及实例分析本来预备讲的东西很多,后来由于篇幅过长原因,所以其他一些内容就没有再讲了,比如与环境变量传递的BUF有关的溢出(通过setenv(),putenv()等函数传递环境变量到BUF),以及一些实例分析.这篇是我在学习BUFFER OVERFLOW过程中的一些心得,算是一个总结,同时也希望能帮助那些需要的朋友们.1.预备知识由于篇幅问题

2004-10-25 14:25:00 1247

原创 GCC常用命令描述

unix下开发常用的编译工具gcc,我对于gcc的了解知道的很少，一般用到的也就是gcc -o xx xx.cpp 今天翻了一下gnu的gcc manual 花了点时间总结了一下, 给大家分享一下！呵呵，希望对大家有帮助. 这里介绍一下gcc的常用命令选项(可以参考gnu gcc manual). 1. gcc 支持的语言. GCC 全称是GNU Compiler Collection ,包含一

2004-10-25 14:19:00 968

原创 lsm介绍--->保存资料---->转自ibm

如何增强Linux系统的安全性，第一部分： Linux 安全模块（LSM）简介内容：相关背景介绍：为什么和是什么设计思想介绍：得让两方面都满意实现方法介绍：对Linux内核的修改接口说明：给内核开发人员和安全研究人员使用的钩子模块

2004-10-20 14:47:00 879 1

原创关于如何计算子网掩码和广播地址的问题的一个例子

题目：如果某单位拥有100台计算机和一个C类注册IP地址段：218.102.142.0，其内网（LAN）需要进一步划分为两个子网，每个子网分别有40台和60台计算机，要求:(1)试规定子网掩码;(2)假设内网中的某两台计算机的IP地址分别是: 218.102.142.7和218.102.142.219,试分别推算这两台计算机的所属的子网地址和广播地址，并说明它们是否在同一个子网中。

2004-10-19 13:54:00 2064

原创 vrrp简介...

随着Internet的迅猛发展，基于网络的应用逐渐增多。这就对网络的可靠性提出了越来越高的要求。斥资对所有网络设备进行更新当然是一种很好的可靠性解决方案；但本着保护现有投资的角度考虑，可以采用廉价冗余的思路，在可靠性和经济性方面找到平衡点。　　虚拟路由冗余协议就是一种很好的解决方案。在该协议中，对共享多存取访问介质（如以太网）上终端IP设备的默认网关(Default Gateway)进行冗余备份

2004-10-19 10:46:00 1354

原创 NAT的原理及其注意事项

IP地址耗尽促成了CIDR的开发，但CIDR开发的主要目的是为了有效的使用现有的internet地址。而同时根据RFC 1631（IP Network Address Translator）开发的NAT却可以在多重的internet子网中使用相同的IP，用来减少注册IP地址的使用。 NAT技术使得一个私有网络可以通过internet注册IP连接到外部世界，位于inside网络和outside网

2004-10-14 09:59:00 683

原创 Linux环境下基于策略的路由 2.2内核

By 处处原文作者：Matthew G. Marsh原文出处：http://www.sysadminmag.com/linux/articles/v09/i01/a3.htm编译：ideal　　目前在计算机网络中使用的传统路由算法都是根据IP包目的地址进行路由选择.然而在现实应用中经常有这样的需求：进行路由选择时不仅仅根据数据报的目的地址，而且根据数据报的其他一些特性如

2004-10-08 11:30:00 942

原创我的学习笔记(2) Iptables篇

主要还看用得着的，用不着的就不用看了...按照默认的几个表顺序来...1 nat2 filter3 mangle

2004-10-08 11:15:00 830

原创 Telnet协议规范....

一般考虑一个TELNET连接是一个用于传输控制协议的传送数据的。TELNET 协议是建立在以下三个想法上的：首先是网络虚拟终端的概念；其次是对话选项的方法；最后是终端和处理的协调。　当一个TELNET连接被初次建立时，每一端都被假设使用了网络虚拟终端，也就是NVT。NVT是一个想象中的标准设备通用设备的代表。这就消除了“服务器”和“用户”机要了解对方机器终端的特点，而终端可以直接处理对话。所有的主

2004-10-08 08:56:00 855

原创 Telnet协议介绍...

1 基本内容　　　　Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议。应用Telnet协议能够把本地用户所使用的计算机变成远程主机系统的一个终端。它提供了三种基本服务：　　　　1）Telnet定义一个网络虚拟终端为远的系统提供一个标准接口。客户机程序不必详细了解远的系统，他们只需构造使用标准接口的程序；　　　　2）Telnet包括一个允许客户机和服务器协

2004-10-08 08:55:00 1319

原创我的学习笔记(1) ftp篇

学习笔记,从这里开始... ftp是工作在应用层上的程序,用于文件传输的Internet标准....ftp提供的文件传送是一个完整的文件从一个系统复制到另一个系统中....与telnet类似都是用于两台使用不同系统不同文件系统的主机，但telnet的异构性是强制两端统一，使用同一个标准:使用7比特ASCII码的NVT，而ftp是采用另一种办法来处理不同系统间的差异，ftp支持有限数量

2004-10-07 19:53:00 762

原创用源码包安装php-4.34+mysql-4.0.16+apache-2.0.48+vbb-2.32实践总结

操作环境：Fedora 1.0 core ，本文是讲如何用源码包安装php4.34+mysql4.0.16+apache-2.0.48，这些版本，目前都是最新最稳定的版本；本文只要是讲最简单的安装操作；也就是说让一个新手，能建一个支持由apache 来运行的简单的网站，并支持php和mysql ；一点说明：对于高手来说，可能这都是小儿科，所以这篇文章，对于高手来说，没有一点价值。因为对apache

2004-09-30 14:31:00 1083

原创 vim usr doc ---No.2---

Vim version 6.3. 最后修改：2004年6月 VIM用户手册－ Bram Moolenaar (译者：Nek_in http://vimcdoc.sf.net) Vim 初步本章提供足够的信息使你用够使用 Vim 来做基本的编辑。这里提供的方法不

2004-09-29 10:19:00 1154

原创 vim usr doc ---No.1---

USR_01*usr_01.txt* For Vim version 6.3. 最近更新: 2004年6月 VIM 用户手册 - 作者: Bram Moolenaar (译者：Nek_in http://vimcdoc.sf.net)

2004-09-29 10:18:00 934

空空如也

空空如也