网络及网络安全
文章平均质量分 89
chenyulancn
python、golang、c/c++、linux、虚拟化、大数据
展开
-
HTTP的长连接和短连接
一、什么是长连接 HTTP1.1规定了默认保持长连接(HTTP persistent connection ,也有翻译为持久连接),数据传输完成了保持TCP连接不断开(不发RST包、不四次握手),等待在同域名下继续用这个通道传输数据;相反的就是短连接。 HTTP首部的Connection: Keep-alive是HTTP1.0浏览器和服务器的实验性扩展,当前的HTTP1转载 2016-10-31 10:52:51 · 396 阅读 · 0 评论 -
FW/IDS/IPS/WAF等安全设备部署方式及优缺点
现在市场上的主流网络安全产品可以分为以下几个大类:1.基础防火墙FW/NGFW类 主要是可实现基本包过滤策略的防火墙,这类是有硬件处理、软件处理等,其主要功能实现是限制对IP:port的访问。基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略。FW可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。 FW部署位置一般为外联出口或者区域性出口位置,对内外流量进转载 2017-12-29 08:51:53 · 67270 阅读 · 3 评论 -
开源扫描仪的工具箱:安全行业从业人员自研开源扫描器合集
项目介绍Scanners-Box是来自github平台的开源扫描仪的集合,包括子域枚举,数据库漏洞扫描程序,弱密码或信息泄漏扫描仪,端口扫描仪,指纹扫描仪和其他大型扫描仪,模块化扫描仪等。对于其他众所周知的扫描工具,如:Nmap,w3af,brakeman将不会包含在收集范围内。安全行业从业人员常用工具指引,包括各类在线安全学习资料和安全检测工具,欢迎大家持续贡献!入门指南转载 2017-12-30 14:25:05 · 1172 阅读 · 0 评论 -
最好用的开源Web漏洞扫描工具梳理
赛门铁克2017年互联网安全威胁报告中提出在他们今年扫描的网站中,有76%都含有恶意软件。如果你在用WordPress,SUCURI的另一份报告也显示,超过70%的被扫描网站也都存在一个或多个漏洞。如果你刚好是某个网络应用程序的所有者,怎样才能保证你的网站是安全的、不会泄露敏感信息?如果是基于云的安全解决方案,那么可能只需要进行常规漏扫。但如果不是,我们就必须执行例行扫描,转载 2017-12-30 14:33:16 · 4963 阅读 · 0 评论 -
KDD CUP 1999数据集
KDD是数据挖掘与知识发现(Data Mining and Knowledge Discovery)的简称,KDD CUP是由ACM(Association for Computing Machiner)的 SIGKDD(Special Interest Group on Knowledge Discovery and Data Mining)组织的年度竞赛。竞赛主页在这里。下面是历届KD转载 2018-01-15 12:21:34 · 7454 阅读 · 0 评论 -
安全领域中的TTP是什么意思 结合APT-C1案例给大家讲讲三要素
在APT等 高级威胁 研究的领域,时常可以在各组织发布的 APT 报告中看到一个专业术语 TTP ,TTP及其中的三要素,战术Tactics、技术Techniques和过程Procedures,是描述高级威胁组织及其攻击的重要指标。TTP的概念最早来自于军事领域及反恐活动,随着在 信息安全 领域及 网络安全 领域的推广应用,其概念已经被多次误解。本文前半部分帮大家追根溯源,解释什么是TTP,后半部转载 2018-01-15 15:33:42 · 28697 阅读 · 1 评论 -
TRUNK
VLAN的作用是分割广播域,处于不同VLAN的端口在二层无法通信。两台交换机处于同一VLAN间的端口要想通信,需要用线连接起来。VLAN最多可以设定4000多个,两台交换机之间当然不可能连4000多根线。因此用一根骨干链路Trunk来连接两台交换机,作用就是让两台交换机上处于相同VLAN的端口能互相通信。Trunk上用特殊的封装方式来支持转发不同的VLAN的帧。为何要封装呢?因为Trunk转载 2018-01-07 19:23:02 · 2637 阅读 · 0 评论 -
细说VLAN与Trunk
介绍 网络性能是影响业务效率的一个重要因素。将大型广播域分段是提高网络性能的方法之一。路由器能够将广播包阻隔在一个接口上,但是,路由器的LAN接口数量有限,它的主要功能是在网络间传输数据,而不是对终端设备提供网络接入。访问LAN的功能还是由接入层交换机来实现。与三层交换机相类似,通过在二层交换机上创建VLAN来减少广播域。现代交换机就是通过VLAN来构造的,因此在某种程度上,学转载 2018-01-07 19:50:15 · 32086 阅读 · 8 评论 -
交换机上的三种端口模式
补充知识PVID和VID区别PVID英文解释为Port-base VLAN ID,是基于端口的VLAN ID,一个端口可以属于多个vlan(本质意思是该端口采用hybrid或者trunk模式下,这个端口允许多个vlan的数据包通过),但是只能有一个PVID,收到一个不带tag头的数据包时,会打上PVID所表示的vlan号。VID(VLAN ID)是VLAN的标识,定义其中的端口转载 2018-01-08 13:21:11 · 24916 阅读 · 0 评论 -
关于Trunk、Hybrid、Access、Tag、Untag、Pvid的关系
一、相关定义1、Trunk口 Trunk口上可以同时传送多个VLAN的包,一般用于交换机之间的链接。2、Hybrid口 Hybrid口上可以同时传送多个VLAN的包,一般用于交换机之间的链接或交换机于服务器的链 接。3、Access口 Access口只能属于1个VLAN,一般用于连接计算机的端口。4、Tag和Untag tag是指vlan的标签,即vlan的id,转载 2018-01-08 14:28:12 · 579 阅读 · 0 评论 -
OWASP 2013年十大热门威胁及应对工具
顾名思义,OWASP(开放式web应用程序安全项目)关注web应用程序的安全。OWASP这个项目最有名的,也许就是它的"十大安全隐患列表"。这个列表不但总结了web应用程序最可能、最常见、最危险的十大安全隐患,还包括了如何消除这些隐患的建议。(另外,OWASP还有一些辅助项目和指南来帮助IT公司和开发团队来规范应用程序开发流程和测试流程,提高web产品的安全性。)这个"十大"差不多每隔三年更新一次转载 2018-01-09 12:59:57 · 627 阅读 · 0 评论 -
DNS记录类型介绍(A记录、MX记录、NS记录等)
DNS A记录 NS记录 MX记录 CNAME记录 TXT记录 TTL值 PTR值 建站名词解释:DNS A记录 NS记录 MX记录 CNAME记录 TXT记录 TTL值 PTR值 泛域名 泛解析 域名绑定 域名转向 1.DNS:Domain Name System 域名管理系统 域名是由圆点分开一串单词或缩写组成的,每一个域名都对应一个惟一的IP地址,这一命名的方法或这样管理域名的系统叫转载 2018-01-09 14:57:14 · 5956 阅读 · 0 评论 -
(总结)Nginx/LVS/HAProxy负载均衡软件的优缺点详解
PS:Nginx/LVS/HAProxy是目前使用最广泛的三种负载均衡软件,本人都在多个项目中实施过,参考了一些资料,结合自己的一些使用经验,总结一下。一般对负载均衡的使用是随着网站规模的提升根据不同的阶段来使用不同的技术。具体的应用需求还得具体分析,如果是中小型的Web应用,比如日PV小于1000万,用Nginx就完全可以了;如果机器不少,可以用DNS轮询,LVS所耗费的机器还是比较多的转载 2018-01-09 15:32:24 · 682 阅读 · 1 评论 -
linux主机防御ids 常用开源工具
系统防御方面的开源软件主机防御工具验证系统Pam:几乎在所有的发行版上默认安装Opie内核安全Grsecurity:专注于内核的安全,给内核提供了很多安全补丁ExecShield:设置不可执行的标志位(现代的x64硬件携带的,就可以不用软件了,x86是不带的)Linux Intrusion Detection System (LIDS转载 2017-12-28 20:37:41 · 884 阅读 · 0 评论 -
开源系统中构建纵深入侵检测及防御体系技术剖析
入侵检测简介Intrusion Detection System(入侵检测系统)顾名思义,便是对入侵行为的发觉,其通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。通常说来,其具有如下几个功能:监控、分析用户和系统的活动。核查系统配置和漏洞。评估关键系统和数据文件的完整性。识别攻击的活动模式转载 2017-12-28 20:13:05 · 1365 阅读 · 0 评论 -
TCP长连接与短连接的区别
1. TCP连接当网络通信时采用TCP协议时,在真正的读写操作之前,server与client之间必须建立一个连接,当读写操作完成后,双方不再需要这个连接时它们可以释放这个连接,连接的建立是需要三次握手的,而释放则需要4次握手,所以说每个连接的建立都是需要资源消耗和时间消耗的经典的三次握手示意图:经典的四次握手关闭图:2. TCP短连接我们模转载 2016-10-31 11:01:39 · 347 阅读 · 0 评论 -
Waf 基本功能
一、 Web防护1.1 网络层防护1)DDOS攻击2)Syn Flood3)Ack Flood4)Http/HttpS Flood(CC攻击)5)慢速攻击1.2 应用层防护和功能1)URL黑白名单2)HTTP协议规范(包括特殊字符过滤、请求方式、内容传输方式,例如:multipart/form-data,text转载 2017-12-18 13:51:46 · 2015 阅读 · 0 评论 -
什么是SYN Flood攻击?
SYN Flood (SYN洪水) 是种典型的DoS (Denial of Service,拒绝服务) 攻击。效果就是服务器TCP连接资源耗尽,停止响应正常的TCP连接请求。说到原理,还得从TCP如何建立连接(Connection)讲起。通信的双方最少得经过3次成功的信息交换才能进入连接全开状态(Full-Open),行话叫建立TCP连接的3次握手(TCP three-way handsh转载 2017-12-18 14:19:40 · 24029 阅读 · 2 评论 -
ACK Flood攻击
1 原理ACK Flood攻击是在TCP连接建立之后,所有的数据传输TCP报文都是带有ACK标志位的,主机在接收到一个带有ACK标志位的数据包的时候,需要检查该数据包所表示的连接四元组是否存在,如果存在则检查该数据包所表示的状态是否合法,然后再向应用层传递该数据包。如果在检查中发现该数据包不合法,例如该数据包所指向的目的端口在本机并未开放,则主机操作系统协议栈会回应RST包告诉对方此端口不转载 2017-12-18 14:20:18 · 3430 阅读 · 0 评论 -
从TCP协议的原理来谈谈rst复位攻击
在谈RST攻击前,必须先了解TCP:如何通过三次握手建立TCP连接、四次握手怎样把全双工的连接关闭掉、滑动窗口是怎么传输数据的、TCP的flag标志位里RST在哪些情况下出现。下面我会画一些尽量简化的图来表达清楚上述几点,之后再了解下RST攻击是怎么回事。1、TCP是什么?TCP是在IP网络层之上的传输层协议,用于提供port到port面向连接的可靠的字节流传输。我来用转载 2017-12-18 14:45:14 · 312 阅读 · 0 评论 -
NAPT和NAT的工作原理及其区别
NAPT 网络地址端口转换NAPT 网络地址端口转换NAPT(Network Address Port Translation)是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口转载 2018-01-11 14:48:58 · 2799 阅读 · 0 评论 -
interface f0/0与interface serial0/0的区别
简单说F0/0是快速以太网接口;Serial0/0是串行接口;F0/0主要使用RJ45水晶头连接以太网(局域网)用的,也就是连接交换机或电脑用的;Serial0/0用V35线来传输数据是同步的,连接时候需要DCE同步时钟频率,路由器连接路由器要用路由器上的Serial端口连接 。转载 2018-01-11 15:57:37 · 11177 阅读 · 0 评论 -
web应用防火墙(WAF)的安全原理与技术分析
Web防火墙,主要是对Web特有入侵方式的加强防护,如DDOS防护、SQL注入、XML注入、XSS等。由于是应用层而非网络层的入侵,从技术角度都应该称为Web IPS,而不是Web防火墙。这里之所以叫做Web防火墙,是因为大家比较好理解,业界流行的称呼而已。由于重点是防SQL注入,也有人称为SQL防火墙。防止网页被篡改是被动的,能阻断入侵行为才是主动型的,前边提到的IPS/UTM等产品转载 2017-12-19 15:13:56 · 11701 阅读 · 0 评论 -
谈一谈情报威胁与态势感知
以下内容仅仅是个人的一些认识,仅仅是我所说的事件情报与此相关,但是希望能构建一个大的MRTI平台吧。情报威胁,概念炒了这么多年,有人说2015,2016是情报威胁新的纪元。安全情报包括威胁情报、漏洞情报、事件情报以及基础数据情报等,国外已经成为安全热点。国内环境而言个人认为态势感知已经开始接近情报威胁这个概念。像锦行发布的幻云、绿盟的态势感知,360的态势感知等。态势感知从各个传感器获取的信息转载 2017-12-19 16:21:04 · 6357 阅读 · 0 评论 -
Scapy实现SYN泛洪攻击
一、实验说明1.实验介绍本次实验将使用python3版本的Scapy--Scapy3k来实现一个简单的DDos,本次实验分为两节,本节将学习如何使用Scapy3k来实现SYN泛洪攻击。2.知识点SYN泛洪攻击的实现原理Scapy3k的基本用法3.效果图二、基础知识以下部分内容整理自百度百科、360百科和Scapy3k官方文档:转载 2017-12-28 11:37:49 · 4455 阅读 · 0 评论 -
结合Socket实现DDoS攻击
一、实验说明1. 实验介绍通过上一节实验的SYN泛洪攻击结合Socket实现DDoS攻击。2. 开发环境Ubuntu LinuxPython 3.x版本3. 知识点本次实验将涉及以下知识点:argparse 命令解析socket的基本用法4. 效果图二、理论知识1. 实现思路由于上节实验我们已经转载 2017-12-28 11:39:54 · 1856 阅读 · 0 评论 -
入侵检测系统IDS工作原理笔记
入侵检测(Intrusion Detection):通过从计算机网络或计算机系统关键点收集信息并进行分析,从中发现网络或系统中是否违反安全策略的性能更为和被攻击的迹象。 入侵检测系统(IDS):入侵检测是软件和硬件的组合,是防火墙的合理补充,是防火墙之后的第二道安全闸门。 入侵检测的内容:试图闯入,成功闯入,冒充其他用户,违反安全策略,合法用户的泄漏,独占资源以及恶意使转载 2017-12-28 15:03:17 · 17075 阅读 · 1 评论 -
TCP/IP和Socket的关系
要写网络程序就必须用Socket,这是程序员都知道的。而且,面试的时 候,我们也会问对方会不会Socket编程?一般来说,很多人都会说,Socket编程基本就是listen,accept以及send,write等几 个基本的操作。是的,就跟常见的文件操作一样,只要写过就一定知道。 对于网络编程,我们也言必称TCP/IP,似乎其它网络协议已经不存在 了。对于TCP/IP,我们还知道TCP和U...转载 2019-02-20 10:07:39 · 7361 阅读 · 2 评论