Sebek协议分析。

最新推荐文章于 2024-08-04 20:32:38 发布
最新推荐文章于 2024-08-04 20:32:38 发布
阅读量1.3k 收藏
点赞数
分类专栏: 编程 文章标签: command header socket struct
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EastCoke/article/details/6430856
版权

    为了保证sebek的通用性,在sebek 3中使用了一个重新设计的新协议,不兼容旧版本。数据包使用UDP通道,且只能 由客户端发送给服务端。

    当发生read()系统调用的时候,sebek将会记录ppid,pid,uid,fd,inode和com等信息。

    sebek v3的56字节头结构如下(本表转自Sebek 3: tracking the attackers, part one ):

 

相关定义如下:

 代码中字段的解释:

magic:前半部分是目标端口,后半部分是magic value,当其他主机检测到magic value的时候就丢弃数据包。

ver:sebek协议版本,这里定义为3。

type:记录的类型,读为0,写为1,socket为2,open为3。

counter:PDU counter,用于给数据包计数,防止丢失包。

time_sec:时间信息,基于系统时间,可以被篡改。

time_usec:剩余的时间(微秒)

parent_pid:v3中新增的字段,PPID

pid:进程ID

uid:用户ID

fd:文件描述符

inode:v3中新增的字段,文件索引信息。

com:记录命令的前N个字符,N=12

length:PDU实体的长度

Coke
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MQQT客户端与服务端学习/测试环境
11-30
用于学习MQQT协议,MQQT作为物联网运用广泛使用协议,包括设备端,边缘计算,云平台等运用
Sebek学习笔记
可木的专栏
10-25 2693
1、Sebek是一个数据捕获工具。 2、Sebek是运行在内核空间的一段代码,记录系统用户存取的一些或者全部数据。     这个工具有这些功能:记录加密会话中击键,恢复使用SCP拷贝的文件,捕获远程系统被记录的口令,恢复使用 Burneye保护的二进制程序的口令还有其它的一些入侵分析任务相关的作用。     入侵者会使用加密工具来保护他们的传输通道,监视者如果没有密钥,基于网络的数据捕获工具
mqtt协议详解
最新发布
Python老吕的博客
08-04 1129
MQTT协议最初由IBM公司的安迪·斯坦福-克拉克及Cirrus Link公司的阿兰·尼普于1999年共同提出。它遵循ISO标准(ISO/IEC PRF 20922),采用发布/订阅模式,使得消息的发送者和接收者之间解耦,提高了系统的灵活性和可扩展性。使用发布/订阅消息模式:提供一对多的消息发布,解除了应用程序的耦合。对负载内容屏蔽的消息传输:只关心消息的传递,不关心消息的具体内容。使用TCP/IP提供网络连接:确保消息的可靠传输。三种消息发布服务质量(QoS)
MQTT 协议简介
Java+GO+JS全栈工程师-鹤冲天的博客:编程辅导~商务合作~技术交流
01-04 1万+
MQTT是一种基于发布/订阅模式的“轻量级”通讯协议,该协议构建于TCP/IP协议上,由IBM在1999年发布。MQTT最大优点在于,用极少的代码和有限的带宽,为连接远程设备提供实时可靠的消息服务。作为一种低开销、低带宽占用的即时通讯协议,使其在物联网、小型设备、移动应用等方面有较广泛的应用。
Mqtt通信协议详解
weixin_57246604的博客
04-09 4594
mqtt通信协议介绍,通信过程,QoS等级详解,通信安全保证方式
【MQTT协议详解】MQTT协议
赖东东_的博客
01-28 4万+
MQTT(消息队列遥测传输)是ISO 标准(ISO/IEC PRF 20922)下基于 **发布/订阅** 范式的消息协议。它工作在TCP/IP协议族上,是为硬件性能低下的远程设备以及网络状况糟糕的情况下而设计的发布/订阅型消息协议。 *简而言之,MQTT其实就是一个用于TCP通信的消息协议而已。既然消息协议,"消息" 自然是表示MQTT其实本质就是消息,消息在某种理解上,可以理解报文,报文包,数据等等;既然是协议,自然表示它有着自己的规则,什么叫规则?就是规定这个消息该以怎样的**........
MQTT协议详解「概念、特性、版本及作用」
weixin_44749255的博客
08-04 4414
MQTT协议详解「概念、特性、版本及作用」
sebek服务器文件
10-12
安装方法:https://blog.csdn.net/Winnycatty/article/details/83017097 Sebek是一个数据捕获工具。这种捕获工具是不容易被攻击者发现的。所有数据捕获工具的目的都是用捕获的数据准确的给我们重现蜜罐上的事件。
sebek_win32客户端
04-24
这款软件的主要功能是收集并记录客户端的键盘输入和执行的命令,这对于研究攻击者行为、分析恶意软件活动以及提高网络安全防御策略具有重要意义。 首先,让我们详细了解一下Sebek的工作原理。Sebek作为一个内核级别...
Sebek-Win32-3.0.5.zip
02-16
4. **License.txt**:软件许可协议,详细列出了使用 Sebek 的法律条款和条件。在部署或分发 Sebek 之前,用户必须阅读并接受这些条款,确保合法合规使用。 Sebek 在蜜罐环境中的工作原理是通过在受控系统上安装代理...
Sebek服务端源码
07-23
sebek 服务端源码。 该源码运行需要内核支持,内核版本在Linux 2.6.18(包含)以下。
sebekclient
10-12
安装方法https://mp.csdn.net/mdeditor/83017338# Sebek是一个数据捕获工具。这种捕获工具是不容易被攻击者发现的。所有数据捕获工具的目的都是用捕获的数据准确的给我们重现蜜罐上的事件。
MQTT协议图解,一文看懂MQTT协议数据包(真实报文数据解析解释)
小黑侠
02-04 1万+
本文主要介绍MQTT协议的结构和具体的3条报文数据解析,帮忙更简单、快速地理解mqtt协议
MQTT协议详解(完整版)
热门推荐
jackwmj12的博客
02-22 7万+
MQTT
MQTT 协议
A152419的博客
04-21 2927
MQTT(Message Queuing Telemetry Transport,消息队列遥测传输协议),是一种基于发布/订阅(publish/subscribe)模式的“轻量级”通讯协议,该协议构建于TCP/IP协议上,由IBM在1999年发布。MQTT最大优点在于,用极少的代码和有限的带宽,为连接远程设备提供实时可靠的消息服务。作为一种低开销、低带宽占用的即时通讯协议,使其在物联网、小型设备、移动应用等方面有较广泛的应用。
【物联网协议】MQTT
AA2534193348的博客
06-10 2552
最后遗愿消息是一种特殊类型的消息,在客户端非正常断开连接时将自动发布。它通常用于指示某个设备已经下线或无法响应。以上是MQTT协议的一些详细信息及其相关概念。
netty实现mtqq_Netty实现高性能IOT服务器(Groza)之手撕MQTT协议篇上
weixin_39553757的博客
12-21 1148
前言诞生及优势MQTT由Andy Stanford-Clark(IBM)和Arlen Nipper(Eurotech,现为Cirrus Link)于1999年开发,用于监测穿越沙漠的石油管道。目标是拥有一个带宽有效且使用很少电池电量的协议,因为这些设备是通过卫星链路连接的,当时这种设备非常昂贵。与HTTP及其请求/响应范例相比,该协议使用发布/订阅体系结构。发布/订阅是事件驱动的,可以将消息推送到...
MQTT协议详解
qq_30360351的博客
11-02 3万+
MQTT(Message Queuing Telemetry Transport, 消息队列遥测传输协议),是一种基于发布/订阅(publish/subscribe)模式的"轻量级"通讯协议,该协议构建于TCP/IP协议上,由IBM在1999年发布。MQTT最大优点在于,可以以极少的代码和有限的带宽,为远程连接设备提过实时可靠的消息服务,作为一种低开销、低带宽占用的即时通讯协议,使其在物联网、小型设备、移动应用等方面有较广泛的应用MQTT是一个基于客户端-服务器的消息发布/订阅传输协议
【物联网协议】MQTT_mqqt
2401_84003690的博客
04-06 725
最后遗愿消息是一种特殊类型的消息,在客户端非正常断开连接时将自动发布。它通常用于指示某个设备已经下线或无法响应。以上是MQTT协议的一些详细信息及其相关概念。你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!” />你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!更多资料点击此处获qu!!
Qt应用软件【协议篇】MQTT协议介绍
小鱼酱的博客
02-05 1794
MQTT协议介绍
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值