安全
文章平均质量分 83
废言Pro
时间加努力
展开
-
OpenSSL 介绍和使用
一、SSL 简介按照我的理解来解释下,为了让网络通信更安全,需要认证和加密,认证是说明你是要找的人,加密是为了让截获中间报文第三者无法得到消息内容。为此有人设计了SSL,即套接字上的安全层,简单来说就是在TCP之上做一个安全通信层,HTTP on SSL 即是HTTPs,现在几乎所有的银行网站访问都是基于HTTPS协议的。认证是通过证书+非对称加密算法来解决的,具体我也不搬迁了大家去看看https交互过程SSL交互过程还是很复杂的,牵扯到非对称加密和对称加密,以及复杂的交互过程,为此有人写了op转载 2021-04-07 10:20:13 · 1417 阅读 · 0 评论 -
AES-GCM加密算法
AES是一种对称加密算法,它的相关概念在此不赘述。GCM ( Galois/Counter Mode) 指的是该对称加密采用Counter模式,并带有GMAC消息认证码。在详细介绍AES-GCM之前,我们先了解一些相关概念。下文中出现的符号:Ek 使用秘钥k对输入做对称加密运算 XOR 异或运算 Mh 将输入与秘钥h在有限域GF(2^128)上做乘法 ECB( Electronic Mode 电子密码本模式)当我们有一段明文,需要...原创 2021-04-07 10:10:08 · 7276 阅读 · 1 评论 -
图解DES加密算法
DES——美国数据加密标准,是1972年美国IBM公司研制的对称密码体制加密算法,它也是是分组加密算法的典型代表。相关名词解释;对称加密:通信双方同时掌握一个密钥,加密解密都是由一个密钥完成的(即加密密钥等于解密密钥,加解密密钥可以相互推倒出来)。双方通信前共同拟定一个密钥,不对第三方公开。分组加密:将明文分成固定长度的组,每一组都采用同一密钥和算法进行加密,输出也是固定长度的密文。密钥:密钥是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入的参数。DES加密算法导图第一步:i转载 2021-03-30 00:51:25 · 639 阅读 · 0 评论 -
几个非常实用性的在线学习Ethical Hacking的网站
写在前面:英文水平不太好的朋友,记得下载一个Google Chrome,右键 转化为中文,不要被语言的障碍浇灭了学习的信心 ;其次,有的网站可能打不开,那是因为网络问题,需要站高一点才能打开。至于如何站得高,用梯子吧。另外,hacking 学习站 - kngxscn - 博客园这里有前辈也总结了一些站点。1.hackthissite.org一个完全免费的,安全的和道德的黑客培训平台,用于测试黑客技能,且有大量的技术性的文章。它还有一个巨大的,非常活跃的论坛,用户可以讨论黑客行为和安全问题。ste转载 2021-02-14 08:56:46 · 744 阅读 · 0 评论 -
基于连接跟踪机制的状态防火墙的设计与实现
基于连接跟踪机制的状态防火墙的设计与实现连接跟踪本身并没有实现什么具体功能,它为状态防火墙和NAT提供了基础框架。前面几章节我们也看到:从连接跟踪的职责来看,它只是完成了数据包从“个性”到“共性”抽象的约定,即它的核心工作是如何针对不同协议报文而定义一个通用的“连接”的概念出来,具体的实现由不同协议自身根据其报文特殊性的实际情况来提供。那么连接跟踪的主要工作其实可以总结为:入口处,收到一个数据包后,计算其hash值,然后根据hash值查找连接跟踪表,如果没找到连接跟踪记录,就为其创建一个连接跟踪项;如果转载 2020-12-29 17:52:29 · 467 阅读 · 0 评论 -
(十)洞悉linux下的Netfilter&iptables:网络地址转换原理之SNAT
源地址转换:SNAT SNAT主要应用于下列场景: 这种情况下,我们只有一个公网地址A,而又有三台主机需要同时上网,这时就需要SNAT了。它的主要作用是将那些由私网发来的数据包skb的源地址改成防火墙的公网地址A,这是因为目的主机在响应源地址为私网地址的数据包时,私网地址不能在网络上路由的缘故。SNAT仅可以在LOCAL_OUT和POSTROUTING点生效,这也说明了为什么用户空间的iptables命令在配置SNAT规则时只能配置到nat表的OUTPUT和POSTR...转载 2020-12-29 16:57:26 · 190 阅读 · 0 评论 -
(十二)洞悉linux下的Netfilter&iptables:iptables命令行工具源码解析【下】
iptables用户空间和内核空间的交互iptables目前已经支持IPv4和IPv6两个版本了,因此它在实现上也需要同时兼容这两个版本。iptables-1.4.0在这方面做了很好的设计,主要是由libiptc库来实现。libiptc是iptables control library的简称,是Netfilter的一个编程接口,通常被用来显示、操作(查询、修改、添加和删除)netfi...转载 2020-04-16 10:43:33 · 465 阅读 · 0 评论 -
(十五)洞悉linux下的Netfilter&iptables:开发自己的hook函数【实战】
向Netfilter中注册自己的hook函数 数据包在协议栈中传递时会经过不同的HOOK点,而每个HOOK点上又被Netfilter预先注册了一系列hook回调函数,当每个清纯的数据包到达这些点后会被这些可恶hook函数轮番调戏一番。有时候我们就在想,只让系统自带的这些恶棍来快活,我自己能不能也make一个hook出来和它们同流合污呢?答案是肯定的。 我们来回顾一...转载 2020-04-16 10:33:34 · 498 阅读 · 0 评论 -
(十四)洞悉linux下的Netfilter&iptables:开发一个match模块【实战】
自己开发一个match模块 今天我们来写一个很简单的match来和大家分享如何为iptables开发扩展功能模块。这个模块是根据IP报文中有效载荷字段的长度来对其进行匹配,支持固定包大小,也支持一个区间范围的的数据包,在用户空间的用法是:iptables -A FORWARD -m pktsize --size XX[:YY] -j DROP ...转载 2020-04-16 10:31:52 · 253 阅读 · 0 评论 -
(十三)洞悉linux下的Netfilter&iptables:为防火墙增添功能模块【实战】
为netfilter/iptables增添新功能模块:ipp2p 一个防火墙功能模块包含两部分:内核空间的ko模块和用户空间的so模块。如下: 而且文件的命令都非常有讲究。例如我们有个模块名叫AAA,那么内核中该模块的文件名一般为ipt_AAA.c和ipt_AAA.h;对应的用户空间模块叫libipt_AAA.c。今天我通过简单的向防火墙添加ipp2p扩展功能模块的例...转载 2020-04-16 10:31:09 · 180 阅读 · 0 评论 -
(十一)洞悉linux下的Netfilter&iptables:iptables命令行工具源码解析【上】
预备知识:part1: 初见getopt_long()在分析iptables源码时,作为命令解析的核心函数getopt_long()不得不提。随便百度或google搜索关于该函数的介绍有很多例子和解释,这里我只举一例,目的是让大家了解传递给iptables命令的每个参数是如何被正确识别并处理的。getopt_long(intargc,char * constargv[],co...转载 2020-04-16 10:29:56 · 251 阅读 · 0 评论 -
(九)洞悉linux下的Netfilter&iptables:网络地址转换原理之DNAT
网络地址转换:NATNetfitler为NAT在内核中维护了一张名为nat的表,用来处理所有和地址映射相关的操作。诸如filter、nat、mangle抑或raw这些在用户空间所认为的“表”的概念,在内核中有的是以模块的形式存在,如filter;有的是以子系统方式存在的,如nat,但它们都具有“表”的性质。因此,内核在处理它们时有很大一部操作都是相同的,例如表的初始化数据、表的注册、...转载 2020-04-16 09:38:42 · 206 阅读 · 0 评论 -
IPSEC 004 ---- 模板海纳百川,不定对端有容乃大
IPSec模板海纳百川自从天地会采用了IKE方式协商IPSec安全策略,IPSec配置和维护的工作量大减。然而之前天地会用过的手工方式IPSec安全策略或IKE方式IPSec安全策略都要求IPSec对端的IP固定。可是在公网IP几近枯竭的Internet上要拥有一个固定的公网IP谈何容易!天地会每次要申请一个固定公网IP地址都要大费周折。于是天地会提出疑问:配置IPSec VPN的通信双方必须...转载 2019-09-18 11:14:27 · 1128 阅读 · 0 评论 -
IPSEC 003 ---- IPSEC携手IKE,珠联璧合显神威
密钥管家IKE登场上回说到手工方式的IPSec VPN帮助天地会解决了总舵和分舵之间秘密通信的问题,但随着分舵数量的增加新的问题又出现了。手工方式下防火墙的加密和验证所使用的密钥都是手工配置的,为了保证IPSec VPN的长期安全,需要经常修改这些密钥。分舵数量越多,密钥的配置和修改工作量越大。随着天地会的壮大,IPSec VPN的维护管理工作越来越让人吃不消了。为了降低IPSec VPN管...转载 2019-09-17 11:12:54 · 756 阅读 · 0 评论 -
IPSEC 002 ---- Internet危机四伏,IPSec闪亮登场
危机四伏随着GRE和L2TP的广泛应用,民间组织天地会也与时俱进,在总舵和各个分舵之间部署了GRE和L2TP。总舵和分舵通过GRE隧道和L2TP隧道传递消息,互通有无,反清复明事业开展得如火如荼。但好景不长,总舵和分舵之间传递的机密信息被官府查获,分舵的堂主帮众悉数被抓,一时间Internet上暗潮汹涌,天地会危机四伏。事关帮派存亡,陈总舵主赶忙召集会议商讨对策,究其原因,无论是GRE还是...转载 2019-09-12 17:33:31 · 321 阅读 · 0 评论 -
IPSEC 001 --- 原理简介
IPSec VPN是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,这一期专栏就来介绍一下IPSec VPN的原理。IPSec VPN应用场景IPSec VPN的应用场景分为3种:1.Site-to-Site(站点到站点或者网关到网关):如弯曲评论的3个机构分布在互联网的3个不同的地方,各使用一个商务领航网关相互建立VPN隧道,企业内网(若干PC)之间的数据通过这...原创 2019-09-12 16:52:24 · 503 阅读 · 0 评论 -
iptables详解001:iptables概念
这篇文章会尽量以通俗易懂的方式描述iptables的相关概念,请耐心的读完它防火墙相关概念此处先描述一些相关概念。从逻辑上讲。防火墙可以大体分为主机防火墙和网络防火墙。主机防火墙:针对于单个主机进行防护。网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。网络防火墙和主机防火墙并不冲突,可以理解为,网络防火墙主外(集体), 主机防火墙主内...转载 2019-09-12 11:27:44 · 198 阅读 · 0 评论 -
iptables 从入门到应用
一、简介1.1、是什么?iptables是隔离主机以及网络的工具,通过自己设定的规则以及处理动作对数据报文进行检测以及处理。1.2、发展史防火墙的发展史就是从墙到链再到表的过程,也即是从简单到复杂的过程。为什么规则越来越多,因为互联网越来越不安全了,所有防火墙的的规则也越来越复杂。防火的工具变化如下:ipfirewall(墙)-->...转载 2019-04-24 09:11:48 · 122 阅读 · 0 评论 -
Linux内核中Netfilter架构介绍
Netfilter概述Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中,Netfilter与IP协议栈是无缝契合的,并允许使用者对数据报进行过滤、地址转换、...转载 2017-08-05 23:36:33 · 938 阅读 · 0 评论 -
(一)洞悉linux下的Netfilter&iptables:什么是Netfilter?
本人研究linux的防火墙系统也有一段时间了,由于近来涉及到的工作比较纷杂,久而久之怕生熟了。趁有时间,好好把这方面的东西总结一番。一来是给自己做个沉淀,二来也欢迎这方面比较牛的前辈给小弟予以指点,共同学习,共同进步。 能在CU上混的人绝非等闲之辈。因此,小弟这里说明一下:本系列博文主要侧重于分析Netfilter的实现机制,原理和设计思想层面的东西,同时从用户态的iptabl...转载 2018-11-09 21:17:02 · 455 阅读 · 0 评论 -
(二)洞悉linux下的Netfilter&iptables:内核中的ip_tables小觑
Netfilter框架为内核模块参与IP层数据包处理提供了很大的方便,内核的防火墙模块(ip_tables)正是通过把自己所编写的一些钩子函数注册到Netfilter所监控的五个关键点(NF_IP_PRE_ROUTING,NF_IP_LOCAL_IN,NF_IP_FORWARD,NF_IP_LOCAL_OUT,NF_IP_POST_ROUTING)这种方式介入到对数据包的处理。这些钩子函数功能...转载 2018-11-09 21:43:18 · 292 阅读 · 0 评论 -
(四)洞悉linux下的Netfilter&iptables:包过滤子系统iptable_filter
今天我们讨论一下防火墙的数据包过滤模块iptable_filter的设计原理及其实现方式。内核中将filter模块被组织成了一个独立的模块,每个这样独立的模块中都有个类似的init()初始化函数。编写完该函数后,用module_init()宏调用初始化函数;同样当模块被卸载时调用module_exit()宏将该模块卸载掉,该宏主要调用模块的“析构”函数。这当中就牵扯到内核ko模块的一些知识,但...转载 2018-11-09 22:38:06 · 190 阅读 · 0 评论 -
(五)洞悉linux下的Netfilter&iptables:如何理解连接跟踪机制?(1)
如何理解Netfilter中的连接跟踪机制? 本篇我打算以一个问句开头,因为在知识探索的道路上只有多问然后充分调动起思考的机器才能让自己走得更远。连接跟踪定义很简单:用来记录和跟踪连接的状态。问:为什么又需要连接跟踪功能呢?答:因为它是状态防火墙和NAT的实现基础。OK,算是明白了。Neftiler为了实现基于数据连接状态侦测的状态防火墙功能和NAT地址转换功能才开发出了连接...转载 2018-11-11 22:24:21 · 262 阅读 · 0 评论 -
(六)洞悉linux下的Netfilter&iptables:如何理解连接跟踪机制?(2)
Netfilter连接跟踪的详细流程上一篇我们了解了连接跟踪的基本框架和大概流程,本篇我们着重分析一下,数据包在连接跟踪系统里的旅程,以达到对连接跟踪运行原理深入理解的目的。连接跟踪机制在Netfilter框架里所注册的hook函数一共就五个:ip_conntrack_defrag()、ip_conntrack_in()、ip_conntrack_local()、ip_c...转载 2018-11-11 22:33:38 · 996 阅读 · 0 评论 -
(七)洞悉linux下的Netfilter&iptables:状态防火墙
基于连接跟踪机制的状态防火墙的设计与实现连接跟踪本身并没有实现什么具体功能,它为状态防火墙和NAT提供了基础框架。前面几章节我们也看到:从连接跟踪的职责来看,它只是完成了数据包从“个性”到“共性”抽象的约定,即它的核心工作是如何针对不同协议报文而定义一个通用的“连接”的概念出来,具体的实现由不同协议自身根据其报文特殊性的实际情况来提供。那么连接跟踪的主要工作其实可以总结为:入口处,收到一个数据...转载 2018-11-11 22:47:41 · 199 阅读 · 0 评论 -
实现透明防火墙的必备知识-Bridge Filter半景
netfilter是一个可以高度定制协议栈的优良框架,早就已经被包含于Linux内核了,关于它的设计,可以在其官方网站上找到N多可以一看的东西。被讨论最多的就是HOOK点的位置的设计(人家老外关注的核心的设计,而不是如何去实现它,以及实现了之后的源码分析),最好还是看一下这些讨论。 若想实现一个透明的防火墙,那么对Netfilter几本框架的理解是少不了的,除此之外还会有一些问题,比如下面...转载 2018-11-23 21:54:18 · 1295 阅读 · 0 评论 -
Linux的Netfilter框架深度思考-对比Cisco的ACL
1.设计的异同 Netfilter是一个设计良好的框架,之所以说它是一个框架是因为它提供了最基本的底层支撑,而对于实现的关注度却没有那么高,这种底层支撑实际上就是其5个HOOK点:PREROUTING:数据包进入网络层马上路由前FORWARD:数据包路由之后确定要转发之后INPUT:数据包路由之后确定要本地接收之后OUTPUT:本地数据包发送(详情见附录4)POSTROUTING:...转载 2018-11-29 21:15:08 · 328 阅读 · 0 评论 -
(三)洞悉linux下的Netfilter&iptables:内核中的rule,match和target
作为ipchains的后继者,iptables具有更加优越的特性,良好的可扩展功能、更高的安全性以及更加紧凑、工整、规范的代码风格。在2.6的内核中默认维护了三张表(其实是四张,还有一个名为raw的表很少被用到,这里不对其进行分析介绍了):filter过滤表,nat地址转换表和mangle数据包修改表,每张表各司其职。我们对这三张表做一下简要说明:1)、filter...转载 2019-01-21 14:33:04 · 244 阅读 · 0 评论 -
深入Linux网络核心堆栈--netfilter详解(整理)
https://blog.csdn.net/XscKernel/article/details/8186679 目录1 - 简介 1.1 - 本文涉及的内容 1.2 - 本文不涉及的内容2 - 各种Netfilter hook及其用法 2.1 - Linux内核对数据包的处理 2.2 - Netfilter对IPv4的hook3 - 注册和注销Netfilter h...转载 2019-01-21 14:36:54 · 613 阅读 · 0 评论