bluepangzi的博客

原创 双机热备技术基本原理、配置流程及双机热备的故障解决

双机热备技术一、双机热备协议架构（一）VRRP1、VRRP状态机2、VRRP状态切换3、VRRP的不足（二）VGMP1. 基本原理1）VGMP产生一、双机热备协议架构（一）VRRP1、VRRP状态机  加入VRRP备份组的接口有三种状态，只有处于主用状态的设备才可响应ARP请求，转发业务报文。并且发送VRRP报文，主动联系备用设备。配置完VRRP后，如果接口处于Up状态，则从Initialize状态进入Standby状态。处于Standby状态的接口，如果超时未收到对端的VRRP通告报文，或

原创 防火墙多选路出口（ISP选路、策略路由、智能选路）

多出口智能选路一、ISP选路（二）策略路由(PBR policy-based-router)1、策略路由原理2、工作原理3、策略路由组成一、ISP选路  NGFW拥有两条属于不同ISP网络的出口链路。当内网用户访问ISP2中的Server2时，如果NGFW 上存在等价路由，则NGFW可以通过两条不同的路径到达Server2.其中，路径2显然不是最优的路径，路径1才是用户所期望的路径。ISP选路是根据ISP的库动态的产生静态路由。（二）策略路由(PBR policy-based-router)

原创 防火墙基础技术

防火墙基础技术补充一、防火墙概述（一）防火墙分类1、包过滤防火墙2、代理防火墙3、状态检测防火墙（二）防火墙组网方式1、二层以太网接口2、三层以太网接口（三）安全区域1、防火墙安全区域分类2、防火墙安全区域与接口关系3、防火墙安全区域的方向二、防火墙功能特性（一）防火墙多业务功能（二）防火墙主要功能1、访问控制（三）防火墙基本功能1、深度检测技术2、SACG联动技术3、双机热备技术4、IP Link技术5、QoS技术（四）防火墙日志审计（五）攻击防范（六）防火墙报文统计（七）防火墙黑名单（八）负载均衡三、.

原创 网络安全测评及安全计算环境测评

补充一、网络全局性测评（一）安全通信网络1. 网络架构2. 可信验证（二）安全区域边界1. 边界防护2. 访问控制3. 入侵防范4. 恶意代码和垃圾邮件防范5. 安全审计6. 可信验证（三）安全管理中心1. 系统管理2.审计管理3.安全管理4.集中管控二、设备/系统类测评安全计算环境1. 身份鉴别2. 访问控制3. 安全审计4. 入侵防范5. 数据备份恢复一、网络全局性测评（一）安全通信网络1. 网络架构【标准条款】a）应保证网络设备的业务处理能力满足业务高峰期需要；b）应保证网络各个部分的带宽

原创 等级保护体系、信息安全管理体系及等级保护管理制度

等级保护一、等级保护等级保护对象的安全保护等级一共分五个级别，从一到五级别逐渐升高。（一） 备案审核（二） 安全通用要求（三） 详细流程（四）等级测评-管理办法要求（五） 信息安全管理体系（六）等级测评详细流程（七）测评结论（八）监督检查二、等级保护管理制度-网络和系统安全（一）网络和系统安全管理（二）恶意代码防范管理（三）密码管理（四）安全事件处置（五）应急预案管理的测评实施一、等级保护等级保护对象的安全保护等级一共分五个级别，从一到五级别逐渐升高。第一级（自主保护级），等级保护对象受到破坏后，

原创 网上银行、数字人名币方案、二代征信、涉案查控方案介绍

网上银行、数字人名币方案、二代征信、涉案查控方案介绍一、密码学知识回顾（一）密钥体系（二）PKI体系1. 概念2. PKI系统基本构成（三）密码学1. 国际算法2. 国密算法3. 签名验签4. 数字信封5. 动态密码二、网上银行业务系统（一）系统介绍身份鉴别（二）智能选路出向（三）数据保密1. 客户端数据保密2. 服务端数据保密（四）交易防伪（五）网上银行解决方案1. 总体架构2. 身份鉴别3. 传输安全（六）服务器负载均衡（七）Netopti应用交付系统系统介绍（八）交易保护方案1. 动态口令 —— 发送

原创 服务器负载均衡器

服务器负载均衡器一、负载均衡（一）负载均衡是什么？ —— 反向代理网关、应用交付网关二、OSI 7层（一）二层 trunk封装（二）三层1. IP地址2. 数据包包头（三）四层1. TCP状态机2. TCP报头（四）七层 一 HTTP报文结构、HTTP code2. HTTP报文结构、Httpcode三、名词术语（一）会话（二）虚拟服务（三）后台服务（四）服务组（五）负载均衡1. 负载算法2. 策略3. 健康检查4. 高可用性一、负载均衡（一）负载均衡是什么？ —— 反向代理网关、应用交付网关反向

原创 通信安全及SSL协议

SSL协议一、通信安全1. 通信安全的安全目标2. 概念1）必要的装备2）把工具组合起来使用3. 密码学 - 摘要算法4. CA “数字证书颁发机构” 过程二、SSL协议的解释和加密1. 简单的安全通道协议1）构建玩具安全协议TSP2）单向握手3）双向握手4）导出密钥5）数据传输6）总结2. SSL协议1）SSL协议目标2）SSL的历史3）SSL协议的位置4）TLS和SSL的主要区别5）SSL协议的分层模型6）SSL协议的C/S架构7）SSL握手协议功能8）握手主要工作流程9）认证服务器的身份10）SSL

原创 密码学、电子签名、电子信封以及密钥安全等

密码学相关知识一、密码学基础1. 密码学1）古典密码学2) 总结2. 密码学基本概念3. 密码技术的主要用途二、密码算法1. 密码算法的安全性2. base643. 密码算法体制4. 分组密码设计规则5. 算法模式三、对称密钥与非对称密钥算法1. 对称密钥加密算法2. 对称密钥管理方案：3. 非对称密钥算法4. RSA与ECC算法的区别5. 对称加密算法与非对称加密算法的区别6. 对称密钥与非对称密钥算法的组合应用四、HASH算法1. 特点：2. 用途3. 常见HASH算法五、对称加密算法与非对称加密算法

原创 upload-lab实验（前十一个）

upload-lab实验实验一:1.将webshell修改后后缀名为jpg2.开启burp监听，打开截断功能3.绕过全段检测后，burp会抓到一个数据包，我们需要修改后缀名为php，然后点击发送4.返回页面提示上传成功，我们可以打开相应页面查看结果。实验二：抓包，修改 Content-Type: application/octet-stream 为 Content-Type: image/jpeg ，然后发送，即可绕过检测实验三：本实验检测了后缀名是否在黑名单中，如

原创 pikachu sql数字型注入（post） 字符型注入（get）实验

pikachu sql数字型注入（post） 字符型注入（get）实验一、数字型注入（post）1.使用burpsuite抓包并保存为1.txt2.将数据包文件发送到KALI中3.探测是否可以注入 sqlmap -r 1.txt4.进行注入，获取数据库名称 sqlmap -r 1.txt --technique=B --dbs5.获取表名 sqlmap -r 1.txt --technique=B -D pikachu --tables6.猜测字段名 sqlmap -r 1.

原创 KALI操作系统升级、xshell安装

KALI操作系统安装与升级1.更新kali：apt-get updateapt-get upgradeapt-get dist-upgrade2.安装xshell：1）新建连接2）配置用户身份验证（kali用户名、密码）

原创 Python渗透测试编程技术——拒绝服务攻击

拒绝服务攻击一、数据链路层的拒绝服务攻击方法一：攻击的工具 –macof方法二：交换机成为 “集线器”二、网络层的拒绝服务攻击向目标连续发送这种ping的方式来消耗目标主机的资源方法一：提高发送到目标的数据包的数量方法二：模拟出一个随机IP地址三、传输层的拒绝服务攻击攻击过程四、应用层的拒绝服务攻击攻击过程：利用目标主机上一些特定的服务进行拒绝服务攻击（微软的MS12-020的漏洞）

原创 Python渗透测试编程技术——身份认证攻击

身份认证攻击一、简单网络服务认证的攻击1.暴力破解（使用字典文件）二、破解密码字典Python编写生成字典程序字典文件生成过程使用特定的字典文件三、FTP暴力破解模块破解过程一、简单网络服务认证的攻击1.暴力破解（使用字典文件）思路：纯字典攻击。攻击者只需要利用攻击工具将用户名和字典文件中的密码组合起来，一个个地进行尝试即可。混合攻击。现在的各种应用对密码的强壮度都有了限制，采用数字，大写字母，小写字母，特殊符号复杂的密码方式。完全暴力攻击。这是一种最为粗暴的攻击方式，实际上这种方式并不需要字

原创 Python渗透测试编程技术——网络嗅探与欺骗

网络嗅探与欺骗一、网络数据嗅探1.编写网络嗅探工具函数sniff()的重要参数含义限定词：Type、Dir 和 Proto常见的过滤器使用过滤器的方法调用WireShark来查看数据包二、ARP中间人欺骗中间人欺骗加入网络嗅探功能中间人欺骗的原理一、网络数据嗅探1.编写网络嗅探工具Scapy中捕获数据包的函数 sniff( )help(sniff)函数sniff()的重要参数含义（1）count：表示要捕获数据包的数量。默认值为0，表示不限制数量。（2）store：表示是否要保存捕获到的

原创 Python渗透测试编程技术——漏洞渗透模块

漏洞渗透模块一、测试软件的溢出漏洞栈溢出漏洞发现自行构造数据包加大字符串的数量二、计算软件溢出的偏移地址显示软件FreeFloat FTP Server执行到地址“41414141”处时就无法再继续进行三、查找JMP ESP指令一、测试软件的溢出漏洞栈溢出漏洞发现FreeFloat FTP Server会在运行的主机上建立一个FTP，主机192.168.0.116的C盘中运行FTP软件，在另一计算机中可使用FTP下载工具或命令方式进行访问。(使用 FreeFloat FTP Server服务器对登

原创 Python程序设计——安全渗透测试的常见模块

安全渗透测试的常见模块一、Socket 模块1.实例化 Socket 类2.Socket常用的函数—服务端函数bind()：listen()：accept()：3.客户端的函数send()：sendall()：recv()：sendto()：recvfrom()：4.使用Socket编写一个简单的服务端和客户端二、python-nmap模块1.python-nmap安装过程2.python-nmap模块类的实例化PortScanner类3.python-nmap模块中的函数scan()函数：参数hosts参

原创 Python程序设计——异常捕获以及面向对象基础

Python程序设计异常捕获一、异常1.异常语法2.抛出异常面向对象基础一、面向对象1.类和对象2.面向对象基础语法二、定义简单类1.创建对象2.给对象增加属性三、初始化方法1.在类的外部给对象增加属性2.初始化方法异常捕获一、异常1.异常语法捕获异常最简单的语法格式：处理复杂的异常完整的异常语法：2.抛出异常创建 一个 Exception 的 对象使用 raise 关键字 抛出 异常对象面向对象基础一、面向对象1.类和对象类只有一个，而 对象 可以有很多个；不同的对象

原创 Python基础——集合、函数以及私有属性、单继承 和方法重写

Python基础集合一、集合的操作1.集合的定义2.增加元素3.删除元素4.其他符号操作二、交集和并集1.集合之差集( - )2.集合之交集( & )3.集合之并集( | )4.集合之对称差集（^）三、可变、不可变及类型转换1.不可变类型2.可变类型3.字典的 key 只能使用不可变类型的数据4.数据类型转换函数一、函数的基本使用1.定义函数2.函数的调用3.函数的文档注释二、参数和返回值1.参数的作用2.形参和实参三、函数嵌套调用私有属性、单继承 和方法重写1.私有属性伪私有属性和私有方法2.单继

原创 OSPF路由系统构建

OSPF一、RIP的缺陷1.以跳数评估的路由并非最优路径2.最大跳数16导致网络尺度小3.收敛速度慢4.更新发送全部路由表浪费网络资源二、OSPF的基本原理1.什么是OSPF2.Router-id3.OSPF的开销4.修改OSPF cost5.OSPF的基础配置6.OSPF的查看及验证二、OSPF的工作过程1.OSPF协议工作过程三个阶段2.OSPF的三张表三、OSPF邻居建立过程1.OSPF的报文类型2.建立邻居关系（邻接关系 全毗邻）3.点到点网络建立邻居过程4.OSPF网络类型OSPF支持的网络类型

原创 ACL 访问控制列表

ACL一、ACL技术背景二、ACL的概念1.访问控制列表2.ACL 的匹配和不匹配2.ACL 的分类三、ACL 的实现方式1.确定部署位置2.匹配对应流量通配符掩码3.决定调用方向4.查看及测试5.匹配规则四、高级ACL1.基本访问控制列表2.高级访问控制列表3.高级ACL配置一、ACL技术背景二、ACL的概念1.访问控制列表  ACL(Access Control List),是一张管理员手动添加的用于数据包访问控制的列表,路由器通过逐项读取列表中的条目来判断当前数据包是放行还是丢弃。是一个路

原创 Virtual Router Redundancy Protocol 虚拟路由冗余协议

VRRP一、VRRP 背景二、VRRP 的概念以及如何实现VRRP术语协议版本VRRP的状态机VRRP协议报文VRRP基本概念VRRP的工作过程三、VRRP的特性主备切换抢占模式（Preemption Mode）抢占延时（Delay Time）VRRP的双主/双活 现象 多个master利用VRRP(+MSTP )设置流量的负载均衡四、VRRP的配置五、BFD工作原理配置命令一、VRRP 背景  解决链路层的单点故障问题、单网关缺陷的问题以及自动化实现，多个冗余网关之间的数据切换的问题。二、VRRP

原创 DHCP 的实现方式、通信过程以及配置问题

具体内容一、DHCP的实现方式具体实现方式二、DHCP的通信过程通信过程DHCP的租期续租DHCP的重新绑定三、DHCP的配置接口全局DHCP的优缺点优点缺点DHCP中继DHCP中继配置DHCP中继通信过程一、DHCP的实现方式基于 C/S 架构DHCP 是应用层协议（基于UDP）具体实现方式  1、一旦启用DHCP，主机会发给DHCP服务器一个DHCP Discover（广播）的报文；  2、DHCP服务器会发给主机一个DHCP Offer（广播/单播）报文，回复可以供其选择的IP地址；  

原创 单臂路由配置以及通信过程、通信原理（VLAN间通信）

补充说明一、技术背景二、技术的概念及如何实现1、技术实现2、子接口三、单臂路由的配置四、单臂路由的通信过程、通信原理五、单臂路由的优缺点一、技术背景  园区网划分vlan后，导致debuff,广播域被隔离，不同vlan之间不能通信。  园区网VLAN（二层）的划分，按照地理位置、部门、人员属性划分，部门和部门之间相互隔离。方案一:在同一台交换机上，用一根线把不同的VLAN连接起来，但因为线路的连接使得已经减小的广播域又被扩大了，所以这种方法不可行。方案二:用路由器的接口来实现不同vlan所对应网.

原创 三层交换（VLAN间通信）

三层交换技术背景三层技术的实现三层交换的配置实验配置过程关于vlanif实现双up的条件三层交换通信过程技术背景虽然单臂路由解决了vlan间的路由问题，但链路仍存在一些问题：  在单臂路由中所有流量都经过主干链路，但流量过大，容易形成流量瓶颈。  如果一旦出现单点故障，所有vlan就不能通信了。如果使用基于Eth-Trunk的单臂路由可以解决这个问题，但还是会出现流量瓶颈的问题，所以如何彻底解决流量瓶颈问题才是关键。三层技术的实现  三层交换机：既有三层/交换层的路由功能，又有二层交换功能的设

原创 网络通信通信过程以及静态路由配置问题补充

补充网络通信网段通信1、PC如何知道目标IP地址是否和自己同一个网段？2、PC在同网段及跨网段通信的过程3、为什么不建议在配置路由的时候只配置逃出接口，不配置下一跳IP地址？静态路由配置1、远端路由传输过程2、实验：使得R1的loop0能够ping通R3的loop0, 要求路径为R1—>R2—>R3。网络通信网段通信1、PC如何知道目标IP地址是否和自己同一个网段？  同网段通信：PC不需要配置网关，在通信时，也不需要把数据先发给网关（PC和网关处在同一网段 / 局域网 / 广播域）。

原创 IP路由，静态路由和浮动路由

补充说明IP路由（一）路由器的作用（二）路由表1、路由表分类（1）直连路由(direct)（2）静态路由(static)（3）动态路由(rip\ospf)2、路由表包含（1）目标网络(destination)（2）子网掩码(Mask)（3）逃出接口/输出接口(interface)（3）下一跳IP地址(NextHop)3、对于去往相同的目标网段（1）优先级(preference)（2）度量值(Metric)/Cost静态路由（一）静态路由配置（二）负载分担路由（三）浮动路由（四）缺省路由（五）汇总路由...

原创 Eth-Trunk技术

补充内容Eth-Trunk的技术背景（一）链路的瓶颈Eth-Trunk的技术实现Eth-Trunk的技术原理（一）手工负载分担模式（二）LACP模式1、LACP协议2、lacp-static3、动态协商4、接口的负载分担（1）逐流负载分担（1）逐包负载分担5、Eth-Trunk接口配置流程Eth-Trunk的配置1、手工负载分担模式2、使用LACP的模式Eth-Trunk的技术背景（一）链路的瓶颈单条链路的带宽无法满足整个园区的流量需求时，如果更换高带宽接口板则会增加维护设备成本；如果增加链路则需要.

原创 RSTP协议以及MSTP协议

补充解释RSTPSTP协议的缺点、存在的问题1、STP的问题及解决方法问题1）设备运行STP初始化场景解决方法：问题2）交换机有BP端口，RP端口down掉场景解决方法：问题3）交换机无BP端口，RP端口down掉场景解决方法：问题4）运行STP的交换机连接用户终端的场景解决方法：问题5）STP的拓扑变更机制解决方法：问题6）端口角色划分不充分解决方法：问题7）端口的状态有些重复、而且增加了转发延时解决方法：RSTP对STP的改进1、RSTP的其他操作1）次等BPDU的处理机制2）边缘端口的引入3）拓扑变更

原创 STP技术

补充解释STP技术产生的背景1、链路冗余2、环路的影响1）广播风暴2）多帧复制3） MAC地址表抖动生成树是如何实现的？STP的选举过程1、选举根桥1、选举根桥1、选举根桥1、选举根桥STP技术产生的背景1、链路冗余网络链路和设备的冗余性(避免网络不够健壮导致的 单点故障 )，链路的冗余会形成 交换网络的环路。2、环路的影响1）广播风暴广播信息在网络中不停地转发，直至导致交换机出现超负荷运转，最终耗尽所有带宽资源、阻塞全网通信耗尽交换机的带宽，导致正常的数据无法转发工程现场：如果发现交换机的

原创 VTP和GVRP

原创 trunk技术

一、Trunk 实现的原理VLAN标签长4个字节，直接添加在以太网帧头中，IEEE802.1Q文档对VLAN标签作出了说明。VLAN Identifier：VLAN ID，12比特，在X7系列交换机中，可配置的VLAN ID取值范围为0～4095，但是0和4095在协议中规定为保留的VLAN ID，不能给用户使用。在现有的交换网络环境中，以太网的帧有两种格式：没有加上VLAN标记的标准以太网帧（untagged frame）；有VLAN标记的以太网帧（tagged frame）。二、交换机的.

原创 ARP协议以及路由器相关整理

一、ARP 地址解析协议根据IP地址来解析MAC地址请求包目标MAC：全F，广播回复包目标MAC：单播ARP是二层数据包，不能跨广播域转发二、路由器1、TTL：IP包头中的一个字段，TTL值每进入一台路由器，TTL的值就会减少1，防止路由环路2、存在的表项：路由表：转发数据ARP的缓存表，数据包经过路由器的每个接口的时候，都要重新封装数据链路层要查询的表项：ARP缓存表3、接收到数据包的时候，首先解封装数据链路层：源MAC地址(ARP 的缓存表)，目的MAC地址(看目

原创 园区网以及VLAN技术

一、VLAN的编码范围二、VLAN知识点小结● 一个VLAN中所有设备处于同一广播域内,不同的VLAN为不同的广播域，一 个VL AN一般是一个IP网段，不同的VLAN规划到不同的IP网段；● 不同的VLAN之间二层隔离，广播不能跨越VLAN传播，因此不同VLAN之间的设备无法进行二层通信，需通过三层设备实现互通；● VLAN中成员关系多基于交换机的接口进行静态地分配，划分VLAN就是将交换机的接口添加到特定VLAN ；● VLAN工作于OSI参考模型的第二层，是二层交换机的一个非常根本的工..