- 博客(363)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 基于全局流表的流异常检测机制
一、引言随着信息化的快速发展,攻击者越来越多地有针对性地对某些企业发动有利可图的攻击,如探查内部消息、进行破坏或窃取数据等,而单一的安全防护手段很难防范这些复杂攻击。其一,攻击者采用多种高级攻击手段,普通的检测机制不能有效及时检测到威胁;其二,通过持续渗透,攻击者获得内部资源的权限或内部用户的身份,便会绕过白名单机制。综合而言,对抗持续高级威胁,应该采用多种防护手段,灵活地通过...
2019-09-05 09:44:42
552
原创 安全应用超市:购君所需,付君所用
刘文懋 行盼宁摘要:安全应用超市是一种新型的安全产品交付和运维模式,通过云端商店可有效管理客户多个环境的安全应用,借助软件定义的安全架构可快速部署和更新安全应用, 1 背景当前企业安全公司的产品交付模式大致有两类,第一类是以硬件设备的模式,即客户根据销售对产品的介绍,选择符合要求的硬件设备,然后由工程团队将该设备部署在客户网络的特定位置,最后调试完上线;第二类是以服务或咨...
2019-09-05 09:44:11
424
原创 浅谈网络虚拟化安全
摘要:本文简要介绍了网络虚拟化的发展,分析了网络虚拟化方面的一些安全问题,并给出了一些可行的措施 关键字 网络虚拟化 安全 SDN OpenFlow经过多年的技术准备和商业模式探索,云计算已然进入快速发展的阶段。当前有不少大型数据中心和的企业IT系统可为云计算提供设施级别的强大支撑平台,然而业务快速增加给数据中心和大型企业的复杂网络管理带来了极大的挑战。网络虚拟化技...
2019-09-05 09:43:19
5337
原创 SOAR:软件定义安全之编排篇
摘要:自动化编排已经成为行业内讨论很多的话题,但自动化编排的场景、如何实现自动化编排,还在探索中。本文从软件定义安全的角度,讨论了安全编排的必要性、关键支撑技术、实现架构和发展方向。关键字:安全编排 软件定义安全一,安全为什么要编排1.1 什么是软件定义安全Gartner自提出了软件定义安全的理念,为安全防护指出了一个可行的方向。软件定义安全连续xx被列入了十大新技...
2019-09-05 09:40:46
8149
2
原创 Linux hook函数简单实践
#起因最近对hook函数比较感兴趣,希望能捕获所有某种系统调用,看网上有一篇文章(http://opensourceforu.com/2011/08/lets-hook-a-library-function/) 介绍hook malloc函数,但可能内核实现不同,4.4.0上有问题。特写一篇文章进行更新。原文中,hook函数中调用printf,其实printf、fprintf等函数都会...
2017-09-27 08:21:34
1668
1
原创 软件定义安全一书勘误
写在篇首《软件定义安全-SDN/NFV新型网络的安全揭秘》一书自推出后受到读者欢迎,很快就要重印,借此机会会修正文中一些错误。本文将持续更新,避免误导读者。第一次印刷:P44:本节阐述了OpenFlow等南北向协议中的安全问题勘误:本节只讨论了南向协议。应为:“本节介绍了OpenFlow等SDN南向协议及其存在的安全问题,SDN北向协议目前还没有统一的标准,一般北向协议语义上采用如...
2016-12-07 02:09:23
146
原创 Kubernetes对外服务
Kuberntets介绍Kubernets是一个Google主导的机群管理系统,目前底层可以使用Docker,实现Docker实例的应用编排。Kubernets的介绍很多,本文简单介绍安装和使用的过程。更多资料可参考Kerbernets官网。Kuberntets安装Kubernets可以在虚拟机VM或安装Linux的服务器上安装,本文以Ubuntu Server服务器为例,详细可参见...
2016-10-16 15:15:46
363
原创 Protected: 如何做与openstack对接的用户验证
This content is password protected. To view it please enter your password below:Password:
2016-08-01 08:06:15
216
原创 Django国际化
本文在django 1.7验证过1 在项目settings.py中添加两行(+表示添加行):+ LOCALE_PATHS = (BASE_DIR+ "/locale",)MIDDLEWARE_CLASSES = ( 'django.middleware.common.CommonMiddleware', 'django.contrib.sessions.middle...
2016-04-07 02:38:54
176
原创 创新沙盒:“软件定义安全”不再是实验室产物
自从著名咨询机构Gartner在《The Impact of Software-Defined Data Centers on Information Security》 一文中提出软件定义安全(Software Defined Security,SDS)的概念后,软件定义与安全的结合已成为业界的前沿发展热点。背后的原因很直观:软件定义安全强调了安全控制平面与数据平面分离,从而在控制平面上...
2016-03-01 14:33:41
246
原创 Ubuntu下openvswitch添加tcp监听
本来这不应该是什么值得写的内容,不过有些需要hack一下,所以还是记一下为好。Ubuntu下面的openvswitch默认是开启punix(被动监听unix)进行管理ovsdb的,那么就不能查看和控制远程主机的ovsdb,openvswitch其实还可以开启ptcp或pssl模式,就可以打开远程的访问(当然存在风险,需假设控制网络是可信的)。不过配置文件(/etc/default/op...
2015-11-19 07:06:35
288
原创 在宿主机中用ovs连接内网vm
经常需要做实验验证VM的性能,那么实验环境为:H是一个物理主机(物理网卡网段为192.168.19.0/24),H中启动一台VM,VM的一个管理口eth-M配有私网ip(网段100.100.100.0/24),并连接到一个OVS桥br-test上。现在需要在H中直接连接VM。一个直观的想法是直接ping VM,但VM与宿主机的主IP不是一个网段,所以不能直接通信,需要一个网关GW。那就直...
2015-02-12 14:29:43
630
原创 使用cloud-init实现虚拟机信息管理
为什么要用cloud-init不同种类的设备VM启动总是一件非常麻烦的事情,例如安全设备有WAF、IPS等,每种设备的网络接口、启动脚本互不一样,即便同一种设备,其主机名、网络地址等也不一样。那么如何对这些VM启动过程进行管理,并完成所有数据的配置呢? 在这之前,我的实习生是怎么做的:将一台VM的管理口网络地址设置为192.168.2.100,然后每次启动实例之后定时访问http://...
2014-12-26 17:43:47
995
原创 Openstack节点网卡连Cisco交换机出现环路的处理
前一阵子部署了两台Openstack的计算节点,奇怪的是每隔一段时间连管理网的网卡eth0灯不亮,交换机上对应的19端口灯变橙色,登陆上去一看,eth0显示:2: eth0: mtu 1500 qdisc mq master ovs−system state DOWN mode DEFAULT group default qlen 1000运行ip link set eth0...
2014-12-18 08:36:09
260
原创 openstack icehouse update errors
最近将Openstack从havana升级到icehouse,总体问题不大,但是还是有点小问题,花了一点时间。1 密钥过期,keystone的密钥提示过期。如nova提示:2014-04-29 10:52:14.074 27081 WARNING keystoneclient.middleware.auth_token [-] Verify error: Command ‘opens...
2014-04-29 11:25:54
118
原创 Openstack中构造伪造源地址攻击
前一篇是将防御,这一篇简单说一下openstack下如何发动伪造源ip的DoS攻击1 修改iptables和ebtables的设定,例如攻击vm为100.0.0.17,那么查询相应的iptables规则:neutron port-list |grep 17| 091f121f-8cd7-4a02-b1d8-53866ab25d3d | | fa:16:3e:f7:9d...
2014-02-10 11:53:33
194
原创 Openstack中伪造源地址攻击的防御
背景:Openstack在H版之前的时候,租户可以租用虚拟机发动DoS攻击,很多攻击的方式是伪造源地址。还有别的攻击,如ARP攻击等等,都是通过伪造源MAC或IP地址实现的。本文简单介绍一下openstack中抵御虚假源地址的攻击。这种攻击的特点是攻击者从虚拟化系统内部发起,攻击目标可能是公网主机,或者是内网的主机。对于前者的防御比较容易,只需要在物理网络边界就可以部署安全设施进行检测和...
2014-01-15 17:37:49
423
原创 neutron中一种常见网络不通的现象,附修复脚本
neutron中经常发现vm ping不通网关,我发现很多情况是因为ovs-plugin没有将qvb连接到qbr桥上,所以解决办法也很简单,就是将其连上,即将qbr设为master。具体的neutron、ovs、veth和iptables等就不展开讲了,具体可以看下图当一个vm启动或被硬重启之后,tap接口(当使用gre模式时为tap)和qbr桥会被自动创建,而且tap的master...
2013-12-20 15:44:20
482
原创 主动查询ovs的信息
openvswitch的flow信息获取途径现在通常是通过命令行CLI的方式(ovs-ofctl),或是部署agent,如neutron-ovs-agent,但通常这两种方法都需要在ovs所在的节点上部署,比较麻烦。还有一种办法是网络controller通过openflow协议获取ovs的信息(如流信息),不过其负载就加重了。那么能否模拟网络controller的功能去获取流信息呢?当然...
2013-12-10 18:13:21
303
原创 用REST获得openvswitch ovsdb的信息
客户端可以通过ovsdb定义的协议访问openvswitch的数据库,协议在http://tools.ietf.org/html/draft-pfaff-ovsdb-proto-02,看来要成为ietf的标准了?怎么查询这些数据其实有一个样例,但是比较简单,我这里略作扩展,说明如何查询ovs的网桥、所连controller和流信息。准备工作因为ovs需要认证(公钥)才能访问其数据,...
2013-12-10 17:55:27
427
原创 Floodlight的流量控制
floodlight在bigswitch退出opendaylight后算是活过来了,新的版本在负载均衡中加入了一些机制,可以参见net.floodlight.loadbalancer不过我关心的是FL对流量的控制,特别是判断packet_in速率的机制,这个在前几个月的Floodlight是没有的。现在FL的处理机制是在收到packet_in数据包后,首先判断是否超过阈值,在input...
2013-08-20 14:31:18
647
1
原创 Floodlight路由机制解析
路由部分是floodlight最核心的机制,这两天仔细读了一下floodlight这部分的代码,总算有了大体上的了解,与各位分享。本文中的floodlight(FL)与控制器/网络控制器(NC, nework controller ) 等术语等同,交换机(SW)默认为openflow-enabled switch,不再赘述。首先谈一下SDN控制器的路由原理:当交换机收到一个不能被当前流...
2013-08-15 11:45:49
474
原创 raspberry wlan0 ifconfig fail
树莓派的wifi网卡总是上不了网,搞了很久都找不到解决办法提示错误是当运行ifconfig wlan0分配ip时出错:[20014.112395] wlan0: deauthenticating from xxx by local choice (reason=3)但是lsusb时发现设备还在,应该不是电源的问题,百思不得其解google了很久终于发现当前居然有wpa的进程(我的w...
2013-08-02 00:09:05
300
原创 ubuntu 12.04上安装puppet
发现官方的说明问题很多,不过全做一个参考吧puppet的agent端安装没有问题,但是master涉及到postgresql数据库的配置,简单运行puppet-enterprise-installer会出错我在安装目录的answers目录下发现很多配置文件,其中full_suite_existing_postgres.sample最符合master的需求,于是将其复制到安装的根目录,修...
2013-07-29 08:55:34
86
原创 General Design Issues of the Internet
刚刚看到RFC1958上面关于Internet设计的一些原则,觉得对现在的系统设计都很有启发,摘录如下: 3.1 Heterogeneity is inevitable and must be supported by design. Multiple types of hardware must be allowed for, e.g. transmission spe...
2013-07-25 17:16:19
101
原创 nova实例僵死的解决办法
openstack grizzly的nova模块还是有时候不稳定,异常时可能会出现一些实例僵死在soft reboot和hard reboot中,就算过几天还是这个状态,在horizon界面中唯一的办法是terminate这些实例,但是如果有数据怎么办?这个问题还不能直接从命令行搞定:# nova reboot –hard 366a2e92-9483-4074-984d-7ec0de1...
2013-07-25 11:41:45
640
原创 [openstack]NAT gateway和port不一致导致VM不能到外网
当VM设置完floatingip后,VM还是不能连接外网,排查原因,发现是quantum中设置的问题:quantum中设置外网为192.168.19.129/25,不设网关,allocation_pools为{“start”: “192.168.19.130”, “end”: “192.168.19.254”}。root@controller:/usr/src/nova# ip net...
2013-07-16 16:37:39
614
原创 VM上不了网的一个原因
Openstack中VM上不了网有很多原因,今天遇到一个,其实之前也遇到过,只是不熟了才调试了半天,悲剧。。。现象:VM联网速度很慢,例如apt-get update能连上主机,但是半天下载不了多少东西调试:因为VM能上网,所以开始以为是quantum的l3问题,在命名空间下查看iptables和route,均没有问题。。root@controller:/usr/src/nova# ...
2013-07-16 15:28:47
433
原创 Floodlight REST module
1 download jackson, restlet lib2 create AntiDDoSResource extending ServerResource public class AntiDDoSResource extends ServerResource { @Get("json") public Object handleRequest() {...
2013-07-01 14:35:10
116
原创 floodlight ignore subnet gateway due to PORT_DOWN and LINK_DOWN
Liu Wenmao May 7to openstackhiI use quantum grizzly with namespace and floodlight, but VMs can not ping its gateway. It seems that floodlight ignore devices whose status is PORT_DOWN or LINK_D...
2013-06-28 17:31:11
144
原创 git over http and the first repos push
Apache virtual host setupcat /etc/apache2/sites-enabled/git<VirtualHost 192.168.1.1:80>ServerName git.expr.nsfocusDocumentRoot /var/www/git/SetEnv GIT_PROJECT_ROOT /var/www/git/...
2013-06-26 09:42:07
120
原创 Floodlight加载和运行模块的原理
这两天简单看了一下Floodlight的模块机制,大概了解了其插件的机制和流 程,编写了一个非常简单的模块,为大家分享一下Floodlight加载和运行模块的原理Floodlight的入口是net.floodlightcontroller.core.Main, 在这个类的main函数中,使用FloodlightModuleLoader加载所有的模块,然后再 调用net.floodlig...
2013-06-20 10:09:18
460
1
原创 魔高一尺,道高一丈
背景:街道阿姨告诉我党员学习搞积分,上某先锋网一个,满90分钟为止,鼠标不动就不算时间。反人类啊!码农背景的我仔细看了一下计时相关的部分,用js实现。于是上个月写了一行代码,用chrome+javascript书签搞定了。参见以前我发的微博链接这个月一看,发现代码重写了,增加了阅读页数限制,究竟是哪个天杀的码农,难道看到我的微博了?更发指的是还增加了浏览器限制,为了自己的便利一遍一遍地...
2013-06-08 14:28:38
138
原创 爱开源,恨开源
这种感觉是一直伴随着将代码开源是需要强大的内心的附使用floodlight时做的三处bug report。其一 namespace导致路由失败其二 不支持二层设备的发送导致link其三 OF link linkCNN ...
2013-06-08 09:48:24
95
原创 801.11p与其他801.11协议的区别
801.11p与其他801.11协议的第一个区别在于,STA可以不在BSS的通信范围内。如果outsid dot11OCBEnabled 被设置,那么STA和BSS就可以通信,这样可以减少两者建立连接的时间。dot11OCBEnabled 表示在BSS环境外部欧洲有同样的标准 portal.etsi.org/docbox/STF/STF373_ITS5_security_5GHz/STF...
2010-11-02 02:19:00
375
原创 latex的两栏论文中插入一栏并排图像
还是wikipedia有用,在这里。具体的是:usepackage{subfig} begin{figure} centering subfloat[A gull]{label{fig:gull}includegraphics[width=0.3textwidth]{gull}} subfloat[A tiger]{label{fig:tiger}...
2010-08-29 07:39:00
4088
原创 latex使用遇到的一些问题
用texlive编译中,遇到一些问题,在此记录一下。1 不要使用smartdraw的eps导出,发现sd导出的eps效果非常差,不如直接用png导出,尺寸为200%,然后使用latexlive的bmeps命令,参数为-c png文件 eps文件,-c是表示转换为彩色的eps文件。2 用eps的时候,不要用pdflatex,后者不支持eps3 引用参考文献上标可以建立新命令upcite...
2010-07-30 03:52:00
252
原创 移植成功
搞定了从wordpress导入到blogger中的工作。实验室貌似把机器弄down了,估计东西都没了。拜wp的插件所赐,我还有blog的备份(看了一下,整个2009-2010好像都没写……)。wp到blogger的转换工具支持的是wp的导出文件,而非备份的sql文件,所以还需要搭建一个本地的wp站点。弄完了发现老是乱码,后来才发现,原来备份的sql文件中的数据库建立选择的编码是lati...
2010-07-26 04:48:00
116
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人