![](https://img-blog.csdnimg.cn/20201014180756724.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
Linux/Unix
文章平均质量分 71
OpenSource SIM
开源安全运维平台OSSIM 布道师
展开
-
新手在Ubuntu 20.04系统中编译安装Snort+Barnyard+BASE的困惑
遇到这种问题,还是学习上面我的这门课程,通过视频一步步为大家讲解如何在遇到故障之前就做好铺垫(各种软件操作),问题关键出在libpcap上,网上其他资料都不会从这个点上分析问题,我会把处理细节留在课程里讲解,新手看完跟着做就能轻松搞定。对于新人而言安装这一关过了,下面要开始更复杂的Snort配置,打开snort.conf配置文件不知如何下手,在。接着我们准备安装Barnyard2,预编译通过之后,编译过程中遇到spo_alert_fwsam.o文件错误,在网上查阅很多资料都没有解决。原创 2023-06-21 11:10:06 · 538 阅读 · 0 评论 -
开源安全平台---SELKS实战
(大家在进行SELKS实战之前必须具备Elastic Stack的基础知识)1.什么是SELKS ?SELKS是Stamus Networks公司所开发的一个开源ELK项目,社区版是在GPL v3许可下发布,目的是实现一个开箱即用的IDS系统。社区版SELKS包括以下组件:字母缩写 组件名称 S Suricata E Elasticsearch L Logstash K Kibana S Scirus(社区版) 注:Scirius 社区转载 2021-01-05 15:13:04 · 1763 阅读 · 0 评论 -
ELSA企业日志归档查询应用
ELSA是一款基于syslog-ng、MySQL的开源企业日志归档查询工具,由于它和Sphinx的搭配还支持全文索引可以像搜索web一样轻松地搜索数十亿个日志中的任意字符串。如果你具备ELK实战经验的话,可以把ELSA理解为简版的ELK系统,结构简单,速度快。安装比较简单就不介绍了,下面直接切入正题。1.采集Windows服务器日志我们可以采用Eventlog-to-Syslog工具将Windows平台的日志发送到ELSA服务器方法:将evtsys.exe和evtsys.dll复制到系统目录下输原创 2020-12-09 17:33:50 · 683 阅读 · 1 评论 -
数据包嗅探
数据包嗅探 在交换网络环境中,根据数据包的目的地MAC地址,只将它们发送到其目的端口。这需要更加智能化的硬件,这些硬件能够创建并维护关联MAC地址和特定端口的表,依赖于该表将设备连接到每个端口。交换网络环境的好处是只将数据包发送给目的设备,因此混杂模式将不能窃听任何额外的数据包。但即使是在交换环境中,仍有巧妙的方法窃听其他设备的数据包;只不过它们更复杂一原创 2016-02-07 10:17:04 · 1374 阅读 · 0 评论 -
Socket嗅探
Socket嗅探上面几篇博文介绍了基础支持至此,在我们的代码示例中已经使用过流套接字了。使用流套接字发送和接收时,数据被简洁地包装在一个TCP/IP连接中。访问OSI模型的会话层(5),操作系统负责所有传输过程中的低级细节、纠错和路由。使用原始套接字可以在较低层对网络进行访问。在网络的较低层,程序员必须处理所有暴露出来的细节。通过使用类型SOCKRAW即可指定原始套接字原创 2016-02-07 09:45:44 · 1707 阅读 · 0 评论 -
网络嗅探技术
网络嗅探技术数据链路层上的交换(switched)网络与非交换(unswitched)网络之间也存在区别。在非交换网络中,以太网数据包经过网络上的每个设备,期望每个系统设备只查看以其作为目的地址发送的数据包。然而,将设备设置为混杂模式(promiscuous mode)是相当容易的,该模式允许设备查看所有数据包,而不管其目的地址是什么。大多数的数据包捕获程序,例如t原创 2016-02-07 09:17:34 · 4823 阅读 · 0 评论 -
了解网络底层信息
了解网络底层信息使用Web浏览器时,您不必考虑所有7个OSI层中的任何一个,这将允许您专注于浏览而不是协议。在OSI的较高层上,许多协议可以是纯文本,因为较低的层已经考虑了连接的所有其他细节。会话层(5)上有套接字,它提供了从一台主机向另一台主机发送数据的接口。传输层(4)上的TCP提供了可靠性和传输控制。网络层(3)上的IP提供了寻址和包级别的通信。数据链路层(2)上的以原创 2016-02-06 08:14:11 · 1508 阅读 · 0 评论 -
了解套接字Socket
了解套接字 套接字是通过操作系统(OS)完成网络通信的一种标准方法。可以将套接字看作是与连接相连的一个终端,就像是操作员配电盘上的一个插座一样。但是这些套接字只是程序员的抽象称呼,它们负责有文描述的OSI模型的所有基本细节。对程序员来说,可以使用一个套接字通过网络发送或接收数据。这些数据在较低的层(由操作系统处理)之上的会话层(5)传输,该层负责路由。有几种不同的套接字原创 2016-02-05 22:41:18 · 4089 阅读 · 0 评论 -
详解网络流量监控
详解网络流量监控 从网络体系架构来说,网络流量是基础。所有对网络的应用和网络本身的行为特点的研究都可以通过对网络流量的研究来获得。网络的行为特征可以通过其承载的流量的动态特性来反映,所以有针对性地监测网络中流量的各种参数(如接收和发送数据报大小、丢包率、数据报延迟等信息),能从这些参数中分析网络的运行状态。通过分析和研究网络上所运载的流量特性,有可能提供一条有效的探索网络内部运原创 2016-04-07 14:29:51 · 12393 阅读 · 0 评论 -
OSSIM平台安全事件关联分析实践
OSSIM平台安全事件关联分析实践 在《开源安全运维平台OSSIM最佳实践》一书中叙述到,事件关联是整个OSSIM关联分析的核心,对于OSSIM的事件关联需要海量处理能力,主要便于现在需要及时存储从设备采集到的日志,并能关联匹配和输出,进而通过Web UI展示。从实时性上看,关联分析的整个处理过程不能间断,这对系统的实时性要求较高,另外Ossim系统是基于规则的,Ossim内部原创 2016-04-07 14:32:18 · 1891 阅读 · 0 评论 -
快速安装可视化IDS系统 (带视频)
本节为大家介绍的软件叫安全洋葱Security Onion,根OSSIM一样,它是基于DebianLinux的系统,内部集成了很多开源安全工具,NIDS、HIDS、各种监控工具等等,下面我们就一起体会一下它如何进行深层防御。原创 2016-06-01 10:06:00 · 13137 阅读 · 0 评论 -
UNIX/Linux系统取证之信息采集案例
在UNIX/Linux系统取证中,及时收集硬盘的信息至关重要,《Unix/Linux网络日志分析与流量监控》一书中,将详细讨论各种常见系统进程系统调用及镜像文件获取方法。下面简单举几个例子。原创 2016-06-22 15:32:14 · 7451 阅读 · 2 评论 -
《开源安全运维平台-OSSIM最佳实践》已经上市
经多年潜心研究开源技术,历时三年创作的《开源安全运维平台OSSIM最佳实践》一书即将出版。该书用100多万字记录了作者10多年的OSSIM研究应用成果,重点展示了开源安全管理平台OSSIM在大型企业网运维管理中的实践。国内目前也有各式各样的运维系统,经过笔者对比分析得出这些工具无论在功能上、性能上还是在安全和稳定性易用性上都无法跟OSSIM系统想媲美,而且很多国内的开源安全运维项目在发布几年后就逐步淡出了舞台,而OSSIM持续发展了十多年。原创 2015-12-27 22:26:40 · 3838 阅读 · 0 评论 -
《UNIX/Linux网络日志分析与流量监控》2018年第三次印刷上市!
国内首部日志分析图书自2014年登陆中国图书市场以来,经过4年市场考验,图书内容广获好评,如今迎来了2018第三次印刷。经过精雕细琢的日志分析图书目前可以在京东、当当自营店预售。当当自营店:http://product.dangdang.com/23610475.html (5折 优惠活动截止2018-11-15)京东自营店 :https://item.jd.com/115...原创 2018-11-14 15:18:24 · 204 阅读 · 0 评论 -
手动打造Snort+barnyard2+BASE可视化报警平台
背景大家在安装基于Snort NIDS系统, 感觉很难,总是出错,其他安装Snort并不难,难的是准备工作做得不充分,如果你做的不好,在配置可视化报警时会遇到各种问题,例如:为什么Snort编译总报错? 为什么启动Snort后会立刻退出? Snort不报警怎么办? MySQL数据库里无法存储Snort报警怎么办? 浏览器打开ACID,里面一片空白怎么办? 看着别人安装成功了,我却...原创 2019-09-05 09:58:51 · 4057 阅读 · 0 评论 -
一个精简服务器
一个精简服务器一个Web服务器并没有必要比我们前面章节中创建的简单服务器复杂。接受TCP/IP连接之后,Web服务器需要使用HTTP协议实现更深层的通信。除了将处理连接的代码分隔到它自己的函数之外,下面列出的服务器代码几乎与简单服务器相同。这个函数处理来自网络浏览器的HTTP GET和HEAD请求。程序会在本地目录webroot中查找浏览器请求的资源并将它发送给原创 2016-02-06 08:06:01 · 891 阅读 · 0 评论 -
网络取证原理与实战
网络取证原理与实战一、分析背景网络取证技术通过技术手段,提取网络犯罪过程中在多个数据源遗留下来的日志等电子证据,形成证据链,根据证据链对网络犯罪行为进行调查、分析、识别,是解决网络安全问题的有效途径之一。目前,传统的计算机取证模型和方法比较成熟,而应用于大数据时代则需要OSSIM等集成分析平台对海量数据尽心网络取证分析。二、取证分析特点网络取证不同于传统的计算机取证,主要侧重于对网原创 2015-06-09 14:05:59 · 4765 阅读 · 0 评论 -
加固Samba安全三则
加固Samba安全三则一 、从基本访问控制入手Samba本身具有IP访问过滤功能。.Samba的配置文件/etc/samba/smb.conf中,host allow/deny选项规定了哪些lP的主机可以访问Samba服务:hosts allow =192.168.0.127上面这一行表示允许192.168.0.*段的主机和环路(Loopback)接口是可以连接Samba服务的。在这里, “.” 是通配符,192.168.0.和127.分别表示192.168.0.* 和127.*.*.* 的lP。hosts原创 2011-02-12 16:36:00 · 1305 阅读 · 0 评论 -
Linux下汇编调试器GDB的使用
Linux下汇编调试器GDB的使用 GDB 是GNU开源组织发布的一个强大的Linux/Unix下的程序调试工具。大家是否早已习惯了Windows下图形界面方式像VC、BCB等IDE的调试器,但如果你是在Linux平台下做软件调试,你会发现GDB这个调试工具有比VC、BCB的图形化调试器更强大的功能。先来看个实例:reader@cg:~/source $ gdb -q原创 2011-12-22 21:18:50 · 894 阅读 · 0 评论 -
《Linux企业应用案例精解》已出版
《Linux企业应用案例精解》3月底已出版主要板块分布如下:http://video.sina.com.cn/v/b/72754003-1443650204.html原创 2012-03-18 15:18:42 · 1028 阅读 · 0 评论 -
pfSense安装视频教程
pfSense安装视频教程http://video.sina.com.cn/v/b/73333887-1443650204.html原创 2012-03-21 16:10:57 · 1641 阅读 · 0 评论 -
欢迎参加51CTO的技术门诊《OSSIM,企业信息安全管理利器》讨论
第242期OSSIM,企业信息安全管理利器门诊时间:2012年4月11日—4月18日本人针对6个讨论热点问题做出了详尽回答※如何在单机安装Ossim? ※ 如何在企业内网部署Ossim? ※ OSSIM能解决企业网络管理中的什么问题? ※ OSSIM如何解决网络安全问题? ※ OSSIM如何集成开源的监控软件? ※ 学习OSSIM如何入门? 参与讨论地址:h原创 2012-04-17 12:55:34 · 2095 阅读 · 0 评论 -
原创 Oracle RAC系统安装视频教程
原创 Oracle RAC系统安装视频教程Oracle RAC即实时应用集群(在9i以前我们叫他OPS)它可以实现在低成本服务器上构建高可用性数据库系统是Oracle新版数据库中采用的一项新技术,它既是高可用性的一种,也是Oracle数据库支持网格计算环境的核心技术。有关设置Oracle Rac的文字图片资料在网上也有很多了,有的可以有的滥竽充数,为了方便大家学习,本人近期特意为初学者制作原创 2012-05-05 14:10:03 · 2186 阅读 · 4 评论 -
Linux平台Snort入侵检测系统实战指南
Linux平台Snort入侵检测系统实战指南首发:http://safe.it168.com/a2012/0731/1379/000001379177.shtml我们都知道,企业的网络目前威胁主要来自两个位置:一个是内部,一个是外部。来自外部的威胁都能被防火墙所阻止,但内部的攻击都不好防范。因为公司内部人员对系统了解很深且有合法访问权限,所以内部攻击更容易成功。 IDS为信息提供保护原创 2012-08-09 10:59:54 · 2397 阅读 · 0 评论 -
《Linux企业应用案例精解》样章
作者视频教程发布:http://www.tudou.com/home/_117459337/目录 目录第6章 FTP服务器配置案例6.1 Linux下VsFTP和ProFTP高效集成6.1.1 软件安装(1)6.1.1 软件安装(2)6.1原创 2012-11-27 18:24:55 · 1235 阅读 · 0 评论 -
Windows 下如何安装配置Snort视频教程
Windows 下如何安装配置Snort视频教程:第一步:http://www.tudou.com/programs/view/UUbIQCng360/第二部:http://www.tudou.com/programs/view/NqcPETQk2n8/原创 2013-09-26 19:11:46 · 2586 阅读 · 0 评论 -
程序设计应知道的那些事儿
1.什么是程序设计程序设计是一个非常自然和直观的概念。程序仅仅是用某种具体的语言写出的一系列语句。程序随处可见,即使是在对技术充满恐惧的社会每天也会用到程序。驾驶路线说明、烹饪菜谱、足球比赛以及DNA都是形形色色的程序。计算机生来并不懂英语,它只能理解机器语言。为了指导计算机做某事,指令必须用机器语言写出。然而,通晓机器语言的人很少且机器语言难以使用——机器语言由原始的比特和字节组成,而且随着原创 2013-09-26 19:02:27 · 1018 阅读 · 0 评论 -
程序设计应知道的那些事儿之函数
程序设计应知道的那些事儿之函数1函数 有时,程序员知道他需要多次使用同一组指令。可以将这些指令组合到一个被称为函数的较小的子程序中。在其他语言中,函数被称为子例程或程序。例如,控制汽车转向的动作实际上包含许多较小的动作:打开适当的转向灯、减速、查看迎面驶来的车辆、向合适的方向打方向盘等。本章开头介绍的驾驶路线说明需要相当多的转向,但是,列出每一个转向的短指令会使人觉得冗长乏味(并原创 2013-09-26 19:15:41 · 801 阅读 · 0 评论 -
参加中国系统架构师大会感悟
今年秋季又一次受邀参加了中国架构师大会,参会者来自金融电信、制造业、政府、电视、交通、医疗、教育等行业的IT从业者,绝大多数是来自企业的技术总监、运维总监、技术主管、技术骨干。 图1 大会现场虽然是年末才发这篇博文但不算晚还是值得纪念一下,此次大会对大数据和云架构和腾讯百度的架构做了比较多的讲解,京东、亚马逊都带来了新技术新亮点由于时间关系只听了1天的会议,非常之可惜!记得去年原创 2014-03-19 09:36:47 · 1227 阅读 · 0 评论 -
《Linux企业应用案例精解(第2版)》新书发布啦
本书在出版当年就获得了不错的销量,同时被中国科学院国家科学图书馆、中国国家图书馆、首都图书馆、清华大学、北京大学等上百所国内综合性大学图书馆收录为馆藏图书,在IT业界赢得了良好的口碑。原创 2014-03-18 14:58:23 · 1538 阅读 · 1 评论 -
iptables日志探秘
iptables日志探秘防火墙的主要功能除了其本身能进行有效控制网络访问之外,还有一个很重要的功能就是能清晰地记录网络上的访问,并自动生成日志进行保存。虽然日志格式会因防火墙厂商的不同而形态各异,但被记录下的主要信息大体上却是一致的。无论是后面我们谈到的PIX、ASA或是CheckPoint放火墙其产生的日志内容均类似。这就表明,任何连接或者请求,例如TCP、UDP、ICMP连原创 2014-12-30 21:45:27 · 1604 阅读 · 0 评论 -
Apache日志统计
Apache日志统计举例加些来了解一下如何统计Apache的访问日志,一般可以用tail命令来实时查看日志文件变化,但是各种的应用系统中的日志会非常复杂,一堆长度超过你浏览极限的日志出现在你眼前时,你会觉得非常无奈,怎么办呢?这时可以用grep、sed、awk和sort等筛选工具帮助你解决这个问题。下面总结了几个常见分析方法。(1)查看IP($1代表IP)#cataccess_lo原创 2015-01-03 21:29:20 · 1998 阅读 · 0 评论 -
开源许可证大检阅
据IDC最新发布的报告《中国Linux市场2009—2013年预测与分析》显示了2008年中国Linux总体市场收入增长率为26%,随着Linux在市场营销上的巨大成功,开源软件走进了公众的视野。在我国,开源软件的技术价值、应用价值和管理价值也逐步得到人们的认可,特别是为了发展民族软件产业和抵制大公司垄断,在政府、企业和一些有识之士的共同推动下,开源软件在中国也有了相当高的知名度。那么是否软件一开源就万事大吉,可以恣意妄为了呢?答案并不是这样。在开源领域,有着许多不同的知识产权许可证,每一个许可证都有着自己原创 2011-02-10 09:56:00 · 1053 阅读 · 0 评论