安全
文章平均质量分 81
lepton126
有理想有底线
展开
-
PF_RING 安装及测试(并行下载jdk)
一、卸载当前系统的 libpcap和 tcpdump[root@node11]rpm -e libpcap[root@node11]rpm -e tcpdump二、检查当前系统环境[root@node11]# cat /etc/redhat-releaseCentOS Linux release 7.5.1804 (Core)三、安装相关软件包[root@node11]# yum install bison[root@node11]# yum install flex[...原创 2021-04-06 09:12:32 · 1117 阅读 · 0 评论 -
安装arkime(moloch)需要注意的几个问题
一、版本问题 Name Version Min upgrade from ES Versions Special Instructions Notes Arkime 2.7+ 2.0.0 7.4+ (7.9.0+ recommended, 7.7.0 broken) ES 7 ins原创 2021-02-24 10:38:25 · 2638 阅读 · 0 评论 -
更改MTU解决docker pull不成功的问题
在进行Malcolm安装测试时,首先更换为中科大的docker源,在执行pull时,始终报错alice@node0x09:~/Malcolm$ docker-compose pullPulling elasticsearch ... donePulling kibana ... donePulling elastalert ... waitingPulling curator ... waitingPulling logstash ... do...原创 2020-11-24 10:13:30 · 1554 阅读 · 2 评论 -
在qemu环境下,实现宿主机和虚拟机之间的数据传输
qemu为测试环境,在该环境下没有开通网络接口,所以在与宿主机的进行数据传输时,采用挂载伪设备的方式来实现的,在unxi环境下,the loop device被称为伪设备(pseudo-device),它可以让我们象访问块文件一样访问一个文件,在实际操作中,当loop与一个文件连接时,就为用户提供一个访问的接口,如果该文件是一个文件系统,它就可以象外挂磁盘一样用mount装载起来。基于上述设想,所以可以在宿主机和虚拟机上mount装载同一个伪设备来实现共享存储空间。1、使用dd命令创建文件...原创 2020-10-22 12:01:12 · 4211 阅读 · 2 评论 -
ZEEK(bro)基础实践三
处理指定行或以下几行的shell脚本awk '/^[a-z]$/{print NR}' file.txt > line.txtNUM=`cat line.txt | wc -l`a=$[NUM-1]for i in `seq $a`do NR=`sed -n "${i}p" line.txt` NR2=`sed -n "$[i+1]p" line.txt` ...原创 2020-04-03 10:02:21 · 1233 阅读 · 0 评论 -
ZEEK(bro) 基础实践二
以用户zeek运行/opt/zeek/bin/zeek -r test.pcap -C ja3.zeek file_extraction.zeek其中ja3.zeek和file_extraction.zeek可从 github上下载ja3用于提取ssl/tls指纹file_extraction.zeek用于从http中解压gzip...原创 2020-03-16 10:24:50 · 1206 阅读 · 0 评论 -
bro日志详细说明 6/6
原创 2020-03-09 11:28:54 · 355 阅读 · 0 评论 -
bro日志详细说明 5/6
原创 2020-03-09 11:28:11 · 300 阅读 · 0 评论 -
bro日志详细说明 4/6
原创 2020-03-09 11:27:13 · 457 阅读 · 0 评论 -
bro日志详细说明 3/6
原创 2020-03-09 11:26:30 · 334 阅读 · 0 评论 -
bro日志详细说明 1/6
原创 2020-03-09 11:24:19 · 537 阅读 · 0 评论 -
ZEEK(bro) 基础实践 一
识别分隔符$head -n 1 conn.log#separator \x09$echo -n -e 'x09'|hexdump -c000000 \t000001使用分隔符$awk '{print $12}' notice.log|tail$awk -F '\t' '{print $12}' notice.log|tail实现水平展示$less conn.lo...原创 2020-03-08 20:17:22 · 791 阅读 · 0 评论 -
zeek(bro) 脚本学习 三
参考https://blog.csdn.net/roshy/article/details/88827716zeek(bro)读取pcap包后,缺省状态输出数个log文件,主要分以下几个类别:诊断日志:capture_loss.log、loaded_scripts.log、stats.log、packet_filter.log会话日志:conn.log告警信息:weird.log ...原创 2020-02-20 19:56:32 · 2490 阅读 · 0 评论 -
zeek bro 之 conn.log中的conn_states具体含意
S0 Connection attempt seen, no reply. 尝试连接,未应答 S1 Connection established, not terminated. 建立连接,未结束。 SF Normal establishment and termination. Note that this is the same symbol as for state ...原创 2020-01-19 17:19:07 · 1368 阅读 · 0 评论 -
bro 流量分析
浅析bro网络流量分析 https://www.secpulse.com/archives/73882.html浅析bro网络流量分析 https://blog.csdn.net/qq_27446553/article/details/81351184linux信息收集/应急响应/常见后门检测脚本 https://github.com/al0ne/Lin...原创 2020-01-18 10:27:57 · 761 阅读 · 0 评论 -
pcap空文件为什么会有24字节?
pcap空文件有24节是因为有文件头文件头 24字节 数据报头 + 数据报数据包头为16字节,后面紧跟数据报数据报头 + 数据报 ......pcap.h里定义了文件头的格式struct pcap_file_header { bpf_u_int32 magic; u_short version_major; u_sho...原创 2019-11-05 10:06:21 · 485 阅读 · 0 评论 -
tshark的抓包和解析,使用命令行案例
https://www.cnblogs.com/classics/p/10417419.htmla、解析dhcp抓包文件-r 读抓好的数据包文件tshark -r 数据包路径 -Y 过滤条件基本上可以运用 wirshark上的过滤条件查找中继后dhcp discover src ip 报文tshark-r E:\testpacket\testdhcp.pcapng -...原创 2019-11-04 14:35:20 · 1582 阅读 · 0 评论 -
zeek(bro) 脚本学习 二
load 语句,缺省路径 :<prefix>/share/bro<prefix>/share/bro/policy<prefix>/share/bro/site在bro version 2.6.3 版本中,缺省路径为 <prefix>/share/bro/policy[root@clusternode zeekbro-code]#...原创 2019-10-31 08:12:32 · 924 阅读 · 0 评论 -
zeek(bro) 脚本学习 一
https://www.zeek.org/官网 https://docs.zeek.org/en/stable/script-reference/log-files.html log文件字段名详解 安全套接字SSL或者是安全传输协议TLS是当今网络使用的重要加密协议,ZEEK(BRO)是一款经典网络安全分析架构,是分析加密数据有力工具,和大多数编程语言一样,ZEEK...原创 2019-10-18 15:29:51 · 2363 阅读 · 3 评论 -
利用hadoop+hive抽取pcap源地址、目的地址、源端口和目的端口等相关数据
一、相关文档下面先参阅下相关文档的内容:http://www.cs.virginia.edu/hendawi/materials/PID4565219.pdfThe CAIDA anonymized Internet traces [5] weused consistsof traffic spanning 3 years (2012-2014).CAIDA 匿名网络跟踪使用了跨越原创 2017-08-04 16:46:48 · 1333 阅读 · 0 评论 -
利用centos系统yum命令为redhat升级bash
如何为redhat5升级bash,防止bash漏洞呢,参阅http://down.51cto.com/data/1942011、到centos官网下载 yum-3.2.22-40.el5.centos.noarch.rpm、yum-metadata-parser-1.1.2-4.el5.i386.rpm、python-iniparse-0.2.3.6-el5.noarch.rpm、yum-原创 2014-09-29 10:47:00 · 2413 阅读 · 0 评论 -
xl2tpd服务一键安装
本脚本适用环境:系统支持:CentOS6+,Debian7+,Ubuntu12+内存要求:≥128M更新日期:2017 年 05 月 28 日关于本脚本:名词解释如下L2TP(Layer 2 Tunneling Protocol)IPSec(Internet Protocol Security)IKEv2 (Internet Key Exchange v2)能实现 IPsec ...转载 2019-02-21 10:24:05 · 3052 阅读 · 0 评论 -
Moloch学习笔记
简介: Moloch并不是用以代替的入侵检测系统的。Moloch是意在为pcap文件提供一个快速索引的能力。Moloch为快速分析安全事件建立了一个更直接的界面。搜索栏: 大多数的Moloch版本在页面的上部都有一搜索栏。通过下拉框的不同选项可以准确设置数据包起始时间点,因为每一个会话过程都有第一个包,最后一个包和整个会话的数据时间戳,Moloch为不同的情况提供了不同的...原创 2018-11-26 08:32:05 · 4819 阅读 · 0 评论 -
利用moloch 网络回溯系统读取pcap文件
一、安装moloch 的环境 [root@clusternode0x86 moloch]# uname -r ...原创 2018-11-09 11:46:41 · 2289 阅读 · 0 评论 -
tcpdump 参数详解
tcpdump采用命令行方式,它的命令格式为:tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ] [ -C file_size ] [ -F file ] [ -i interface ] [ -m module ] [ -M secret ] [ -r file ]转载 2015-11-22 16:46:48 · 948 阅读 · 0 评论 -
产生随机文件并加解密
因测试需要,需对随机文件并加解密[root@test]# cat /dev/urandom | sed 's/[^a-zA-Z0-9]//g' | strings -n 8|head -n 10q09zp7Zw0T75nYDYHGRl2A0DkJ21n5sqXlS7bPTWvTOAgVNQxbyLt5Tsp0cjAnXbKScQ6h4M9Q7CfiqnH原创 2015-05-15 11:15:58 · 441 阅读 · 0 评论 -
powershell 针对日志的实例
C:\PowerShell\AppendixB> get-eventlog -listMax(K) Retain OverflowAction Entries Name------ ------ -------------- ------- ----512 7 OverwriteOlder 486 Application512 7 OverwriteOlder 0 Internet原创 2015-01-23 08:06:15 · 1330 阅读 · 0 评论 -
服务器遭受攻击后的一般处理过程
安全运维之:服务器遭受攻击后的一般处理过程 2014-09-22 11:45:43标签:服务器程序 安全防护 网络连接原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://ixdba.blog.51cto.com/2895551/1556862推荐:10年技术力作:《高性能Linux服务器构建实转载 2014-09-30 14:38:45 · 585 阅读 · 0 评论 -
DNS传文件
客户端: 192.168.1.29服务器: 192.168.1.23, 跑着bind9 DNS服务在客户端,准备一个纯文本文件:1client$ cat > loremipsum.txt 2> Lorem ipsum dolor sit amet, consectetur adipisicing elit, sed转载 2014-03-13 09:36:25 · 850 阅读 · 0 评论 -
ssh 反向代理举例
实验:1、测试pc至 192.168.1.98:80,使用浏览器访问192.168.1.98:80正常页面2、在192.168.1.97机器上输入 Ssh –f –N –L 0.0.0.0:2001:192.168.1.98:80 test@192.168.1.102 ssh -N -L2001:remotehost:80 user@somemac原创 2013-03-25 16:10:59 · 4213 阅读 · 0 评论 -
p3:An open source pcap packet and NetFlow file analysis tool using Hadoop MapReduce and Hive.
Yeonhee lee p3 is tool for trafficprocessing in scalable way, which adopts Hadoop as its platform. p3 consists of:Traffic Collector流量采集器 Packet Analyzer (Mappers & Reducers)包分析器(Ma翻译 2016-05-13 17:35:08 · 1053 阅读 · 0 评论 -
在线linux 系统初步取证
在线unix/linux 系统初步取证下面我们来做个实验取证对像是192.168.1.101,收集数据的机器是192.168.1.97在192.168.1.101上运行[root@PowerLeader /]# (ps aux;lsof)|nc 192.168.1.97 10005 -w 3在192.168.1.87上运行[root@m3650 backup]# nc -l原创 2016-10-08 18:18:55 · 1258 阅读 · 0 评论 -
centos6.9 环境中安装 wireshark2.4(tshark)
背景:在centos6.9中使用wireshark,运行yum install wireshark 命令后,版本为1.8,相比1.8,wireshark(tshark)版本2.4具备更丰富的输出格式,在与elk结合使用时将更具有优势。1、环境[root@localhost ~]# cat /etc/centos-release CentOS release 6.9 (Final)2、开...原创 2018-07-25 10:43:39 · 1497 阅读 · 1 评论 -
tcp协议过滤脚本
www.packetlevel.ch/html/txt/byte_offsets.txt# A collection of tcpdump filters.# [[shells might require escaping of specialcharacters]]# ==# This document:http://www.rdrs.net/document/ # Related:http:/...原创 2018-03-09 10:06:02 · 696 阅读 · 0 评论 -
ip包过滤常用规则
www.wireshark.org/tools/string-cf.html IP Filters ip[0] & 0x0f low nibble: header length in 4octet words. should be 5 ip[1] type of service/QoS/DiffServ ip[2:2]...原创 2018-03-09 10:02:55 · 2288 阅读 · 0 评论 -
这些iptables规则就够用了
25个常用的Linux iptables规则引自 http://os.51cto.com/art/201709/551245.htm# 1. 删除所有现有规则iptables -F # 2. 设置默认的 chain 策略iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT转载 2017-09-11 21:42:44 · 396 阅读 · 0 评论 -
在CentOS7 64位下安装shc-3.8.6
shc是一个专业的加密shell脚本的工具.它的作用是把shell脚本转换为一个可执行的二进制文件,这个办法很好的解决了脚本中含有IP、密码等不希望公开的问题.百度百科http://baike.baidu.com/link?url=HeZKRXWFMH1Tln_fVfbseDobF10R9W8SAIbqTECijH2sfO908JSx11EXjoHBFc_5l1K5QLkveQeK0zbt原创 2017-04-18 15:03:21 · 2743 阅读 · 0 评论 -
DNS隧道和ICMP隧道
http://netsecurity.51cto.com/art/201701/528247.htm隧道技术作为攻击方,我们假设自己没有有效的域凭据。这意味着我们不能使用公司的代理向外传输数据。同时,如果我们没有连接到互联网,也无法泄露敏感信息。因此,在这种情况下,隧道技术就能发挥非常重要的作用。隧道技术不是通过网络直接发送数据包,而是通过封装技术在另一个(通常是加密的)连接中发送转载 2017-01-17 15:12:06 · 6872 阅读 · 0 评论 -
linux下使用shred安全地删除文件
shred 安全地删除文件shred可覆盖文件以隐藏内容,另外还可以删除文件#[root@test]shred -zvu -n 5 test.txt这个命令包括的几个选项有:-z – 最后一次覆盖添加0,以隐藏覆盖操作-v – 能够显示操作进度-u – 覆盖后截断并删除文件-n – 指定覆盖文件内容的次数(默认值是3次)Usage: shred [OPTION]... F原创 2017-01-17 15:04:20 · 1797 阅读 · 0 评论 -
渗透测试
http://www.freebuf.com/sectool/105524.html转载 2017-01-14 20:57:00 · 291 阅读 · 0 评论