自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(21)
  • 问答 (2)
  • 收藏
  • 关注

原创 Wireshark - tshark支持iptables提供数据包

cf_init_iptables接口完成初始化工作,cf是全局的数据,数据包信息,数据包状态相关,比如处理多少,丢掉多少,提供的解码工具等外来数据。其中第一个条件if (cf_name)这里是读文件的形式,使用是通过-r *.pcap判断的,第二个else位置,里面是capture用来监听网口通过-I eth0使用。//绑定上我们创建的队列。running_get_pkt_from_nfqueue0接口完成iptables初始化,创建接收队列数据包的回调,将数据包接入到tshrak的解密解码逻辑。

2024-07-01 17:56:49 669

原创 wireshark源码分析 是怎么完成协议识别的

在wireshark中,他所有的协议相关操作,都是通过一个全局变量处理的,变量的内容就是一个关于接口描述和接口回调的成员。通过process_packet_single_pass处理单个数据包,每层数据包都会使用decode_udp(tcp)_ports识别协议,这里面提供端口和特征识别;很简单,对比其他工具特征识别逻辑(比如suricata的hyperscan),wireshark针对特征识别真的很简单。关于特征识别,wireshark是不太注重的,因为其使用场景多为协议分析,读取文件的形式。

2024-06-05 15:29:09 442

原创 wireshark-cli工具Tshark工具使用教程

tshark为wireshark工具的命令行版本呢, 在服务器版本服务器上,通过tshark工具可以实现和wireshark相同的功能。工具使用wireshark默认配置,对于wireshark一些常用的首选项,也可通过tshark -o [key:value]修改。dumpcap子进程负责数据包捕获并将数据包写入文件,tshark进程负责将文件中的数据包读取后并解密打印到终端。包长度,数量偏移,一些命令,包括pcap文件名称。根据管道返回的文件创建文件的描述符。tshark进程拥有的描述符。

2024-05-06 10:49:49 460 1

原创 java 模糊测试jazzer使用教程

文件是一个重现文件,期内部逻辑为先调用待测类注册的关于模糊测试初始化接口fuzzerInitialize,如果没有则调用内置接口。FuzzedDataProvider类是Jazzer提供的用于获取模糊测试数据的工具类。consumeString(int length): 以模糊方式获取指定长度的字符串。consumeBytes(int count): 以模糊方式获取指定长度的字节数组。结果文件跟源文件的关系:结果文件保留了导致源文件异常的数据,并可以重现异常现象。代码中,类内提供的测试入口内抛出了异常。

2024-02-08 10:35:37 642

原创 ubuntu原始套接字多线程负载均衡

在原始套接字多线程负载均衡中,需要选择适当的负载均衡算法,确保不同线程间的数据包分发均匀。多线程负载均衡的目标是将网络流量有效地分发到不同的线程中,以充分利用系统资源。通过使用源 IP、目标 IP、源端口、目标端口等数据包头部信息进行哈希运算,将相同会话的数据包映射到相同的线程。这样可以确保相同连接的数据包被分发到同一个线程,避免了连接状态的维护问题。为了最大程度地提高性能,需要考虑线程间的通信开销、锁的使用、以及可能的瓶颈。按照轮询的顺序将数据包分发到不同的线程,确保每个线程都有机会处理数据包。

2024-02-05 14:56:19 756 1

原创 suricata构成-线程分布-功能讲解

根据提供的接口完成woker线程的启动,这个接口里面的循环次数取决于yaml配置文件af-packet项内有几个接口。// 运行提供的启动接口,对于af-packet worker启动接口为 RunModeIdsAFPWorkers。// 提供接口对应项配置解析器(af-packet),提供获取线程数量的回调接口。传入线程数量获取接口,收包,解码,线程名称,接口名称,接口对应配置信息。// 接口完成主线程的创建,并将线程交给主线程的tv_root。//接口实现,激活收包流程,处理数据包。

2024-02-02 18:07:01 905

原创 Beyond Compare 4软件30天试用重置工具

链接:https://pan.baidu.com/s/1E3I03CVy4_--J3arFS9ZNw?

2024-02-01 11:47:27 443 1

原创 suricata基础介绍

报文处理流程->匹配协议->查看是否存在关于该协议的规则->根据header(五元组)确定使用的规则->异步处理(流处理:规则判断)->流处理(生成事件)->规则(决定对报文的动作)该部分依赖suricata的协议处理,通过suricata.yaml文件给定规则文件内容,通过文件中编写的规则对固定协议的流量进行检测,对命中规则细节的报文进行对应动作处理。Suricata 用户协会维护的一个中文文档,覆盖了 Suricata 的基础知识、安装配置、使用教程、高级功能等方面内容。Suricata 中文文档(

2024-01-29 18:08:53 1371

原创 suricata 开源工具学习-自定义协议开发

suricata协议解析存在PM、PP、PE三种模式,其中PM为数据报关键特征匹配,即匹配报文字段(类似规则中的content字段),PP为端口匹配,即服务器目的端口值匹配命中即确定为协议,最后一个PE为字节流匹配,目前常规只有FTP-DATA协议,其协议会根据FTP commend计算并创建紧跟的子协议。注册协议接口:在AppLayerParserRegisterProtocolParsers接口中插入协议的注册接口,在这个文件中要加入头文件。这里遍历结构查看是否存在异常,比如请求处理中加入的事件。

2024-01-25 11:53:50 1453 2

原创 linux 消息发布工具-kafka

rd_kafka_topic_partition_list_new()创建,创建时指定长度,通过rd_kafka_topic_partition_list_add()添加 主题-分区对,用于订阅消息。对消费者来讲,订阅主题,轮询接收消息。Type:RD_KAFKA_PRODUCER是创建生产者类型,RD_KAFKA_CONSUMER是创建消费者类型。释放队列,类型为rd_kafka_topic_partition_list_t。返回值:rd_kafka_conf_res_t 枚举,错误写入errstr中。

2024-01-24 14:39:59 966 1

原创 markdown编写教程

你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客:撤销:Ctrl/Command + Z重做:Ctrl/Command + Y加粗:Ctrl/Command + B斜体:Ctrl/Command + I标题:Ctrl/Command + S

2024-01-24 14:33:09 422 1

原创 suricata 开源工具学习-规则了解

匹配信用卡号码: pcre:"/([0-6]\d\d|7[0-256]\d|73[0-3]|77[0-2])-\d{2} - \d{4} /";1. TTL:匹配指定的TTL指,可使用关系运算符(< , =, >),可以用来识别操作系统类型。针对检测http流量的规则,Suricata提供了http流重组能力,同时提供了用于编写HTTP流量相关的更高效的规则修饰器。2. dsize:匹配一个指定payload大小的数据包,可使用关系运算符(< , =, >)

2024-01-24 14:29:09 1141 1

原创 wirshark解密TLS数据包

【原因】不支持下列加密套件解密,为对称加密,仅支持RSA的非对称加密数据,进行解密。4、单击TLS1.2协议报文,右键选择协议首选项,添加服务器私钥。3、通过wireshark抓包,抓到完整报文。5、可以看到解密之后的,HTTP报文。导入服务器私钥,解密TLS报文失败。2、客户端浏览器访问服务器地址。

2024-01-24 09:51:42 2386 3

原创 suricata 开源工具学习-规则 关键字开发应用

查看默认规则位置,打开suricata.yaml文件,找到rules部分,追加test.rules。这个规则的含义,数据包中存在连续ascll值http内容,且tcp首尾值10进制为104,110。suricata提供了组件式的开发方式,在SigTableSetup注册所有规则关键字。从上得出结论,每个检测关键字提供了三个检测功能,分别为数据包匹配,协议流匹配,和文件匹配。这个匹配接口实现,数据包负载部分首尾值匹配,匹配条件取决于规则中给出的首尾10进制内容。版本中使用,因为他是裁剪的所以我还是用主干。

2024-01-22 16:56:33 953

原创 suricata流表管理-流新建

FlowGetFlowFromHash分为三部分,流表空的状态处理,流表与数据包完成hash匹配为数据包关联对应的流。FlowWoker接口中处理每个数据包,通过FlowHandlePacket完成对每个数据包的流匹配和新建工。2)匹配到对应的流表,把这个表节点放在头部,并判断节点是否为待关闭状态(配置新的流)3、如果第一条流就是匹配的流,判断节点是否为待关闭状态(配置新的流)1)下一节点为空,拿一个新的节点放在流表头部。2、如果流表中有数据且头节点流不匹配数据包。

2024-01-11 15:04:12 374

原创 gprof基础说明

因此,可以使用一些可视化工具来将性能分析数据可视化,以便更好地理解程序的性能瓶颈和优化方向。gprof 是一个用于分析程序性能的工具,可以用来找出程序的性能瓶颈,并根据结果进行优化。要使用 gprof 进行程序性能分析,需要在编译程序时添加 -pg 选项,以告诉编译器生成用于性能分析的代码。gprof 是一个非常实用的性能分析工具,可以帮助开发人员找出程序的性能瓶颈,从而进行优化和改进。通过 gprof 的性能分析结果,可以找出程序的性能瓶颈所在,从而进行针对性的优化。代表接口运行时间占比。

2023-04-25 08:27:25 623

原创 YAML格式详解及示例

yaml格式常被用于编写配置文件

2023-03-24 14:06:08 327

原创 linux c语言可变参数的使用

通过传入的格式化字符串解析可变参数内容

2023-03-04 14:33:22 329

原创 iptables源码编译

iptables源码编译

2023-01-12 00:24:35 472

原创 iptables源码下载网站

linux netfilter|iptables源码下载网站

2023-01-04 00:04:41 794

原创 iptables mangle使用

通过mangle对报文添加标记,路由规则根据mark值控制匹配路由。

2023-01-02 23:47:27 442

fps类,一键断网瞬移工具

https://wwz.lanzoul.com/b00obyvr8h 密码:ft5f 工具特色:一改常规断网操作(断网开启,所有人都卡住,使得还原后找不到人的问题 ),不影响任何人移动,开启断网跟着别人一起走,其他人无任何异常卡顿。 工具功能: ●卡盾牌 :游戏佣兵模式可配合一键断网工具完成卡盾操作,教学在各短视频平台教学 ●断网瞬移:对局内根据提示快捷键完成断网/还原的操作。支持卡空,瞬移。

2024-02-04

every thingwindows搜索工具

Everything" 是一款快速、轻量级的 Windows 搜索工具,它允许用户在本地计算机上快速定位和搜索文件和文件夹。以下是一些 "Everything" 工具的主要特点和使用方法: 快速搜索: "Everything" 的主要优势是其极快的搜索速度。它通过建立并实时维护一个全盘索引,因此可以几乎瞬间返回搜索结果。 实时更新: "Everything" 通过监视文件系统的更改,实时更新索引。这意味着当你在计算机上创建、删除或更改文件时,"Everything" 将立即反映这些变化,保持索引的实时性。 简单的用户界面: "Everything" 的用户界面非常简单,主窗口只包含一个搜索框。用户只需输入关键词,即可获得匹配的文件和文件夹列表。 正则表达式支持: "Everything" 支持正则表达式搜索,使用户能够更灵活地进行高级搜索。 过滤器和排序: 用户可以使用过滤器和排序选项来精确控制搜索结果的呈现方式。这有助于更容易找到所需的文件或信息。 快捷键和命令行: "Everything" 支持各种快捷键和命令行选项,提供了多种方式来执行搜索操作。 轻量级: "Eve

2024-01-24

windows CE内存调试CheatEngine75版本

CE软件通常指的是Cheat Engine,而不是特定的调试工具。Cheat Engine主要用于修改和调试计算机游戏中的内存,而不是像Linux的GDB那样专门用于软件开发的调试工具。

2024-01-24

网络调试助手-tcp-udp-串口调试

网络调试助手(Network Debugging Assistant)是一种用于辅助网络调试和分析的工具,通常用于排查和解决网络通信中的问题。它可以提供各种功能和信息,以帮助开发人员诊断和修复网络相关的错误或性能问题。

2024-01-22

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除