强壮的向阳花-CSDN博客

原创 Wireshark - tshark支持iptables提供数据包

cf_init_iptables接口完成初始化工作，cf是全局的数据，数据包信息，数据包状态相关，比如处理多少，丢掉多少，提供的解码工具等外来数据。其中第一个条件if (cf_name)这里是读文件的形式，使用是通过-r *.pcap判断的，第二个else位置，里面是capture用来监听网口通过-I eth0使用。//绑定上我们创建的队列。running_get_pkt_from_nfqueue0接口完成iptables初始化，创建接收队列数据包的回调，将数据包接入到tshrak的解密解码逻辑。

2024-07-01 17:56:49 669

原创 wireshark源码分析是怎么完成协议识别的

在wireshark中，他所有的协议相关操作，都是通过一个全局变量处理的，变量的内容就是一个关于接口描述和接口回调的成员。通过process_packet_single_pass处理单个数据包，每层数据包都会使用decode_udp(tcp)_ports识别协议，这里面提供端口和特征识别；很简单，对比其他工具特征识别逻辑（比如suricata的hyperscan），wireshark针对特征识别真的很简单。关于特征识别，wireshark是不太注重的，因为其使用场景多为协议分析，读取文件的形式。

2024-06-05 15:29:09 442

原创 wireshark-cli工具Tshark工具使用教程

tshark为wireshark工具的命令行版本呢，在服务器版本服务器上，通过tshark工具可以实现和wireshark相同的功能。工具使用wireshark默认配置，对于wireshark一些常用的首选项，也可通过tshark -o [key:value]修改。dumpcap子进程负责数据包捕获并将数据包写入文件，tshark进程负责将文件中的数据包读取后并解密打印到终端。包长度，数量偏移，一些命令，包括pcap文件名称。根据管道返回的文件创建文件的描述符。tshark进程拥有的描述符。

2024-05-06 10:49:49 460 1

原创 java 模糊测试jazzer使用教程

文件是一个重现文件，期内部逻辑为先调用待测类注册的关于模糊测试初始化接口fuzzerInitialize，如果没有则调用内置接口。FuzzedDataProvider类是Jazzer提供的用于获取模糊测试数据的工具类。consumeString(int length): 以模糊方式获取指定长度的字符串。consumeBytes(int count): 以模糊方式获取指定长度的字节数组。结果文件跟源文件的关系：结果文件保留了导致源文件异常的数据，并可以重现异常现象。代码中，类内提供的测试入口内抛出了异常。

2024-02-08 10:35:37 642

原创 ubuntu原始套接字多线程负载均衡

在原始套接字多线程负载均衡中，需要选择适当的负载均衡算法，确保不同线程间的数据包分发均匀。多线程负载均衡的目标是将网络流量有效地分发到不同的线程中，以充分利用系统资源。通过使用源 IP、目标 IP、源端口、目标端口等数据包头部信息进行哈希运算，将相同会话的数据包映射到相同的线程。这样可以确保相同连接的数据包被分发到同一个线程，避免了连接状态的维护问题。为了最大程度地提高性能，需要考虑线程间的通信开销、锁的使用、以及可能的瓶颈。按照轮询的顺序将数据包分发到不同的线程，确保每个线程都有机会处理数据包。

2024-02-05 14:56:19 756 1

原创 suricata构成-线程分布-功能讲解

根据提供的接口完成woker线程的启动，这个接口里面的循环次数取决于yaml配置文件af-packet项内有几个接口。// 运行提供的启动接口，对于af-packet worker启动接口为 RunModeIdsAFPWorkers。// 提供接口对应项配置解析器（af-packet），提供获取线程数量的回调接口。传入线程数量获取接口，收包，解码，线程名称，接口名称，接口对应配置信息。// 接口完成主线程的创建，并将线程交给主线程的tv_root。//接口实现，激活收包流程，处理数据包。

2024-02-02 18:07:01 905

原创 Beyond Compare 4软件30天试用重置工具

链接：https://pan.baidu.com/s/1E3I03CVy4_--J3arFS9ZNw?

2024-02-01 11:47:27 443 1

原创 suricata基础介绍

报文处理流程->匹配协议->查看是否存在关于该协议的规则->根据header（五元组）确定使用的规则->异步处理（流处理：规则判断）->流处理（生成事件）->规则（决定对报文的动作）该部分依赖suricata的协议处理，通过suricata.yaml文件给定规则文件内容，通过文件中编写的规则对固定协议的流量进行检测，对命中规则细节的报文进行对应动作处理。Suricata 用户协会维护的一个中文文档，覆盖了 Suricata 的基础知识、安装配置、使用教程、高级功能等方面内容。Suricata 中文文档（

2024-01-29 18:08:53 1371

原创 suricata 开源工具学习-自定义协议开发

suricata协议解析存在PM、PP、PE三种模式，其中PM为数据报关键特征匹配，即匹配报文字段（类似规则中的content字段），PP为端口匹配，即服务器目的端口值匹配命中即确定为协议，最后一个PE为字节流匹配，目前常规只有FTP-DATA协议，其协议会根据FTP commend计算并创建紧跟的子协议。注册协议接口：在AppLayerParserRegisterProtocolParsers接口中插入协议的注册接口，在这个文件中要加入头文件。这里遍历结构查看是否存在异常，比如请求处理中加入的事件。

2024-01-25 11:53:50 1453 2

原创 linux 消息发布工具-kafka

rd_kafka_topic_partition_list_new()创建，创建时指定长度，通过rd_kafka_topic_partition_list_add()添加主题-分区对，用于订阅消息。对消费者来讲，订阅主题,轮询接收消息。Type：RD_KAFKA_PRODUCER是创建生产者类型，RD_KAFKA_CONSUMER是创建消费者类型。释放队列，类型为rd_kafka_topic_partition_list_t。返回值：rd_kafka_conf_res_t 枚举，错误写入errstr中。

2024-01-24 14:39:59 966 1

原创 markdown编写教程

你好！这是你第一次使用 Markdown编辑器所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章，了解一下Markdown的基本语法知识。我们对Markdown编辑器进行了一些功能拓展与语法支持，除了标准的Markdown编辑器功能，我们增加了如下几点新功能，帮助你用它写博客：撤销：Ctrl/Command + Z重做：Ctrl/Command + Y加粗：Ctrl/Command + B斜体：Ctrl/Command + I标题：Ctrl/Command + S

2024-01-24 14:33:09 422 1

原创 suricata 开源工具学习-规则了解

匹配信用卡号码： pcre:"/([0-6]\d\d|7[0-256]\d|73[0-3]|77[0-2])-\d{2} - \d{4} /";1. TTL：匹配指定的TTL指，可使用关系运算符（< , =, >）,可以用来识别操作系统类型。针对检测http流量的规则，Suricata提供了http流重组能力，同时提供了用于编写HTTP流量相关的更高效的规则修饰器。2. dsize：匹配一个指定payload大小的数据包，可使用关系运算符（< , =, >）

2024-01-24 14:29:09 1141 1

原创 wirshark解密TLS数据包

【原因】不支持下列加密套件解密，为对称加密，仅支持RSA的非对称加密数据，进行解密。4、单击TLS1.2协议报文，右键选择协议首选项，添加服务器私钥。3、通过wireshark抓包，抓到完整报文。5、可以看到解密之后的，HTTP报文。导入服务器私钥，解密TLS报文失败。2、客户端浏览器访问服务器地址。

2024-01-24 09:51:42 2386 3

原创 suricata 开源工具学习-规则关键字开发应用

查看默认规则位置，打开suricata.yaml文件，找到rules部分，追加test.rules。这个规则的含义，数据包中存在连续ascll值http内容，且tcp首尾值10进制为104,110。suricata提供了组件式的开发方式，在SigTableSetup注册所有规则关键字。从上得出结论，每个检测关键字提供了三个检测功能，分别为数据包匹配，协议流匹配，和文件匹配。这个匹配接口实现，数据包负载部分首尾值匹配，匹配条件取决于规则中给出的首尾10进制内容。版本中使用，因为他是裁剪的所以我还是用主干。

2024-01-22 16:56:33 953

原创 suricata流表管理-流新建

FlowGetFlowFromHash分为三部分，流表空的状态处理，流表与数据包完成hash匹配为数据包关联对应的流。FlowWoker接口中处理每个数据包，通过FlowHandlePacket完成对每个数据包的流匹配和新建工。2）匹配到对应的流表，把这个表节点放在头部，并判断节点是否为待关闭状态（配置新的流）3、如果第一条流就是匹配的流，判断节点是否为待关闭状态（配置新的流）1）下一节点为空，拿一个新的节点放在流表头部。2、如果流表中有数据且头节点流不匹配数据包。

2024-01-11 15:04:12 374

原创 gprof基础说明

因此，可以使用一些可视化工具来将性能分析数据可视化，以便更好地理解程序的性能瓶颈和优化方向。gprof 是一个用于分析程序性能的工具，可以用来找出程序的性能瓶颈，并根据结果进行优化。要使用 gprof 进行程序性能分析，需要在编译程序时添加 -pg 选项，以告诉编译器生成用于性能分析的代码。gprof 是一个非常实用的性能分析工具，可以帮助开发人员找出程序的性能瓶颈，从而进行优化和改进。通过 gprof 的性能分析结果，可以找出程序的性能瓶颈所在，从而进行针对性的优化。代表接口运行时间占比。

2023-04-25 08:27:25 623

原创 YAML格式详解及示例

yaml格式常被用于编写配置文件

2023-03-24 14:06:08 327

原创 linux c语言可变参数的使用

通过传入的格式化字符串解析可变参数内容

2023-03-04 14:33:22 329

原创 iptables源码编译

iptables源码编译

2023-01-12 00:24:35 472

原创 iptables源码下载网站

linux netfilter|iptables源码下载网站

2023-01-04 00:04:41 794

原创 iptables mangle使用

通过mangle对报文添加标记，路由规则根据mark值控制匹配路由。

2023-01-02 23:47:27 442

fps类，一键断网瞬移工具

https://wwz.lanzoul.com/b00obyvr8h 密码:ft5f 工具特色：一改常规断网操作（断网开启，所有人都卡住，使得还原后找不到人的问题），不影响任何人移动，开启断网跟着别人一起走，其他人无任何异常卡顿。工具功能： ●卡盾牌：游戏佣兵模式可配合一键断网工具完成卡盾操作，教学在各短视频平台教学 ●断网瞬移：对局内根据提示快捷键完成断网/还原的操作。支持卡空，瞬移。

2024-02-04

every thingwindows搜索工具

Everything" 是一款快速、轻量级的 Windows 搜索工具，它允许用户在本地计算机上快速定位和搜索文件和文件夹。以下是一些 "Everything" 工具的主要特点和使用方法：快速搜索： "Everything" 的主要优势是其极快的搜索速度。它通过建立并实时维护一个全盘索引，因此可以几乎瞬间返回搜索结果。实时更新： "Everything" 通过监视文件系统的更改，实时更新索引。这意味着当你在计算机上创建、删除或更改文件时，"Everything" 将立即反映这些变化，保持索引的实时性。简单的用户界面： "Everything" 的用户界面非常简单，主窗口只包含一个搜索框。用户只需输入关键词，即可获得匹配的文件和文件夹列表。正则表达式支持： "Everything" 支持正则表达式搜索，使用户能够更灵活地进行高级搜索。过滤器和排序：用户可以使用过滤器和排序选项来精确控制搜索结果的呈现方式。这有助于更容易找到所需的文件或信息。快捷键和命令行： "Everything" 支持各种快捷键和命令行选项，提供了多种方式来执行搜索操作。轻量级： "Eve

2024-01-24

windows CE内存调试CheatEngine75版本

CE软件通常指的是Cheat Engine，而不是特定的调试工具。Cheat Engine主要用于修改和调试计算机游戏中的内存，而不是像Linux的GDB那样专门用于软件开发的调试工具。

2024-01-24

网络调试助手-tcp-udp-串口调试

网络调试助手（Network Debugging Assistant）是一种用于辅助网络调试和分析的工具，通常用于排查和解决网络通信中的问题。它可以提供各种功能和信息，以帮助开发人员诊断和修复网络相关的错误或性能问题。

2024-01-22

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人