Unskilled Attackers Pester Real Security Folks

最新推荐文章于 2020-07-27 10:21:18 发布
最新推荐文章于 2020-07-27 10:21:18 发布
阅读量690 收藏
点赞数
分类专栏: network

Unskilled Attackers Pester Real Security Folks

Unskilled = URG
Attackers = ACK
Pester = PSH
Real = RST
Security = SYN
Folks = FIN

Uses

TCP flag information is most helpful to me when looking for particular types of traffic using Tcpdump. It's possible, for example, to capture only SYNs (new connection requests), onlyRSTs (immediate session teardowns), or any combination of the six flags really. As noted in my own little Tcpdump primer, you can capture these various flags like so:

Find all SYN packets
tcpdump 'tcp[13] & 2 != 0'

Find all RST packets
tcpdump 'tcp[13] & 4 != 0'

Find all ACK packets
tcpdump 'tcp[13] & 16 != 0'

Notice the SYN example has the number 2 in it, the RST the number 4, and the ACK the number 16. These numbers correspond to where the TCP flags fall on the binary scale. So when you write out:

U A P R S F

...that corresponds to:

32 16 8 4 2 1

Example

So as you read the SYN capture tcpdump 'tcp[13] & 2 != 0', you're saying find the 13th byte in the TCP header, and only grab packets where the flag in the 2nd bit is not zero. Well if you go from right to left in the UAPRSF string, you see that the spot where 2 falls is where the S is, which is the SYN placeholder, and that's why you're capturing only SYN packets when you apply that filter.


# tcpdump 'tcp[13] & 2 != 0' 
12:40:04.649404 IP 10.5.1.42.51584 > 64.233.187.99.http: S 1524039069:1524039069(0) 
win 65535  

12:40:04.708459 IP 64.233.187.99.http > 10.5.1.42.51584: S 1416742397:1416742397(0) 
ack 1524039070 win 8190


You'll notice that when I netcat'd to Google on port 80 from another terminal, tcpdump shows only two out of the three steps involved in the three-way handshake. It didn't show the third because the final step is simply an ACK from my side, i.e. no SYN flag set.

Conclusion

Remembering these flags and how to make use of them can go a long way in helping low-level network troubleshooting/security work by isolating what it is you want to see and/or capture. And of course the better you can isolate the problem, the faster you can solve it.:

realmeh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PMP模拟题(二)
岁月不饶人,我亦未曾饶过岁月
09-09 1422
共 200 题,时间240分钟,英文题目
快速成为脚本小子_什么是脚本小子? 如何成为脚本小子?
cunjiu9486的博客
10-14 7788
快速成为脚本小子Script Kiddie is an amateur person who tries to hack, exploit, abuse IT systems like computers, networks, web sites, etc. Script Kiddie is generally not a professional or hacker because it has...
The Art Of ELF: Analysis and Exploitations
北冥有鱼的Blog
05-15 1003
The Art Of ELF: Analysis and ExploitationsPosted on October 20, 2011 by FlUxIuS    New systems make attackers life hard and common exploitation techniques get harder to reproduce. The purpose of this ...
A Comprehensive Formal Security Analysis of OAuth 2.0
weixin_33705053的博客
02-17 1182
为什么80%的码农都做不了架构师?>>> ...
QUIC-LB: Generating Routable QUIC Connection IDs(draft-ietf-quic-load-balancers-0)
fangjian1204的专栏
06-05 1325
Abstract QUIC connection IDs allow continuation of connections across address/ port 4-tuple changes, and can store routing information for stateless or low-state load balancers. They also can prevent linkability of connections across deliberate address mi.
socket接收乱码问题及解决
热门推荐
attackers的博客
06-18 2万+
##socket接收乱码问题: Charset.forName(“Utf-8”);
java字符串中按下标插入字符串
attackers的博客
03-24 2766
要求: abc改成a1b2c3, 数据量大,调用频繁 分析: java 字符串操作API还是比较多的,针对于上述要求, 有substr charAt replace format等可供选择。 当调用频繁时,会实例化出较多对象。在这里,介绍下StringBuilder StringBuilder //指定插入 insert() //删除 delete() //拼接 append() 实现: ...
高三高考英语阅读理解技巧之词义猜测题PPT课件.pptx
10-10
- "A good boss can tell the adept workers from the unskilled ones easily." 中的 "adept" 是"熟练的",与 "unskilled" 形成反义。 6. **解题技巧**:课件强调了通过对比和比较来寻找同义词和反义词作为解题...
高中英语单词天天记skilled素材
09-09
相反,"unskilled"是其反义词,表示“未受过训练的”或“没有技能的”。 综上所述,"skilled"作为高中英语的重要词汇,不仅要求学生记住其基本含义,还需理解其用法和搭配,以及与"skilful"的区别,这样才能在写作...
【英语】副词分类详解 (2).doc
11-29
Meanwhile, unskilled workers saw their earnings fall."中,"meanwhile"就是一个时间副词,表示两件事情同时发生。 2. 地点副词: 地点副词用于表明动作发生的地点,如:here, there, everywhere, nowhere, ...
linux永久修改主机名
attackers的博客
11-28 380
执行命令: hostnamectl set-hostname new-name 重启: reboot ok, 搞定 查看一下: vim /etc/hostname vim /etc/hosts vim /net/sysconfig/network 没有问题, 好了
这是什么问题
attackers的博客
12-24 1305
!SESSION 2017-12-24 10:24:55.149 ----------------------------------------------- eclipse.buildId=4.7.0.I20170612-0950 java.version=1.8.0_144 java.vendor=Oracle Corporation BootLoader constants: OS
tcpdump使用方法
qq_36412526的博客
04-16 544
tcpdump是信息安全行业最好的网络分析工具,希望全面理解tcp/ip的人必须要很好的掌握它。很多人喜欢用更高层的分析工具如Wireshark,但我认为这是不对的。 对tcp/ip要理解贯通而不是死记硬背,全面的理解协议可以让你排查问题的水平远远超出一般的分析员,但要再更加精通协议的话唯一的方式就是不断的去接触它。 通过人来分析协议比应用程序更自然,且能提高对协议的理解,所以我建议用tcpdum...
query.addCriteria(Criteria.where
attackers的博客
09-09 1万+
背景 业务需要使用mongoTemplate来保存或更新、查询mongoDB文档数据 语言:Java 框架:springboot(并没有什么关系) 使用 upsert 该操作意如其名,不满足则insert,满足则update; 条件查询 ...
Unskilled in English is looked down on by people(一)
overwinner
02-11 240
We need someone to generate new ideas.ambition 俺必胜the ambition of the 2018 year ambulance 俺不能死an ambulance in the hospitaldrag 拽drag me into the sky pest 拍死它Mosquitoes are pests词根,词缀dis-否定消极like or di...
web页面一览
attackers的博客
07-27 385
树形结构 时间轴 (事件轴) 记录历史大事件,图形化。 有垂直时间轴和横向时间轴两种。
关于win10使用32位IE浏览器
attackers的博客
07-22 1万+
进入“C:\Program Files (x86)\Internet Explorer”,找到iexplore.exe 右键发送到桌面快捷方式; 双击打开,即可使用 判断是否32bit
nginx-1.24.0.tar
09-06
Nginx 1.24.0 是 Nginx 开源项目发布的一个重要更新版本,该版本在性能优化、功能增强以及安全性提升方面带来了诸多改进。当您下载 Nginx 1.24.0 的压缩包时,您将获得一个包含 Nginx 源代码的压缩文件,通常命名为 nginx-1.24.0.tar.gz(对于 GNU/Linux 和 macOS 系统)或类似的格式,具体取决于发布平台。 这个压缩包包含了编译 Nginx 服务器所需的所有源代码文件、配置文件模板(如 nginx.conf)、模块源码以及构建和安装说明。通过解压这个压缩包,您可以在支持 C 语言编译器的操作系统上编译并安装 Nginx 1.24.0。 Nginx 1.24.0 引入了一系列新特性和优化,可能包括但不限于对 HTTP/2 和 HTTP/3 协议的进一步支持、性能提升、新的模块或模块更新,以及对已知安全漏洞的修复。这使得 Nginx 能够在保持其作为高性能 HTTP 和反向代理服务器的声誉的同时,继续满足不断发展的网络需求。
智能化病虫害标注系统前端.zip
最新发布
09-06
图像识别技术在病虫害检测中的应用是一个快速发展的领域,它结合了计算机视觉和机器学习算法来自动识别和分类植物上的病虫害。以下是这一技术的一些关键步骤和组成部分: 1. **数据收集**:首先需要收集大量的植物图像数据,这些数据包括健康植物的图像以及受不同病虫害影响的植物图像。 2. **图像预处理**:对收集到的图像进行处理,以提高后续分析的准确性。这可能包括调整亮度、对比度、去噪、裁剪、缩放等。 3. **特征提取**:从图像中提取有助于识别病虫害的特征。这些特征可能包括颜色、纹理、形状、边缘等。 4. **模型训练**:使用机器学习算法(如支持向量机、随机森林、卷积神经网络等)来训练模型。训练过程中,算法会学习如何根据提取的特征来识别不同的病虫害。 5. **模型验证和测试**:在独立的测试集上验证模型的性能,以确保其准确性和泛化能力。 6. **部署和应用**:将训练好的模型部署到实际的病虫害检测系统中,可以是移动应用、网页服务或集成到智能农业设备中。 7. **实时监测**:在实际应用中,系统可以实时接收植物图像,并快速给出病虫害的检测结果。 8. **持续学习**:随着时间的推移,系统可以不断学习新的病虫害样本,以提高其识别能力。 9. **用户界面**:为了方便用户使用,通常会有一个用户友好的界面,显示检测结果,并提供进一步的指导或建议。 这项技术的优势在于它可以快速、准确地识别出病虫害,甚至在早期阶段就能发现问题,从而及时采取措施。此外,它还可以减少对化学农药的依赖,支持可持续农业发展。随着技术的不断进步,图像识别在病虫害检测中的应用将越来越广泛。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值