- 博客(35)
- 资源 (15)
- 收藏
- 关注
原创 智力测试---20140731
1.某学校里面一堆Ph.D.,有正常的有不正常的,唯一知道的是正常的Ph.D.个数多些。Ph.D.之间可以互相进行测试,正常的Ph.D.遇到正常的Ph.D.就报OK,遇到不正常的Ph.D.就报BAD,而不正常的Ph.D.无论遇到什么,都可能报OK或者BAD,换句话说,不正常的Ph.D.的行为是不可预测的。问题是,怎样从这一堆玩意中找出一个正常的Ph.D.来。提示:
2014-07-31 15:28:41 620
原创 snort规则--flow分析
1.1 flow: 这个选项要和TCP流重建联合使用。它允许规则只应用到流量流的某个方向上。这将允许规则只应用到客户端或者服务器端。这将能把内网客户端流览web页面的数据包和内网服务器所发送的数据包区分开来。这个确定的关键字能够代替标志:A+ 这个标志在显示已建立的TCP连接时都将被使用。
2014-07-30 09:03:30 5080 3
原创 入侵检测ids--ping of death
1.Ping of Death俗称“死拼”,其攻击原理是攻击者A向受害者B发送一些尺寸超大的ICMP(Ping命令使用的是ICMP报文)报文对其进行攻击(对于有些路由器或系统,在接收到一个这样的报文后,由于处理不当,会造成系统崩溃、死机或重启)。为了让大家更好的理解Ping of Death攻击原理,下面补充介绍下IP报文和ICMP报文的封装格式。如下图所示: 1).
2014-07-25 09:50:01 4950 2
转载 入侵检测ids--dos学习
1.Echo服务是一种非常有用的用于调试和检测的工具。这个协议的作用也十分简单,接收到什么原封发回就是了。 基于TCP协议的Echo服务有一种Echo服务被定义为在TCP协议上的面向连接的应用。服务器就在TCP端口7检测有无消息,如果有发送来的消息直接返回就是了。
2014-07-24 16:34:50 1674
转载 入侵检测IDS--snort规则的学习
原文:http://www.xfocus.net/releases/200509/a824.html
2014-07-24 15:02:20 11815 1
转载 入侵检测IDS学习--snort规则
1.入侵检测的检测引擎就是通过对规则选项的分析构成了Snort 检测引擎的核心。选项主要可以分为四类,第一类是数据包相关各种特征的描述选项,比如:content、flags、dsize、ttl等;第二类是规则本身相关一些说明选项,比如:reference、sid、classtype、priority等;第三类是规则匹配后的动作选项,比如:msg、resp、react、session、l
2014-07-24 10:59:48 5684
转载 入侵检测IDS学习--snort基础
1.BM算法BM匹配算法是Boyer和Moore两人在KMP算法的启发下,提出的一种字符串快速匹配算法。它采用自右向左的方式扫描模式(P表示)与正文(T表示),一旦发现正文中出现模式中没有的字符时就可以将模式、正文进行一个大幅度的偏移。模式与正文在匹配比较的过程中,将P与T左对齐,即P[1]与T[1]对齐。匹配从P 的最右端字符开始,判断P[strlen(P)](strlen(p)为模式长度)
2014-07-24 10:46:02 2135
转载 c语言基础--编程基础
1.sizeof为什么能够利用数组首地址来检测数组的长度数组名与指针有太多的相似,甚至很多时候,数组名可以作为指针使用。于是乎,很多程序设计者就被搞糊涂了。这种误解的根源在于国内某著名的C程序设计教程(出版量最多的那本破书)。 数组名的内涵在于其指代实体是一种数据结构,这种数据结构就是数组;数组名的外延在于其可以转换为指向其指代实体的指针,而且是一个指针常量;指向数组的指针则是另外一种
2014-07-23 22:02:56 555
原创 入侵检测系统--snort知识
1. IPS简介入侵指的是破坏目标系统资源的完整性 、 机密性或可用性的一系列活动 。 I D S 所检测的入侵不包括物理入侵 , 而仅包括以电子方式从系统内部或者外部发起的 , 尝试或者实施对系统资源的非授权访问 、 操纵或破坏的行为 。 其工作原理基本基于一个假设 , 即入侵者的行为与正常用户的行为不同 , 而且这种不同会通过某种可观察的方式表现出来 , 这种不
2014-07-23 18:11:22 1699
原创 基础知识--pcre
1.PCRE全称为Perl Compatible Regular Expression,意思是Perl兼容正则表达式。PCRE中,通常将模式表达式(即正则表达式)包含在两个反斜线“/”之间,如“/apple/”。正则中重要的几个概念有:元字符、转义、模式单元(重复)、反义、引用和断言。
2014-07-23 11:02:45 2060
转载 入侵检测(IPS)--基础知识
1.TOE(TCP Offload Engine ,TCP卸载引擎)是一个延续了多年的概念,它旨在使用网卡上专用处理器来完成一些或所有数据包的处理任务。也就是说,通过采用配有TOE芯片的专用网卡,包括TCP在内的四层处理请示都可以从主机处理器转移到网卡(参见图4),其最终的结果就是在加速网络响应的同时提高服务器的性能。
2014-07-22 12:12:27 9186
转载 linux学习--命令解读
1.ls -ldwrx-xr-x 首字母d表示目录-wrx-xr-x 首字母-表示普通目录brx-xr-x 首字母b表示块2.
2014-07-18 12:14:36 955
转载 suricata学习--结构及代码解读
《线程、槽和模块之间的关系》suricata中tv、slot和tm的关系必须要搞清楚,汇总如下:tv:ThreadVars类型,线程。slot:TmSlot类型,槽。tm:TmModule类型,模块。下面必须要结合三者的定义,阅读代码的时候也关注下三者关系。----------------------------------------
2014-07-17 09:34:45 6734
转载 linux学习--linux目录详解2
初学Linux,首先需要弄清Linux 标准目录结构/root --- 启动Linux时使用的一些核心文件。如操作系统内核、引导程序Grub等。home --- 存储普通用户的个人文件ftp --- 用户所有服务httpdsambauser1user2bin --- 系统启动时需要的执行文件(二进制)sbin --- 可执行程序的目录,但大多存放涉及系统管理的命令。只有ro
2014-07-16 09:47:37 569
转载 Surciata源码分析之IpsNFQ模式(1)
1. IpsNFQ三种模式图IpsNFQ模式下还有三种模式,先来看看这三种模式的分析图。a) Auto模式b) AutoFP模式c) Worker模式对上图中的一些值说明一下。Queue数量是指NFQ的Queue数量;CPU数是指CPU的核心数;ratio是一个比率值,在suricata.yaml配置文件中设定,一般设
2014-07-15 17:02:06 1118
转载 Surciata源码分析之IpsNFQ模式(2)
2. 各模块功能分析 Receive:从NFQUEUE中接收数据包,并将封装在Packet结构中,然后放入下一个缓冲区。 Decode:对数据包进行解码,主要是对数据包头部信息进行分析并保存在Packet结构中。 StreamTCP:对数据包进行TCP流重组。 Detect:检测数据包是否包含入侵行为。 Verdict:对检测后的数据包
2014-07-15 17:00:56 912
转载 <suricata编译安装>
原文:http://blog.csdn.net/wsk004321/article/details/25594265想到研究suricata只读源码估计还不凑效,需要了解下真实环境下怎么应用,这样理解起来估计会更有感觉,于是在自己本地虚拟机中安装编译一下:1、虚拟机操作系统Linux centos5.02、下载suricata源码 http://ww
2014-07-11 10:28:32 1491
转载 工作记录---安全科普
1.防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。IPS是对防火墙的补充。2.办公网中,至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。
2014-07-10 10:23:21 788
转载 linux学习--网络协议
1.不同的协议层对数据包有不同的称谓,在传输层叫做段(segment),在网络层叫做数据报(datagram),在链路层叫做帧(frame)。数据封装成帧后发到传输介质上,到达目的主机后每层协议再剥掉相应的首部,最后将应用层数据交给应用程序处理。2.
2014-07-08 10:20:53 598
转载 工作记录--守护进程
Linux系统启动时会启动很多系统服务进程,这些系统服务进程没有控制终端,不能直接和用户交互。其它进程都是在用户登录或运行程序时创建,在运行结束或用户注销时终止,但系统服务进程不受用户登录注销的影响,它们一直在运行着。这种进程有一个名称叫守护进程(Daemon)。
2014-07-08 08:40:49 587
转载 c语言面试题
1.以下变量x、y、z均为double类型且已正确赋值,不能正确表示数学式子x/(y*z)的C语言表达式是_______。A)x/y*z B)x*(1/(y*z)) C)x/y*1/z D)x/y/z答案:A评析:按照自左向右的运算逻辑,选项A是先做x/y,然后再乘以x,显然与题意不符。2.
2014-07-07 15:07:49 1157
转载 linux c 网络编程学习
1. 建议先把经典的《TCP/IP详解》三卷书的卷1看了,这样对TCP/IP协议有一个系统的了解。2. 用wireshark这个著名的开源工具,捕捉网络数据包,分析。3. 可以看看Linux 1.0的TCP/IP协议栈的实现,因为现在的2.6的kernel里面的TCP/IP协议栈的实现很复杂,而1.0的是比较简单的,应当是Linux带网络功能的第一个版本。4. 再分析一个网络驱动程序。
2014-07-07 12:53:40 862
转载 程序员面试知识点
linux和os:netstat tcpdump ipcs ipcrm (如果这四个命令没听说过或者不能熟练使用,基本上可以回家,通过的概率较小,这四个命令的熟练掌握程度基本上能体现面试者实际开发和调试程序的经验)cpu 内存 硬盘 等等与系统性能调试相关的命令必须熟练掌握,设置修改权限 tcp网络状态查看 各进程状态 抓包相关等相关命令 必须熟练掌握awk sed需掌握共享内存的使用实现
2014-07-07 12:47:48 1338
转载 工作记录--shell脚本
1.启动bash会自动执行以下脚本:1. 首先执行/etc/profile,系统中每个用户登录时都要执行这个脚本,如果系统管理员希望某个设置对所有用户都生效,可以写在这个脚本里2. 然后依次查找当前用户主目录的~/.bash_profile、~/.bash_login和~/.profile三个文件,找到第一个存在并且可读的文件来执行,如果希望某个设置只对当前用户生效,可以写在这个
2014-07-07 11:56:50 582
转载 工作记录--linux文件系统/环境变量
1.Linux内核在各种不同的文件系统格式之上做了一个抽象层,使得文件、目录、读写访问等概念成为抽象层的概念,因此各种文件系统看起来用起来都一样,这个抽象层称为虚拟文件系统(VFS,Virtual Filesystem)。
2014-07-07 11:52:10 539
转载 工作记录--linux文件系统
文件系统中存储的最小单位是块(Block),一个块究竟多大是在格式化时确定的,例如mke2fs的-b选项可以设定块大小为1024、2048或4096字节。而上图中启动块(Boot Block)的大小是确定的,就是1KB,启动块是由PC标准规定的,用来存储磁盘分区信息和启动信息,任何文件系统都不能使用启动块。启动块之后才是ext2文件系统的开始,ext2文件系统将整个分区划成若干个同样大
2014-07-07 09:25:03 516
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人