![](https://img-blog.csdnimg.cn/20201014180756926.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
网络安全
netfish01
永远在路上
展开
-
「流量分析」Joy无法处理Raw IP封装格式的文件
报错:Error: could not parse filter ip or vlan: no VLAN support for Raw IP分析:在joy.c中,static const char *filter_exp = "ip or ip6 or vlan";该filter中包含的vlan处于layer-2,由于Raw IP封装格式不包括以太网帧,因此libpcap无法处理,导致报错。3. 解决:所以,如果只使用Joy处理Raw IP封装格式的pcap文件,可以修改代码为:.原创 2021-03-27 16:54:30 · 321 阅读 · 0 评论 -
「Suricata规则集」ET Pro Ruleset购买
ET Pro Ruleset购买记录一下,找了很久都没找到购买途径(泣)还没有买,所以仅供参考!!!网址:https://etadmin.proofpoint.com注册登录后:购买途径:1. Proofpoint客户经理(没有回复)2. 认证合作伙伴(where???)3. 授权零售商:OPNSense打开OPNSense网址:添加到购物车,结账买单:(税后1191.61美元,价格属实离谱)...原创 2021-03-16 20:10:02 · 1704 阅读 · 0 评论 -
「Suricata」Suricata NFLOG开启配置
首先,检查Suricata是否支持NFLOG模式:$ suricata --build-info# 无关输出省略......Suricata Configuration: AF_PACKET support: yes eBPF support: no XDP support: no PF_RING support: ..原创 2021-03-08 13:53:05 · 448 阅读 · 2 评论 -
「Linux问题」配置network stack( buffer size)
我的服务器默认网络堆栈配置如下:# default maximum Linux TCP buffer sizes is calculated automatically based on system memory$ cat /proc/sys/net/ipv4/tcp_mem22755 30340 45510$ sysctl net.ipv4.tcp_rmemnet.ipv4.tcp_rmem = 4096 87380 6291456$ sysctl net.ipv4.tcp_wmem..原创 2021-03-07 16:24:40 · 947 阅读 · 0 评论 -
「TShark问题」pyshark lxml报错
使用pyshark(版本为0.4.2.11)时报错:lxml.etree.xmlsyntaxerror: invalid character in attribute value解决:将tshark_xml.py中的方法替换为:def packet_from_xml_packet(xml_pkt, psml_structure=None): """ Gets a TShark XML packet object or string, and returns a pyshark Pac原创 2021-02-01 17:14:08 · 682 阅读 · 4 评论 -
「网安学习」IDS事件分析工具调研
IDS事件分析工具几个月前写的,由于内存、系统限制,并未采用本文中介绍的这几款IDS分析工具,而是使用原生ELK+自己搭建Suricata前端显示的方式。名称要求工作方式/构成图备注PFelk(1)Ubuntu Server v18.04+ or Debian Server 9+ (stretch and buster are tested)(现在服务器用的是16.04的稳定版本) (3) Java v11 LTS and Elastic Stack v7.9.2 (4)Min原创 2021-01-26 17:03:37 · 646 阅读 · 0 评论 -
「TShark学习」TShark抓包笔记
一、捕获和保存流量列出当前所有可用的网卡:-Dtshark -D只抓取某一个网卡的流量:-i 网卡名tshark -i en0读/写文件:-r 文件名/-w 文件名tshark -i en0 -w test.pcap # 保存在当前执行命令的路径下限制数据包的数量:-c50,在命令行显示时使用该命令,只显示前50个包;在写入文件时使用该命令,只保存前50个包tshark -i en0 -w test.pcap -c50二、控制输出显示冗余信息:-Vtshar原创 2021-01-15 00:00:54 · 771 阅读 · 0 评论 -
「网安学习」密码知识学习
密码知识学习1. 概述与基本理论[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kkIHIi3S-1606923570474)(https://i.loli.net/2020/12/02/uYEfGIR9Z17nHz2.png)]1. 加密与解密 加密(encrypt)之前的消息叫做明文(plaintext),加密之后的消息叫做密文(ciphertext)。接收方需要对加密后的消息进行解密(decrypt)后才能阅读。这样,通过密码(cryptography),技术,原创 2020-12-02 23:40:45 · 632 阅读 · 0 评论