工程项目
文章平均质量分 53
不擅长纵横的捭阖家
行走在荒野的撰写者
展开
-
maltrail更新流量机制
总体来说分为两种:基于静态的获取:另一种是基于动态的获取里面分为两种,1、根据正则的匹配;2、通过动态网页可以获取不同公司的ip、域名等,加载的trails里面,供匹配使用。这里正则匹配很难知道对应的恶意流量具体种类。动态网页也是大量的混在...原创 2021-07-13 10:29:33 · 211 阅读 · 0 评论 -
解析pcap包
需求:我们需要从恶意流量中的log中提取其ip地址。再根据ip地址去从tcpdump中采集pcap包,把恶意流量提取出来。首先是初版的解析pcap包import osfrom scapy.all import *import scapy.all as scapyimport sysimport csvfrom time import strftime, localtime# f = open('log/dealpcap.log', 'a') #日志的重定向输出# sys.stdout =原创 2021-06-23 11:31:51 · 1608 阅读 · 0 评论 -
netsniff-dpi
netsniff-dpi 引言:本文回顾一下自己半年的项目,感慨颇多。回家乘着假期就把一些项目的点以及用到的知识点做一下整理。本次代码撰写是在netsniff这个原有的轮子上加上dpi的部分,能够在嵌入式的环境下提供采集、识别恶意流量以及报警功能。1. 项目概览 netsniff的代码庞大而复杂,而且功能非常丰富。所以我只把我所需要改动的代码一块进行一些提炼,其他的相关的功能我把他放在最后附录中以便查阅。下图是从流量采集到识别的整个宏观的框架。当启动netsniff-ng命令后,程序读取网卡,获取原创 2021-05-12 16:52:04 · 360 阅读 · 1 评论