- 博客(20)
- 收藏
- 关注
RSS订阅原创 HTTP
*这一周匆匆忙忙的研究了HTTP,所有我学到的内容都整理在下面了客户端浏览器:IE、Chrome、FirefoxWeb服务器:Apache、IIS中间传输的协议:HTTP超文本传输协议协议传的数据:HTML超文本标记语言(5.0)URI:统一资源标识符,抽象URL:统一资源定位符,是URI的子集,更具体URL组成:协议、host、请求URI网页安全现状:由于浏览器为了方便客户、抢占市场,而不按标准制作,导致和网页开发者的标准不兼容,从而产生一些安全问题...
2020-12-17 22:27:39
322
3
原创 ping与IP可选项
ping是程序,有进程;包头部的ID代表了进程ICMP Echo Request:Type:8 Code:0 Header Checksum: Identifier:代表进程ID,ID相同代表一个进程 Sequence Number:该进程包的序列号 Payload: Unix/Cisco的payload里面放了时间有关的数据,可以计算出时间差 微软的payload里面是填充,无实际意义;微软的时间差是程序自己记录的 ICMP Echo Reply:Type:0 Co.
2020-12-12 02:34:00
319
原创 ICMP协议
ICMP*本文实验都是通过Cisco模拟器完成主要功能:确认IP包是否成功送达目的地址;通知IP包在发送过程中被废弃的具体原因协议号:1长度:8字节(前4字节是固定的)ICMP技术网络设备都配合,网络排错好帮手类型:查询报文、差错报文差错报文:思科:排查时出现U—>debug ip icmp若是host unreachable主机不可达,大概率路由问题若是administratively prohibited unreachable,访问控制列表干掉排查时出
2020-12-10 21:32:31
338
原创 交换机端口分析技术
SPAN:交换机端口分析技术原理:流量复制作用:流量监控故障定位类型:Local SPAN RSPAN ERSPAN⚠️:monitor session :<1-66>⚠️:source :interface,把一个接口的流量搜集起来 remote,把一个远端送过来的流量搜集起来 vlan,把一个vlan的流量搜集起来⚠️:监控流量的方向不写默认是both 双向流量入和出 假设交换机端口1G全双工,入和出共2G,用both一个接口接收有可
2020-12-08 20:43:47
801
原创 ARP协议
ARP简介只适用于IPv4,在IPv6中被ICMPv6替代 通过IP找MAC,在广播的多路访问网络以太网中,解析逻辑的IP地址(32bit)到物理的MAC地址(48bit),可自动可手动当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时,是根据48bit的以太网地址来确定目的接口的,设备驱动程序从不检查IP数据报中的目的IP地址为什么需要ARP技术现在使用的多路访问网络需要,如:以太网(支持广播的多路访问网络) 多点帧中继(非广播的多路访问网络) DMVPN的多点GRE(.
2020-12-03 21:58:33
164
原创 IP协议
IP介绍前提数据链路层:在互连同一种数据链路的节点之间进行帧传递同一数据链路—>以太网、帧中继、ATM以太网就通过mac地址标识帧中继DLCI号ATM用ATM信元传输层:应用到应用的会话区别传输层、数据链路层和网络层网络层网络层:主要实现IP到IP,主机到主机的通信网络层可以跨越多种不同的数据链路,在不同的数据链路上实现两个主机的通信路由技术:就是进行路径的选择与优化为什么既需要网络层,又需要数据链路层网络直连—>指同网段,但可能跨交换机数据链
2020-12-01 01:21:46
178
原创 用Wireshark分析流量2
随意浏览,如下图先设置目的ip为192.168.10.5:80看看和前几个文章的思路一样,一点点设置过滤条件最后发现某ip在大量访问OA系统,反手一个好家伙,原来是爆破现在把源目ip调换,看看服务器是怎么回的,顺手把长度排序,找出与众不同的那个,打开康康先打开长度是374的看看内容是什么弹窗账号密码错误,再看看543登录成功,页面跳转查看下具体信息账号密码明文显示...
2020-11-26 22:57:02
250
3
原创 用Wireshark分析流量1
大致浏览,发现是不同地址在访问192.168.10.5:80,设置过滤看看依据上图可知,是大量tcp,少量http,从少的开始发现是不同的ip在用get在向服务器上传图片,量有点大,先把源ip设置一个如上图,没有发现什么异常,get请求后没有参数,换个源ip没啥异常,信息太多,再来个过滤条件,post如上图,用post上传了图片,还有点大,而且看到了熟悉的image/jpeg,MIME限制扩展名绕过,打开看看由此可知,攻击者使用了MIME限制扩展名绕过上传了图片马...
2020-11-26 22:16:25
1042
原创 用Wireshark分析谁是攻击者,做了什么事
确定谁访问谁大致浏览,发现是一些随机端口在访问固定端口80,可以猜测被访问地址是192.168.10.5:80,先设置条件过滤一下过滤后再次浏览,发现是很多tcp协议,夹杂着少量http,先从少的开始看,设置过滤条件发现是不同的地址向同一个web服务器在用get/post方式上传文件,get多,post少,再次设置过滤明显看到192.168.10.5:80被上传了.php文件,命名很贴心地用了:小马,打开看看由此可确定,攻击者是116.99.45.41,通过post请求的方式向192.
2020-11-26 21:40:31
1665
1
原创 数据链路层
#⚠️持续更新中##以太网以太网的连接方式:总线式、交换式(集线器)以通信介质分:共享介质型(半双工)、非共享介质型(全双工)MAC地址:硬件地址,48比特,前半段识别厂商,后半段厂商内识别码环回口:以太网就是把32位的IP地址映射到MAC地址上##arp介绍当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时,是根据48bit的以太网地址来确定目的接口的。设备驱动程序从不检查IP数据报中的目的IP地址。IP是逻辑地址,不能通过IP发送数据包。真正发包是要知道逻辑地址对应的硬件
2020-11-24 22:18:59
153
转载 容灾备份分类
1、容灾分类从其对系统的保护程度来分,可以将容灾系统分为:数据容灾和应用容灾数据容灾,就是指建立一个异地的数据系统,该系统是本地关键应用数据的一个实时复制。数据容灾数据容灾,指建立一个异地的数据系统,该系统是本地关键应用数据的一个可用复制。在本地数据及整个应用系统出现灾难时,系统至少在异地保存有一份可用的关键业务的数据。该数据可以是与本地生产数据的完全实时复制,也可以比本地数据略微落后,但一定是可用的。采用的主要技术是数据备份和数据复制技术。 数据容灾技术,又称为异地数据复制技术,按照其实现的
2020-11-23 21:12:41
1230
原创 CSNA网络分析实战案例读后笔记-网络故障分析-如何定位引起网络丢包的根源
思路:1、先向客户了解故障情况,了解疑似故障区域(设备)2、了解网络拓扑及和疑似故障区域(设备)有关数据的流向3、确定科来网络回溯分析系统的部署位置及要镜像的流量方向,如果不确定的话就双向流量镜像⚠️要采集正常的通信数据做比对4、开始操作从最近的设备开始ping,采集ICMP报文,计算丢包率测试疑似故障设备TCP通信的丢包率如果以上两个数据都有问题,那么可以初步判定故障范围–疑似故障设备到ping发出的设备之间列出所有可能ping的发出设备接口故障疑似故障设备接入网线故障疑似故障设备
2020-11-23 20:57:44
437
转载 什么是URL?
URL(Uniform Resource Locator)的意思是统一资源定位符,是用于完整地描述Internet上网页和其他资源的地址的一种标识方法,也被称为"网址"。tip:在Internet上所有资源都有一个独一无二的URL地址,我们可以通过在字蓝旗地址栏中输入URL实现对资源的访问。URL的组成我们以百度的域名为例子:http://www.baidu.com:80/1.协议部分这里使用的HTTP协议,即超文本传输协议,该协议支持简单的请求和响应会话,对于Web服务器,最常用的是HTTP协议
2020-11-22 01:53:49
1689
原创 CSNA网络分析实战案例读后笔记-网络安全分析-如何找出内网主机被控
要点:当TCP同步包远大于同步确认包时,说明网络可能存在扫描行为几分钟内,IP数猛增,同步包也开始与同步确认包出现较大差值–>扫描开始正常情况:内网TCP同步包与TCP同步确认包之间的比值应为1:1知识点:FreeRDP库:rdpdr、rdpsnd、drdynvc、cliprdr,是免费开源实现的一个远程桌面协议(RDP)工具,用于从Linux下远程连接到Windows的远程桌面黑客软件名:DToolsSQL、ntscan、hsan、ssh情况:内网被控主机扫描内网地址,每个地址发送
2020-11-21 17:26:26
1217
1
原创 网络基础知识 Domain 域
·内网环境:1)工作组:默认模式,人人平等,不方便管理2)域:人人不平等,集中管理,统一管理·域的特点:集中/统一管理·域的组成:1)域控制器(域控、服务器)DC(Domain Controller)2)成员机·域的部署:1)安装域控制器-就生成了域环境2)安装了活动目录-就生成了域控制器3)活动目录:Active Directory = AD·活动目录1)AD2)特点:集中管理/统一管理·OU 组织单位作用:用于归类域资源(域用户、域计算机、域组)阻止继承·组策略GPO
2020-11-20 12:06:08
1264
原创 网络基础知识 Dynamic Host Configuration Protocol 动态主机配置协议与Domain Name Service 域名服务
·DHCP Discovery 广播包(包含客户机的MAC地址)·DHCP Offer 广播包·DHCP Request 广播包·DHCP ACK 广播包·DHCP续约 Request 包·无服务器响应,自己给自己分配一个169.254.x.x/16DNS Domain Name Service 域名服务服务器处理顺序:DNS高速缓存 看是否是自己负责区域(本地区域解析文件) 看是否有转发器 根客户机请求域名的顺序:DNS缓存 hosts文件 找本地DNS服务器·作用:为客户机提供
2020-11-15 14:42:41
154
原创 网络基础知识 常用协议和端口
53----DNS域名系统协议80----超文本传输协议(HTTP)443----安全超文本传输协议(HTTPS)1863----MSN通信端口109----邮局协议 v.2(POP2)110----邮局协议v.3(POP3)995----安全邮局协议v.3(POP3S)143----交互式的邮件访问(IMAP)993----安全交互式的邮件访问协议(IMAPS)25----简单邮件传输协议(SMTP)465----特别注意:ISA/TMG中安全简单邮件传输协议(SMTPS),在Exch
2020-11-11 21:51:19
301
原创 网络基础知识 Network Address Translations 网络地址转换
·产生原因:ipv4地址不够用·IP地址分为公网IP&私网IP公网IP只能在公网上使用私网IP只能在内网中使用公网上不允许出现私有IP地址 因为私网IP可以重复在内网使用·私有IP地址范围:1)10.0.0.0/8 (10开头的)2)172.16.0.0/16-172.31.0.0/16 (172.16开头的一直到172.31开头的)3)192.168.0.0/16 (192.168开头的)·NAT主要实现公私有IP地址的转换,一般是路由器/防火墙完成,不建议在三层交换机
2020-11-10 22:15:22
584
原创 网络基础知识 Access Control List 访问控制
·ACL是一种包过滤技术·ACL基于IP包头的IP地址、四层TCP/UDP头部的端口号(5层数据)基于三层和四层过滤·ACL在路由器上配置,也可以在防火墙上配置(一般称为策略)·ACL分为两类:1)标准ACL2)扩展ACL标准ACL:表号:1-99特点:只能基于源IP对包进行过滤命令:conf taccess-list 表号 permit/deny 源IP或源网段 反子网掩码注释:反子网掩码-将正子网掩码0和1倒置 正子网掩码作用:判断地址属于哪个网段
2020-11-09 23:06:09
349
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人