巴韭特

摘要： 80后用菜刀，90后用蚁剑，95后用冰蝎和哥斯拉，以phpshell连接为例，本文主要是对这四款经典的webshell管理工具进行流量分析和检测。 什么是一句话木马？ 1、定义 顾名思义就是执行恶意指令的木马，通过技术手段上传到指定服务器并可以正常访问，将我们需要服务器执行的命令上传并执行 2、特点 阅读全文

摘要： 80后用菜刀，90后用蚁剑，95后用冰蝎和哥斯拉，以phpshell连接为例，本文主要是对这四款经典的webshell管理工具进行流量分析和检测。 什么是一句话木马？ 1、定义 顾名思义就是执行恶意指令的木马，通过技术手段上传到指定服务器并可以正常访问，将我们需要服务器执行的命令上传并执行 2、特点 阅读全文

摘要： 80后用菜刀，90后用蚁剑，95后用冰蝎和哥斯拉，以phpshell连接为例，本文主要是对这四款经典的webshell管理工具进行流量分析和检测。 什么是一句话木马？ 1、定义 顾名思义就是执行恶意指令的木马，通过技术手段上传到指定服务器并可以正常访问，将我们需要服务器执行的命令上传并执行 2、特点 阅读全文

摘要： • ICMP隧道攻击通讯特征和特征提取 一、ICMP Ping正常通讯特征总结 一个正常的 ping 每秒最多只会发送两个数据包，而使用 ICMP隧道的服务器在同一时间会产生大量 ICMP 数据包 正常的icmp数据包里，请求数据包与对应的响应数据包内容一样 数据包中payload的大小固定，Win 阅读全文

摘要： • ICMP隧道攻击工具特征分析 一、原理 由于ICMP报文自身可以携带数据，而且ICMP报文是由系统内核处理的，不占用任何端口，因此具有很高的隐蔽性。 通过改变操作系统默认填充的Data，替换成自己构造的数据，这就是ICMP隐蔽隧道的原理。 通常ICMP隧道技术采用ICMP的ICMP_ECHO和I 阅读全文

摘要： • ICMP协议流量特征分析 一、ASCII与HEX对照转换表 二、ICMP正常流量分析 经常使用的ping命令就是基于ICMP协议，Windows系统下ping默认传输的是："abcdefghijklmnopqrstuvwabcdefghi"，共32bytes，如图所示： linux系统下，pin 阅读全文

摘要： • ICMP协议介绍 一、定义 网际控制报文协议ICMP（Internet Control Message Protocol），是一种面向无连接协议，用于传输出错报告控制信息； 在TCP/IP协议簇中是一个重要子协议，通常被IP层或者更高层协议（TCP/UDP）使用，属于网络层协议； 主要用于IP主 阅读全文

摘要： 一、背景 Suricata支持网卡在线抓包和离线读取PCAP包两种形式的抓包： 离线抓包天然具有速度慢、非实时的特点 在线捕获数据包又包括常规网卡抓包、PF_RING和DPDK的方式 由于项目分光的流量较大, 软件自带的抓包方式并不能满足需求，因此采用了基于DPDK的Suricata在线捕获网卡数据 阅读全文

摘要： #!/usr/bin/bash ## @date: 2021-08-17 ## This is a script for security operation indicator monitoring! export LANG="zh_CN.UTF-8" ##当前系统时间 DATE_time=$(d 阅读全文