摘要: 80后用菜刀,90后用蚁剑,95后用冰蝎和哥斯拉,以phpshell连接为例,本文主要是对这四款经典的webshell管理工具进行流量分析和检测。 什么是一句话木马? 1、定义 顾名思义就是执行恶意指令的木马,通过技术手段上传到指定服务器并可以正常访问,将我们需要服务器执行的命令上传并执行 2、特点 阅读全文
posted @ 2024-09-05 11:17 巴韭特 阅读(294) 评论(0) 推荐(0) 编辑
摘要: 80后用菜刀,90后用蚁剑,95后用冰蝎和哥斯拉,以phpshell连接为例,本文主要是对这四款经典的webshell管理工具进行流量分析和检测。 什么是一句话木马? 1、定义 顾名思义就是执行恶意指令的木马,通过技术手段上传到指定服务器并可以正常访问,将我们需要服务器执行的命令上传并执行 2、特点 阅读全文
posted @ 2024-09-04 09:39 巴韭特 阅读(313) 评论(0) 推荐(2) 编辑
摘要: 80后用菜刀,90后用蚁剑,95后用冰蝎和哥斯拉,以phpshell连接为例,本文主要是对这四款经典的webshell管理工具进行流量分析和检测。 什么是一句话木马? 1、定义 顾名思义就是执行恶意指令的木马,通过技术手段上传到指定服务器并可以正常访问,将我们需要服务器执行的命令上传并执行 2、特点 阅读全文
posted @ 2024-09-03 19:30 巴韭特 阅读(174) 评论(0) 推荐(1) 编辑
摘要: • ICMP隧道攻击通讯特征和特征提取 一、ICMP Ping正常通讯特征总结 一个正常的 ping 每秒最多只会发送两个数据包,而使用 ICMP隧道的服务器在同一时间会产生大量 ICMP 数据包 正常的icmp数据包里,请求数据包与对应的响应数据包内容一样 数据包中payload的大小固定,Win 阅读全文
posted @ 2023-04-04 10:57 巴韭特 阅读(637) 评论(0) 推荐(0) 编辑
摘要: • ICMP隧道攻击工具特征分析 一、原理 由于ICMP报文自身可以携带数据,而且ICMP报文是由系统内核处理的,不占用任何端口,因此具有很高的隐蔽性。 通过改变操作系统默认填充的Data,替换成自己构造的数据,这就是ICMP隐蔽隧道的原理。 通常ICMP隧道技术采用ICMP的ICMP_ECHO和I 阅读全文
posted @ 2023-04-03 17:08 巴韭特 阅读(998) 评论(1) 推荐(0) 编辑
摘要: • ICMP协议流量特征分析 一、ASCII与HEX对照转换表 二、ICMP正常流量分析 经常使用的ping命令就是基于ICMP协议,Windows系统下ping默认传输的是:"abcdefghijklmnopqrstuvwabcdefghi",共32bytes,如图所示: linux系统下,pin 阅读全文
posted @ 2023-04-03 11:08 巴韭特 阅读(296) 评论(0) 推荐(0) 编辑
摘要: • ICMP协议介绍 一、定义 网际控制报文协议ICMP(Internet Control Message Protocol),是一种面向无连接协议,用于传输出错报告控制信息; 在TCP/IP协议簇中是一个重要子协议,通常被IP层或者更高层协议(TCP/UDP)使用,属于网络层协议; 主要用于IP主 阅读全文
posted @ 2023-03-31 10:59 巴韭特 阅读(510) 评论(0) 推荐(0) 编辑
摘要: 一、背景 Suricata支持网卡在线抓包和离线读取PCAP包两种形式的抓包: 离线抓包天然具有速度慢、非实时的特点 在线捕获数据包又包括常规网卡抓包、PF_RING和DPDK的方式 由于项目分光的流量较大, 软件自带的抓包方式并不能满足需求,因此采用了基于DPDK的Suricata在线捕获网卡数据 阅读全文
posted @ 2023-03-22 16:22 巴韭特 阅读(1301) 评论(0) 推荐(1) 编辑
摘要: #!/usr/bin/bash ## @date: 2021-08-17 ## This is a script for security operation indicator monitoring! export LANG="zh_CN.UTF-8" ##当前系统时间 DATE_time=$(d 阅读全文
posted @ 2021-09-29 11:12 巴韭特 阅读(297) 评论(0) 推荐(0) 编辑