10 网络安全研发随想

尚未进行身份认证

我要认证

暂无相关简介

等级
TA的排名 3w+

TCP协议参数优化

TCP 协议是由操作系统实现的,调整 TCP 必须通过操作系统提供的接口和工具。这就需要理解 Linux 是怎样把三次握手中的状态暴露给我们,以及通过哪些工具可以找到优化依据,并通过哪些接口修改参数。1. TCP 三次握手和优化参数1.1 tcp_syn_retries(syn重传)三次握手建立连接的首要目的是同步序列号。只有同步了序列号才有可靠的传输,TCP 协议的许多特性都是依赖序列号实现的,比如流量控制、消息丢失后的重发等等,这也是三次握手中的报文被称为 SYN 的原因。三次握手虽然由操作系

2020-07-12 19:15:23

linux中的TC(TrafficControl)详细说明

1. qdisc(排队规则)、class(类别)和filter(过滤器)Linux操作系统中的流量控制器TC(TrafficControl)用于Linux内核的流量控制,它利用队列规定建立处理数据包的队列,并定义队列中的数据包被发送的方式,从而实现对流量的控制。qdisc通过队列将数据包缓存起来,用来控制网络收发的速度class用来表示分类策略filter用来将数据包划分到具体的分类中1.1 队列TC模块实现流量控制功能使用的队列规定分为两类:一类是无类队列规定无类队列对进入网络设备

2020-06-11 16:04:47

python编程总结

1. 编码Python3有两种表示字符序列的类型:bytes和str,前者的实例包含原始的8bits value,后者的实例包含Unicode字符。Python2也有两种表示字符序列的类型,str和unicode,str的实例包含原始的8bits value,unicode的实例包含Unicode字符。把Unicode字符表示为二进制数据(原始的8bits value)有很多方法,常见的就是utf-8编码。但是,python3的str实例和python2的unicode实例都没有和特定的二进制编码形

2020-06-11 15:03:31

端点检测和响应EDR与OSSEC

1. EDR的由来任何具有网络 IP 地址的设备,只要被允许与组织的网络进行交互,都是一个端点。下面是一些关键端点威胁:可执行文件包(恶意软件)潜在不受欢迎程序 (PUA),比如广告软件勒索软件,比如文件加密器和磁盘加密器(擦除器)基于漏洞的攻击和文件攻击,比如伪装后的文档(通常是经过精心制作或修改以造成损害的办公程序)和恶意脚本(通常是隐藏在合法程序和网站中的恶意代码)主动攻击技术,包括权限提升(攻击者在系统中获取额外访问权限的方法)、身份盗窃(窃取用户名和密码)和代码洞(将恶意代码隐藏在

2020-06-11 13:10:34

物联网和工业互联网场景下的边缘计算

物联网和边缘计算## 业务需求物联网主要是将各种传感器和智能设备连接起来,将数据上传云端,并通过物联网应用程序进行监控管理。由于传感器可能部署在很多相距较远的地方,而且数量庞大,所以不可能将传感器数据直接接入云端服务器,而且也不是所有的传感器数据都需要实时上传云端。所以,需要有一个在传感器现场的前置服务器(叫做物联网网关)进行现场管理。物联网网关布置在物联网的作业现场,和传感器距离很近,处于整个云计算的边缘,所以在智能网关上的计算也叫边缘计算。智能网关进行现场数据处理后,也就是进行边缘计算后,再

2020-05-26 18:37:10

云安全相关技术介绍

1. 概述随着云计算逐渐成为主流,云安全也获得了越来越多的关注,传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。但是,与有清晰定义的“云计算”(NIST SP 800-145和ISO/IEC 17788)不同,业界对“云安全”从概念、技术到产品都还没有形成明确的共识。从发展的脉络分析,“云安全”相关的技术可以分两类:一类为使用云计算服务提供防护,即使用云服务时的安全(security for using the cloud),也称云计算安全(Cloud Computing Security

2020-05-21 18:17:54

初探下一代SIEM核心技术发展趋势

1. 引言本文乃笔者从2005年接触SIEM到现在的一些感触,也算是抛砖引玉希望引起大家更多的讨论。这里所指的核心技术主要指有一定技术壁垒,承载SIEM产品核心能力的技术点。2. 传统SIEM产品现状从2000年左右开始有SIEM( Security Information and Event Management,安全信息与事件管理)产品崭露头角,也涌现出Arcsight这家雄霸Gartner SIEM MQ第一象限多年的现象级产品,但ArcSight从2011年开始在Gartner的领导者象限受到

2020-05-21 17:13:21

基于DPDK+VPP实现高性能防火墙

为了提高性能,vpp数据平面由转发节点的有向图组成,每个调用处理多个数据包。此模式支持各种微处理器优化:流水线操作和预取,以覆盖相关的读取延迟,固有的I-cache阶段行为,矢量指令。除硬件输入和硬件输出节点外,整个转发图是可移植代码。根据手头的情况,我们经常启动多个工作线程,这些线程使用相同的转发图复制品处理来自多个队列的入口哈希数据包。VPP Infra - VPP基础设施层,包含...

2019-01-31 11:11:16

Linux内核套接字(Socket)的设计与实现

套接字是UNIX兼容系统的一大特色,是UNIX一切皆是文件操作概念的具体实现。Linux在此基础上实现了内核套接字与应用程序套接字接口,在用户地址空间与内核地址空间之间提供了一套标准接口,实现应用套接字库函数与内核功能之间的一一对应。1. 套接字和管理套接字的数据结构在Linux中定义了一系列的数据结构来描述套接字本身、套接字传送的数据格式、套接字的属性和管理套接字连接状态的数据结构。管...

2020-04-26 18:31:46

linux内核对TCP的连接状态管理

TCP协议实例连接状态存放在struct sock数据结构的state数据域中。当TCP协议实例连接处于不同状态时,对数据包的处理不一样,所以每个输入的数据包都要来查询TCP状态机,整个状态机制划分成3个阶段:第一阶段:连接建立阶段。第二阶段:数据传送阶段。第三阶段:断开连接阶段。1. TCP建立连接(tcp_v4_connect)tcp_v4_connect 函数将初始化一个对外...

2020-04-26 13:07:19

Linux内核中TCP协议实现的关键数据结构

1. TCP协议头tcphdrTCP协议头描述了TCP数据段发送的源地址、目标地址、数据段传送管理和连接管理的信息,是TCP协议实现的重要数据结构之一。struct tcphdr { __be16 source; __be16 dest; __be32 seq; __be32 ack_seq;#if defined(__LITTLE_ENDIAN_BITFIELD) __u16 r...

2020-04-26 10:58:54

linux内核中TCP接收的实现

linux内核中TCP接收的实现入口函数是tcp_v4_rcv1. 数据包检查处理一开始做一些数据包详细检查处理,一旦出错,可能导致内核挂掉int tcp_v4_rcv(struct sk_buff *skb){ const struct iphdr *iph; struct tcphdr *th; struct sock *sk; int ret; struct net *ne...

2020-04-24 18:29:28

linux内核中TCP发送的实现

1. 初始化static int __init inet_init(void){ /*...*/ /* Register the socket-side information for inet_create. */ for (r = &inetsw[0]; r < &inetsw[SOCK_MAX]; ++r) INIT_LIST_HEAD(r); for ...

2020-04-24 17:27:41

重新学习c++--理解引用、智能指针、虚函数、模板、容器

最近几年用c和python比较多,上次用c++写程序已经是几年前的事情了。温故而知新,是时候重新学习下c++了。1. c++是一个语言联邦C++是一个语言联邦,可以分成四大联邦去理解,每一个联邦都有自己的世界观和理解方式。Cc++仍以C为基础,区块blocks、语句statements、预处理器preprocessor、内置数据类型、数组、指针都来自C。Object-Oriented ...

2020-04-12 01:28:40

分布式列数据库--理解hbase列存储机制、架构、表结构设计、命令操作

1. HBase简介HBase是Hadoop Database的简称,是建立在Hadoop文件系统之上的分布式面向列的数据库。HBase和HDFSHDFS适用于存储大容量文件的分布式文件系统,不支持快速单独记录查找,提供了高延迟批量处理,但是没有批处理的概念;提供的数据只能够顺序访问;HBase是建立在HDFS之上的数据库,提供在较大的表快速查找,提供了数十亿记录低延迟访问单个行记录(随机...

2020-03-17 15:32:27

数据中心网络vs云网络vs容器网络

1. 数据中心网络1.1 接入+汇聚+核心数据中心往往有非常多的机器,当塞满一机架的时候,需要有交换机将这些服务器连接起来,可以互相通信。这些交换机往往是放在机架顶端的,所以经常称为 TOR(Top Of Rack)交换机。这一层的交换机常常称为接入层(Access Layer)当一个机架放不下的时候,就需要多个机架,还需要有交换机将多个机架连接在一起。这些交换机对性能的要求更高,带宽也更...

2020-04-06 22:08:11

入侵检测规则匹配算法--单模匹配算法、多模匹配算法、hyperscan

入侵检测规则匹配算法,分为单模式匹配算法和多模式匹配算法。1. 单模式匹配单模式匹配,就是一个串跟一个串进行匹配,常见算法有:BM算法和KMP算法。1.1 BF (Brute Force)暴力匹配算法作为最简单、最暴力的字符串匹配算法,BF 算法的思想可以用一句话来概括,那就是,我们在主串中,检查起始位置分别是 0、1、2…n-m 且长度为 m 的 n-m+1 个子串,看有没有跟模式串匹配...

2020-04-10 01:24:28

入侵检测系统原理和实现

1. 入侵检测系统简介1.1 入侵检测分类按信息源分类根据信息源的不同,入侵检测技术分为基于主机型和基于网络型两大类。1)基于主机的入侵检测技术基于主机的入侵检测技术可监测系统、事件和WindowsNT下的安全记录,以及Unix环境下的系统记录。当有文件被修改时,入侵检测系统将采用新的记录条目与已知的攻击特征进行比对的技术,如果匹配,就会向系统管理员报警或者作出适当的响应。2)基于网络...

2020-03-24 12:46:00

python coroutine,go routine对比--理解多进程、多线程、事件驱动、协程

1. 进程 vs 线程 vs 协程1.1 上下文切换linux系统中,处理器总处于以下状态中的一种:内核态,运行于进程上下文,内核代表进程运行于内核空间;内核态,运行于中断上下文,内核代表硬件运行于内核空间;用户态,运行于用户空间;一个进程的上下文可以分为三个部分:用户级上下文、寄存器上下文以及系统级上下文。用户级上下文: 正文、数据、用户堆栈以及共享存储区;寄存器上下文:...

2020-03-14 22:55:43

WAF原理和实现--理解nginx模块编程

1. WAF 简介WAF,即Web Application Firewall(Web应用防火墙),是一种针对Web应用层恶意请求的访问控制措施。WAF基本就是解析HTTP请求(协议解析模块),规则检测(规则模块),做不同的防御动作(动作模块),并将防御过程(日志模块)记录下来。2. 开源WAF2.1 ModSecurityModSecurity最开始是一个Apache的安全模块,后来发展...

2020-03-30 00:23:21

查看更多

勋章 我的勋章
  • 阅读者勋章Lv2
    阅读者勋章Lv2
    授予在CSDN APP累计阅读博文达到7天的你,是你的坚持与努力,使你超越了昨天的自己。
  • 持之以恒
    持之以恒
    授予每个自然月内发布4篇或4篇以上原创或翻译IT博文的用户。不积跬步无以至千里,不积小流无以成江海,程序人生的精彩需要坚持不懈地积累!
  • 勤写标兵Lv3
    勤写标兵Lv3
    授予每个自然周发布7篇到8篇原创IT博文的用户。本勋章将于次周周三上午根据用户上周的博文发布情况由系统自动颁发。
  • 学习力
    学习力
    《原力计划【第二季】》第一期主题勋章 ,第一期活动已经结束啦,小伙伴们可以去参加第二期打卡挑战活动获取更多勋章哦。
  • 原力新人
    原力新人
    在《原力计划【第二季】》打卡挑战活动中,成功参与本活动并发布一篇原创文章的博主,即可获得此勋章。