jack237-CSDN博客

原创 linux编译时permission denied问题

在linux中编译运行开源软件时，经常出现莫名其妙的问题。很多情况是由于某些文件的访问权限不够而引起的。为了釜底抽薪，直接su到root账户，并提升该软件文件夹中所以文件的权限到最高：chmod -Rv 777 ./ (对应的文件夹位置)省的麻烦！

2012-12-06 09:01:50 7356 1

原创 ubuntu下apt-get 找不到软件包

ubuntu的apt-get很好用，但有时会找不到软件包，会报错如下：现在没有可用的软件包 openssh-server,但是它被其它的软件包引用了.这可能意味着这个缺失的软件包可能已被废弃,或者只能在劳动保险发布源中找到.E:软件包openssh-server还没有可供安装的候选者此时，需要更新源列表。操作如下：百度“ubuntu sources.list”，找一个可用的源列

2012-12-05 19:36:54 17290

原创 R语言学习笔记

参考：W.N. Venables, D.M. Smith and the R DCT: Introduction to R -- Notes on R: A Programming Environment for Data Analysis and Graphics, 2003. http://bayes.math.montana.edu/Rweb/Rnotes/R.html前言：关于

2012-11-22 08:59:14 185522 11

原创 Ossec manager与agent的连接问题

当装有agent的虚拟机还原到之前的snapshot后，无法与manager重新建立连接。这是因为二者之间没有同步了。ossec靠rids文件来同步。解决方法：1、分别停止manager和agent进程。2、在manager端删掉/var/ossec/queue/rids文件夹下对应agent id的文件。3、重启manager和agent连接正常了。。。。

2012-04-11 22:19:43 2418

原创 sockaddr详解

struct sockaddr { 　　 unsigned short sa_family; /* address family, AF_xxx */ 　　char sa_data[14]; /* 14 bytes of protocol address */ 　　}; 　　sa_family是地址家族，一般都是“AF_xxx”的形

2012-04-09 16:53:36 2358

转载参考文献的类型

From：http://blog.sina.com.cn/s/blog_456a8d5e0100ddhu.html 参考文献（即引文出处）的类型以单字母方式标识：M——专著，C——论文集，N——报纸文章，J——期刊文章，D——学位论文，R——报告，S——标准，P——专利；对于不属于上述的文献类型，采用字母“Z”标识。参考文献一律置于文末。其格式为：（一）专著示例

2012-04-09 08:26:36 4509

转载在Linux Redhat 9.0使用YUM

在Linux Redhat 9.0使用YUM伺服器來管理rpm套件升級方法由於 Redhat 公司己經停止了對Linux Redhat 9.0的維護,所以我們這些使用者必須找到另一個方法去升級套件,這時使用YUM伺服器來管理rpm套件升級, 因為它可以避免套件間相依性而安裝失敗.要連線YUM伺服器必須要先要裝下列程式:yum-2.0.4-1.rh.fr.i386.rpm

2012-03-29 09:35:07 1028

转载常用的DNS记录类型的说明

来自：http://enable.blog.51cto.com/747951/353637 主机[A]描述: 主机地址记录。在 DNS 域名与 IP 地址之间建立映射关系语法: owner class ttl A IP_v4_address例子: host1.example.microsoft.com. IN A 127.0.0.1别名[CNAME]描述: 用来表示用在

2012-03-28 10:14:49 2446

转载 yum 失败（This system is not registered with RHN.）解决

来自：http://hi.baidu.com/%B7%E3%D3%A1_/blog/item/74a474218b8ecf1f908f9d5d.html使用redhat 系统在线安装时提示This system is not registered with RHN.如下：[root@localhost ~]# yum install httpdLoaded plugins: rhnpl

2012-03-27 09:46:18 1250

原创 Wireshark的Bogus IP length错误

用Wireshark抓包时，经常会遇到一些报文被解析成为下面这种形式：展开信息：该报文的源IP和目的IP都只解析以太网层的设备名，而不是IP地址，解析信息是Bogus IP length(0, less than header length 20)。仔细查看，发现这个报文的IP头部的total length字段被解析为0，但是从报文payload来

2012-03-21 22:33:58 10035 1

转载 ICMP协议基本格式

来自：http://hi.baidu.com/%BA%CE%E1%E7/blog/item/d0b3b14e914ae9e783025c01.htmlICMP是IP层的一个组成部分，它传递查询报文和差错报文，ICMP报文通常被IP层或更高层协议（TCP或UDP）使用，它是在IP数据包内被传输的，如图1所示。图1：ICMP封装在IP数据包内部ICMP报文格式如图2所示，所

2012-03-21 16:13:36 4942

转载 icmp type code 对应表

原帖：http://blog.chinaunix.net/uid-21639821-id-2387653.htmlICMP类型 TYPECODEDescriptionQueryError00Echo Reply——回显应答（Ping应答）x 30Network Unreachable——网络不可达

2012-03-21 16:08:11 9779

原创 IPFIX学习笔记

1.1 IPFIX技术概况基于流的技术被越来越广泛地用于刻画网络传输流，它在设置QoS 策略、部署应用和进行容量规划上都有着巨大的价值。但是，网络管理员却缺少一种输出传输流的标准格式。　　IPFIX 全称为IP Flow Information Export，即IP数据流信息输出，它是由IETF公布的用于网络中的流信息测量的标准协议。该协议主要在于：　　l 统一 IP数据

2012-03-21 09:43:35 6238

转载常见异常流量及蠕虫案例

异常流量的数据包类型1、TCP SYN flood（40字节）　　11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|1|40|1　　从NetFlow的采集数据可以看出，此异常流量的典型特征是数据包协议类型为6（TCP），数据流大小为40字节（通常为TCP的SYN连接请求）。 2、ICMP flood　　2.*.33.1|1.*.97

2012-03-19 23:22:49 4065

原创 NetFlow学习笔记

NetFlow是一种数据交换方式。Netflow提供网络流量的会话级视图，记录下每个TCP/IP事务的信息。也许它不能象tcpdump那样提供网络流量的完整记录，但是当汇集起来时，它更加易于管理和易读。Netflow由Cisco创造。工作原理：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow 缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹

2012-03-19 23:16:25 42620 2

原创 NETBIOS学习

（NetBIOS：Network Basic Input Output System） NETBIOS协议是由IBM公司开发，主要用于数十台计算机的小型局域网。该协议是一种在局域网上的程序可以使用的应用程序编程接口（API），为程序提供了请求低级服务的统一的命令集，作用是为了给局域网提供网络以及其他特殊功能，系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetB

2012-03-19 15:08:24 1343

转载 new和delete的使用与常见错误

c++中new和delete的使用方法new和delete运算符用于动态分配和撤销内存的运算符new用法: 1. 开辟单变量地址空间 1)new int; //开辟一个存放数组的存储空间,返回一个指向该存储空间的地址.int *a = new int 即为将一个int类型的地址赋值给整型指针a.

2012-03-15 11:49:33 1606 1

原创在子函数中改变指针变量的值的方法

先看一段代码：#include void foo(char *p){ p = "after foo()";} void main(){ char *p = "before foo()"; foo(p); cout } 如果你指望函数foo能帮你改变p的值，那你就错了。因为指针也是变量，它在函数调用过程中也是传值调用

2012-03-15 11:21:22 9147 2

转载常用默认端口号

网络层---数据包的包格式里面有个很重要的字段叫做协议号。比如在传输层如果是TCP连接，那么在网络层IP包里面的协议号就将会有个值是6，如果是UDP的话那个值就是17---传输层。传输层---通过接口关联(端口的字段叫做端口)---应用层。用netstat –an可以查看本机开放的端口号。代理服务器常用以下端口：（1）.HTTP协议代理服务器常用端口号：80/8080/31

2012-03-14 19:46:30 1359

转载 IP协议号大全(网络协议号)

1 ICMP Internet Control Message [RFC792] 2 IGMP Internet Group Management [RFC1112] 3 GGP Gateway-to-Gateway [RFC823]

2012-03-14 19:45:12 8382

转载 C语言中链表的实现

首先定义个链表：typedefstruct Node{ /* 定义单链表结点类型 */ elemType element; Node *next;}Node;Node *head = NULL; 在实现几个操作函数：list* list_init ( void );//初始化status list_destroy( list* );//

2012-03-12 18:59:35 702

原创 C程序中对时间的处理——time库函数详解

包含文件: 一、在C语言中有time_t, tm, timeval等几种类型的时间1、time_ttime_t实际上是长整数类型，定义为：typedef long time_t; /* time value */ 2、timevaltimeval是一个结构体，在time.h中定义为：struct timeval{ __time_t

2012-03-12 14:07:56 22526 1

翻译 OSSEC的decoder语法

选项：decoderAttributes:id::name:type:status:decoder.parentdecoder.program_nameAllowed: Any OS_Match/sregex Syntaxdecoder.prematchAllowed: Any OS_Match/sregex Syntaxdecoder.

2012-03-08 08:51:52 976

翻译 OSSEC的正则表达式语法

正则表达式语法 Regular Expression Syntaxhttp://www.ossec.net/doc/syntax/regex.html目前OSSEC支持两种：OR_Regex or regexOS_Match or sregex1) OR_Regex or regex：C中简单快速的正则表达式库。表达式 Supported expressions:\w

2012-03-07 23:14:48 958

翻译 OSSEC的rules语法

Rules的语法http://www.ossec.net/doc/syntax/head_rules.htmlrule Defines a rule level: 0-16 id: 100-99999, 100000-109999 are assigned to user maxsize: 指定event的最大长度, 1-99999 frequenc

2012-03-07 23:13:17 2330

原创 OSSEC直接向GMAIL发送alert的配制方法

按照mannul的介绍，直接在ossec.conf中配置如下：[email protected]@jack-ubuntu-desktop11可是gmail收不到任何alert邮件。按照josay的方法，将alert以邮件发给本地root，http://blog.csdn.net/jo_say/arti

2012-03-07 22:57:21 2159

转载 ubuntu下安装卸载软件

方法一：可以用终端安装或卸载软件。方法二：用系统自带的“新立得软件包管理器”在终端里安装软件 apt-get install softname1 softname2 softname3……卸载软件 apt-get remove softname1 softname2 softname3……卸载并清除配置 apt-get remove --purge softname1更

2012-03-07 16:31:07 808

原创 OSSEC基础学习

Understanding OSSEC●OSSEC two working models ➔Local (useful when you have only one system to monitor) ➔Agent/Server (recommended!)●By default installed at /var/ossec●Main configuration f

2012-03-07 11:02:16 1663

原创 syslog 格式学习

完整的syslog消息由3部分组成，分别是PRI、HEADER和MSG。大部分syslog都包含PRI和MSG部分，而HEADER可能没有。下面是一个syslog消息：Oct 9 22:33:20 hlfedora auditd[1787]: The audit daemon is exiting.其中“”是PRI部分，“Oct 9 22:33:20 hlfedora”是HEADER

2012-03-06 16:08:09 4282

原创 OSSEC manual学习

1、Syscheck Integrity checking is an essential part of intrusion detection. 执行周期 periodically: scans the system every few hours(by default 22h for ubuntu and 20h for windows). 数据存放位置 dat

2012-02-27 22:20:12 1768

原创如何为vmware下的虚拟机扩充硬盘

一、主机为Windows系统，虚拟机下的系统为Linux系统 1、如果此虚拟机有snapshots，先删掉所有snapshots，关闭此虚拟机； 2、启动windows下的CMD，进入vmware安装目录，比如C:\Program Files\VMware\VMware Workstation； 3、输入命令：vmware-vdiskmanager.exe -x 30GB "d:

2012-02-24 10:39:11 4253

转载最好用的mysql密码忘记的解决方法

http://apps.hi.baidu.com/share/detail/23010323 在windows下： 1. 打开命令行窗口，停止mysql服务： Net stop mysql （或者直接在服务管理器中停止mysql）2. 启动mysql，一般到mysql的安装路径，找到 mysqld-nt.exe (或mysqld.exe)3. 执行：mysq

2012-02-21 15:50:39 556

转载 Linux下安装ossec

安装OSSEC小结:linux_server+xp_agent 安装过程中报编译错误，比如"Error Making analysisd"等，此时要看清报错的位置及原因，定位问题的根源。我的这个"Error Making analysisd"是因为analysisd文件夹里面的某个configure文件没有权限执行(permission denied)所以提升对应文件的权限即可su

2012-02-21 10:53:14 4257

转载使用命令提示符查找电脑中隐藏的“黑手”

一、TASKLIST——火眼金睛如今的病毒越来越狡猾，常常不见首也不见尾。但许多病毒往往在进程这一环节中露出狐狸尾巴，因而查看进程是查杀病毒的一个重要的方法。命令行提供了进程查看的命令工具——Tasklist(Windows XP或更新版本)。此命令与任务管理器一样可以显示活动进程的列表。但通过使用参数，可以看到任务管理器查看不到的信息，可以实现更强大的功能。使用参数 “/M”，运行“

2011-11-16 09:12:10 2729

原创 Honeywall使用实验

安装完Honeywall后开始进行使用实验。1. 主机系统（物理机）ping 蜜罐机没问题，反之则不行，重启蜜罐的网卡后解决。2. 蜜罐机ping外网无法ping通，也就是说，honeypots都只是以host-only方式链接到主机，而没有按文档所写的借助网桥链接到了外网。如果是这样，蜜罐存在的意义何在？蜜网的部署图如下：宿主系统只有一个网卡，但是绑定了上

2011-11-08 18:45:27 6127 33

原创虚拟蜜网Honeywall的安装

按照《在Win32平台上基于VMware软件部署并测试第三代虚拟蜜网》的说明，一步步安装Honeywall的CDROM：ROO1.4。首先下载 https://projects.honeynet.org/honeywall/raw-attachment/wiki/WikiStart/roo-1.4.hw-20090425114542.iso在这个过程中，有几处与文档不一致的地方，这是因为文

2011-11-07 23:19:12 9072 28

原创 OSSEC与snort的连接实验

OSSEC客户端首先要跟服务端建立连接。OSSEC客户端的配置文件里面要添加 C:\Snort\log\alertfull.ids snort-full 其中，alertfull.ids是Snort产生的日志文件，好像必须为full模式的日志，fast模式实验没推送成功，同时，日志文件名不能有下划线 '_' ，不然也不能推送。snort-full是日

2011-10-27 16:54:12 2421 2

原创网络报文的长度

对于以太网环境下UDP传输中的数据包长度问题，首先要看TCP/IP协议，涉及到四层：链路层，网络层，传输层，应用层。其中以太网（Ethernet）的数据帧在链路层，IP包在网络层，TCP或UDP包在传输层，TCP或UDP中的数据（Data)在应用层，它们的关系是：数据帧｛IP包｛TCP或UDP包｛Data｝｝｝　在应用程序中我们用到的Data的长度最大是多少，

2011-10-27 16:48:49 8963

转载 Know Your Enemy

主页（英文）http://www.honeynet.org/papers 中文版http://www.4oa.com/Article/html/5/379/385/2005/9029_2.html

2011-10-27 09:29:37 705

原创 Sebek学习笔记

1、Sebek是一个数据捕获工具。2、Sebek是运行在内核空间的一段代码，记录系统用户存取的一些或者全部数据。这个工具有这些功能：记录加密会话中击键，恢复使用SCP拷贝的文件，捕获远程系统被记录的口令，恢复使用 Burneye保护的二进制程序的口令还有其它的一些入侵分析任务相关的作用。入侵者会使用加密工具来保护他们的传输通道，监视者如果没有密钥，基于网络的数据捕获工具

2011-10-25 21:04:58 2644 10

netflow/argus的简单实现：Traffic Logger---一个可以统计记录本地所有网络流量详细信息的C程序

空空如也