发布了 26 篇内容
共 65295字, 被阅读 376次
获得了 0 次赞同
获得了 0次喜欢, 获得了 0 次收藏
参与了 0 次互动
互动包含发布评论、点赞评论、参与投票等
网络入侵检测系统之 Suricata(十六)-- 类 suricata/snort 规则自动维护工具
之前一直想写一个工具用来维护一套类 suricata/snort 规则,需要做到脚本运行后自动可以爬取预先设置的网站规则,然后会将规则进行一些处理并存为数据库,接着可以进行相关的统计,比如今天新增多少规则或者哪些规则已经废弃了。
13 小时前
12
网络入侵检测系统之 Suricata(十五)--IPOnly/Radix Tree 详解
Suricata 中对纯 ip 的加载是单独作为一个模块的,称之为 IpOnly 规则。本文详细介绍了 iponly 规则的组织和匹配流程
13 小时前
16
网络入侵检测系统之 Suricata(十四)-- 匹配流程
其实规则的匹配流程和加载流程是强相关的,你如何组织规则那么就会采用该种数据结构去匹配,例如你用 radix tree 组织海量 ip 规则,那么匹配的时候也是采用 bit test 确定前缀节点,然后逐一左右子树查询,Suricata 也是如此,让我给大家简单介绍一下匹配流程。
13 小时前
12
网络入侵检测系统之 Suricata(十三)-- 网络安全威胁及攻击手段总览
Proofpoint Inc 是致力于信息安全的公司,业务主要包括保护客户免于信息威胁,数据加密以及交易安全等等。其中我比较关心的就是 Threat Protection[1],该公司每隔一周左右的时间就会更新形如 suricata/snort 样式的开源信息威胁规则 [2],这部分规则可用于入侵检
13 小时前
12
网络入侵检测系统之 Suricata(十二)--TCP 重组优化
TCP 重组十分耗存储资源,因此应该找到一些优化算法尽量避免 TCP 重组,并且又尽可能的不失流量的完整性。目前想到的有四个方面,配置限制,红黄绿名单,抽样算法以及合理的老化时长。
13 小时前
11
网络入侵检测系统之 Suricata(十一)--TCP 重组实现详解
本文横向介绍了三种网络入侵系统关于 TCP 重组的实现,qnsm/snort/suricata,TCP 重组一直是入侵检测系统中最为重要也是最难的一部分,它涉及到全流量的缓存,因此存储消耗十分巨大,据统计 100 万的会话就要产生 1G~10G 的内存缓存,
13 小时前
13
网络入侵检测系统之 Suricata(九)--Storage 实现详解
suricata 针对一些小的线程共享空间采用多种 storage,比如 Host storage,这个数据区就是存储阈值 option 实现时一些共享数据:
13 小时前
11
网络入侵检测系统之 Suricata(八)--Option 实现详解
本文详解介绍了 suricata oprion 相关的源码实现,并以 tcp.flags 与 threshold 关键字进行举例说明。
14 小时前
12
网络入侵检测系统之 Suricata(七)--DDOS 流量检测模型
分布式拒绝服务(Distributed Denial of Service,简称 DDoS)将多台计算机联合起来作为攻击平台,通过远程连接利用恶意程序,对一个或多个目标发起 DDoS 攻击,消耗目标服务器性能或网络带宽,从而造成服务器无法正常地提供服务。
14 小时前
14
网络入侵检测系统之 Suricata(六)-- 规则加载模块代码详解
本文详细的剖析了 suricata 规则加载部分的源码,从五元组 + 协议 +option 三个方面介绍了 suricata 规则的组织方式和匹配方式。
14 小时前
12
