原创 suricata中的單模匹配和多模匹配
suricata的主要功能就是將規則和指定的報文進行匹配。有的是二進制協議的字段匹配,主要就是數值的比較。有的是針對傳輸層協議的內容匹配,主要是字符串的匹配查找。其中字符串的匹配分單模匹配以及多模匹配,本篇就簡單的聊聊這兩種匹配在
2020-07-08 06:18:36
30
原创 suricata源碼之tag
tag是suricata提供的一個規則關鍵字,但是在suricata的說明文檔,這裏並沒有給出關鍵字的解釋,因爲他是爲了兼容snort規則而支持的一個關鍵字。 tag的字面含義就是標籤的意思。通常來說當一個規則命中的時候,往往會去
2020-07-01 04:28:43
17
原创 suricata源碼之Storage
在suricata中經常會發現storage這樣一個結構,很多人可能不是特別理解其表達的含義,本節就對此結構進行說明。 suricata中有一個Storage結構,從字面意思來看是存儲的含義。存儲的內容是什麼呢?suricata中
2020-07-01 04:28:43
18
原创 suricata源碼之-流表管理
本篇文章將分析一下suricata中的流表管理,包括流表初始化,流的新建以及流的老化。 對於任何的網絡分析工具和產品來說,流管理都是非常重要的一個方面。所謂的流就是由源目的IP,源目的端口以及傳輸層的協議構成的通信雙方的虛擬鏈接,
2020-06-21 05:11:48
64
原创 Wireshark分析實際報文理解SSL(TLS)協議
Wireshark本身是爲協議分析而生,因此不可避免的會涉及到一些常見協議的基本知識。本篇將通過wireshark來講解一下SSL這個協議作爲我的專欄《wireshark從入門到精通》第一部分的結束。 由於SSL協議在TCP/IP
2020-06-17 12:01:44
3
原创 各大公司在GitHub上開源投入排名分析
現在有越來越多的公司都參與了開源,其背後有各自的目的所在,姑且不予討論。本文是從多個方面分析各大公司在開源上的投入情況。由於全世界絕大多數的開源項目都有發佈到Github上,因此本文將會基於GitHub的數據進行分析。2019還沒
2020-06-17 12:01:44
原创 Wireshark中實用的設置和使用技巧彙總
在我的專欄《wireshark從入門到精通》前面幾篇已經提到的一些設置就不在本節重複說了,本節着重介紹一些到目前爲止還沒有提到的實用設置和使用技巧。 在統計->捕獲文件屬性可以查看文件總體概況描述,如圖1: 圖1 具體包括,文件大
2020-06-17 12:01:44
原创 Wireshark lua插件實現私有協議的解析
本文將介紹如何使用wireshark lua插件實現私有協議的解析,通過一個具體的示例加以描述,作爲我的專欄《wireshark從入門到精通》中的一篇。 雖然wireshark提供了現存絕大多數公開協議解析功能,目前V3.2.2版
2020-06-17 12:01:44
5
原创 suricata源碼中的packet prefilter 以及payload prefilter
suricat主要分爲引擎和規則。對於引擎功能比較多,包括協議的解碼,規則的加載和解析,以及規則的識別。總的來檢測的成功率主要體現在規則上。規則會隨着需求的增加而增長,當規則很多的時候,識別的效率就會非常的突出。如果讓每一個報文去
2020-06-17 10:15:11
30
原创 linux環境centos 7 下suricata 源碼安裝
本文簡單的介紹centos7環境下的suricata源碼安裝步驟和注意事項。 源碼下載 下載地址,這裏。 生成configure 源碼中是沒有configure文件的,需要運行autogen.sh生成configure文件。 執行
2020-06-17 10:15:11
27
原创 硬核乾貨,史上最強獲取GitHub所有倉庫內容數據分析教程
Github上聚集了世界上很多優秀的工程師,團隊和優秀的開源項目,事實上也是聚集了軟件行業相當一部分的思考和實踐。分析Github上的數據無疑是一件非常有意義和價值的事情,下圖就是我所使用的方法繪製的GitHub license
2020-06-17 10:15:11
1
原创 996ICU的這些往事,你一定不知道
恰逢1024的來臨,作爲一個程序員,將結合996.ICU這個項目200多天的歷史數據,用程序員的方法還原996.ICU曾經的盛況。比如你想知道爲什麼上線僅僅4天,作者被迫關閉Issues嗎,這裏面都進行了哪些瘋狂的討論?你想知道9
2020-06-17 10:15:11
2
原创 Wireshark lua 插件簡介
在我的專欄《wireshark從入門到精通》前面的章節中,學習了wireshark UI界面的使用技巧,學習了命令行工具的使用方法。除此之外爲了方便使用者的靈活定製,比如說按需批量修改報文,完成某種私有協議的解析等方面的功能。wi
2020-06-17 10:15:11
1
原创 suricata 中的UT單元測試及其源碼介紹
suricata本身自帶了一些測試用例。這些測試用例一方面可以作爲學習suricata源碼的重要指導,符合當下流行的TDD開發。測試用例往往是系統關注的重點方面,因此用例可以指導學習suricata的重點。另一方面在改造引擎的時候
2020-06-17 10:15:00
11
原创 如何使用Wireshark分析解密後的手機APP以及PC軟件的HTTPS加密流量
本文將分享一種解密SSL/TLS加密流量的通用方式,並配合wireshark進行解密後的分析。 很多的新手使用wireshark都會有這樣的需求,即利用wireshark分析加密的流量,例如HTTPS報文。想要看到加密報文的應用層
2020-06-07 21:47:24
35