原创 suricata中的數據結構之hash表
suricata中使用了多種的數據結構,哈希表就是其中的一種。本篇文章分析一下suriata中的哈希表,在suciata的很多地方使用到了該種數據結構。同時像suricata中的哈希表的實現其實是可以直接拿來應用在具體的項目中的,
2020-05-14 12:13:05
4
原创 Python Saltstack框架CVE-2020-11651和CVE-2020-11652漏洞以及POC詳解
最近爆出python saltstack框架CVE-2020-11651 漏洞以及CVE-2020-11652。vulhub漏洞靶場也很快更新了該漏洞的docker環境。網上多數的資料對於漏洞驗證和一些細節介紹的並不完全,本文希望
2020-05-12 05:38:19
13
原创 suricata UT之SigTableSetup中關鍵字的功能函數解析一
本文介紹一些規則中的關鍵字處理過程,主要以TCP協議的ACK爲例進行說明,這類關鍵字代表了二進制協議的關鍵字解析方式。 RegisterUnittests中對所有的用例進行註冊,其中SigRegisterTests以及SigTab
2020-05-10 00:51:58
21
原创 suricata UT測試用例中使用的幾個重要的輔助函數
對於suricata UT用例來說,很多時候需要構造報文作爲輸入,有的時候還要構造流作爲輸入,獲取報文匹配結果。爲此在suricata中使用util-unittest-helper.c文件來組織這些用於構造UT用例的輔助函數。 u
2020-04-14 18:18:53
4
原创 HTTP 協議的Content-type都有哪些文件類型
本文簡單列舉下HTTP協議中的Content-type,用以判斷傳輸過程中的文件類型。 如下是一個實際傳輸的HTTP報文頭: GET /c_zoom,h_213/c_cut,x_21,y_13,w_937,h_625/os/new
2020-02-27 04:41:58
原创 Wireshark自帶的命令行工具使用之mergecap,rawshark,reordercap,text2pcap
上篇文章對於wireshark自帶的capinfos,dumpcap,editcap做了簡單的介紹,本篇文章將介紹餘下的幾個命令mergecap,rawshark,reordercap,text2pcap,作爲我的專欄《wires
2020-02-21 17:56:18
24
原创 Wireshark插件批量修改報文
本文將通過一些示例介紹如何使用wireshark插件修改 PCAP 報文中的數據內容,具體包括增加一片報文中協議層,刪除整個文件中多餘的報文,爲整個文件增加一些必要的報文片等,作爲我的專欄《wireshark從入門到精通》中的一篇
2020-02-21 17:56:18
19
原创 Wireshark捕獲過濾器和顯示過濾器
wireshark過濾器分爲兩種,顯示過濾器和捕獲過濾器。顯示過濾器指的是針對已經捕獲的報文,使用過濾器語法過濾出符合規則的報文。捕獲過濾器指的是提前設置好過濾規則,只捕獲符合過濾規則的報文。顯示過濾器和捕獲過濾器在報文分析的過程
2020-02-21 17:56:18
1
原创 Wireshark自帶的命令行工具使用之capinfos,dumpcap,editcap
Wireshark除了能夠手動的分析報文之外,還額外的提供了幾個命令行工具,方便開發者日常的報文處理需求,比如批量的合併以及編輯報文。這幾個命令都是安裝wireshark之後能夠直接使用的,同時有的有對應的wireshark GU
2020-02-21 17:56:18
32
原创 Wireshark中的名字解析
Pcap報文是一系列的16進制數字,wireshark將其解析之後爲了使用者分析方便,將很多的數字直接顯示成一些英文的名稱,比如物理MAC地址顯示成公司名稱,IP層的protocol type顯示成TCP或者UDP等。這也是wir
2020-02-21 17:56:18
7
原创 報文捕獲分析工具Wireshark簡介
本文是我的專欄《wireshark從入門到精通》中的開篇,本專欄準備跟大家介紹一下報文捕獲分析工具wireshark,包括wireshark的一些原理性知識以及關聯基本知識點(會陸續介紹一些實用背景知識點,這些知識點在TCP/IP
2020-02-21 17:56:18
原创 Wireshark自帶命令行工具tshark使用方法
前面幾篇文章介紹了wireshark自帶的一些命令行工具,每一個命令行工具基本能夠完成一項特定的功能。對於tshark這個命令行工具來說,幾乎具有wireshark界面所能提供的所有功能。因此有必要學習該命令,在學習該命令的過程中
2020-02-21 17:56:18
2
原创 Wireshark配置顯示IP地理位置信息
本章跟大家介紹一下wireshark中IP地理位置信息配置的方法和原理,作爲我的專欄《wireshark從入門到精通》中的一篇。 在Wireshark中實用的設置和使用技巧彙總那一章節最後,我提到可以配置wireshark查看IP
2020-02-21 17:56:18
1
原创 報文格式-PCAP文件格式詳解
即使對於已經使用過wireshark這款軟件的同學,很多人其實並不是特別清楚pcap報文格式以及wireshark中所提供frame層的含義,相信通過這章可以讓你get到這些新的知識點(本文是我的專欄《wireshark從入門到精
2020-02-21 17:56:18
49
原创 Wireshark lua 插件實現切流操作
在本次專欄《wireshark從入門到精通》前面講述tshark部分中,使用tshark實現了切流操作,這裏。那篇文章中最大的問題在於使用tshark實現切流時間複雜度非常的高,實際實現起來速度太慢。原因在於tshark只能夠按照
2020-02-21 17:56:18
2