原创 網絡——定義安全區DMZ
網絡攻擊最好的防禦方法之一是網絡的安全拓撲設計 現代安全網絡設計最關鍵的思想之一是用區去隔離開網絡上的不同區域 創建區域的基本策略: 1.具有最大安全需求(私有設備)的設備在網絡的最安全的區域;只允許很少或者不允許公共網絡和其他網絡訪問;
2020-07-08 11:53:52
22
原创 網絡——網絡概述
鏈路層.note一、概述: 1.網絡層IP提供的是一種不可靠的服務;他只是儘可能快的把分組從源節點送到目的節點,但是並不提供任何可靠性的保證; 2.TCP在不可靠的IP層上提供了一個可靠的運輸層;採用了超時重傳,發送和接收端的確認分組等機
2020-07-08 11:53:52
19
原创 網絡——設備冗餘HSRP
網絡設備冗餘的兩種主要方法: 使用路由, 使用冗餘協議,如熱備份路由協議(Hot Standby Router Protocol,HSRP),虛擬路由器冗餘協議(Virtual Router Rebundancy Protocol VRR
2020-07-08 11:53:52
30
原创 網絡——OSPF
RIP、BGP和OSPF的區別: (應用場景,性質,路由選擇,收斂速度,穩定性) 協議類型:BGP外部網關協議,RIP、OSPF是內部網關協議; 選路原則:RIP基於距離矢量選擇路由;OSPF基於鏈路狀態選擇路由;BGP是高級距離矢量路由
2020-07-08 11:53:41
54
原创 網絡——設備冗餘VRRP
VRRP相對HSRP主要優勢是允許參加VRRP組的設備間建立認證機制。而且不像HSRP要求虛擬路由器IP地址不能是其中一個路由器的IP地址;VRRP允許這種情況發生;若發生故障,不需要學習MAC地址,指定使用了MAC地址;不使用HSRP中
2020-07-08 11:53:41
8
原创 網絡——TCP
超時重傳: RTT(報文段往返時間) RTTs(加權平均往返時間) 第一次測量到RTT樣本時,RTTs就取所測量到的RTT樣本值 新的RTTs = (1 - a)*(舊的RTTs) + a*(新的RTT樣本) a 一般取0.125 RT
2020-07-08 11:53:41
11
原创 網絡——FTP
ftp客戶端服務端接兩種方式: 1.主動:客戶端先和服務器的21號端口建立連接,客戶端再發送port包給服務器。port包包含了客戶端用什麼接口接受數據,服務端通過自己的TCP20端口和客戶端指定端口建立連接,傳輸數據。ftp serve
2020-07-08 11:53:40
7
原创 WEB安全——文件上傳
通過burpsuite抓包上傳webshell 先上傳正常圖片; 通過抓包獲得上傳頁面的url以及cookie; 通過明小子的綜合上傳功能上傳webshell; IIS解析漏洞: 1.如果一個目錄以“xxx.asp”的形式命名,那麼該
2020-07-08 11:53:40
7
原创 白帽子學習筆記——瀏覽器安全
同源策略: 影響源的因素有host(域名或IP地址,如果是IP地址則看作一個根域名)、子域名、端口、協議; 在瀏覽器中,<script>,<img>,<iframe>,<link>等標籤都是可以跨域加載資源,不受同源策略影響, 這些帶"s
2020-07-08 11:53:40
3
原创 b站SDN/NFV視頻學習筆記
SDN(software define network): 一、sdn解決的問題: 1.網絡根據最佳路由選擇路由轉發,導致全網資源利用率低 2.爲不必要的網絡閒置設備付費 3.網絡過於複雜 二、sdn的思想:轉發與控制分離 1.提高整
2020-07-08 11:53:39
18
原创 一本SDN入門書籍讀書筆記——SDN 標準分析
交換機轉發面詳解: OpenFlow交換機轉發面內部(即交換芯片)在邏輯上由兩部分組成:端口port和流表Flow Table。跟Controller通信的通道Controller channel可以認爲是一個特殊的port,一個交換機可
2020-07-08 11:53:39
6
原创 一本SDN入門書籍讀書筆記——controller
Onix分佈式Controller 被設計用來控制大型網絡,有很強的擴展性; 通過引入Control Login(控制邏輯,可以認爲是特殊的應用程序)、Controller、和物理設備三層架構; 每個Controller只控制部分物理設備
2020-07-08 11:53:38
24
原创 MYSQL報錯注入雜記
元數據庫information_schema 在5.0以後版本的MYSQL中存在着一個元數據information_schema,其中存儲着用戶在MYSQL中創建的所有其他數據庫的信息。 當對PHP+MYSQL類網站進行注入時,主要是針對
2020-02-22 01:33:00
原创 白帽子閱讀筆記——SQL注入
盲注:服務器沒有錯誤回顯時完成的注入攻擊 利用了BENCHMARK()函數,該函數用於測試函數性能,利用該函數可以讓同一個函數執行若干次,根據返回時間長短變化,判斷是否執行成功 通過payload猜測出SQL的版本; 儘量數據庫賬號時,應
2020-02-22 01:33:00
原创 簡單SQL查詢語句
查看版本號: select version(); 查看當前用戶:select user(); 查看當前數據庫:show databases; 使用當前數據庫:use cms0308; 查看當前使用數據庫:select database()
2020-02-22 01:33:00