理想家的坏品味
有会用Snort入侵检测软件吗?出现问题了,求助
IPS原理 防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。
入侵检测技术(IDS)通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。
传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。
绝大多数IDS系统都是被动的,而不是主动的。
也就是说,在攻击实际发生之前,它们往往无法预先发出警报。
而IPS则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。
IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。
这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。
IPS工作原理 IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。
当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。
IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。
如果有攻击者利用Layer2(介质访问控制)至Layer7(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。
传统的防火墙只能对Layer3或Layer4进行检查,不能检测应用层的内容。
防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。
所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。
每种过滤器负责分析相对应的数据包。
通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。
针对不同的攻击行为,IPS需要不同的过滤器。
每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。
在对传输内容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性。
过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查。
并行过滤处理可以确保数据包能够不间断地快速通过系统,不会对速度造成影响。
这种硬件加速技术对于IPS具有重要意义,因为传统的软件解决方案必须串行进行过滤检查,会导致系统性能大打折扣。
IPS的种类 *基于主机的入侵防护(HIPS) HIPS通过在主机/服务器上安装软件代理程序,防止网络攻击入侵操作系统以及应用程序。
基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。
Cisco公司的Okena、NAI公司的McAfeeEntercept、冠群金辰的龙渊服务器核心防护都属于这类产品,因此它们在防范红色代码和Nimda的攻击中,起到了很好的防护作用。
基于主机的入侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。
HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为,整体提升主机的安全水平。
在技术上,HIPS采用独特的服务器保护途径,利用由包过滤、状态包检测和实时入侵检测组成分层防护体系。
这种体系能够在提供合理吞吐率的前提下,最大限度地保护服务器的敏感内容,既可以以软件形式嵌入到应用程序对操作系统的调用当中,通过拦截针对操作系统的可疑调用,提供对主机的安全防护;也可以以更改操作系统内核程序的方式,提供比操作系统更加严谨的安全控制机制。
由于HIPS工作在受保护的主机/服务器上,它不但能够利用特征和行为规则检测,阻止诸如缓冲区溢出之类的已知攻击,还能够防范未知攻击,防止针对Web页面、应用和资源的未授权的任何非法访问。
HIPS与具体的主机/服务器操作系统平台紧密相关,不同的平台需要不同的软件代理程序。
*基于网络的入侵防护(NIPS) NIPS通过检测流经的网络流量,提供对网络系统的安全保护。
由于它采用在线连接方式,所以一旦辨识出入侵行为,NIPS就可以去除整个网络会话,而不仅仅是复位会话。
同样由于实时在线,NIPS需要具备很高的性能,以免成为网络的瓶颈,因此NIPS通常被设计成类似于交换机的网络设备,提供线速吞吐速率以及多个网络端口。
NIPS必须基于特定的硬件平台,才能实现千兆级网络流量的深度数据包检测和阻断功能。
这种特定的硬件平台通常可以分为三类:一类是网络处理器(网络芯片),一类是专用的FPGA编程芯片,第三类是专用的ASIC芯片。
在技术上,NIPS吸取了目前NIDS所有的成熟技术,包括特征匹配、协议分析和异常检测。
特征匹配是最广泛应用的技术,具有准确率高、速度快的特点。
基于状态的特征匹配不但检测攻击行为的特征,还要检查当前网络的会话状态,避免受到欺骗攻击。
协议分析是一种较新的入侵检测技术,它充分利用网络协议的高度有序性,并结合高速数据包捕捉和协议分析,...
CnCerT.Net.SKiller3.31使用流量探测时提示:没有可用网卡,请手动...
该软件没有界面只是提供网络接口。
winpcap(windows packet capture)是windows平台下一个免费,公共的网络访问系统。
开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。
它提供了以下的各项功能:1>; 捕获原始数据包,包括在共享网络上各主机发送/接收的以及相互之间交换的数据包;2>; 在数据包发往应用程序之前,按照自定义的规则将某些特殊的数据包过滤掉;3>; 在网络上发送原始的数据包;4>; 收集网络通信过程中的统计信息。
winpcap的主要功能在于独立于主机协议(如TCP-IP)而发送和接收原始数据包。
也就是说,winpcap不能阻塞,过滤或控制其他应用程序数据包的发收,它仅仅只是监听共享网络上传送的数据包。
因此,它不能用于QoS调度程序或个人防火墙。
目前,winpcap开发的主要对象是windows NT/2000/XP,这主要是因为在使用winpcap的用户中只有一小部分是仅使用windows 95/98/Me,并且M$也已经放弃了对win9x的开发。
因此本文相关的程序T-ARP也是面向NT/2000/XP用户的。
其实winpcap中的面向9x系统的概念和NT系统的非常相似,只是在某些实现上有点差异,比如说9x只支持ANSI编码,而NT系统则提倡使用Unicode编码。
有个软件叫sniffer pro.可以作网管软件用,有很多功能,可监视网络运行情况,每台网内机器的数据流量,实时反映每台机器所访问IP以及它们之间的数据流通情况,可以抓包,可对过滤器进行设置,以便只抓取想要的包,比如POP3包,smtp包,ftp包等,并可从中找到邮箱用户名和密码,还有ftp用户名和密码.它还可以在使用交换机的网络上监听,不过要在交换机上装它的一个软件.还有一个简单的监听软件叫 Passwordsniffer,可截获邮箱用户名和密码,还有ftp用户名和密码,它只能用在用HUB网络上著名软件tcpdump及ids snort都是基于libpcap编写的,此外Nmap扫描器也是基于libpcap来捕获目标主机返回的数据包的。
winpcap提供给用户两个不同级别的编程接口:一个基于libpcap的wpcap.dll,另一个是较底层的packet.dll。
对于一般的要与unix平台上libpcap兼容的开发来说,使用wpcap.dll是当然的选择。
如何阻止用户浏览使用外部代理
一些背景知识:(1) HTTP/1.0 协议中,定义了web server 和client使用代理(proxy)时,在HTTP request 和response头中,使用Via: 标识使用的proxy server,用来防止server loop;(2) snort 是开放源代码的IDS(入侵检测系统),可以用于主机或网络IDS。
具有很多IDS规则,可以对捕捉的(ip,tcp,udp,icmp)包进行模式识别和匹配,并可产生相应记录。
(3) libnet是开放源代码的软件,可以作为网络协议/包生成器。
(4) TCP/IP网络是包交换网络 (5) snort 同时具有使用libnet库生成IP包的功能,可以通过发出TCP_RESET包,中断TCP连接。
前提:(1) snort 运行于路由上(linux)或者通过交换机的port mirror功能,运行在路由的同一网络段实施:(1) compile snort with flexresp(flex response) feature(2) 定义snort 规则:alert tcp $HOME_NET any $EXTER_NET 80 (msg:"block proxy"; uricontent:"Via:"; resp: rst_all;)内部网络用户可以正常浏览外部网站,如果内部用户的浏览器设置了外部的一个代理后,HTTP REQUEST 头和RESPONSE头会包括Via: ...字符,snort规则会捕捉到这个连接,然后向client 和server的socket发送RST包。
这样TCP连接就被终止了。
那些软件可以在LINUX系统上运行?
多,不是一般得多。
描述视窗Linux1)网络浏览器Internet Explorer, Netscape / Mozilla, Opera [版权], Firefox, 等1) Netscape / Mozilla.2) Galeon.3) Konqueror.4) Opera. [版权]5) Firefox.6) Nautilus.7) Epiphany.8)连接. (用 "-g" 键).9) Dillo.10) Encompass.命令行浏览器1) Links2) Lynx3) Xemacs + w3.1) Links.2) ELinks.3) Lynx.4) w3m.5) Xemacs + w3.电子邮件客户端软件Outlook Express, Netscape / Mozilla, Thunderbird, The Bat, Eudora, Becky, Datula, Sylpheed / Sylpheed-claws, Opera1) Evolution.2) Netscape / Mozilla/Thunderbird messenger.3) Sylpheed / Sylpheed-claws.4) Kmail.5) Gnus.6) Balsa.7) Bynari Insight GroupWare Suite. [版权]8) Arrow.9) Gnumail.10) Althea.11) Liamail.12) Aethera.13) MailWarrior.14) Opera.电子邮件客户端软件/ 个人信息管理MS Outlook 风格Outlook1) Evolution.2) Bynari Insight GroupWare Suite. [版权]3) Aethera.4) Sylpheed.5) Sylpheed-claws.电子邮件客户端软件The Bat 风格The Bat1) Sylpheed.2) Sylpheed-claws.3) Kmail.4) Gnus.5) Balsa.命令行电子邮件客户端软件Mutt [de], Pine, Pegasus, Emacs1) Pine. [非自由软件]2) Mutt.3) Gnus.4) Elm.5) Emacs.新闻阅读1) Agent [版权]2) Free Agent3) Xnews4) Outlook5) Netscape / Mozilla6) Opera [版权]7) Sylpheed / Sylpheed-claws8) Dialog9) Gravity10) BNR21) Knode.2) Pan.3) NewsReader.4) Netscape / Mozilla.5) Opera [版权]6) Sylpheed / Sylpheed-claws.命令行:7) Pine. [非自由软件]8) Mutt.9) Gnus.10) tin.11) slrn.12) Xemacs.13) BNR2.地址本Outlook1) Rubrica文件下载Flashget, Go!zilla, Reget, Getright, DAP, Wget, WackGet, Mass Downloader, 等1) Downloader for X.2) Caitoo (former Kget).3) Prozilla.4) Wget (命令行, 标准).5) Wget图形界面: Kmago, Gnome Transfer Manager, QTget, Xget, 等6) Aria.7) Axel.8) Download Accelerator Plus.9) GetLeft.10) Lftp.站点下载Teleport Pro, Httrack, Wget, 等1) Httrack.2) WWW Offline Explorer.3) Wget (命令行, 标准). 图形界面: Kmago, QTget, Xget, 等4) Downloader for X.5) Pavuk.6) XSiteCopy.7) GetLeft.8) Curl (命令行).9) Khttrack.FTP-客户端软件Bullet Proof FTP, CuteFTP, WSFTP, SmartFTP, 文件Zilla, 等1) Gftp.2) Konqueror.3) KBear.4) IglooFTP. [版权]5) Nftp.6) Wxftp.7) AxyFTP.8) mc. (cd ftp://等)9) tkFTP.10) Yafc.11) Dpsftp. (消亡项目)命令行FTP-客户端软件FTP in Far, ftp.exe, Ncftp1) Ncftp.2) Lftp.3) Avfs. (从任意程序: /#ftp:等)IRC-客户端软件Mirc, Klient, VIRC, Xircon, Pirch, XChat1) Xchat.2) KVirc.3) Irssi.4) BitchX.5) Ksirc.6) Epic.7) Sirc.8) PJIRC.本地网络聊天客户端软件无服务器1) QuickChat2) Akeni3) PonyChat4) iChat1) talk (命令行), ktalk.2) Akeni.3) Echat.4) write, wall (同机用户间聊天)视窗机器的本地消息系统WinPopUpsmbclient (命令行). 图形界面:1) LinPopUp 2.2) Kpopup.3) Kopete.即时通讯客户端软件ICQ Lite, ICQ Corp, MSN, AIM, Yahoo, 等Trillian ICQ (自由软件, 可替代所有IM 客户端软件), Miranda, Gaim1) Licq (ICQ).2) Centericq (近似IM 协议, 命令行).3) Alicq (ICQ).4) Micq (ICQ).5) GnomeICU (ICQ).6) Gaim. (几乎所有IM 协议)7) Ayttm. (几乎所有IM 协议)8) Kopete.9) Everybuddy.10) Simple Instant Messenger.11) Imici Messenger.12) Ickle (ICQ).13) aMSN (MSN).14) Kmerlin (MSN).15) Kicq (ICQ).16) YSM. (ICQ, 命令行).17) kxicq.18) Yahoo Messenger for Unix.19) Kmess (MSN).20) AIM.21) MSNre. (命令行)Jabber IM 客户端软件JAJC, Tkabber (+activestate tcl), Psi, Exodus, WinJab, myJabber, RhymBox, Rival, Skabber, TipicIM, Vista, Yabber, Miranda, Gaim, Akeni Messenger Jabber Edition1) Tkabber.2) Gabber.3) Psi.4) Gaim.5) Centericq (命令行).6) Ayttm.7) Akeni Messenger Jabber Edition.监视站点邮箱, 显示邮件台头WatzNew1) Web Secretary.2) Knewsticker & korn.3) Mozilla (未知).4) watch -n seconds lynx -dump视频/音频会议NetMeeting1) GnomeMeeting.2) vat/vic/wb.3) rat/wbd/nte.4) NeVoT.5) IVS.语音通讯Speak Freely1) Speak Freely for Unix.2) TeamSpeak.防火墙 (包过滤)BlackICE, ATGuard, ZoneAlarm, Agnitum Outpost 防火墙, WinRoute Pro, Norton Internet Security, Sygate Personal 防火墙 PRO, Kerio Personal 防火墙, 等iptables或更多过时IPchains (命令行, 标准). 前端:1) Kmy防火墙.2) Easy 防火墙 Generator.3) 防火墙 Builder.4) Shorewall.5) Guarddog.6) FireStarter.7) Smoothwall. [版权]8) IPCop.9) Zorp.IDS (入侵检测系统)1) BlackICE2) Agnitum Outpost 防火墙3) Tripwire [版权]4) Kerio Personal 防火墙1) Snort.2) Portsentry / Hostsentry / Logsentry.3) Tripwire [GPL].4) Tripwall.5) AIDE.6) ViperDB.7) Integrit.8) Cerberus Intrusion Detection System.9) MIDAS NMS.端口扫描检测未知1) Pkdump.增强系统安全未知1) Bastille.2) Linux Security Auditing Tool.虚拟路由...
如何在 Linux 系统上安装 Suricata 入侵检测系统
展开全部黑客基地 免费编辑 添加义项名 B 添加义项 ?所属类别 :其他实业人物相关自2001年3月26日成立以年来,已经成为中国乃至全球的华语黑客与安全资讯门户,为社会培训了上万名网络安全技术人才,网站已更名为黑基网。
基本信息中文名称黑客基地成立于2001年3月26日性质资讯门户站长孤独剑客目录1代表人物2网络安全 3安全课程4课程服务 5"传黑"获刑 折叠编辑本段代表人物孤独剑客:站长jxcker:副站长andy:主站管理小龙:内站服务器监测小张:防御总部折叠编辑本段网络安全普及网络安全技术,捍卫祖国信息长城是黑客基地不渝的追求,黑基将不断推出系列庆典活动来展示黑基的风采和自信为走出国门走向国际打下坚实的基础。
黑客基地-全球最大的中文黑客站。
黑客基地是由国内外大型IT公司和安全公司的网络精英和安全专家共同联合发起设立,专业从事黑客技术与安全防范研究的赢利性组织,以普及网络黑客安全技术,推动我国信息安全建设为己任。
据称,黑客基地已经拿到千万级风投,有望在三五年内上市。
折叠编辑本段安全课程第一部分 课程简介第二部门 课程优势以往培训机构的网络安全课程,往往是单纯的安全理论,就安全的几个层次和单个零散现象进行讲述的课程如CIW,CISSP等认证;又如厂商单针对自己公司的安全产品进行的课程如CCSP,MCSE-S等认证。
市场上没有针对企业综合安全和管理问题推出的完整培训课程。
网络信息安全工程师课程,是根据企业的需求而量身定制的课程。
融入了大量在企业环境中得到广泛运用的产品、技术与管理。
课程从产品漏洞、技术缺陷、管理脆弱等各角度打造最新,最全面,最实用的安全体系课程。
本课程所有技术力求理论与实践相结合,让学员在学习理论知识同时,掌握具体技术,并通过给出例子验证所学到的理论知识,以增强学员对课程的理解和掌握能力。
第三部分 培训与教学目的路由器、交换机、防火墙、入侵检测系统*** 等产品的安装和安全配置 python语言基础。
黑客攻击与防御的具体方法;恶意代码传播与防御的方法;SQL注入与脚本攻击等技术;黑客语言python的网络编程。
使学员具备信息安全丰富的理论及知识。
并能在各种复杂网络信息环境中从多方面独立分析网 络威胁,和降低网络风险,使用各种安全技术(组策略、扫描、入侵、抓包等)产品(交换机、路由器、防火墙、入侵检测系统等)和管理手段来维护大型网络与信息系统的机密性、完整性和可用性。
第四部分 应用范围及培训对象各类需要安全互联的企业和行业;各中大公司的网络与信息管理员、系统管理员,信息网络安全工程师等; 联通、移动、电信、银行、国税、地税等的数据部门;Sina SoHu taobao等各大型门户等电子商务网站;盛大、第九城市、腾讯等各大网游(手机网络游戏)代理公司运营部;各大网络软件(QQ、MSN等)增值服务行业。
大学信息安全专业、计算机应用专业或其他相近专业;大中专院校相关专业学生;系统管理员、网络管理员和广大网络技术爱好者;大、中型网络信息系统管理人员。
第五部分 黑客防御与安全1、安全基础:了解最基本的安全概念和基本的防御方法,学会使用安全防护软件来保护计算机;包括例如 arp netstat tracert sc net regedit tasklist taskkill 等命令;系统常见检测木马方法。
如msconfig service 等;常见杀毒软件的安装和配置,360软件的常见功能说明等。
2、系统安全(Windows & Unix):了解操作系统提供的安全功能和默认安全选项,以及如何使用操作系统自带的功能和操作完成自我的安全提升;包括用用户安全策略、审计策略、用户权限指派,克隆用户、破解用户等;NTFS文件高级权限设置,加密式文件系统、压缩式文件系统、windows隐藏文件漏洞等组策略内容,例如IPSEC策略,开机登陆框、远程IPC破解相关配置等;如何删除系统常见无用功能。
3、黑客攻防:了解黑客入侵破坏电脑的每一个步骤和环节包括使用的工具,以及如何去防御黑客攻击;使用Xscan、sss、superscan扫描系统漏洞和脆弱性;使用hydra破解 vnc ssh telnet mssql mysql telnet smtp pop3 pcanywhere等多种协议密码;mysql、mssql、oracle等提权利用;nc.exe 端口转发、日志清除等工具使用;灰鸽子、白金等木马使用。
4、黑客脚本编写(python):了解计算机黑客语言的编写以及他的数据结构类型;利用python实现处理文本数据;破解常见密码协议(如ftp email电子邮件 数据库破解);使用python实现自动化(收集分析目标网站信息);实现利用python语言编写黑客工具等等。
5、恶意代码:了解计算机病毒的概念以及它的发展趋势。
还会去讲解病毒如何隐藏自己、感染其他电脑的其他高级技术与高级防御。
木马特征码技术;特征码修改;一次真实的蠕虫检测清除;无exe、无端口、Gina、复用端口木马;Rootkit检测技术;网页恶意代码原理(javascript)与防护。
6、通讯安全:学习计算机网络组成的基本协议和设备,了解设备和协议的关系和他们的脆弱性。
学会配置设 备来减少这种脆弱性;常见协议各种包样本分析;arp缺陷与常见DOS原理,syn、smurf、teardorp,udpfl...
如何检测SQL注入技术以及跨站脚本攻击
展开全部在最近两年中,安全专家应该对网络应用层的攻击更加重视。
因为无论你有多强壮的防火墙规则设置或者非常勤于补漏的修补机制,如果你的网络应用程序开发者没有遵循 安全代码进行开发,攻击者将通过80端口进入你的系统。
广泛被使用的两个主要攻击技术是SQL注入[ref1]和CSS[ref2]攻击。
SQL注入是指:通过互联网的输入区域,插入SQL meta-characters(特殊字符 代表一些数据)和指令,操纵执行后端的SQL查询的技术。
这些攻击主要针对其他组织的WEB服务器。
CSS攻击通过在URL里插入script标签,然后诱导信任它们的用户点击它们,确保恶意Javascript代码在受害人的机器上运行。
这些攻击利用了用户和服务器之间的信任关系,事实上服务器没有对输入、输出进行检测,从而未拒绝javascript代码。
这篇文章讨论SQL注入和CSS攻击漏洞的检测技术。
网上已经有很多关于这两种基于WEB攻击的讨论,比如如何实施攻击,他们的影响,怎样更好的编制和设计程序防止这些攻击。
然而, 对如何检测这些攻击并没有足够的讨论。
我们采用流行的开源的IDS Snort[ref 3],组建根据检测这些攻击的规则的正则表达式。
附带,Snort默认规则设定包含检测CSS的方法,但是这些容易被避开检测。
比如大多通过hex进制编码,如%3C%73%63%72%69%70% 74%3E代替避开检测。
依赖level of paranoia组织的能力,我们已经编写了多种检测相同攻击的规则。
如果你希望检测各种可能的SQL注入攻击,那么你需要简单的留意任何现行的SQL meta-characters,如单引号,分号和双重破折号。
同样的一个极端检测CSS攻击的方法,只要简单地提防HTML标记的角括号。
但这样会检测 出很多错误。
为了避免这些,这些规则需要修改使它检测更精确些, 当仍然不能避免错误。
在Snort规则中使用pcre(Perl Compatible Regular Expressions)[ref4]关键字,每个规则可以带或不带其他规则动作。
这些规则也可以被公用软件如grep(文档搜索工具)使用,来审阅网络服务器日志。
但是,需要警惕的是,用户的输入只有当以GET提交请求时,WEB服务器才会记录日记,如果是以POST提交的请求在日记中是不会记录的。
2. SQL注入的正则表示式 当 你为SQL注入攻击选择正则表示式的时候,重点要记住攻击者可以通过提交表单进行SQL注入,也可以通过Cookie区域。
你的输入检测逻辑应该考虑用户组织的各类型输入(比如表单或Cookie信息)。
并且如果你发现许多警告来自一个规则,请留意单引号或者是分号,也许些字符是你的Web应用程序创造的 合法的在CookieS中的输入。
因此, 您需要根据你的特殊的WEB应用程序评估每个规则。
依照前面提到,一个琐细的检测SQL射入攻击的正则表达式要留意SQL特殊的meta-characters 譬如单引号(')双重扩则号(--),为了查出这些字符和他们hex等值数, 以下正则表达式适用: 2.1 检测SQL meta-characters的正则表达式 /(\%27)|(\')|(\-\-)|(\%23)|(#)/ix 解释: 我 们首先检查单引号等值的hex,单引号本身或者双重扩折号。
这些是MS SQL Server或Oracle的字符, 表示后边的为评论, 随后的都将被忽略。
另外,如果你使用MySQL,你需要留意 '#'和它等值的hex的出现。
注意我们不需要检查双重破折号等值的hex, 因为这不是HTML meta-character, 浏览器不会进行编码。
并且, 如果攻击者设法手工修改双重破折号为它的hex值%2D(使用代理像Achilles[ref 5]), SQL注入将失败。
加入上述正则表达式的新的Snort规则如下: alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SQL Injection - Paranoid"; flow:to_server,established;uricontent:".pl";pcre:"/(\%27)|(\')|(\-\-)|(%23)|(#)/i"; classtype:Web-application-attack; sid:9099; rev:5;) 在本篇讨论中, uricontent关键字的值为".pl ", 因为在我们的测试环境里, CGI 程序是用Perl写的。
uricontent关键字的值取决于您的特殊应用, 这个值也许是".php ", 或" .asp ", 或" .jsp ", 等。
从这点考虑, 我们不显示对应的Snort 规则, 但是我们会给出创造这些规则的正则表达式。
通过这些正则表达式你可以很简单的创造很多的Snort规则.在前面的正则表达式里, 我们检测双重破折号是因为:即便没有单引号的存在那里也可能是SQL射入点[ref 6]。
例如, SQL查询条目只包含数值,如下: select value1, value2, num_value3 from database where num_value3=some_user_supplied_number 这种情况,攻击者可以执行额外的SQL查询, 示范提交如下输入: 3; insert values into some_other_table 最后, pcre的修饰符' i' 和' x ' 是用于分别匹配大小写和忽略空白处的。
上面的规则也可以另外扩展来检查分号的存在。
然而,分号很可以是正常HTTP应答的一部分。
为了减少这种错误,也是为了任何正常的单引号和双重扩折号的出 现,上面的规则应该被修改成先检测=号的存。
用户输入会响应一个GET或POST请求,一般输入提交如下: username=some_user_supplied_value&password=some_user_supplied_value 因此, SQL...
用linux系统是做什么用的?
展开全部 大多数公司都不会使用Linux作为桌面操作系统,主要是用于后端服务器操作系统,经过这些大公司的大胆尝试,许多事实证明Linux完全可以担负起关键任务计算应用,并且有很多Linux系统从开始运行至今从未宕过机,100%的正常运行时间让人无不惊叹,当然你也可以做到。
1、虚拟化 从桌面虚拟化到云,现在又回到桌面虚拟化,VMware是虚拟化产品做得最早也是目前最好的一家公司,现在它的主要产品也是基于Linux的,另外Citrix,Red Hat以及微软也是VMware的有力竞争者。
2、数据库服务器 美国虚拟主机 Oracle和IBM都有企业级软件运行在Linux上,为什么?因为它们在Linux上可以工作得很好,Linux自身消耗的资源很少,因此它不会和数据库进行资源的抢夺,一个RDBMS需要一个稳定的,无内存泄露的,快速磁盘I/O和无 CPU竞争的操作系统,Linux就是这样的系统,世界上已经有很多开发人员使用LAMP(Linux,Apache,MySQL和Perl/PHP/Python)和 LAPP(Linux,Apache,PostgreSQL,Perl/PHP/Python)作为开发平台,也有很多关键应用系统是这么部署的。
3、Web服务器 我想现在任何人都知道Apache是世界上用的最多的Web服务器吧,至少最近10年是大家公认的事实上的Web服务器标准,那么它运行在什么平台上呢?答案是所有的平台都支持,但超过90%的Apache都是搭配Linux运行的。
4、应用服务器 Tomcat,Geronimo,WebSphere和WebLogic都是Java应用服务器,Linux为这些服务提供了一个稳定的,内存消耗很小的,可长时间运行的平台。
IBM和Oracle也都非常支持Linux,它们也逐渐将 Linux作为其软件系统的首要运行平台。
5、跳转盒(Jump box) 香港服务器租用 对于企业而言,跳转盒是一个为公共网络(如互联网)到安全网络(如客户部)提供的网关,这样一个廉价的系统也可以为大量的用户提供服务,而相对应的Windows系统需要成千上万美元的终端服务访问许可和客户端访问许可,并且对硬件的要求更高。
6、日志服务器 Linux是处理和存储日志文件的绝佳平台,听起来这是一个低级的任务,但它的低成本,低硬件要求,和高性能是任何需要日志服务的人的首选平台,大公司也经常使用Linux作为日志服务的低成本平台。
7、开发平台 Linux下有许多开发工具,如Eclipse、C、C++、Mono、Python、Perl、PHP等,毫无疑问,Linux是世界上最流行的开发平台,它包含了成千上万的免费开发软件,这对于全球开发者都是一个好消息。
8、监控服务 如果你要做网络监控或系统性能监测,那么Linux是一个不错的选择,大公司一般使用淘汰下来的硬件设备和自由软件搭建监控系统,如Orca和 Sysstat都是Linux上不错的监控方案,IT专业人员利用它们可以实现自动化监控,无论你的网络是大是小,它们都能应付自如。
9、Google搜索设备 Google在Linux平台上构建起搜索设备,如果你的公司在使用这种设备,那么你就在使用Linux,但Google使用的Linux非常特殊,专门进行了定制和优化。
10、入侵检测系统 Linux天生就是一个完美的入侵检测服务平台,因为它是免费的,且可以运行在很多种硬件平台上,同时也是开源爱好者喜欢的平台,Linux上最著名的入侵防御和检测系统要数Snort,它也是开源且免费的。
结论 了解了上面十种Linux最常用的方式,相信你不会再觉得Linux是在夹缝中求生存,Linux也不只是为桌面,家庭用户及小公司而存在的,它在大公司中同样受到重用。
有的公司用的是UbuntuServer作为svn服务器,Debian作为web服务器,个人用的是Archlinux作为桌面环境。
如果桌面的编程环境比较多,用ubuntu如果网络编程很多,对网络要求比较高,scientific linux(redhat )如果喜欢自己折腾,对速度要求比较bt,使用gentoo,arch如果对响应速度和资源占用要求更高,freebsd如果能忍受速度慢,又喜欢牌子,用solaris如果喜欢折腾自己,用lfs,或者嵌入式环境Linux程序员有两个发展方向:一是软件层面,网络层面;二是硬件层面,嵌入式系统。
网络方面应该要学会PHP,python之类的语言,要会建站,LAMP,维护。
嵌入式则要精通C语言,精通Linux系统结构,懂得硬件知识Stack Overflow因使用Windows系统而著称,现在他们使用越来越多的Linux服务器,比如HAProxy(负载均衡), Redis(NoSQL数据库), Bacula(数据备份系统), Nagios(远程监控软件), 日志, 路由器都运行于Linux系统,几乎所有需要并行处理的功能都是由Linux处理
