幾個主機漏洞的環境搭好,等待dpi資料的流入,遺憾的是,dpi今天的配置終於弄好了,持續了兩三個星期,而沒有資料。現在有資料了,exp一打,日誌出來了,結果並沒有buf的內容,只有常規的 源ip源埠,目的ip目的埠,網路層應用層協議,以及一些進出資料量的大小,並沒有具體的內容。而且不能用關聯,只能用單條日誌匹配。所以之前做的漏洞檢測大多廢了用不上。如果一定要用,只能取傳送buf的bytesin、bytesout和bytesall了。
沒有字段是因為大資料分析的資料需要關聯分析,所以需要保留,而流量日誌不太好照單全收、全部儲存,那樣資料量太大了。所以,如果一定需要,只能向 dpi端的開發人員提需求,獲取傳送的資料報的前n個位元組的內容,用於檢測主機漏洞exp傳送的buf的特徵,可以再結合bytesin bytesout bytesall 字段,兩個方面一起檢測。
大概要轉向web端的cms、框架漏洞了,這方面字段比較多,也不用看二進位制,比較容易吧。
phpstudy漏洞檢測
print 存在漏洞 url except print 超時 url if name main print phpstudy 批量檢測 需要 gevent,requests 庫 print 使用之前,請將url儲存為 url.txt 放置此程式同目錄下 input 任意按鍵開始執行.tasks ge...
檢測主機狀態
1 import subprocess import threading def ping host result subprocess.call ping c2 s dev null host,shell true if result 0 result的值就是ping命令的退出碼,即 print ...
DDoS攻擊流量檢測方法
檢測分類 1 誤用檢測 誤用檢測主要是根據已知的攻擊特徵直接檢測入侵行為。首先對異常資訊源建模分析提取特徵向量,根據特徵設計針對性的特徵檢測演算法,若新資料樣本檢測出相應的特徵值,則發布預警或進行反應。優點 特異性,檢測速度快,誤報率低,能迅速發現已知的安全威脅。缺點 需要人為更新特徵庫,提取特徵碼...