Life

linux5.2.0内核kali2-amd64升级后无法使用网卡解决办法

我原来使用的是hp的暗影精灵,升级5.2.0-kali2-amd64后,原来的RTL8822be网卡无法使用,经过几天努力安装驱动后,始终无法 显示可用网络。我不想使用外置网卡,无奈之下就在tao宝上购买了一块较新的网卡。 于是就买了一张 Intel AX200这张网卡, 买回来以后先在win10上面测试,(由于hp笔记本兼容性不好),于是去intel官方网站安装完驱动后,完美正常运行。 打开kali后发现一样完美运行,下面是查询后的截图 附一张网卡照片。 注意:最后提醒一点,运行kali linux内核4.90+版本后网卡无法使用。

大二上学期总结

学习大佬做法,也来搞⛏搞一个每周更新的博客。 上学期总计划: 1、学完javaEE和ssm框架和springboot 2、建立github网站 (下学期再搞,主要想用springboot实现) 3、加入软创工作室 (失败,主要还是太菜~) 4、学习钢琴 (太贵了555555) 5、上半学期看完大一买的书。 6、考过英语6级。 7、听电科的《计算机组成原理》 8、多做项目(目标:8个) 9、开始试做leetcode的题目 10、找个女朋友?(还是技术和动漫好~) 11、学习数学建模 日常任务: 1、一周至少看一本书 2、每天背单词150个 3、每周跑10公里的步 4、每周写一篇好的博客(第八周新增) //======================================================================== 第一周: 1、复习MYSQL和前端的代码。(未完成) 2、复习servlet和jsp的内容。(完成) 3、将JSP的项目完成。(完成) 4、将《暗时间》看完。(完成) 5、继续学习git (未完成) 6、学完MVC设计思想 (完成) 7、写2篇2000字的报告和1篇1000字的金工实习 (完成) 总结:单词背得少,反思。。。。 第二周: 1、学习打理头发知识 (完成) 2、看完前后端分离的视频 (完成) 3、给项目写接口(放弃) 4、复习MYSQL和前端的代码(完成) 5、继续学习git (完成) 6、将《刻意练习》看完。(未完成) 总结:单词没背,还有没看书,没写字。额,还是要加油。。。 第三周: 1、看书《罪与罚》(未完成) 2、学完javaEE的大部分内容 (完成) 3、写接口。(未完成) 4、学习IDEA使用 (未完成) 总结:这周太废了,迷上了小说,很差劲,开始学习mybatis,下周要开始早起了。 第四周: 1、看完之前的书。 (完成) 2、学完Mybatis(完成) 3、解决VMware的bug(完成) 4、开始学习Spring(完成) 5、继续学习使用IDEA(完成) 目标:11:40前睡觉,7点起床,写字,背单词,看名著。 总结:mybatis大致是学完了,但是源码部分绕得有点晕,还得继续学习,spring先放一边吧。 睡觉和早起和读书 未完成,可恶呀!!英语单词有开始背了。最近生病了,有点虚。 mybatis估计还得学个三天。。准备换种学习方法。 第五周: 1、看书《罪与罚》 2、治病 (完成)

【渗透测试工具集】令人敬畏的渗透测试工具等汇总杂烩

原文链接: https://blog.csdn.net/Fly_hps/article/details/89306104 刚刚在网上浏览找到的,发现一篇不错的渗透测试工具的文章,就转发来大家一起看看 匿名工具 I2P – 隐形互联网项目。 Nipe – 用于将所有流量从计算机重定向到Tor网络的脚本。 OnionScan – 通过查找Tor隐藏服务运营商引入的操作安全问题来调查Dark Web的工具。 Tor – 免费软件和洋葱路由覆盖网络,可帮助您防御流量分析。 每个浏览器都知道的内容 – 全面的检测页面,用于测试您自己的Web浏览器的隐私和身份泄漏配置。 dos-over-tor – Tor压力测试工具的概念验证拒绝服务。 kalitorify – 通过Tor为Kali Linux OS提供透明代理。 防病毒逃生工具 AntiVirus Evasion Tool(AVET) – 包含针对Windows机器的可执行文件的后处理漏洞,以避免被防病毒软件识别。 Hyperion – 用于32位可移植可执行文件的运行时加密程序(“PE .exes”)。 Shellter – 动态shellcode注入工具,以及有史以来第一个真正动态的PE infector。 UniByAv – 简单的混淆器,它使用原始shellcode并使用强制执行的32位XOR密钥生成反病毒友好的可执行文件。 面纱 – 生成绕过常见防病毒解决方案的metasploit有效负载。 peCloak.py – 自动隐藏来自防病毒(AV)检测的恶意Windows可执行文件的过程。 peCloakCapstone – peCloak.py自动恶意软件防病毒逃避工具的多平台分支。 shellsploit – 生成自定义shellcode,后门,注入器,可选择通过编码器对每个字节进行混淆。 图书 另见DEF CON建议阅读。 防御性编程书籍 Web开发人员的整体信息 – (分册0) Web开发人员的整体信息 – (分册1) 黑客手册系列丛书 Joshua J.

开发日记-20190806 关键词 读书笔记《Linux 系统管理技术手册(第二版)》DAY 20

12.4.4 CIDR:无类域间路由 CIDR是在RFC1519(1993年9月)里定义的,它废除了以前由一个IP地址的网络部分所确定的分类系统.CIDR与子网划分相似,是子网划分方法的直接扩展.CIDR要依赖于一个明确的网络掩码来确定地址的网络部分和主机部分之间的边界.但与划分子网不同的是,处于路由选择的目的,网络部分比地址暗示的分类所暗指的网络部分小.使用较短的网络掩码可以聚集若干个网络.因此,CIDR有时叫做超网(supernetting). 使用CIDR就可以将若干C类网络分配一个网点,而不要求Internet对各个网络具有单独的路由表项.还可以为这个网店分配某个A类或B类地址的一个子空间.例如,加入某个网点已获得8个C类地址,从192.144.0.0到192.144.7.0(CIDR的记法为192.144.0.0/21).这个网点在内部可以将它们用作: 一个长度为/21的网络,2046台主机,网络掩码为255.255.248.0; 8个长度为/24的网络,各自具有254台主机,网络掩码为255.255.255.0; 16个长度为/25的网络,各自具有126台主机,网络掩码为255.255.255.128; 32个长度为/26的网络,各自具有62台主机,网络掩码为255.255.255.192等; 12.5 路由选择 路由选择(routing,也叫做路由,选路)是引导一个包通过网络迷宫,从它的源地址到达目的地址的过程.在TCP/IP系统中,这类似于在一个陌生的国家里问路.您问的第一个人可能把您指引到正确的城市.当离目的地比较近的时候,下一个人就能告诉您怎么样到达正确的街道.最后,据目的地很近了,这时就有人可以告诉您您想找的那幢大楼了. TCP/IP路由信息采用了规则(“路由[route]”)的形式,如”为了达到网络A,要经过计算机C发送包”.同事还存在一条默认路由,它告诉您应该怎么样处理要送往没有明确路由的网络的包. 路由信息保存在内核的一张表里,表中的每一项都有一些参数,其中包括每个列出的网络的网络掩码(这个参数以前是可选的,但是现在如果默认的网络掩码不正确,就必须给出).为了把一个包路由至特定的地址,内核会选择与之匹配的路由中最确切的一条(即带有最长网络掩码的路由).如果内核没有找到适合的路由,有没有默认路由的话,那么它就向发送方返回一个”网络不可达(network unreachable)”的ICMP错误消息. “路由”一词通常表示两种截然不同的意思: 在路由表里寻找一个网络地址,以便将一个包转发到它的目的地. 首先建立路由表. 12.5.1 路由表 可以用netstat -r命令检查一台计算机上的路由表.用命令netstat -rn避免做DNS查询,并把素有的信息以数字地址形式输出. 我们将从19.4节开始详细地讨论netstat命令,但是这里给出的剪短例子可以让您对路由有一个比较形象的概念.这台主机有两个网络接口:在132.236.227.0/24网络上的132.236.227.93(eth0),和在132.236.212.0/26网络上的132.236.212.1(eth1): Destination域通常就是一个网络地址,Gateway网关必须是一个主机地址. 路由表可以静态或者动态地配置,也可以结合这两种方法进行配置.静态路由是用route命令明确地输入的路由.只要系统还在运行,静态路由就应该在路由表里,他们通常是通过一个系统启动脚本在系统启动脚本在系统引导时设置的. 最后一条路由也是在系统引导时加入的.它配置了一个名为loopback(环回接口)不让主机发送给自己的包跑到网络上去,而是在内核中直接从网络输出队列传输到网路输入队列 在一个稳定的本地网络里,静态路由是一种高效的解决方案.它易于管理,而且很可靠.但是,它要求系统管理员确切地知道系统引导时网络的拓扑结构,而且这个拓扑结构不会经常改变.

吴恩达神经网络和深度学习-学习笔记-29-卷积的基础知识

卷积和边缘检测 垂直边缘检测器的卷积过程 最简单的垂直边缘检测 过滤器fliter在原图像上滚动。 size_输出维度 = size_输入维度 – size_过滤器维度 + 1 在过小的图片上检测时,可能会出现边缘过大的问题。但在大图片上,其可以很好地检测边缘。 区分正边和负边的边缘检测 上面是由明向暗,下面是由暗到明。 水平边缘检测 其他边缘检测的滤波器 Sobel滤波器增加了中间一行元素的权重,这使得结果的鲁棒性更高一些。 Scharr滤波器实际上是一种垂直边缘检测,翻转90°就是水平边缘检测。 随着深度学习的发展,我们学习到,当我们真正想去检测出复杂图像的边缘,我们不一定要去使用那些研究者所使用的9个数值。 我们可以把这9个数字当作9个参数,在之后通过反向传播算法去理解这9个参数。 相比于单纯的垂直和水平检测,这种方法可以找到任何角度的边缘。神经网络可以自动去学习一些低级的特征(比如边缘)。 反向传播可以让神经网络学习任何它所需的3×3滤波器,并在整幅图片上去应用它。 将这9个数都作为参数的思想,已经称为计算机视觉中最有效的思想之一。 Padding 不加Padding直接卷积的缺点 不加Padding的两个缺点: 每次做卷积操作图像都会缩小。 丢掉了图像的边缘位置的许多信息 (如果你注意角落边的像素,这个像素点只被一个输出所触碰或者使用,而中间的像素点就会被许多3×3区域使用) 合理设置Padding的值和过滤器的size,可以使得输出维度等同于输入维度。这样就解决了图像减小的缺点。 而左上角涂绿的格子,影响了输出的4个格子。 Padding的时候,习惯上用0来填充。 Padding多少个像素 通常有两个选择: Valid卷积:不填充(no Padding) Same卷积:使输入输出维度一致(Pad so that output size is the same as the input size)。 习惯上,过滤器的size一般都是奇数的。 原因大概有两个: 采用偶数,就只能使用不对称填充。 奇数维度的过滤器有中心点,有时在计算机视觉里,如果有一个中心像素点会更方便,便于之处滤波器的位置。 卷积步长 卷积中的步长是另一个构建卷积神经网络的基本操作。 [Z]为向下取整,也叫做进行板除(the floor of Z)。 3×3的过滤器必须完全处于图像中或者填充后的图像区域内,才输出相应的结果 卷积为何有效 单个三维过滤器的卷积 上面讨论的都是通道数为1的图像,而面对通道数大于1的图像,情况也会有所不同。 以3通道的RGB图像为例,相比于单通道的图像,数据相当于多了一个维度(从6×6变为6×6×3)。同样,卷积过程中用到的过滤器的通道数要与输入图像一致(对应PyTorch库中Conv2d()的in_channel参数)。 但是最后输出的矩阵的维度仍为1。 具体的卷积过程如下: 过滤器与输入数据立方对应位置的数相乘,再求和,就得到了输出矩阵相应位置的一个数。 上面这张图告诉我们两个事情: 我们可以关注某一个特定的通道,对应的操作就是单独对相应通道的滤波器进行设置。 三维的输入数据立方 卷积 三维同深度过滤器,得到的是二维的输出矩阵。 多个三维过滤器的卷积 这样做的重要性在于:

如何使用 CorelDRAW 为服饰丝网印刷进行颜色补漏?

颜色补漏是服装装饰(丝网印刷)行业以及任何重要印刷行业中的主要方面。大部分为丝网印刷工提供设计的艺术家预计会使用瓶颈和展开(补漏)提供精准分色。颜色补漏是展开、叠印或底切对象,以防止印刷不准确,例如重合问题。纺织品丝网印刷行业中最普遍存在的其中一个问题是重合质量不佳,其中可以看到不应出现的白色基底(适合暗色 T 恤印刷的白色印刷机)。如何如何使用 CorelDRAW 为服饰丝网印刷进行颜色补漏?具体的CorelDRAW 使用教程一起来看看吧! 了解颜色补漏和多种使用方法将确保您的印刷正确无误以及设置简便,并在很多情况下将加速整个生产过程。 补漏和重合在 CorelDRAW 中的设置方法多种多样:直接在每个项目的文档中、在文档叠印下拉列表的分色选项卡中或通过使用印刷对话框中的自动补漏选项。有关颜色补漏的更多信息,请参阅 CorelDRAW 用户指南。 补漏的基本方法是叠印、瓶颈和展开。注意:展开在服装装饰行业中通常被描述为补漏。 叠印是指,一个对象或颜色直接在另一个对象或颜色上印刷。 展开(补漏)是指,细线(轮廓)添加到对象边缘,其中对象会从底部对象中切除。展开会叠印底部对象。基本上,轮廓会添加到顶部对象,以将其放大。 瓶颈是指为底部对象指定的小轮廓,这样顶部对象才可以叠印底部对象或颜色。基本上,会为底部对象指定轮廓,这样才会印刷比原始对象更大的对象。设计时在对象上手动设置补漏,可为丝网印刷工确保准确分色。您有时可能会忘记在设计时添加补漏,而全局瓶颈和展开大小可能无效,因为设计中的大小元素各不相同。在手动分色和补漏时需要。小型衬线可能不允许 0.5 的瓶颈,而设计中的其他元素会保证 0.75 的瓶颈或补漏。 图 3 显示接合元素的侧视图,其中颜色或对象在彼此的顶部上完全相同。展开或补漏显示顶部颜色的轮廓会使顶部颜色稍微深于底部或下层颜色,而瓶颈会使下层颜色的白色轮廓稍微浅于顶部颜色或对象。以下步骤将向您显示如何将瓶颈和补漏应用到 CorelDRAW 中的手动分色。在此设计中,我们会将瓶颈和补漏添加到将印刷在暗色 T 恤上的示例专色设计,而需要白色基底(白色印刷机),但白色不应显示在印刷品上。步骤 1:创建您的设计并调整其大小,以最终确定印刷大小。 步骤 2:添加重合标记和标签(墨色) 步骤 3:为每个待印刷的颜色重复您的设计,或复制粘贴到每种待印刷颜色的新页面。 步骤 4:如果在设计中使用中间色,将每个调色板转换为黑白色或灰度图像。 步骤 5: 将白色轮廓应用到白色板上的所有对象(白色印刷机或分色)。这将使白色成为浅白色,这样顶部颜色可以覆盖所有白色基底。这也称为瓶颈。 将黑色基底应用到顶部颜色(色板或分色) 在某些情况下,您仅可以应用一个操作或另一个操作,例如瓶颈或补漏,这是因为对象属性或对象在设计中叠加的方式。实践经验、印刷设备和所用油墨也将在表示使用何种方法或是否能够确保使用瓶颈和补漏中扮演重要角色。基本上,一些研发、试验和错误将使任何人成为出色的分色师。 在下方图表中,表示实际色板颜色的轮廓。对于手动分色而言,您可能需要为补漏或瓶颈使用黑色或白色轮廓。步骤 6:印刷分色胶片了解最终印刷效果是否如预期,以及重合时无任何问题。

VM虚拟机Ubuntu系统偶尔黑屏无响应的解决

在网上找到一种解决方法,实测可以解决问题:以管理员身份运行cmd控制台程序,输入命令netsh winsock reset,作用是重置winsock网络规范,然后重启系统,在打开VMware就可以了。 为什么重置winsock就可以了没有深究·········

【青松资讯】2019年第一季度DDoS攻击报告

年初,DDoS攻击策划者的工具库中出现了各种各样的新工具。例如,在2月初,由Qbot、Mirai和其他公开可用的恶意软件组成的新僵尸网络Cayosin进入了人们的视野。安全专家更感兴趣的不是它的镶嵌结构和频繁更新的漏洞集,而是它的广告——作为DDoS服务,广告位不是在暗网上,而是摆上了YouTube。更重要的是,它将在Instagram上出售,僵尸网络显然在充分利用社交媒体提供的机会。通过追踪网络罪犯的账户,研究人员还发现了其他恶意软件和僵尸网络,包括已经发现的Yowai。 3月中旬又发现了一个新版本的Mirai,意在攻击商业设备。该恶意软件现在不仅能“僵尸化”接入点、路由器和网络摄像头,还能“僵尸化”无线演示系统和数字标牌系统。 尽管如此,使用僵尸网络进行高调攻击的数量并没有那么大。年初,美国UAlbany大学受到攻击:在2月5日至3月1日期间,该校遭受了17次攻击,服务器宕机至少5分钟。学生和教职工数据库没有受到影响,但一些服务无法提供;UAlbany的IT安全主管认为,这所大学是被特别盯上的。 二月初,菲律宾全国记者联盟的网站也受到攻击。由于一系列强大的攻击,该网站被关闭了数小时,最高流量为468 GB/s。该网站认为自己是政治压力的受害者。 同样在3月中旬,Facebook和Instagram用户无法登录其账户,导致其服务出现严重问题。安全观察员认为该事件与DDoS有关。然而,Facebook本身拒绝这种说法。 在缺乏关于严重DDoS攻击的新闻的同时,有关警方对攻击组织者采取重大行动的报道数量也在增加,同时还出现了逮捕和指控事件。 然而,尽管有执法部门的努力,DDoS攻击仍然对企业构成巨大威胁。诺斯达国际安全理事会对200名大型公司的高级技术人员进行的调查显示,现如今,大型公司认为DDoS攻击是一个严重的问题:52%的安全服务人员已经遇到过这种攻击,75%的人对此表示担忧。 季度的趋势 根据数据显示,长时间、更难组织的攻击在定性和定量上的比例仍在增长。我们认为这种趋势将在第二季度持续下去。 本报告包含2019年第一季度DDoS情报统计。 季度总结 就袭击的地理分布而言,中国仍然处于领先地位。 攻击目标的地理分布大致为:前三名分别是中国(59.85%)、美国(21.28%)和香港地区(4.21%)。 DDoS攻击在3月下旬达到高峰;最平静的时期是一月份。 对于DDoS攻击来说,一周中最危险的一天是周六,而周日仍然是最平静的。 SYN Flood的比例上升到84%,UDP Flood和TCP Flood的比例下降,HTTP和ICMP攻击的比例分别上升到3.3%和0.6%。 Linux僵尸网络的份额略有下降,但仍然占主导地位(95.71%)。 大多数僵尸网络C&C服务器仍然位于美国(34.10%),荷兰(12.72%)位居第二,俄罗斯(10.40%)位居第三。值得注意的是,曾经长期领先的韩国重新回到了前十名,尽管排在第十名(2.31%)。 攻击地理 中国仍然是发起袭击次数最多的国家。在经历了前几个季度的下跌之后,它甚至回到了之前的水平:份额从50.43%上升到了67.89%。排在第二位的是美国,尽管其份额从24.90%下降到了17.17%。香港从第七位上升至第三位,所占份额从1.84%升至4.81%。 有趣的是,除中国内地和香港外,其他所有国家的排名都下跌了。 2018Q4及2019Q1按国家划分的DDoS攻击分布 攻击目标的地理分布结果符合发起攻击本身的地理分布趋势:中国内地又一次在第一位置(从43.26%升到59.85%),美国在第二(从29.14%降到21.28%)和香港地区在第三(从1.76%升到4.21%)。 2018Q4和2019Q1按国家划分的DDoS攻击目标分布 DDoS攻击的持续时间和类型 在第一季度,持续攻击的比例几乎翻了一番,从0.11%上升到0.21%。然而,与2018年第四季度持续近14天(329H)不同,本季度持续时间最长的攻击仅略多于12天(289H)。 最重要的是,持续时间超过5小时的攻击所占比例显著增加;而在2018年底,这一比例为16.66%,目前为21.34%。从图中可以看出,如果将这一段分割成更小的片段,大部分长时间攻击的类别都有上升的趋势,而只有持续100-139小时的攻击比例略有下降(从0.14%下降到0.11%)。因此,短期攻击的比例下降了近5个百分点,至78.66%。 2018Q4和2019Q1 DDoS攻击的持续时间(小时)分布 和往年一样,SYN Flood在第一季度垃圾邮件流量中占据了最大份额。与2018年第四季度相比,其份额更大,攀升至84.1%。当然,如此大幅度的上涨对其他类型的占比也产生了影响。 举个例子,UDP Flood虽然排名第二,但第一季度的份额仅为8.9%(低于31.1%)。排在第三位的TCP Flood的份额也有所下降(从8.4%降至3.1%),仅排在第四位,仅次于HTTP Flood(增长了1.1个百分点,至3.3%)。尽管ICMP的份额从0.1%上升到0.6%,但仍排在最后。 2019年Q1 DDoS攻击的类型分布 Linux僵尸网络的数量仍然远远超过Windows僵尸网络,尽管在2019年第一季度,这一差距略有缩小:Linux僵尸网络现在占总数的95.71%,而Windows僵尸网络的份额分别上升了约1.5个百分点,达到4.29%。然而,这并不是因为Windows设备变得越来越受欢迎,而是因为Mirai机器人及其克隆产品Darkai的C&C服务器数量正在下降。相应地,这些机器人的攻击次数分别减少了3倍和7倍。 2018Q4和2019Q1 Windows/Linux僵尸网络攻击的比率 僵尸网络地理分布 在其国土上僵尸网络数量最多的国家仍然是美国(34.10%),荷兰从2018年第四季度的第三名升至第二名(12.72%),这次排名第三的是俄罗斯(10.40%),从第七名一路攀升。中国(7.51%)的排名从垫底升至第四。 2019Q1僵尸网络C&C服务器的国家分布 中国境内的数据 1.控制端资源分析 根据CNCERT抽样监测数据,2019年第一季度,平均每月利用肉鸡发起DDoS攻击的控制端有230个,平均29个控制端位于我国境内,201个控制端位于境外。 位于境外的控制端主要分布在美国、法国和中国香港。 位于境内的控制端按省份统计,江苏省占的比例最大,占比20%以上,其次是广东省;按运营商统计,电信占的比例最大,占66.5%,联通和移动随后。 2.肉鸡资源分析 根据CNCERT抽样监测数据,2019年第一季度,平均每月有195694个肉鸡地址参与真实地址攻击(包含真实地址攻击与其它攻击的混合攻击)。 这些肉鸡资源按省份统计,广东省、江苏省、浙江省占的比例最大,其次是福建省和河南省;按运营商统计,电信占的比例最大,为74.5%,联通和移动随后。 3.反射攻击资源分析 (1)Memcached反射服务器资源 本季度境内反射服务器数量按省份统计,山东省的比例最大,其次是广东省、河南省和浙江省;按归属运营商或云服务商统计,电信占的比例最大,占31.3%,但与移动和联通相比差距不大。值得注意的是,阿里云平均占比7.5%。 (2)NTP反射服务器资源 本季度被利用发起NTP反射攻击的境内反射服务器数量按省份统计,山东省占的比例最大,其次是河北省、湖北省和河南省;按归属运营商统计,移动和联通占的比例最大,达到70%以上,电信占比较小。 (3)SSDP反射服务器资源 本季度被利用发起SSDP反射攻击的境内反射服务器数量按省份统计,辽宁省占的比例最大,占21.4%,其次是浙江省、吉林省和广东省;按归属运营商统计,联通占的比例最大,占62.0%,电信占比36.3%,移动占比1.3%。 结论 在前三个季度,我们看到几个排名前十的国家出现了一些意想不到的新情况——这些国家并没有成为DDoS威胁的主要来源。但2019年第一季度并没有什么特别的惊喜,除了沙特阿拉伯、荷兰和罗马尼亚等国保持着高水平的DDoS活动;换句话说,他们出现在前10名并不能归因于随机偏差。与此同时,韩国的DDoS活动策划者似乎潜伏了下来,并未出现高调活动。我们有可能正在目睹一个新的僵尸网络在各个国家“定居”下来。 同样值得注意的是,Mirai克隆体之一Darkai的僵尸网络活动显著下降。在它的帮助下,攻击次数减少了7倍。源于各国对僵尸网络的严厉打击,Mirai本身也受到重创,活动减少了三倍。因此,这个因素在某种程度上解释了DDoS攻击数量和持续时间的下降。 *参考数据来源:Kaspersky Lab、国家互联网应急中心CNCERT,青松编译,转载请注明来自Qssec.COM。 — E N D —

如何利用网络取证之流量分析的方式,还原恶意攻击入侵的全过程?

满屏闪烁的代码 帽兜中忽明忽暗的脸 谈笑间轻轻按下的回车键 一次黑客攻击悄无声息的发生了 …… 随着黑客技术的不断发展和普及,黑客攻击变得越来越普遍,企业和组织面对的网络攻击风险与日俱增,防御措施需要更加敏感和先进。 通常,黑客攻击都是通过网络发起的。了解网络取证可以帮助我们及时发现网络中黑客攻击的行为,进而保护整个网络免受黑客的攻击。今天我们主要分享网络取证过程中非常重要的一项——即流量分析,并模拟利用流量分析的方式还原恶意攻击入侵的全过程,希望带给您一定参考价值! 我们将从以下几方面展开相关分享。 一、什么是网络取证 从本质上讲,网络取证是数字取证的一个分支,网络取证是对网络数据包的捕获、记录和分析,以确定网络攻击的来源。 其主要目标是收集证据,并试图分析从不同站点和不同网络设备(如防火墙和IDS)收集的网络流量数据。 此外,网络取证也是检测入侵模式的过程,它可以在网络上监控以检测攻击并分析攻击者的性质,侧重于攻击者活动。 二、 网络取证的步骤 网络取证主要包括以下步骤↓↓↓ 识别 根据网络指标识别和确定事件。 保存 存在的问题及原因。 搜集 使用标准化方法和程序记录物理场景并复制数字证据。 检查 深入系统搜索与网络攻击有关的证据。 分析 确定重要性,多维度分析网络流量数据包,并根据发现的证据得出结论。 展示 总结并提供已得出结论的解释。 事件 响应 根据收集的信息启动对检测到的攻击或入侵的响应,以验证和评估事件。 与其它数据取证一样,网络取证中的挑战是数据流量的嗅探、数据关联、攻击来源的确定。由于这些问题,网络取证的主要任务是分析捕获的网络数据包,也就是流量分析。 三、流量分析 A.什么是流量分析? 网络流量是指能够连接网络的设备在网络上所产生的数据流量。 不同的应用层,流量分析起到的作用不同。 1.用户层:运营商通过分析用户网络流量,来计算网络消费。 2.管理层:分析网络流量可以帮助政府、企业了解流量使用情况,通过添加网络防火墙等控制网络流量来减少资源损失。 3.网站层:了解网站访客的数据,如ip地址、浏览器信息等;统计网站在线人数,了解用户所访问网站页面;通过分析出异常可以帮助网站管理员知道是否有滥用现象;可以了解网站使用情况,提前应对网站服务器系统的负载问题;了解网站对用户是否有足够的吸引能力。 4.综合层:评价一个网站的权重;统计大多数用户上网习惯,从而进行有方向性的规划以更适应用户需求。 B.如何进行流量分析? 网络流量分析主要方法: 1.软硬件流量统计分析 基于软件通过修改主机网络流入接口,使其有捕获数据包功能,硬件主要有用于收藏和分析流量数据,常见的软件数据包捕获工具pCap(packet capture),硬件有流量镜像的方式。 2.网络流量粒度分析 在bit级上关注网络流量的数据特征,如网络线路传输速率,吞吐量变化等;在分组级主要关注ip分组达到的过程,延迟,丢包率;在流级的划分主要依据地址和应用协议,关注于流的到达过程、到达间隔及其局部特征。 网络流量分析常用技术 RMON技术 RMON(远程监控)是由IETF定义的一种远程监控标准,RMON是对SNMP标准的扩展,它定义了标准功能以及远程监控和网管站之间的接口,实现对一个网段或整个网络的数据流量进行监控。 SNMP技术 此技术是基于RMON和RMON II,仅能对网络设备端口的整体流量进行分析,能获取设备端口出入历史或实时的流量统计信息、不能深入分析包类型、流向信息,具有实现简单,标准统一,接口开放的特点。 实时抓包分析 提供纤细的从物理层到应用层的数据分析。但该方法主要侧重于协议分析,而非用户流量访问统计和趋势分析,仅能在短时间内对流经接口的数据包进行分析,无法满足大流量、长期的抓包和趋势分析的要求。 FLOW技术 当前主流技术主要有两种,sFlow和netFlow。 sFlow是由InMon、HP和Foundry Netfworks在2001年联合开发的一种网络监控技术,它采用数据流随机采样技术,可以提供完整的,甚至全网络范围内的流量信息,能够提供超大网络流量(如大于10Gbps)环境下的流量分析,用户能够实时、详细的分析网络传输过程中的传输性能、趋势和存在的问题。 NetFlow是Cisco公司开发的技术,它既是一种交换技术,又是一种流量分析技术,同时也是业界主流的计费技术之一。可以详细统计IP流量的时间、地点、使用协议、访问内容、具体流量。 C.流量分析在取证中作用 计算机取证可以分为事后取证和实时取证。而流量分析正是实时取证的重要内容,对原始数据进行网络还原、重现入侵现场具有重要意义。 事后取证 事后取证也称为静态取证,是指设备在被入侵后运用各种技术对其进行取证工作。随着网络犯罪的方法和手段的提高,事后取证已不能满足计算机取证的需求。 实时取证 实时取证,也被称为动态取证,是指通过设备或软件实时捕获流经网络设备和终端应用的网络数据并分析网络数据的内容,来获取攻击者的企图和攻击者的行为证据。 利用分析采集后的数据,对网络入侵时间,网络犯罪活动进行证据获取、保存、和还原,流量分析能够真实、持续的捕获网络中发生的各种行为,能够完整的保存攻击者攻击过程中的数据,对保存的原始数据进行网络还原,重现入侵现场。 四.流量分析取证过程模拟 下面是我们使用wireshark抓取本地虚拟机网络流量,并使用构建的漏洞环境进行流量取证分析过程的示例模拟,真实还原恶意攻击入侵的全过程。(以下模拟案例、数据是本文分享的主要内容,仅供参考学习。任何人不得用于非法用途,转载请注明出处,否则后果自负。) 具体操作步骤:

Substance Painter 2019中的着色器怎么设置

Substance Painter 2019MAC是界面和流程都非常清晰的次世代游戏贴图绘制软件,substance painter mac提供了构建3D素材所需的所有工具,包括粒子笔刷,可以模拟自然粒子下落,粒子的轨迹形成纹理。当然还包括了Material Painting材质绘制,可以一次绘出所有的材质。下面我们就介绍一下关于3D绘画软件substance painter mac着色器设置。 3D绘画软件substance painter mac着色器设置 着色器设置”窗口允许控制着色器(和Iray mdl)参数。 着色器是一种函数,用于定义在与视口中的光照和阴影交互时对象的外观。在Substance Painter中,着色器用于了解如何读取纹理集通道并在视口中渲染3D网格。 撤消堆栈和着色器 “着色器设置”窗口的此部分控制着色器操作着色器时的主要参数。 着色器的撤消/重做堆栈独立于主历史记录,以便在绘制时不会产生冲突。 注意:如果着色器文件标记为“过期”,建议尽可能更新它。 着色器参数 着色器参数取决于当前加载的着色器文件。 着色器实例 着色器实例是基于原始着色器文件但具有自定义参数的着色器。 可以在纹理集之间共享着色器实例,而纹理集可以具有唯一的着色器实例。 例如:项目可以使用基础着色器,而一个纹理集使用自定义着色器来支持不透明度。 以上就是关于使用3D绘画软件substance painter mac着色器设置的方法,希望能够对你有所帮助。