欢迎关注:1,欢迎关注本博客,你可点击右手边的【QQ邮件订阅】订阅本博客!2,本博客推出江湖救急计划,主要为工作中遇到疑难杂症的兄弟提供远程技术支持和分析,如有需要,请在江湖救急计划页面给我留言!

【转】WAF度量标准

作者:易隐者 发布于:2014-1-5 22:17 Sunday 分类:网络安全

【说在之前】:

WAF(web application firewall)现在基本上逐步成为网站安全的必备装备,不论是开源的还是商业的、国内还是国外的,都有不少的品牌产品,这给用户带来了选择困难症,正好这几天在网上看到一个关于WAF度量标准的文章,感觉蛮有意思,特转发至此,以供有兴趣的同学参考!

【原文链接】:

http://blog.csdn.net/cnbird2008/article/details/17278791

【原文全文】:

1. 有多少真实的攻击被阻断(TP)

2. 有多少有效的请求允许通过(TN)

3. 有多少有效的流量被不恰当的阻断(FP)

4. 有多少攻击被允许通过(FN)

 

度量算法:

tp/tp+fp(实际攻击阻断的请求百分比,误报率的反面正确率)

tp/tp+fn(实际阻断攻击的百分比,漏报率的反面正确率)

tp+tn/tp+tn+fp+fn(选择是正确百分比)

(WAF的选择和请求实际性之间的关联性)

 

案例

阅读全文>>

标签: WAF web application firewall 度量标准 web应用防火墙

评论(0) 引用(0) 浏览(46587)

寻觅技术兄弟一名

作者:易隐者 发布于:2013-12-19 15:45 Thursday 分类:其 他

       我们现有的技术团队准备增员。

       如果你想在技术的某个领域成为绝对精专的专家;

       如果你真想踏实的做点自己喜欢、有价值且不无聊的事情;

       如果你想找一个具有浓厚技术氛围和平等、开放、公平的平台;

       如果你认同服务市场的发展趋势……

       那么请你联系我(邮箱:shujuhua#163.com,QQ:349932999),我们非常欢迎你加入我们的技术团队,加入之后你将有机会:

1、技术达人的贴身交流和指点;

2、团队内部丰富的技术资源;

3、内部的全面培训计划、逐步增多的实战环境和机会;

4、对于技术突出、行事踏实、带队之将才,3年左右拥有升级为公司合伙人的机会!

 

岗位职责:
1、负责各种信息系统设备的安装、调试、维护、巡检等日常工作;对用户的服务请求做出快速的响应和反馈;
2、根据需要,编写、修订和审核技术支持相关文档和作业指导书;
3、技术团队内部相互的技术交流和培训工作以及可能的用户培训工作;
4、可能的各厂家售后服务外包的相关工作;
5、收集客户需求、售前交流、方案设计撰写、方案讲解、标书制作、讲标述标等售前技术支持工作;
岗位人员要求:
基础要求:
1、具有清晰的个人职业发展规划,且其职业规划跟公司的发展方向和工作岗位契合;
2、具有强烈的责任感、团队合作精神以及踏实的人生态度;
3、具备较强的自学能力、独立分析问题和解决问题的能力;
4、具有一定的综合素质和文档撰写能力;
技能要求(符合其中一项以上即可投递简历):
1、有一定的网络基础,对路由交换、防火墙、负载均衡、VPN等设备的工作机制和解决方案有一定的理解,至少熟悉其中某一类设备的配置和操作;对ARP、IP、TCP、HTTP等协议有一定的认知;
2、对Linux系统、数据库、存储的运行机制、原理和解决方案有一定的理解,可熟练配安装置管理常见的Linux系统、数据库软件、存储设备;
3、对HTTP应用有着深入的认知,能够分析web应用的漏洞和威胁,对web应用安全攻防有一定的实战经验;
4、对wireshark、Solarwinds、MRTG、NTOP(不限于此)等工具的熟练使用、具有CISP/CISSP/项目经理等证书以及对ITIL/ITSM/ISO20007有一定的认知都将被视为额外的优势;

备注:
       公司也非常欢迎有志于技术方向深入发展且在网络、安全、系统、数据库、web应用等某一方面具有较为扎实基础知识的应届毕业生加盟,公司将为被录用的应届毕业生提供丰富的用户现场环境、技术专家的指导和培训、众多的厂家资源、大量的实战机会。

        欢迎各位兄弟加盟或推荐合适人选!

       安徽三实信息技术服务有限公司,专注信息技术服务!

阅读全文>>

标签: 工作机会 招聘 三实

评论(0) 引用(0) 浏览(11490)

又遇TCP协议栈异常问题

作者:易隐者 发布于:2013-10-29 16:47 Tuesday 分类:案例讨论

       大家还记得我以前写的《TCP确认机制异常案例》(链接为:http://www.vants.org/?post=200)吗?今天在一个用户那边再次遇到了一个TCP协议栈异常的问题。

       用户反馈的问题现象是业务交互出现异常,难以定位异常出现的原因,我在用户现场分析了异常出现时的报文交互情况,如下图所示:

点击查看原图

       由F5设备主动向服务器发送SYN连接请求报文,服务器响应SYN/ACK报文,F5发送ACK报文确认后,向服务器连续发送3个大小分别为1514、1514、350大小的应用请求报文,但是1.199秒之后,F5重传了应用请求的第一个报文(该报文序列号为No7,该数据报其实是序号为No4的报文的重传),紧接着,2秒后,看到服务器的SYN/ACK的重传报文(该报文序列号为No8,该报文为No2报文的重传报文),后面数十秒的交互,基本是都是F5对应用请求报文的重传和服务器SYN/ACK报文的重传,在40秒之后,由F5主动发送RST报文释放该TCP连接。

       由整个交互的过程,我们可以清晰的看到,服务器不断重传SYN/ACK报文,说明服务器没有正常处理F5的ACK报文(序列号为No3的报文),站在F5的角度,TCP连接已经建立成功,但是站在服务器的角度,却认为TCP连接未建立完成,因此服务器不断重传SYN/ACK报文,为什么服务器在明确收到了F5的三次握手的ACK报文,却没有正确处理呢?而且后续F5重传的应用请求报文(No7、No10、No11、No14、No17)都可以说是对服务器SYN/ACK报文的确认,但是服务器全部忽略了,因此,这基本上可以判断为服务器端系统的TCP协议栈出现异常,导致了应用出现了异常。

阅读全文>>

标签: TCP F5 应用故障 SYN 重传 TCP协议栈 应用异常

评论(4) 引用(0) 浏览(9393)

利用UDP19端口实施DOS攻击的真实案例

作者:易隐者 发布于:2013-10-17 17:06 Thursday 分类:网络安全

       昨天在一个用户现场发现了一个利用UDP19端口对互联网受害者主机进行DOS攻击的真实案例。这个情况是我第一次见到,个人认为对以后遇到此类情况的兄弟具有参考价值。有必要做一个简单的分析记录。

       在此次的分析过程中,我主要通过wireshark来抓取相关数据报文的。

数据包分析

1,我们首先通过wireshark的“Summary”功能,查看网络流量统计情况,如下图所示: 

点击查看原图


我们发现服务器区域的流量较大,平均每秒10M左右的流量,这个流量相对于用户整个30M的互联网出口带宽而言,已经算相当大的流量了。
2,我们再通过wireshark的“Protocal Hierarchy”功能,查看这么大的流量在各个协议之间的分布情况,如下图: 

点击查看原图

我们看到UDP和IP分片的报文流量占据了总流量的92%以上,而业务应用所使用的TCP流量仅有7.24%!这意味着绝大部分的流量都是垃圾流量,那么这些垃圾流量到底是什么呢?
3,我们接下来分析这些占总流量92%以上的UDP报文和IP分片报文到底是用来干什么的。我们通过wireshark的数据包查看UDP报文都是UDP19端口交互的报文,如下图: 

点击查看原图


 我们使用wireshark的“Follow UDP Stream”功能,将其中任意一个UDP19端口交互的报文进行重组还原,如下图所示: 

点击查看原图


我们可清晰看到这个UDP19端口交互的内容都是明显填充的内容。
4,UDP19端口是用来做什么的呢?我们百度一下,摘录了百度百科中对UDP19端口的相关描述如下:
“端口:19
服务:Character Generator
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。”
(该段百度百科描述的原始链接为:
http://baike.baidu.com/link?url=PVKVjqJ4jUhiI6y9bPnrTiVZwSi8vu6mxIw9LxHVqRpmjKWpPJyboZIUddoLL6m3aYVo_LcwgDwSOnLJcElRU_)
5,我们了解了这个UDP19端口的上述信息,那么用户目前遇到的情况是否正是黑客利用其对外进行DOS攻击呢?我们来一起验证一下。
我们通过抓包发现,跟服务器192.168.1.8的UDP端口交互的主机主要有37.17.173.32、88.190.35.204、97.86.229.87、71.61.231.170、等,我们分别来看一下这些IP与192.168.1.8交互报文的解码: 

点击查看原图

点击查看原图

点击查看原图

明显发现,这些报文的TTL都是236,这基本可判定这些报文应该都来自于同一物理位置的机器,换句话说,这些报文都是一台机器伪造的IP报文!
6,至此,我们基本可以将此次异常的原因定位为黑客利用服务器开启的UDP19端口,伪造源IP为互联网某受害者服务器的IP地址向192.168.1.8服务器的UDP19端口发送报文,服务器在收到这个报文后会向互联网受害者服务器IP送填充任意字符的报文,导致受害者服务器带宽被占满,从而达到对受害者服务器DOS攻击的效果,其工作机制大致如下图所示:

点击查看原图


更进一步的分析

我们分析清楚了异常的原因,但是UDP19端口并不是服务器的对外提供业务的端口,为什么服务器会开启UDP19端口呢?我们在服务器上通过“netstat –ano”命令,查看UDP19端口是由什么进程开启的,如下图所示:

点击查看原图

 由上图我们知道该端口由进程ID号为1432的进程开启,查看任务管理器,得知该进程为简单TCPIP服务,进程名为tcpsvcs.exe,该进程是微软Windows网络组件的一部分。这个系统进程用于计算机使用专用的TCP/IP网络服务,例如DHCP,简单TCP和打印服务。
通过百度搜索tcpsvcs.exe、UDP19端口等关键字,如下图所示: 

点击查看原图

我们发现曾有人遇到过这种问题,当事人反馈“win2003 sp2 近来发现tcpsvcs.exe上传速度太猛了,最高时有2m,都差不多占了全部带宽了…….总是国外IP连接19端口,IP禁了几十个,还是不断有新的” (原始链接为:http://bbs.csdn.net/topics/390496813),这说明我们的用户并不是唯一一个遇到这种情况的:黑客利用服务器对外开放的UDP19端口,伪造受害者IP向服务器发送报文,服务器在收到报文后,会向受害者IP发送填充的字符报文,这些报文大部分都是大报文,需要分为多个分片报文,这会产生较大的网络流量,消耗服务器和互联网受害者的网络带宽资源。

阅读全文>>

标签: wireshark 分片 TTL DOS UDP19端口 tcpsvcs进程 伪造源IP Character Generator tcpsvcs.exe

评论(3) 引用(0) 浏览(109558)

我们为什么出发?

作者:易隐者 发布于:2013-9-30 23:42 Monday 分类:个人观感

      前段时间,一个高中同学结婚,促成了一群老同学的聚会,其中有一位同学在合肥工大建筑设计院工作,年收入20万+,有着令人艳羡的工作和生活,他说他现在面临一件事情:有一个非常好的机会,他在犹豫要不要出来创业?

       很多同学站出来帮他分析创业的风险、成功的可能性、现在岗位未来的发展前景、放弃现在的岗位是否划算等等不一而足,这些从完全理性角度的考虑无可厚非,但我认为这些不是最重要的、最急迫需要做的,最重要的、最急迫的事情是:我们要直面自己真实的内心,问问自己,我为什么要做出这个选择??

       想想我们这些人,踏入IT行业的大门,踏实、勤奋、努力十年左右,终于在IT行业有了一定的技术、客户、厂商、朋友等资源的积累,对外也可以说是业内的精英,各自都可以找一个不错的平台,有一份相对体面、收入可观的工作,虽然可能有时辛苦点,但总可以拥有衣食无忧的生活,做技术的有很多进入更好、更大平台的机会,做销售的有很多赚更多钱的机会,我们的工作和生活相对于很多人来说,是令人羡慕的。我们拥有如此的工作和生活,我们为什么还要选择走一条在别人看来充满艰辛、风险和未知的创业之路???

       各位兄弟,这个问题需要我们去直面自己真实的内心!!

        如果我们从未跟自己的内心交流,如果我们的内心对此选择稀里糊涂,如果我们的内心摇摆不定,如果我们的内心充满狐疑,那么我们还未做好踏上这条路的准备,在这种状态下,如果我们在前行的路上遇到困难的时候,由于我们内心模糊、摇摆和狐疑,很可能让我们半途而废。即使我们侥幸在前期发展顺利,后期也会因种种问题而迷失前行的方向,导致我们分道扬镳。这些都不是我们想要看到的。

       我们做出如此的选择,不是因为这个选择能够给我们带来更多的金钱、更高的社会地位,虽然如果我们做好了,这些都是必然的。如果我们仅仅为了金钱而做出这个选择,那么我们现有的平台也有很多的机会,没必要冒着这么大的风险去做这个充满艰险和未知的事情,这不是理性的行为。因此我们做出这个选择肯定有更深层的原因和动力。

       其实这跟我们的人生态度、生活环境以及我们想要过的生活有着深度的关联。我们都出身普通,我们不是富二代、官二代、军二代,我们都是80前后的,我们身处在全民浮躁、物质至上的大潮中,但我们能够走到今天,不是靠我们投机取巧、溜须拍马、蝇营狗苟钻营而来,而是靠我们的踏实、勤奋、努力、专注、辛苦的付出和积累得来的。

我们的生活态度是踏实的、阳光的、有责任感的;

我们要做真实的、简单的自己,在任何时候都不虚伪、不做假、不媚上、不违心;

我们想要通过真正为用户、伙伴解决问题,创造价值,赢得用户的认可、尊重和合同,而不是通过谄媚、行贿、玩乐等交易的手段来获取用户的合同;

我们想要与用户之间成为互相依存、互相帮助的朋友关系而不是你尊我卑的主仆关系和相互利用的交易关系;

我们想要的工作成果是可以不断积累的和正向传递的,而不是那种“捞一笔,是一笔”式的混口饭吃;

我们想要的未来是平稳的、可预期的、按部就班前行的,而不是那种“吃完中饭不知道晚饭在哪”充满不确定性的;

我们想要的成功是我们完全可以把握的,因为我们的踏实、努力、勤奋和付出,而不是靠违背原则、不择手段和他人的施舍;

我们想要的生活方式是我们能够做自己真正喜欢的、激情所寄的事情;

       但在我们成长的过程中,我们耳闻目睹甚至亲历了种种虚伪、不公、谄媚、背叛、奸诈、欺骗,我们在内心深处深深鄙视甚至痛恨,但又常为自己身处于斯,身不由己而感到无力。我们都经历了不少的平台,但没有一个是我们心目中理想的平台,这些平台对我们而言,除了雇佣关系之外,没有任何的吸引力和归属感。在这些平台中,我们根本无法按照我们想要的方式工作和生活,好在我们可以选择打破这种格局——那就是我们按照自己的信念和理念,创立一个新的平台!这就是我们当前的选择! 

我们坚信,专注于某一领域并为之不断付出,再加点耐力和恒心,必定能够从中获得斐然的成就。

我们坚信,踏实、努力、专注、勤奋方能为自己、伙伴、用户创造真正的价值,并终能获得用户、伙伴的认同,这种认同会不断的推动我们走向更高的高度和更辉煌的未来;

我们坚信,透明、公平、自由、平等的环境能够让我们每个人充分发挥各自的主观能动性,让我们的个人能力发挥至极致,从而为我们个人以及团队带来更大的收获和成长;

我们坚信,在不断提升、完善自己的同时,并帮助身边的家人、朋友、同事不断的提升和完善,努力实现各自的价值和理想,会带给我们极大的精神上的满足;

我们坚信,好的平台属于整个团队而非个人或小群体,个人的力量是有限的,要想做好大平台,需要团队之间充分信任,团结一致,并一起为之不断的奋斗;

……

我们正在搭建一个踏实、公平、平等、自由、正向的平台,帮助更多踏实、勤奋、努力的人实现其个人的价值并收获他们的成功!

我们是在选择一种内心真正想要的生活方式!

       我们的选择会逐渐改变行业内的游戏规则,而这种改变,会在我们内部团队、用户、合作伙伴之间形成多重良性的循环,最终形成一种不可逆转的潮流,换句话说,就是我们的未来和成功是大势所趋!
 
       兄弟们,我们怀揣梦想,为我们的理想,大步向前迈出,从此走在通往成功的路上,我们要时刻提醒自己,我们为什么而出发。我已经能够清晰看到10年后,我们过着完全自由的、充满成就感和满足感的生活场景。

阅读全文>>

评论(3) 引用(0) 浏览(3874)

Powered by 易隐者 基于emlog 皖ICP备12002343号-1