超级会员免费看
这篇博客探讨了在规则制定中遇到的性能问题,如检测反弹shell过程中出现的三次for循环导致的计算复杂度剧增。当socket大小为255时,计算量达到255^3,显著影响效率。此外,获取全机器fd时,若遇到系统fd为65535,可能导致大量数据传输,引发性能瓶颈。文章强调了在系统监控和规则设计中,如何平衡检测精度与性能的重要性。
1.写规则时,有时候也会存在各种遍历,例如某次规则中要检测反弹shell,用了三次for,一次获取父进程,第二次对比兄弟进程pipe,再找到兄弟进程是否联网,就用了三次,那么这样我们的socket如果大小为255,就是255 * 255 * 255,次规则判定。
2.对于机器存在不可控变量x,例如想要获取整个机器的fd,如果这个fd遇到了是系统机器的fd为65535,那么这样传输的数据量会特别大,就存在性能问题
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
