围城

20210309 -0. 引言一般来说，通过IDS来监测一些攻击流量，或者说恶意流量也是可以的；但是现在看到的这个开源软件[1]是专门利用IOC来识别恶意流量；具体细节我没有深入去研究，例如流量捕获部分到底是什么引擎来启动的。1. 系统简介在其Github主页上的介绍来看，该系统的定位是恶意流量监测系统，而其实现的方法就是利用一些开源的情报，来作为IOC，同时自己部署流量探针来实现监测。从他列举的一些信息来看，能够查看这些内容：他前文中也提到，主要是通过一些指纹或者什么东西作为数据源。2.

2020/03/22 -2019年十大开源WEB应用防火墙点评这篇文章中，介绍了几款WEB防火墙， 估计作者是推产品的，自己的产品时hihttps这种。不过，我觉得， 因为我对waf的部署不是非常明白，首先这个东西是怎么部署的，他又是怎么跟背后的web应用程序配合起来的， 我觉得这个问题非常关键。我后面要关注关注这种东西。就是了解清楚，到底waf是怎么工作的。硬件Waf、软件Waf...

20210204 -引言去年，对蜜罐的研究比较多，说是比较多，其实本质上也就是尝试各种开源的蜜罐，收集各种资料，简单分析分析各种数据，例如：《全端口蜜罐的部署过程与数据分析》《Cowrie蜜罐的Docker部署过程及Elasticsearch+Kibana可视化》后来还深入了解过一些东西，都是些边边角角的东西，这几天整理书签，看到了一些内容，就干脆直接把这些内容放在这里。相关资料蜜罐调研与内网安全 - 先知社区自制蜜罐之前端部分 - 知乎蜜罐技术研究小组开源蜜罐测评报告 - Fr

20201103 -本来想单独列出来一个文章来记录每个工具，但是发现并没有那么多精力。这里仅仅记录一下看到的一些不错的工具。sdnewhop/grinder据其描述，这个是一个通过shodan或者censys来获取主机信息的工具，是不是跟一些集成的查询API比较类似，还是说，他自己将全部数据都集成到本地呢？后续有时间看看，而且这个工具还挺活跃，一直在更新。...

20201103目录主动扫描系列文章（1）：nmap的基础使用主动扫描系列文章（2）：masscan/zmap扫描主机与端口0. 引言前面文章中，已经介绍了nmap的初步使用方法，基本上对于扫描个服务器来说，没有任何压力了，识别端口，识别服务器操作系统等等。...

20201024 -0. 引言关于nmap的使用，这种文章网上满天飞，本篇文章不打算讲多细致的东西，仅仅是记录一些基础的使用方法，用作后续翻阅的记录。nmap能干什么就不用说了，在主动探测的领域算是一顶一的大拿，使用方法也不是很难，我这段时间也发现了一些能够图形化来使用nmap的程序，也有一些基于b/s架构的web操作方式，同时，为了能够更快速的进行扫描，通过masscan+nmap的方式来实现快速扫描，关于这部分内容会在另一篇文章中进行具体介绍。本篇文章主要参考了一篇基础的介绍文章[1]。1. n

20200920 -昨天看到了与SIEM相关的内容，但是除了一篇文章给我讲解了他们部分的SOC架构与方案（这个算是SIEM的升级版吧），其他的文章都没有给我非常好的反馈。这里来记录一下。文章列表1. Security Correlation Then and Now: A Sad Truth About SIEM这篇文章简单介绍了SIEM的发展进程，但是很多内容我没弄明白，特别是他最后的一些结论。不过，这倒是启发了我，应该去关注关注这个东西，也就是说，在SIEM的发展过程中都以怎样的技术为主导。2

20200914 -0. 引言以nmap的速率来说，扫描速率是比不上masscan和zmap的。对于masscan的具体原理没有看，但是我看了一下发出的流量，都是类似mirai的方式，也就是说，直接发送大量syn包，然后来收包。在masscan的github_masscan上可以看到，他是实现了以小型的自己的协议栈，如果要实现指纹的扫描的话，就必须利用别的IP来替代自己的IP或者别的手段，总之都是收包。1. 使用命令安装yum install -y masscan1.1 指定速率在使用ma

20200816 -0. 引言之前的时候，想弄一个类似shodan、fofa一样的扫描框架，然后在google上进行搜索，找到了ivre这个框架。但是在部署过程中，稍微有些不一致，这里记录一下。本着方便的原则，这里利用docker来进行部署。1. IVRE的docker化部署1.1 IVREIVRE是一款开源的扫描框架，其通过namp或其他扫描工具生成相应的结果，利用WEB界面对结果进行展示，并可以实现过滤，同时能够进行一些分析。其支持主动扫描，也支持被动监视。Web界面的结果就是将nmap的