摘要 这篇文章主要介绍的是入侵检测系统(IDS)和入侵防御系统(IPS),而这两者均是保护我们网络安全的重要机制。在过去的几年里,网络攻击所带来的安全威胁严重程度已经上升了很多倍,几乎每个月都会发生数起严重的数据泄露事件。基于网络的IDS/IPS并不是一种新出现的技术,但是考虑到网络攻击技术的最新发展趋势,IDS和IPS的实现方式仍然是我们需要理解和考虑的内容。 因此,在这篇文章中,我们将从高层设计角度触发,跟大家讨论一下如何在不同的IT环境中更加有效地部署IDS和IPS。本文包含以下几个话题内容: 1
本文翻译http://acunetix.com/blog/articles/server-side-request-forgery-vulnerability/
Behave!是一款针对浏览器页面活动的监控插件,广大研究人员可以利用Behave!来对Web页面的各种活动和行为进行监控,目前该项目仍处于开发阶段。
网站恶意软件流量分析是捕获网络流量中恶意软件的重要来源。我决定以一个Qakbot感染的spambot活动为例。首先需要了解如下内容
新的研究结果表明,攻击者可以利用一种隐匿的恶意软件检测规避技术,并通过操纵 Windows 容器隔离框架来绕过端点安全的解决方案。
2.3 Prometheus数据模型 2.3.1 指标名称 2.3.2 标签 2.3.3 采样数据 2.3.4 符号表示 2.3.5 保留时间
入侵检测即通过从网络系统中的若干关键节点收集并分析信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为。
了解系统状态对于确保应用程序和服务的可靠性和稳定性至关重要。有关部署运行状况和性能的信息不仅可以帮助您的团队对问题做出反应,还可以让他们放心地进行更改。获得这种洞察力的最佳方法之一是使用强大的监控系统,该系统可以收集指标、可视化数据并在出现问题时提醒操作员。
这篇文章的主要内容是展示Helios内部利用开源项目和创造性思维快速高效地向客户提供基于链路跟踪的告警机制。
高级持续性威胁(APT,Advanced Persistent Threat)对蓝队来说是一项重大挑战,因为攻击者会长时间应用各种攻击,阻碍事件关联和检测。 在这项工作中利用各种不同的攻击场景来评估终端检测与响应系统(EDR,Endpoint Detection and Response)和其他安全解决方案在检测和预防 APT 方面的功效。 结果表明,由于最先进的终端安全系统无法预防和记录这项工作中报告的大部分攻击,因此仍有很大的改进空间。 此外,还讨论了篡改 EDR 遥测提供者的方法,从而允许攻击者进行更隐蔽的攻击。
Tungsten Fabric是一个由计算节点、控制节点、配置节点、数据库节点、Web UI节点和分析节点组成的分布式系统。
1999年,布鲁斯·施奈尔曾说过:“复杂性是安全最大的敌人。”彼时还是19年前,而现在,网络安全已然变得更加繁杂。
IPS是英文"Intrusion Prevention Systems"的缩写,中文意思是"入侵防御系统",IPS实现实时检查和阻止入侵。上文「网络安全」安全设备篇(2)——IDS提到的IDS入侵检测系统大多是被动防御,而不是主动的,在攻击实际发生之前,它们往往无法预先发出警报。而IPS入侵防御系统,则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后发出警报。
监控是整个产品周期中最重要的一环,及时预警减少故障影响免扩大,而且能根据历史数据追溯问题。
我必须承认,这篇文章只是与Grafana和InfluxDB一起玩的借口。InfluxDB是一个很酷的数据库,专门用于处理时间序列数据。Grafana是一个用于时间序列分析的开源工具。我想构建一个简单的原型。这个想法是:
第7章 可靠性和可扩展性 分为两个问题进行考虑 可靠性和容错性 可扩展性 ---- 7.1 可靠性和容错性 通常的实现方式是构建集群。但是,集群解决方案需要相对复杂的网络,并且需要解决集群中节点之间的状态管理问题 Prometheus架构认为,实现集群所需的投入以及维护集群节点之间数据一致性的成本要高于数据本身的价值 Prometheus推荐的容错解决方案是并行运行两个配置相同的Prometheus服务器,并且这两个服务器同时处于活动状态。该配置生成的重复警报可以交由上游Alertmanager使用其分组(
据 Akamai 称,83% 的网络流量通过 API。微服务、服务器和客户端不断通信以交换信息 [1]。即使您进行 Google 搜索以访问本文,也涉及到您的浏览器客户端调用 Google API。鉴于 API 控制着互联网,因此企业严重依赖它们。API 健康状况与业务繁荣直接成正比。
在最新的ntopng版本中,为了帮助理解网络和安全问题,警报已经大大丰富了元数据。在这篇文章中,我们重点讨论用于丰富流量警报和标记主机的"攻击者 "和 "受害者 "元数据。具体来说,当一个流量的客户端或服务器很可能是一个或多个安全问题的始作俑者时,它就被标记为 "攻击者"。同样地,当客户端或服务器被认为受到攻击时,它被标记为 "受害者"。对于非安全导向的用例(如严重的丢包),受影响/引起该问题的主机仍然以高分值突出显示,但它们不会被标记为攻击者/受害者,因为这些词只用于安全领域。
1.MAC欺骗 攻击原理:MAC地址欺骗(或MAC地址盗用)通常用于突破基于MAC地址的局域网访问控制,例如在交换机上限定只转发源MAC地址修改为某个存在于访问列表中的MAC地址即可突破该访问限制,而且这种修改是动态的并且容易恢复。还有的访问控制方法将IP地址和MAC进行绑定,目的是使得一个交换机端口只能提供给一位用户的一台主机使用,此时攻击者需要同时修改自己的IP地址和MAC地址去突破这种限制。
任何 SIEM 系统的核心都是日志数据。有很多种。无论是来自服务器,防火墙,数据库还是网络路由器,日志都为分析人员提供了深入了解 IT 环境中发生事件的原始资料。
HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL
随着 Kubernetes 使用越来越广泛,日志集中收集、展示、告警等都需要考虑的事情。Kubernetes 日志收集方案一般有下面几种:
1、基础防火墙类:主要是可实现基本包过滤策略的防火墙,这类是有硬件处理、软件处理等,其主要功能实现是限制对IP:port的访问。基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略。
OSSEC是一个开源的,基于主机的入侵检测系统(HIDS),可执行日志分析,完整性检查,Windows注册表监控,rootkit检测,基于时间的警报和主动响应。如果你想留意它内部发生的事情就将应用程序安装在您的服务器上。
写在前面 这年头,谁家不得防贼防盗防小三?云安全摄像头也就变得越来越盛行了。可虽然叫“安全”摄像头,它们本身的安全性或许并不怎么样。这款摩托罗拉Focus 73户外安全摄像头即是如此。 摩托罗拉Focus 73摄像头是一款户外安全摄像头,这款产品实际上是由Binatone制造的。此系列摄像头产品支持通过Hubble服务与云端连接。 Hubble服务是建基于Amazon EC2 instance的,有了这项服务,用户就可以远程监控摄像头了,另外也能接收摄像头发出的警告信息。不过Hubble服务是收费的,用
本篇文章为OkHttp的"前戏"篇,主要讲解关于http协议的一些基础知识。主要内容如下:
该文介绍了如何通过分析用户行为、网络行为、文件活动等方面的信息来识别和定义云安全环境中的威胁。文章还介绍了一些最佳实践,以确保在云环境中实施安全策略时能够有效地识别和防止威胁。
helm install prometheus-operator stable/prometheus-operator -n monitoring
近期正在探索前端、后端、系统端各类常用组件与工具,对其一些常见的组件进行再次整理一下,形成标准化组件专题,后续该专题将包含各类语言中的一些常用组件。欢迎大家进行持续关注。
开发者API 作为一个网络安全人员,编程能力弱一直是我的一个痛点,Shodan为我们提供了一个开发者API,这样我们自己的程序就可以使用Shodan搜集的数据了
摘要 跨 SDDC 和多云环境从应用到基础架构的智能 IT 运维管理。与 vRealize Log Insight 和 vRealize Business for Cloud 集成的 VMware vRealize Operations 通过统一监控、自动执行的性能管理、云计算规划和容量优化,可帮助规划、管理和扩展 SDDC 和多云环境。 VMware云管平台 所有的云管平台底层都是要基于软件定义的数据中心。VMware专门提到了软件定义数据中心,就是用软件的方式对底层的基础架构进行虚拟化,包括服务器虚拟化
我们的binlog应用使用了etcd,用来协调主服务和存储数据源以及订阅相关的元数据信息。程序运行一段时间后,就会抛出mvcc: database space exceeded的异常,详细的堆栈如下:
强大的身份验证和建立用户身份是Hadoop安全访问的基础。用户需要能够可靠地“识别”自己,然后在整个Hadoop集群中传播该身份。完成此操作后,这些用户可以访问资源(例如文件或目录)或与集群交互(如运行MapReduce作业)。除了用户之外,Hadoop集群资源本身(例如主机和服务)需要相互进行身份验证,以避免潜在的恶意系统或守护程序“冒充”受信任的集群组件来获取数据访问权限。
Apache Kafka有许多针对其操作的度量,这些度量指标非常多,会让人混淆哪些是重要的,哪些是可以忽略的。这些度量的范围从关于通信量总体速率的简单度量,到针对每种请求类型的详细时间度量,再到每个topic和每个分区的度量。他们提供了broker中的每个操作的详细视图,但也可能使你成为负责管理监视系统的人员的缺点。 本节将详细介绍一直要监控的最关键的度量标准,以及如何响应他们。我们还将描述一些再调试问题的时候需要账务的更重要的度量标准,然而,这并不是可用的度量标准的详细列表,因为列表经常发生变化,而且其中有许多只对硬编码的kafka开放人员有用。
Osquery这个工具对不少同学来说,应该还是比较陌生的。至少从搜索引擎的结果上看,这个工具似乎并没有得到足够的重视。但实际上这是由FaceBook开源用于对系统进行查询、监控以及分析的一款非常好用的软件,Osquery将操作系统当作是一个高性能的关系型数据库。使用osquery运行我们能够使用类似于SQL语句的方式去查询数据库中的信息,比如正在运行的进程信息,加载的内核模块,网络连接,浏览器插件等等信息。在最近的版本上,Osquery甚至已经能够读取每个容器上进程打开的文件,进程的状态等,对于安全审计,运维调试都有非常大的帮助。
MongoDB Manual (Version 4.2)> Administration
C/S 架构,服务器端被植入目标主机,服务器端通过反弹连接和客户端连接。从而客户端对其进行控制。
HubSpot 的数据基础设施团队,每天都要处理 2.5PB 以上的低延迟流量,他们亲眼目睹了 Locality 对于 HBase 的性能有多么重要。请继续阅读,以了解更多关于这些问题:什么是 Locality ,为什么如此重要,以及我们如何在不断增长的 HBase 集群中使保持 Locality 成为一个不成问题的问题。
上个月早些时候,Ripple20变得很流行,因为它已经列出了许多物联网设备使用的定制IP堆栈中发现的一些漏洞。尽管Ripple20上大肆宣传,但本质上,用于识别易受攻击设备的工具会发送格式错误或有效的数据包(有些值在允许的范围内,但值已弃用或过时),这些数据包很容易捕获(有关检测,请参阅Suricata和Zeek规则)。本质上,IDS规则/脚本是在检查线上发送的数据包是否有效,或者是否包含Ripple20使用的意外值。请注意,这些规则通常不检查数据包(例如检查TLS报头是否有效,或者ICMP数据包是否包含未被废弃的有效类型/代码),但它们仅用于发现Pipple2.0,所以如果未来的Ripple21会使用相同的方法,但却使用不同的值,我们就会回到原点,需要定义新的一套或规则/脚本。这就是基于签名的系统的工作方式,正如你所看到的那样,它们很容易规避在网络流量上做一些小小的改变,更不用说不断添加新的规则/脚本会让这些系统变得很慢。
Nginx 指标和日志的监控对于确保 Nginx 的性能符合预期以及快速识别和解决问题至关重要。在本教程中,您将安装 OpenTelemetry Collector 来收集 Nginx 指标和日志,然后将收集的数据发送到 SigNoz 进行监控和可视化分析。
SONiC 系统的架构由各种模块组成,这些模块通过集中式和可扩展的基础架构相互交互。这个基础设施依赖于使用一个 redis-database 引擎来提供一个独立于语言的接口,一个在所有 SONiC 子系统之间进行数据持久化、复制和多进程通信的方法。
主机数据的采集是集群监控的基础;外部模块收集各个主机采集到的数据分析就能对整个集群完成监控和告警等功能。一般主机数据采集和对外提供数据使用cAdvisor 和node-exporter等工具。
原文地址:https://www.entrepreneur.com/article/237174
题目链接:https://www.patest.cn/contests/gplt/L2-013
对于中小型企业而言,进行主机和应用的管理是比较麻烦的,应用部署往往需要直接连接服务器,再进行手动的环境配置、代码拉取、应用构建和部署发布等工作,容易出错,且耗时费力。一个好的自动化运维平台,往往能大大节省人力物力,提高开发部署效率。Spug,正是一个面向中小型企业设计的轻量级自动化运维平台。
本文介绍如何通过snmp trap的方式发送vCenter上的告警到zabbix server,并通过zabbix server发送邮件告警通知,配置好后,邮箱收到的告警格式如下
在我们 service mesh 之旅的第一部分中,我们讨论了“什么是服务网格以及我们为什么选择 Linkerd2?”。在第二部分,我们将讨论我们面临的问题以及我们如何解决这些问题。
在学习网络之前,了解它的历史能够帮助我明白为何它会发展为如今这个样子,能让我有探究它的兴趣。下面的这张图片就展示了“互联网”诞生至今的发展历程
作者:yutingbai,腾讯 PCG 前端开发工程师 1. http的发展史 在学习网络之前,了解它的历史能够帮助我们明白为何它会发展为如今这个样子,引发探究网络的兴趣。下面的这张图片就展示了“互联网”诞生至今的发展历程。 2. http是什么? HyperTextTransferProtocol 直译为‘超文本传输协议' 超文本:指文字、图片、视频、音频等的混合体,比如最熟悉的html。 传输:http是一个“双向协议”,传输的是请求方和响应方之间的数据,不限制请求方和响应方之间的角色,传递的过程中可
领取专属 10元无门槛券
手把手带您无忧上云