jo_say

snort 笔记1 ----- 3种模式简介

snort笔记：2011-04-18

链接snort中文手册，比较老的一个：

http://man.chinaunix.net/network/snort/Snortman.htm。

一基本操作：

1 配置文件位置：/etc/snort

2 运行：./snort 需要root权限【这是cd到/usr/sbin目录后的操作，要是在别的目录下，可以通过制定全路径】

【补充：linux下执行程序，如果在当前目录下的执行文件，则需要加 ./程序名，如果是全路径，则不需要加这个点，比如

这里全路径指向snort： /usr/sbin/snort -vde 等， ./表示相对当前目录】

3 开机自启动关闭：http://blog.csdn.net/jo_say/archive/2011/03/08/6232952.aspx

如snort的2，3，4，5级默认开启，通过chkconfig –-level 2345 snort off.就可将其关闭。（chkconfig操作见：http://blog.csdn.net/jo_say/archive/2011/04/18/6330466.aspx

（网上介绍：on和off开关，系统默认只对运行级3，4，5有效，但是reset可以对所有运行级有效,但是我刚才好像把2也off了，也ok了）

二：三种模式：

1 嗅探 (snort从网络上读出数据包并将其显示在控制台上）
2 数据包记录器（将数据包记录在硬盘上）

3 NIDS（最复杂，可配置，允许snort匹配用户自定义的数据集，并根据检测结果执行一定的动作）

三：实际操作：

嗅探模式：

1. ./snort -v

启动snort后会显示：

【1】模式

【2】初始化输出插件

【3】显示snort版本信息和版权信息

【4】显示数据包到控制台

****************************************************************************************************************************

root@helloworld:/# ./usr/sbin/snort -v

Running in packet dump mode 数据包转储模式

--== Initializing Snort ==--

Initializing Output Plugins!

***

*** interface device lookup found: eth0

***

Initializing Network Interface eth0

Decoding Ethernet on interface eth0

--== Initialization Complete ==--

,,_ -*> Snort! <*-

o" )~ Version 2.8.5.2 (Build 121)

'''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team

Using PCRE version: 8.02 2010-03-19

Not Using PCAP_FRAMES // 为什么会提示？见 http://blog.csdn.net/jo_say/archive/2011/04/18/6331819.aspx]

//下面这个数据包是外部主机发往局域网其它主机的数据包

04/18-16:32:10.267583 118.239.104.219:1119 -> 172.26.75.118:10118

UDP TTL:52 TOS:0x0 ID:5308 IpLen:20 DgmLen:68

Len: 40

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

// 下面这个数据包是本机发往csdn的80端口的数据包

04/18-16:32:10.609564 172.26.75.115:39112 -> 211.100.26.77:80

TCP TTL:64 TOS:0x0 ID:12047 IpLen:20 DgmLen:40 DF

***A***F Seq: 0xD2B01068 Ack: 0xCA0FABA Win: 0x8E TcpLen: 20

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

04/18-16:32:10.609645 172.26.75.115:39068 -> 211.100.26.77:80

TCP TTL:64 TOS:0x0 ID:61231 IpLen:20 DgmLen:40 DF

***A***F Seq: 0x9969190B Ack: 0x8879377 Win: 0xD0 TcpLen: 20

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

**********************************************************************************

2 默认只显示包头信息，如果需要显示数据包应用层的内容，需要加上-d 参数：

结果如下所示，摘取其二：

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

04/18-18:26:52.610961 172.26.75.115:34474 -> 211.100.26.77:80

TCP TTL:64 TOS:0x0 ID:2855 IpLen:20 DgmLen:536 DF

***AP*** Seq: 0x296C9AB4 Ack: 0xA891280A Win: 0x5C TcpLen: 20

32 61 35 31 33 63 64 62 32 37 63 31 39 39 30 66 2a513cdb27c1990f

37 33 63 65 61 37 32 34 30 61 3B 20 5F 5F 6D 65 73cea7240a; __me

73 73 61 67 65 5F 73 79 73 5F 6D 73 67 5F 69 64 ssage_sys_msg_id

3D 39 35 36 3B 20 41 53 50 2E 4E 45 54 5F 53 65 =956; ASP.NET_Se

73 73 69 6F 6E 49 64 3D 79 78 77 78 30 72 79 6D ssionId=yxwx0rym

74 73 75 6E 35 30 34 35 30 72 61 75 6E 30 6D 69 tsun50450raun0mi

3B 20 54 65 73 74 43 6F 6F 6B 69 65 3D 34 2F 31 ; TestCookie=4/1

38 2F 32 30 31 31 20 35 3A 34 37 3A 34 39 20 50 8/2011 5:47:49 P

4D 3B 20 5F 5F 6D 65 73 73 61 67 65 5F 67 75 5F M; __message_gu_

6D 73 67 5F 69 64 3D 30 3B 20 5F 5F 6D 65 73 73 msg_id=0; __mess

61 67 65 5F 63 6E 65 6C 5F 6D 73 67 5F 69 64 3D age_cnel_msg_id=

30 3B 20 5F 5F 6D 65 73 73 61 67 65 5F 69 6E 5F 0; __message_in_

73 63 68 6F 6F 6C 3D 30 3B 20 43 53 44 4E 42 6C school=0; CSDNBl

6F 67 42 6C 6F 67 49 64 3D 31 37 36 30 36 32 3B ogBlogId=176062;

20 75 63 68 6F 6D 65 5F 73 79 6E 66 72 69 65 6E uchome_synfrien

64 3D 31 3B 20 2E 44 6F 74 74 65 78 74 43 6F 6F d=1; .DottextCoo

6B 69 65 3D 32 35 44 41 32 43 37 33 41 46 44 37 kie=25DA2C73AFD7

35 30 31 31 32 43 39 46 46 30 38 32 36 46 41 30 50112C9FF0826FA0

39 30 32 38 36 36 30 36 35 30 30 44 37 33 46 32 90286606500D73F2

44 31 45 44 42 42 44 37 35 35 39 44 32 42 43 34 D1EDBBD7559D2BC4

33 42 37 46 44 34 30 46 37 35 43 38 45 32 41 30 3B7FD40F75C8E2A0

32 38 38 44 30 43 33 45 36 34 34 45 38 46 35 36 288D0C3E644E8F56

32 31 43 33 35 43 31 31 38 42 34 34 30 42 31 46 21C35C118B440B1F

44 37 31 30 44 37 38 34 43 46 45 31 35 34 30 33 D710D784CFE15403

44 46 35 37 41 42 44 43 36 42 34 33 41 44 31 31 DF57ABDC6B43AD11

32 46 33 35 43 36 39 45 43 33 32 44 44 41 44 34 2F35C69EC32DDAD4

30 41 39 38 38 45 45 31 37 43 38 46 30 36 46 34 0A988EE17C8F06F4

42 42 34 31 30 46 41 31 44 30 31 46 34 44 46 37 BB410FA1D01F4DF7

37 37 32 37 44 44 42 33 41 35 36 33 45 42 41 42 7727DDB3A563EBAB

41 37 37 44 38 34 32 37 38 41 45 44 46 42 37 46 A77D84278AEDFB7F

42 42 42 30 42 46 42 35 39 38 32 30 0D 0A 0D 0A BBB0BFB59820....

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

04/18-18:26:52.738985 211.100.26.77:80 -> 172.26.75.115:34474

TCP TTL:47 TOS:0x0 ID:42094 IpLen:20 DgmLen:269 DF

***AP*** Seq: 0xA891280A Ack: 0x296CD8AC Win: 0x56 TcpLen: 20

48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D HTTP/1.1 200 OK.

0A 53 65 72 76 65 72 3A 20 6E 67 69 6E 78 2F 30 .Server: nginx/0

2E 37 2E 36 38 0D 0A 44 61 74 65 3A 20 4D 6F 6E .7.68..Date: Mon

2C 20 31 38 20 41 70 72 20 32 30 31 31 20 31 30 , 18 Apr 2011 10

3A 32 36 3A 35 30 20 47 4D 54 0D 0A 43 6F 6E 6E :26:50 GMT..Conn

65 63 74 69 6F 6E 3A 20 6B 65 65 70 2D 61 6C 69 ection: keep-ali

76 65 0D 0A 58 2D 55 41 2D 43 6F 6D 70 61 74 69 ve..X-UA-Compati

62 6C 65 3A 20 49 45 3D 45 6D 75 6C 61 74 65 49 ble: IE=EmulateI

45 37 0D 0A 58 2D 50 6F 77 65 72 65 64 2D 42 79 E7..X-Powered-By

3A 20 41 53 50 2E 4E 45 54 0D 0A 58 2D 41 73 70 : ASP.NET..X-Asp

4E 65 74 2D 56 65 72 73 69 6F 6E 3A 20 32 2E 30 Net-Version: 2.0

2E 35 30 37 32 37 0D 0A 43 61 63 68 65 2D 43 6F .50727..Cache-Co

6E 74 72 6F 6C 3A 20 70 72 69 76 61 74 65 0D 0A ntrol: private..

43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 Content-Length:

30 0D 0A 0D 0A 0....

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

数据包记录器模式

1 将log写入目录/log

命令： ./snort -vde -l ./log

需要注意：

1） ./log(/usr/sbin/log)目录需要你自己建立，并修改权限，以保证snort能够写入

2）不要遗漏-l参数，用来指定写入日志位置

3）给定的是目录，不是文件。

执行后系统将会在log目录下产生：

**********

root@helloworld:/usr/sbin/log# ls

snort.log.1303126222

**********

为了只对本地网络进行日志，需要加上参数-h。如：

./snort -vde -l ./log -h 192.168.1.0/24

这个命令告诉snort把进入C类网络192.168.1的所有包的数据链路、TCP/IP以及应用层的数据记录到目录./log中。

二进制方式：

./snort -l ./log -b

[ 从manuel中看：使用二进制方式和普通方式应该在log文件命名方面有区别的，但我自己测试后，却没有得到效果，产生的log文件名都是一种类型，eg：

*************************************************

root@helloworld:/usr/sbin# ls ./log

snort.log.1303126222 snort.log.1303128331 snort.log.1303128351 snort.log.1303129241

*******************************

2 读出写的log文件内容：

【二进制文件是以tcpdump程序使用的格式写入的，可以使用tcpdump和ethereal读出，当然也可以使用snort读出，使用-r参数：

root@helloworld:/usr/sbin# ./snort -v -r ./log/snort.log.1303126222

将显示在嗅探模式下一样的数据到控制台中。

（不知到为什么，我上面获得的日志都是二进制的，难道那个地方我设置错了？？而且都可通过snort -r读出】

如果只想读出icmp包，则需在最后加上一个icmp参数：

./snort -v -r ./log/snort.log.1303126222 icmp

网络入侵检测模式（NIDS）

这才是snort的本质工作。

命令：-c 指定规则集文件位置

./snort -v -l ./log -c /etc/snort/snort.conf

下面给出整个运行结果，以做分析：

*******************************************************************************************

Running in IDS mode 【显示了当前模式】

--== Initializing Snort ==--

Initializing Output Plugins!

Initializing Preprocessors!

Initializing Plug-ins!

Parsing Rules file "/etc/snort/snort.conf"

PortVar 'HTTP_PORTS' defined : [ 80 ]

PortVar 'SHELLCODE_PORTS' defined : [ 0:79 81:65535 ]

PortVar 'ORACLE_PORTS' defined : [ 1521 ]

PortVar 'FTP_PORTS' defined : [ 21 ]

Tagged Packet Limit: 256

Loading dynamic engine /usr/lib/snort_dynamicengine/libsf_engine.so... done

Loading all dynamic preprocessor libs from /usr/lib/snort_dynamicpreprocessor/...

Loading dynamic preprocessor library /usr/lib/snort_dynamicpreprocessor//libsf_smtp_preproc.so... done

Loading dynamic preprocessor library /usr/lib/snort_dynamicpreprocessor//libsf_ftptelnet_preproc.so... done

Loading dynamic preprocessor library /usr/lib/snort_dynamicpreprocessor//libsf_dce2_preproc.so... done

Loading dynamic preprocessor library /usr/lib/snort_dynamicpreprocessor//libsf_dcerpc_preproc.so... done

Loading dynamic preprocessor library /usr/lib/snort_dynamicpreprocessor//libsf_ssl_preproc.so... done

Loading dynamic preprocessor library /usr/lib/snort_dynamicpreprocessor//libsf_dns_preproc.so... done

Loading dynamic preprocessor library /usr/lib/snort_dynamicpreprocessor//lib_sfdynamic_preprocessor_example.so... done

Loading dynamic preprocessor library /usr/lib/snort_dynamicpreprocessor//libsf_ssh_preproc.so... done

Finished Loading all dynamic preprocessor libs from /usr/lib/snort_dynamicpreprocessor/

Log directory = ./log

Frag3 global config:

Max frags: 65536

Fragment memory cap: 4194304 bytes

Frag3 engine config:

Target-based policy: FIRST

Fragment timeout: 60 seconds

Fragment min_ttl: 1

Fragment Problems: 1

Overlap Limit: 10

Min fragment Length: 0

Stream5 global config:

Track TCP sessions: ACTIVE

Max TCP sessions: 8192

Memcap (for reassembly packet storage): 8388608

Track UDP sessions: INACTIVE

Track ICMP sessions: INACTIVE

Log info if session memory consumption exceeds 1048576

Stream5 TCP Policy config:

Reassembly Policy: FIRST

Timeout: 30 seconds

Min ttl: 1

Maximum number of bytes to queue per session: 1048576

Maximum number of segs to queue per session: 2621

Reassembly Ports:

21 client (Footprint)

23 client (Footprint)

25 client (Footprint)

42 client (Footprint)

53 client (Footprint)

80 client (Footprint)

110 client (Footprint)

111 client (Footprint)

135 client (Footprint)

136 client (Footprint)

137 client (Footprint)

139 client (Footprint)

143 client (Footprint)

445 client (Footprint)

513 client (Footprint)

514 client (Footprint)

1433 client (Footprint)

1521 client (Footprint)

2401 client (Footprint)

3306 client (Footprint)

HttpInspect Config:

GLOBAL CONFIG

Max Pipeline Requests: 0

Inspection Type: STATELESS

Detect Proxy Usage: NO

IIS Unicode Map Filename: /etc/snort/unicode.map

IIS Unicode Map Codepage: 1252

DEFAULT SERVER CONFIG:

Server profile: All

Ports: 80 8080 8180

Server Flow Depth: 300

Client Flow Depth: 300

Max Chunk Length: 500000

Max Header Field Length: 0

Max Number Header Fields: 0

Inspect Pipeline Requests: YES

URI Discovery Strict Mode: NO

Allow Proxy Usage: NO

Disable Alerting: NO

Oversize Dir Length: 500

Only inspect URI: NO

Normalize HTTP Headers: NO

Normalize HTTP Cookies: NO

Ascii: YES alert: NO

Double Decoding: YES alert: YES

%U Encoding: YES alert: YES

Bare Byte: YES alert: YES

Base36: OFF

UTF 8: OFF

IIS Unicode: YES alert: YES

Multiple Slash: YES alert: NO

IIS Backslash: YES alert: NO

Directory Traversal: YES alert: NO

Web Root Traversal: YES alert: YES

Apache WhiteSpace: YES alert: NO

IIS Delimiter: YES alert: NO

IIS Unicode Map: GLOBAL IIS UNICODE MAP CONFIG

Non-RFC Compliant Characters: NONE

Whitespace Characters: 0x09 0x0b 0x0c 0x0d

rpc_decode arguments:

Ports to decode RPC on: 111 32771

alert_fragments: INACTIVE

alert_large_fragments: ACTIVE

alert_incomplete: ACTIVE

alert_multiple_requests: ACTIVE

Portscan Detection Config:

Detect Protocols: TCP UDP ICMP IP

Detect Scan Type: portscan portsweep decoy_portscan distributed_portscan

Sensitivity Level: Low

Memcap (in bytes): 10000000

Number of Nodes: 36900

FTPTelnet Config:

GLOBAL CONFIG

Inspection Type: stateful

Check for Encrypted Traffic: YES alert: YES

Continue to check encrypted data: NO

TELNET CONFIG:

Ports: 23

Are You There Threshold: 200

Normalize: YES

Detect Anomalies: NO

FTP CONFIG:

FTP Server: default

Ports: 21

Check for Telnet Cmds: YES alert: YES

Ignore Telnet Cmd Operations: OFF

Identify open data channels: YES

FTP Client: default

Check for Bounce Attacks: YES alert: YES

Check for Telnet Cmds: YES alert: YES

Ignore Telnet Cmd Operations: OFF

Max Response Length: 256

SMTP Config:

Ports: 25 587 691

Inspection Type: Stateful

Normalize: EXPN RCPT VRFY

Ignore Data: No

Ignore TLS Data: No

Ignore SMTP Alerts: No

Max Command Line Length: Unlimited

Max Specific Command Line Length:

ETRN:500 EXPN:255 HELO:500 HELP:500 MAIL:260

RCPT:300 VRFY:255

Max Header Line Length: Unlimited

Max Response Line Length: Unlimited

X-Link2State Alert: Yes

Drop on X-Link2State Alert: No

Alert on commands: None

SSH config:

Autodetection: DISABLED

Challenge-Response Overflow Alert: ENABLED

SSH1 CRC32 Alert: ENABLED

Server Version String Overflow Alert: ENABLED

Protocol Mismatch Alert: ENABLED

Bad Message Direction Alert: DISABLED

Bad Payload Size Alert: DISABLED

Unrecognized Version Alert: DISABLED

Max Encrypted Packets: 20

Max Server Version String Length: 80 (Default)

MaxClientBytes: 19600 (Default)

Ports:

DCE/RPC 2 Preprocessor Configuration

Global Configuration

DCE/RPC Defragmentation: Enabled

Memcap: 102400 KB

Events: none

Server Default Configuration

Policy: WinXP

Detect ports

SMB: 139 445

TCP: 135

UDP: 135

RPC over HTTP server: 593

RPC over HTTP proxy: None

Autodetect ports

SMB: None

TCP: 1025-65535

UDP: 1025-65535

RPC over HTTP server: 1025-65535

RPC over HTTP proxy: None

Maximum SMB command chaining: 3 commands

DNS config:

DNS Client rdata txt Overflow Alert: ACTIVE

Obsolete DNS RR Types Alert: INACTIVE

Experimental DNS RR Types Alert: INACTIVE

Ports: 53

SSLPP config:

Encrypted packets: not inspected

Ports:

443 465 563 636 989

992 993 994 995

Server side data is trusted

+++++++++++++++++++++++++++++++++++++++++++++++++++

Initializing rule chains...

Warning: /etc/snort/rules/dos.rules(42) => threshold (in rule) is deprecated; use detection_filter instead.

3382 Snort rules read

3382 detection rules

0 decoder rules

0 preprocessor rules

3382 Option Chains linked into 282 Chain Headers

0 Dynamic rules

+++++++++++++++++++++++++++++++++++++++++++++++++++

+-------------------[Rule Port Counts]---------------------------------------

| tcp udp icmp ip

| src 121 19 0 0

| dst 2922 130 0 0

| any 115 53 56 27

| nc 31 10 15 20

| s+d 12 6 0 0

+----------------------------------------------------------------------------

+-----------------------[detection-filter-config]------------------------------

| memory-cap : 1048576 bytes

+-----------------------[detection-filter-rules]-------------------------------

| none

-------------------------------------------------------------------------------

+-----------------------[rate-filter-config]-----------------------------------

| memory-cap : 1048576 bytes

+-----------------------[rate-filter-rules]------------------------------------

| none

-------------------------------------------------------------------------------

+-----------------------[event-filter-config]----------------------------------

| memory-cap : 1048576 bytes

+-----------------------[event-filter-global]----------------------------------

| none

+-----------------------[event-filter-local]-----------------------------------

| gen-id=1 sig-id=2494 type=Both tracking=dst count=20 seconds=60

| gen-id=1 sig-id=100000162 type=Both tracking=src count=100 seconds=60

| gen-id=1 sig-id=100000159 type=Both tracking=src count=100 seconds=60

| gen-id=1 sig-id=2496 type=Both tracking=dst count=20 seconds=60

| gen-id=1 sig-id=100000310 type=Limit tracking=src count=1 seconds=360

| gen-id=1 sig-id=3273 type=Threshold tracking=src count=5 seconds=2

| gen-id=1 sig-id=100000923 type=Threshold tracking=dst count=200 seconds=60

| gen-id=1 sig-id=100000311 type=Limit tracking=src count=1 seconds=360

| gen-id=1 sig-id=2275 type=Threshold tracking=dst count=5 seconds=60

| gen-id=1 sig-id=100000161 type=Both tracking=dst count=100 seconds=60

| gen-id=1 sig-id=100000158 type=Both tracking=src count=100 seconds=60

| gen-id=1 sig-id=2923 type=Threshold tracking=dst count=10 seconds=60

| gen-id=1 sig-id=100000163 type=Both tracking=src count=100 seconds=60

| gen-id=1 sig-id=100000160 type=Both tracking=src count=300 seconds=60

| gen-id=1 sig-id=2523 type=Both tracking=dst count=10 seconds=10

| gen-id=1 sig-id=100000312 type=Limit tracking=src count=1 seconds=360

| gen-id=1 sig-id=2924 type=Threshold tracking=dst count=10 seconds=60

| gen-id=1 sig-id=2495 type=Both tracking=dst count=20 seconds=60

| gen-id=1 sig-id=3152 type=Threshold tracking=src count=5 seconds=2

+-----------------------[suppression]------------------------------------------

| none

-------------------------------------------------------------------------------

Rule application order: activation->dynamic->pass->drop->alert->log

Verifying Preprocessor Configurations!

Warning: flowbits key 'smb.tree.create.llsrpc' is set but not ever checked.

Warning: flowbits key 'realplayer.playlist' is checked but not ever set.

Warning: flowbits key 'community_uri.size.1050' is set but not ever checked.

Warning: flowbits key 'ms_sql_seen_dns' is checked but not ever set.

37 out of 512 flowbits in use.

***

*** interface device lookup found: eth0

***

Initializing Network Interface eth0

Decoding Ethernet on interface eth0

Node unique name is: 172.26.75.115

database: compiled support for (mysql)

database: configured to use mysql

database: schema version = 107

database: host = localhost

database: user = snort

database: database name = snort

database: sensor name = 172.26.75.115

database: sensor id = 1

database: data encoding = hex

database: detail level = full

database: ignore_bpf = no

database: using the "log" facility

[ Port Based Pattern Matching Memory ]

+-[AC-BNFA Search Info Summary]------------------------------

| Instances : 241

| Patterns : 22049

| Pattern Chars : 207222

| Num States : 137800

| Num Match States : 18343

| Memory : 3.51Mbytes

| Patterns : 0.70M

| Match Lists : 0.96M

| Transitions : 1.79M

+-------------------------------------------------

--== Initialization Complete ==--

,,_ -*> Snort! <*-

o" )~ Version 2.8.5.2 (Build 121)

'''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team

Using PCRE version: 8.02 2010-03-19

Rules Engine: SF_SNORT_DETECTION_ENGINE Version 1.11

Preprocessor Object: SF_SSH Version 1.1

Preprocessor Object: SF_Dynamic_Example_Preprocessor Version 1.0

Preprocessor Object: SF_DNS Version 1.1

Preprocessor Object: SF_SSLPP Version 1.1

Preprocessor Object: SF_DCERPC Version 1.1

Preprocessor Object: SF_DCERPC2 Version 1.0

Preprocessor Object: SF_FTPTELNET Version 1.2

Preprocessor Object: SF_SMTP Version 1.1

Using PCAP_FRAMES = max

04/18-20:56:55.568511 183.62.125.17:80 -> 172.26.75.115:47155

TCP TTL:50 TOS:0x0 ID:32178 IpLen:20 DgmLen:339 DF

***AP*** Seq: 0x8EE60060 Ack: 0xFEFE1836 Win: 0xB3 TcpLen: 32

TCP Options (3) => NOP NOP TS: 113936275 10677776

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

04/18-20:56:55.568535 172.26.75.115:47155 -> 183.62.125.17:80

TCP TTL:64 TOS:0x0 ID:65460 IpLen:20 DgmLen:52 DF

***A**** Seq: 0xFEFE1836 Ack: 0x8EE6017F Win: 0x6C TcpLen: 32

TCP Options (3) => NOP NOP TS: 10680277 113936275

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

04/18-20:56:55.568541 183.62.125.17:80 -> 172.26.75.115:47155

TCP TTL:50 TOS:0x0 ID:32179 IpLen:20 DgmLen:52 DF

***A***F Seq: 0x8EE6017F Ack: 0xFEFE1836 Win: 0xB3 TcpLen: 32

TCP Options (3) => NOP NOP TS: 113936275 10677776

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

04/18-20:56:55.568704 172.26.75.115:47155 -> 183.62.125.17:80

TCP TTL:64 TOS:0x0 ID:65461 IpLen:20 DgmLen:52 DF

***A***F Seq: 0xFEFE1836 Ack: 0x8EE60180 Win: 0x6C TcpLen: 32

TCP Options (3) => NOP NOP TS: 10680277 113936275

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

04/18-20:56:55.583144 183.62.125.17:80 -> 172.26.75.115:47155

TCP TTL:50 TOS:0x0 ID:32180 IpLen:20 DgmLen:52 DF

***A**** Seq: 0x8EE60180 Ack: 0xFEFE1837 Win: 0xB3 TcpLen: 32

TCP Options (3) => NOP NOP TS: 113936278 10680277

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

04/18-20:56:55.625244 172.26.75.115:47156 -> 183.62.125.17:80

TCP TTL:64 TOS:0x0 ID:3078 IpLen:20 DgmLen:60 DF

******S* Seq: 0x872FBE2 Ack: 0x0 Win: 0x16D0 TcpLen: 40

TCP Options (5) => MSS: 1460 SackOK TS: 10680292 0 NOP WS: 6

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

04/18-20:56:55.639822 183.62.125.17:80 -> 172.26.75.115:47156

TCP TTL:50 TOS:0x0 ID:0 IpLen:20 DgmLen:60 DF

***A**S* Seq: 0x8F5BBE8D Ack: 0x872FBE3 Win: 0x1650 TcpLen: 40

TCP Options (5) => MSS: 1440 SackOK TS: 113932525 10680292 NOP WS: 6

*** Caught Int-Signal

Run time prior to being shutdown was 1.310378 seconds

database: Closing connection to database "snort"

===============================================================================

Packet Wire Totals:

Received: 11

Analyzed: 11 (100.000%)

Dropped: 0 (0.000%)

Outstanding: 0 (0.000%)

===============================================================================

Breakdown by protocol (includes rebuilt packets):

ETH: 11 (100.000%)

ETHdisc: 0 (0.000%)

VLAN: 0 (0.000%)

IPV6: 0 (0.000%)

IP6 EXT: 0 (0.000%)

IP6opts: 0 (0.000%)

IP6disc: 0 (0.000%)

IP4: 11 (100.000%)

IP4disc: 0 (0.000%)

TCP 6: 0 (0.000%)

UDP 6: 0 (0.000%)

ICMP6: 0 (0.000%)

ICMP-IP: 0 (0.000%)

TCP: 11 (100.000%)

UDP: 0 (0.000%)

ICMP: 0 (0.000%)

TCPdisc: 0 (0.000%)

UDPdisc: 0 (0.000%)

ICMPdis: 0 (0.000%)

FRAG: 0 (0.000%)

FRAG 6: 0 (0.000%)

ARP: 0 (0.000%)

EAPOL: 0 (0.000%)

ETHLOOP: 0 (0.000%)

IPX: 0 (0.000%)

OTHER: 0 (0.000%)

DISCARD: 0 (0.000%)

InvChkSum: 6 (54.545%)

S5 G 1: 0 (0.000%)

S5 G 2: 0 (0.000%)

Total: 11

===============================================================================

Action Stats:

ALERTS: 0

LOGGED: 0

PASSED: 0

===============================================================================

Frag3 statistics:

Total Fragments: 0

Frags Reassembled: 0

Discards: 0

Memory Faults: 0

Timeouts: 0

Overlaps: 0

Anomalies: 0

Alerts: 0

Drops: 0

FragTrackers Added: 0

FragTrackers Dumped: 0

FragTrackers Auto Freed: 0

Frag Nodes Inserted: 0

Frag Nodes Deleted: 0

===============================================================================

Stream5 statistics:

Total sessions: 2

TCP sessions: 2

UDP sessions: 0

ICMP sessions: 0

TCP Prunes: 0

UDP Prunes: 0

ICMP Prunes: 0

TCP StreamTrackers Created: 2

TCP StreamTrackers Deleted: 2

TCP Timeouts: 0

TCP Overlaps: 0

TCP Segments Queued: 0

TCP Segments Released: 0

TCP Rebuilt Packets: 0

TCP Segments Used: 0

TCP Discards: 1

UDP Sessions Created: 0

UDP Sessions Deleted: 0

UDP Timeouts: 0

UDP Discards: 0

Events: 0

Internal Events: 0

TCP Port Filter

Dropped: 0

Inspected: 0

Tracked: 5

UDP Port Filter

Dropped: 0

Inspected: 0

Tracked: 0

===============================================================================

HTTP Inspect - encodings (Note: stream-reassembled packets included):

POST methods: 0

GET methods: 0

Headers extracted: 0

Header Cookies extracted: 0

Post parameters extracted: 0

Unicode: 0

Double unicode: 0

Non-ASCII representable: 0

Base 36: 0

Directory traversals: 0

Extra slashes ("//"): 0

Self-referencing paths ("./"): 0

Total packets processed: 1

===============================================================================

dcerpc2 Preprocessor Statistics

Total sessions: 0

===============================================================================

Snort exiting

*****************************************************************************************************end copy.

虽然以上没有检测出问题，也没有给出alert，但是它大概描述了snort在NIDS模式下的工作流程：

1）初始化：将所有规则导入snort内存，统计规则过滤对象。

2）开始检测

设置报警模式：由于还没有构造攻击源，暂时检测不出问题，也产生不了alert，这步没有进行实验】

【copy from mannal】

**************************************

在NIDS模式下，有很多的方式来配置snort的输出。在默认情况下，snort以ASCII格式记录日志，使用full报警机制。如果使用full报警机制，snort会在包头之后打印报警消息。如果你不需

要日志包，可以使用-N选项。

snort有6种报警机制：full、fast、socket、syslog、smb(winpopup)和none。其中有4个可以在命令行状态下使用-A选项设置。这4个是：

-A fast：报警信息包括：一个时间戳(timestamp)、报警消息、源/目的IP地址和端口。
-A full：是默认的报警模式。
-A unsock：把报警发送到一个UNIX套接字，需要有一个程序进行监听，这样可以实现实时报警。
-A none：关闭报警机制。

使用-s选项可以使snort把报警消息发送到syslog，默认的设备是LOG_AUTHPRIV和LOG_ALERT。可以修改snort.conf文件修改其配置。

snort还可以使用SMB报警机制，通过SAMBA把报警消息发送到Windows主机。为了使用这个报警机制，在运行./configure脚本时，必须使用--enable-smbalerts选项。
下面是一些输出配置的例子：

使用默认的日志方式(以解码的ASCII格式)并且把报警发给syslog：

./snort -c snort.conf -l ./log -s -h 192.168.1.0/24

使用二进制日志格式和SMB报警机制：　　

./snort -c snort.conf -b -M WORKSTATIONS

****************************************

今天收工，明天研究snort规则获取和编写。

你可能感兴趣的:(snort,Linux)

android系统selinux中添加新属性property 辉色投像
1.定位/android/system/sepolicy/private/property_contexts声明属性开头：persist.charge声明属性类型：u:object_r:system_prop:s0图12.定位到android/system/sepolicy/public/domain.te删除neverallow{domain-init}default_prop:property
Linux下QT开发的动态库界面弹出操作（SDL2） 13jjyao QT类 qt 开发语言 sdl2 linux
需求：操作系统为linux，开发框架为qt，做成需带界面的qt动态库，调用方为java等非qt程序难点：调用方为java等非qt程序，也就是说调用方肯定不带QApplication::exec()，缺少了这个，QTimer等事件和QT创建的窗口将不能弹出(包括opencv也是不能弹出)；这与qt调用本身qt库是有本质的区别的思路：1.调用方缺QApplication::exec()，那么我们在接口
linux sdl windows.h,Windows下的SDL安装奔跑吧linux内核 linux sdl windows.h
首先你要下载并安装SDL开发包。如果装在C盘下，路径为C:\SDL1.2.5如果在WINDOWS下。你可以按以下步骤：1.打开VC++，点击"Tools",Options2,点击directories选项3.选择"Includefiles"增加一个新的路径。"C:\SDL1.2.5\include"4，现在选择"Libaryfiles“增加"C:\SDL1.2.5\lib"现在你可以开始编写你的第
linux中sdl的使用教程,sdl使用入门 Melissa Corvinus linux中sdl的使用教程
本文通过一个简单示例讲解SDL的基本使用流程。示例中展示一个窗口，窗口里面有个随机颜色快随机移动。当我们鼠标点击关闭按钮时间窗口关闭。基本步骤如下：1.初始化SDL并创建一个窗口。SDL_Init()初始化SDL_CreateWindow()创建窗口2.纹理渲染存储RGB和存储纹理的区别：比如一个从左到右由红色渐变到蓝色的矩形，用存储RGB的话就需要把矩形中每个点的具体颜色值存储下来；而纹理只是一
PHP环境搭建详细教程好看资源平台前端 php
PHP是一个流行的服务器端脚本语言，广泛用于Web开发。为了使PHP能够在本地或服务器上运行，我们需要搭建一个合适的PHP环境。本教程将结合最新资料，介绍在不同操作系统上搭建PHP开发环境的多种方法，包括Windows、macOS和Linux系统的安装步骤，以及本地和Docker环境的配置。1.PHP环境搭建概述PHP环境的搭建主要分为以下几类：集成开发环境：例如XAMPP、WAMP、MAMP，这
使用 FinalShell 进行远程连接（ssh 远程连接 Linux 服务器）编程经验分享开发工具服务器 ssh linux
目录前言基本使用教程新建远程连接连接主机自定义命令路由追踪前言后端开发，必然需要和服务器打交道，部署应用，排查问题，查看运行日志等等。一般服务器都是集中部署在机房中，也有一些直接是云服务器，总而言之，程序员不可能直接和服务器直接操作，一般都是通过ssh连接来登录服务器。刚接触远程连接时，使用的是XSHELL来远程连接服务器，连接上就能够操作远程服务器了，但是仅用XSHELL并没有上传下载文件的功能
libyuv之linux编译 jaronho Linux linux 运维服务器
文章目录一、下载源码二、编译源码三、注意事项1、银河麒麟系统（aarch64）（1）解决armv8-a+dotprod+i8mm指令集支持问题（2）解决armv9-a+sve2指令集支持问题一、下载源码到GitHub网站下载https://github.com/lemenkov/libyuv源码，或者用直接用git克隆到本地，如：gitclonehttps://github.com/lemenko
ARM驱动学习之5 LEDS驱动 JT灬新一嵌入式 C 底层 arm开发学习单片机
ARM驱动学习之5LEDS驱动知识点：•linuxGPIO申请函数和赋值函数–gpio_request–gpio_set_value•三星平台配置GPIO函数–s3c_gpio_cfgpin•GPIO配置输出模式的宏变量–S3C_GPIO_OUTPUT注意点：DRIVER_NAME和DEVICE_NAME匹配。实现步骤：1.加入需要的头文件：//Linux平台的gpio头文件#include//三
【华为OD技术面试真题精选 - 非技术题】 -HR面，综合面_华为od hr面一个射手座的程序媛程序员华为od 面试职场和发展
最后的话最近很多小伙伴找我要Linux学习资料，于是我翻箱倒柜，整理了一些优质资源，涵盖视频、电子书、PPT等共享给大家！资料预览给大家整理的视频资料：给大家整理的电子书资料：如果本文对你有帮助，欢迎点赞、收藏、转发给朋友，让我有持续创作的动力！网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。需要这份系统化的资料的朋友，可以点击这里获
简介Shell、zsh、bash zhaosuningsn Shell zsh bash shell linux bash
Shell是Linux和Unix的外壳，类似衣服，负责外界与Linux和Unix内核的交互联系。例如接收终端用户及各种应用程序的命令，把接收的命令翻译成内核能理解的语言，传递给内核，并把内核处理接收的命令的结果返回给外界，即Shell是外界和内核沟通的桥梁或大门。Linux和Unix提供了多种Shell，其中有种bash，当然还有其他好多种。Mac电脑中不但有bash，还有一个zsh，预装的，据说
Linux MariaDB使用OpenSSL安装SSL证书 Meta39 MySQL Oracle MariaDB Linux Windows ssl linux mariadb
进入到证书存放目录，批量删除.pem证书警告：确保已经进入到证书存放目录find.-typef-iname\*.pem-delete查看是否安装OpenSSLopensslversion没有则安装yuminstallopensslopenssl-devel开启SSL编辑/etc/my.cnf文件（没有的话就创建，但是要注意，在/etc/my.cnf.d/server.cnf配置了datadir的，
【从浅识到熟知Linux】Linux发展史 Jammingpro 从浅学到熟知Linux linux 运维服务器
归属专栏：从浅学到熟知Linux个人主页：Jammingpro每日努力一点点，技术变化看得见文章前言：本篇文章记录Linux发展的历史，因在介绍Linux过程中涉及的其他操作系统及人物，本文对相关内容也有所介绍。文章目录Unix发展史Linux发展史开源Linux官网企业应用情况发行版本在学习Linux前，我们可能都会问Linux从哪里来？它是如何发展的。但在介绍Linux之前，需要先介绍一下Un
linux 发展史种树的猴子内核 java 操作系统 linux 大数据
linux发展史说明此前对linux认识模糊一知半解，近期通过学习将自己对于linux的发展总结一下方便大家日后的学习。那Linux是目前一款非常火热的开源操作系统，可是linux是什么时候出现的，又是因为什么样的原因被开发出来的呢。以下将对linux的发展历程进行详细的讲解。目录一、Linux发展背景二、UINIX的诞生三、UNIX的重要分支-BSD的诞生四、Minix的诞生五、GNU与Free
Linux sh命令 fengyehongWorld Linux linux
目录一.基本语法二.选项2.1-c字符串中读取内容，并执行2.1.1基本用法2.1.2获取当前目录下失效的超链接2.2-x每个命令执行之前，将其打印出来2.3结合Here文档使用一.基本语法⏹Linux和Unix系统中用于执行shell脚本或运行命令的命令。sh[选项][脚本文件][参数...]⏹选项-c：从字符串中读取内容，并执行。-x：在每个命令执行之前，将其打印出来。-s：从标准流中读取内容
Linux vi常用命令 fengyehongWorld Linux linux
参考资料viコマンド（vimコマンド）リファレンス目录一.保存系命令二.删除系命令三.移动系命令四.复制粘贴系命令一.保存系命令⏹保存并退出:wq⏹强制保存并退出:wq!⏹退出(文件未编辑):q⏹强制退出(忽略已编辑内容):q!⏹另存为:w新文件名二.删除系命令⏹删除当前行dd⏹清空整个文档gg：移动到文档顶部dG：删除到最后一行ggdG三.移动系命令⏹移动到文档顶部gg⏹移动到文档底部#方式1G
Linux查看服务器日志 TPBoreas 运维 linux 运维
一、tail这个是我最常用的一种查看方式用法如下：tail-n10test.log查询日志尾部最后10行的日志;tail-n+10test.log查询10行之后的所有日志;tail-fn10test.log循环实时查看最后1000行记录(最常用的)一般还会配合着grep用，(实时抓包)例如:tail-fn1000test.log|grep'关键字'（动态抓包）tail-fn1000test.log
笋丁网页自动回复机器人V3.0.0免授权版源码希希分享软希网58soho_cn 源码资源笋丁网页自动回复机器人
笋丁网页机器人一款可设置自动回复，默认消息，调用自定义api接口的网页机器人。此程序后端语言使用Golang，内存占用最高不超过30MB，1H1G服务器流畅运行。仅支持Linux服务器部署，不支持虚拟主机，请悉知！使用自定义api功能需要有一定的建站基础。源码下载：https://download.csdn.net/download/m0_66047725/89754250更多资源下载：关注我。安
Linux CTF逆向入门蚁景网络安全 linux 运维 CTF
1.ELF格式我们先来看看ELF文件头，如果想详细了解，可以查看ELF的manpage文档。关于ELF更详细的说明：e_shoff：节头表的文件偏移量（字节）。如果文件没有节头表，则此成员值为零。sh_offset：表示了该section（节）离开文件头部位置的距离+-------------------+|ELFheader|---++--------->+-------------------
NPM私库搭建-verdaccio（Linux） Beam007 npm linux 前端
1、安装nodelinux服务器安装nodea)、官网下载所需的node版本https://nodejs.org/dist/v14.21.0/b)、解压安装包若下载的是xxx.tar.xz文件，解压命令为tar-xvfxxx.tar.xzc)、修改环境变量修改：/etc/profile文件#SETPATHFORNODEJSexportNODE_HOME=NODEJS解压安装的路径exportPAT
C++常见知识掌握 nfgo c++开发语言
1.Linux软件开发、调试与维护内核与系统结构Linux内核是操作系统的核心，负责管理硬件资源，提供系统服务，它是系统软件与硬件之间的桥梁。主要组成部分包括：进程管理：内核通过调度器分配CPU时间给各个进程，实现进程的创建、调度、终止等操作。使用进程描述符（task_struct）来存储进程信息，包括状态（就绪、运行、阻塞等）、优先级、内存映射等。内存管理：包括物理内存和虚拟内存管理。通过页表映
linux脚本sed替换变量,sed 命令中替换值为shell变量诺坎普之约 linux脚本sed替换变量
文章目录sed命令中替换值为shell变量替换基本语法sed中替换使用shell变量总结参考文档sed命令中替换值为shell变量替换基本语法大家都是sed有很多用法，最多就应该是替换一些值了。让我们先回忆sed的替换语法。在sed进行替换的时候sed-i's/old/new/g'1.txtecho"hellooldfrank"|sed's/old/new/g'结果如下：hellonewfrank
RK3229_Android9.0_Box 4G模块EC200A调试 suifen_ 网络
0、kernel修改这部分完全可以参考Linux的移植：RK3588EC200A-CN【4G模块】调试_rkec200a-cn-CSDN博客1、修改device/rockchip/rk322xdiff--gita/device.mkb/device.mkindexec6bfaa..e7c32d1100755---a/device.mk+++b/device.mk@@-105,6+105,8@@en
linux 安装Sublime Text 3 hhyiyuanyu Python学习 linux sublime text
方法/步骤打开官网http://www.sublimetext.com/3，选择64位进行下载执行命令wgethttps://download.sublimetext.com/sublime_text_3_build_3126_x64.tar.bz2进行下载3、下载完成进行解压,执行tar-xvvfsublime_text_3_build_3126_x64.tar.bz解压4、解压完成以后，移动到
KVM虚拟机源代码分析【转】 xidianjiapei001 #虚拟化技术
1.KVM结构及工作原理1.1KVM结构KVM基本结构有两部分组成。一个是KVMDriver，已经成为Linux内核的一个模块。负责虚拟机的创建，虚拟内存的分配，虚拟CPU寄存器的读写以及虚拟CPU的运行等。另外一个是稍微修改过的Qemu，用于模拟PC硬件的用户空间组件，提供I/O设备模型以及访问外设的途径。KVM基本结构如图1所示。其中KVM加入到标准的Linux内核中，被组织成Linux中标准
史上最全git命令,git回滚,git命令大全騒周其他 git
git命令大全一、Git整体理解二、由暂存区本地仓库三、由本地仓->远程仓库四、冲突处理五、Git分支操作六、bug的分支七、feature分支八、暂存的使用九、远程仓的操作十、标签的使用十一、Git配置全局信息十二、Linux的一些简单操作和一些符号的解释十三、符号解释十四、显示安装详细信息十五、gitconfig十六、Gitclone十七、Gitinit十八、gitstatus十九、gitre
【显示后台运行 & 的命令】晨春计 debug linux 服务器运维
目录背景步骤详解示例背景当你在Linuxshell中使用&符号将一个命令放到后台运行时，你可以使用jobs命令来查看这些后台进程的状态。但是，jobs命令并不会直接显示进程的PID（进程ID）。它会显示一个作业列表，其中包括每个作业的状态和一个作业标识符（通常是百分号%后面跟着一个数字），但不会直接显示PID。获取后台进程的PID步骤：1、使用jobs命令查看后台作业。2、使用ps命令配合grep
Android shell 常用 debug 命令晨春计 Audio debug android linux
目录1、查看版本2、am命令3、pm命令4、dumpsys命令5、sed命令6、log定位查看APK进程号7、log定位使用场景1、查看版本1.1、Android串口终端执行getpropro.build.version.release#获取Android版本uname-a#查看linux内核版本信息uname-r#单独查看内核版本1.2、linux服务器执行lsb_release-a#查看Lin
【nginx】ngx_http_proxy_connect_module 正向代理等风来不如迎风去网络服务入门与实战 nginx http 运维
50.65无法访问服务器，(403错误)50.196可以访问服务器。那么，配置65通过196访问。需要一个nginx作为代理【nginx】搭配okhttp配置反向代理发送原生的nginx是不支持okhttp的CONNECT请求的。大神竟然给出了一个java工程GINX编译ngx_http_proxy_connect_module及做正向代理是linux构建的。是windows构建的：编译Windo
linux下好用的任务管理器htop WittXie Linux linux 服务器运维
给大家推荐个好用的任务管理器htop，简直好用的不得了。完虐top。不解释了，看文章！！！在Linux系统中，top命令用来显示系统中正在运行的进程的实时状态，它显示了一些非常有用的信息，比如CPU利用情况、内存消耗情况，以及每个进程情况等。但是，你知道吗？还有另外一个命令行工具'htop'，它与传统的top命令功能一样，但它有更加强大的功能及能显示更多的信息。这篇文章，我们会用实例来讨论这个'h
Linux下使用U盘 WittXie Linux linux 运维服务器
第一步：插入U盘，如果能够识别出U盘，则会打印出一些信息；第二步：查看U盘系统分配给U盘的设备名；输入如下命令进行查看：fdisk-l/dev/sda如果打印出如下信息：Disk/dev/sda:4233MB,4233101312bytes165heads,34sectors/track,1473cylindersUnits=cylindersof5610*512=2872320bytesDevi
Maven Array_06 eclipse jdk maven
Maven Maven是基于项目对象模型(POM)，信息来管理项目的构建，报告和文档的软件项目管理工具。 Maven 除了以程序构建能力为特色之外，还提供高级项目管理工具。由于 Maven 的缺省构建规则有较高的可重用性，所以常常用两三行 Maven 构建脚本就可以构建简单的项目。由于 Maven 的面向项目的方法，许多 Apache Jakarta 项目发文时使用 Maven，而且公司
ibatis的queyrForList和queryForMap区别 bijian1013 java ibatis
一.说明 iBatis的返回值参数类型也有种：resultMap与resultClass，这两种类型的选择可以用两句话说明之： 1.当结果集列名和类的属性名完全相对应的时候，则可直接用resultClass直接指定查询结果类
LeetCode[位运算] - #191 计算汉明权重 Cwind java 位运算 LeetCode Algorithm 题解
原题链接：#191 Number of 1 Bits 要求：写一个函数，以一个无符号整数为参数，返回其汉明权重。例如，‘11’的二进制表示为'00000000000000000000000000001011', 故函数应当返回3。汉明权重：指一个字符串中非零字符的个数；对于二进制串，即其中‘1’的个数。难度：简单分析：将十进制参数转换为二进制，然后计算其中1的个数即可。 “
浅谈java类与对象 15700786134 java
java是一门面向对象的编程语言，类与对象是其最基本的概念。所谓对象，就是一个个具体的物体，一个人，一台电脑，都是对象。而类，就是对象的一种抽象，是多个对象具有的共性的一种集合，其中包含了属性与方法，就是属于该类的对象所具有的共性。当一个类创建了对象，这个对象就拥有了该类全部的属性，方法。相比于结构化的编程思路，面向对象更适用于人的思维
linux下双网卡同一个IP 被触发 linux
转自： http://q2482696735.blog.163.com/blog/static/250606077201569029441/ 由于需要一台机器有两个网卡，开始时设置在同一个网段的IP，发现数据总是从一个网卡发出，而另一个网卡上没有数据流动。网上找了下，发现相同的问题不少：一、关于双网卡设置同一网段IP然后连接交换机的时候出现的奇怪现象。当时没有怎么思考、以为是生成树
安卓按主页键隐藏程序之后无法再次打开肆无忌惮_ 安卓
遇到一个奇怪的问题，当SplashActivity跳转到MainActivity之后，按主页键，再去打开程序，程序没法再打开（闪一下），结束任务再开也是这样，只能卸载了再重装。而且每次在Log里都打印了这句话"进入主程序"。后来发现是必须跳转之后再finish掉SplashActivity 本来代码： // 销毁这个Activity fin
通过cookie保存并读取用户登录信息实例知了ing JavaScript html
通过cookie的getCookies()方法可获取所有cookie对象的集合；通过getName()方法可以获取指定的名称的cookie；通过getValue()方法获取到cookie对象的值。另外，将一个cookie对象发送到客户端，使用response对象的addCookie()方法。下面通过cookie保存并读取用户登录信息的例子加深一下理解。（1）创建index.jsp文件。在改
JAVA 对象池矮蛋蛋 java ObjectPool
原文地址： http://www.blogjava.net/baoyaer/articles/218460.html Jakarta对象池 ☆为什么使用对象池恰当地使用对象池化技术，可以有效地减少对象生成和初始化时的消耗，提高系统的运行效率。Jakarta Commons Pool组件提供了一整套用于实现对象池化
ArrayList根据条件+for循环批量删除的方法 alleni123 java
场景如下： ArrayList<Obj> list Obj-> createTime, sid. 现在要根据obj的createTime来进行定期清理。（释放内存） ------------------------- 首先想到的方法就是 for(Obj o:list){ if(o.createTime-currentT>xxx){
阿里巴巴“耕地宝”大战各种宝百合不是茶平台战略
“耕地保”平台是阿里巴巴和安徽农民共同推出的一个 “首个互联网定制私人农场”，“耕地宝”由阿里巴巴投入一亿，主要是用来进行农业方面，将农民手中的散地集中起来不仅加大农民集体在土地上面的话语权，还增加了土地的流通与利用率，提高了土地的产量，有利于大规模的产业化的高科技农业的发展，阿里在农业上的探索将会引起新一轮的产业调整，但是集体化之后农民的个体的话语权将更少，国家应出台相应的法律法规保护
Spring注入有继承关系的类（1） bijian1013 java spring
一个类一个类的注入 1.AClass类 package com.bijian.spring.test2; public class AClass { String a; String b; public String getA() { return a; } public void setA(Strin
30岁转型期你能否成为成功人士 bijian1013 成功
很多人由于年轻时走了弯路，到了30岁一事无成，这样的例子大有人在。但同样也有一些人，整个职业生涯都发展得很优秀，到了30岁已经成为职场的精英阶层。由于做猎头的原因，我们接触很多30岁左右的经理人，发现他们在职业发展道路上往往有很多致命的问题。在30岁之前，他们的职业生涯表现很优秀，但从30岁到40岁这一段，很多人
[Velocity三]基于Servlet+Velocity的web应用 bit1129 velocity
什么是VelocityViewServlet 使用org.apache.velocity.tools.view.VelocityViewServlet可以将Velocity集成到基于Servlet的web应用中，以Servlet+Velocity的方式实现web应用 Servlet + Velocity的一般步骤 1.自定义Servlet，实现VelocityViewServl
【Kafka十二】关于Kafka是一个Commit Log Service bit1129 service
Kafka is a distributed, partitioned, replicated commit log service.这里的commit log如何理解？ A message is considered "committed" when all in sync replicas for that partition have applied i
NGINX + LUA实现复杂的控制 ronin47 lua nginx 控制
安装lua_nginx_module 模块 lua_nginx_module 可以一步步的安装，也可以直接用淘宝的OpenResty Centos和debian的安装就简单了。。这里说下freebsd的安装： fetch http://www.lua.org/ftp/lua-5.1.4.tar.gz tar zxvf lua-5.1.4.tar.gz cd lua-5.1.4 ma
java-14.输入一个已经按升序排序过的数组和一个数字，在数组中查找两个数，使得它们的和正好是输入的那个数字 bylijinnan java
public class TwoElementEqualSum { /** * 第 14 题：题目：输入一个已经按升序排序过的数组和一个数字，在数组中查找两个数，使得它们的和正好是输入的那个数字。要求时间复杂度是 O(n) 。如果有多对数字的和等于输入的数字，输出任意一对即可。例如输入数组 1 、 2 、 4 、 7 、 11 、 15 和数字 15 。由于
Netty源码学习-HttpChunkAggregator-HttpRequestEncoder-HttpResponseDecoder bylijinnan java netty
今天看Netty如何实现一个Http Server org.jboss.netty.example.http.file.HttpStaticFileServerPipelineFactory： pipeline.addLast("decoder", new HttpRequestDecoder()); pipeline.addLast(&quo
java敏感词过虑-基于多叉树原理 cngolon 违禁词过虑替换违禁词敏感词过虑多叉树
基于多叉树的敏感词、关键词过滤的工具包，用于java中的敏感词过滤 1、工具包自带敏感词词库，第一次调用时读入词库，故第一次调用时间可能较长，在类加载后普通pc机上html过滤5000字在80毫秒左右，纯文本35毫秒左右。 2、如需自定义词库，将jar包考入WEB-INF工程的lib目录，在WEB-INF/classes目录下建一个 utf-8的words.dict文本文件，
多线程知识 cuishikuan 多线程
T1，T2，T3三个线程工作顺序，按照T1，T2，T3依次进行 public class T1 implements Runnable{ @Override
spring整合activemq dalan_123 java spring jms
整合spring和activemq需要搞清楚如下的东东1、ConnectionFactory分： a、spring管理连接到activemq服务器的管理ConnectionFactory也即是所谓产生到jms服务器的链接 b、真正产生到JMS服务器链接的ConnectionFactory还得
MySQL时间字段究竟使用INT还是DateTime？ dcj3sjt126com mysql
环境：Windows XPPHP Version 5.2.9MySQL Server 5.1 第一步、创建一个表date_test（非定长、int时间） CREATE TABLE `test`.`date_test` (`id` INT NOT NULL AUTO_INCREMENT ,`start_time` INT NOT NULL ,`some_content`
Parcel: unable to marshal value dcj3sjt126com marshal
在两个activity直接传递List<xxInfo>时，出现Parcel: unable to marshal value异常。在MainActivity页面（MainActivity页面向NextActivity页面传递一个List<xxInfo>）： Intent intent = new Intent(this, Next
linux进程的查看上（ps） eksliang linux ps linux ps -l linux ps aux
ps:将某个时间点的进程运行情况选取下来转载请出自出处：http://eksliang.iteye.com/admin/blogs/2119469 http://eksliang.iteye.com ps 这个命令的man page 不是很好查阅，因为很多不同的Unix都使用这儿ps来查阅进程的状态，为了要符合不同版本的需求，所以这个
为什么第三方应用能早于System的app启动 gqdy365 System
Android应用的启动顺序网上有一大堆资料可以查阅了，这里就不细述了，这里不阐述ROM启动还有bootloader，软件启动的大致流程应该是启动kernel -> 运行servicemanager 把一些native的服务用命令启动起来（包括wifi, power, rild, surfaceflinger, mediaserver等等）-> 启动Dalivk中的第一个进程Zygot
App Framework发送JSONP请求(3) hw1287789687 jsonp 跨域请求发送jsonp ajax请求越狱请求
App Framework 中如何发送JSONP请求呢? 使用jsonp,详情请参考:http://json-p.org/ 如何发送Ajax请求呢? (1)登录 /*** * 会员登录 * @param username * @param password */ var user_login=function(username,password){ // aler
发福利，整理了一份关于“资源汇总”的汇总 justjavac 资源
觉得有用的话，可以去github关注：https://github.com/justjavac/awesome-awesomeness-zh_CN 通用 free-programming-books-zh_CN 免费的计算机编程类中文书籍精彩博客集合 hacke2/hacke2.github.io#2 ResumeSample 程序员简历
用 Java 技术创建 RESTful Web 服务 macroli java 编程 Web REST
转载：http://www.ibm.com/developerworks/cn/web/wa-jaxrs/ JAX-RS (JSR-311) 【 Java API for RESTful Web Services 】是一种 Java™ API，可使 Java Restful 服务的开发变得迅速而轻松。这个 API 提供了一种基于注释的模型来描述分布式资源。注释被用来提供资源的位
CentOS6.5-x86_64位下oracle11g的安装详细步骤及注意事项超声波 oracle linux
前言：这两天项目要上线了，由我负责往服务器部署整个项目，因此首先要往服务器安装oracle，服务器本身是CentOS6.5的64位系统，安装的数据库版本是11g，在整个的安装过程中碰到很多的坑，不过最后还是通过各种途径解决并成功装上了。转别写篇博客来记录完整的安装过程以及在整个过程中的注意事项。希望对以后那些刚刚接触的菜鸟们能起到一定的帮助作用。安装过程中可能遇到的问题（注
HttpClient 4.3 设置keeplive 和 timeout 的方法 supben httpclient
ConnectionKeepAliveStrategy kaStrategy = new DefaultConnectionKeepAliveStrategy() { @Override public long getKeepAliveDuration(HttpResponse response, HttpContext context) { long keepAlive
Spring 4.2新特性-@Import注解的升级 wiselyman spring 4
3.1 @Import @Import注解在4.2之前只支持导入配置类在4.2,@Import注解支持导入普通的java类,并将其声明成一个bean 3.2 示例演示java类 package com.wisely.spring4_2.imp; public class DemoService { public void doSomethin