guoguangwu
guoguangwu

snort源码分析之规则结构分析(二)

上篇对照snort的规则简单介绍了一下那些规则字段

接下来看一下规则头和规则选项的数据结构


/* 规则头匹配函数链表*/
typedef struct _RuleFpList
{
    /* context data for this test */
    /* 目前规则头没有使用 */
    void *context;

    /* rule check function pointer */
    /* 规则头匹配的函数类型指针,参数:数据包,规则头对象, 下一个需要匹配的对象:这样就可以在函数内部进行遍历链表实现整个规则头的匹配, 标志*/
    int (*RuleHeadFunc)(Packet *, struct _RuleTreeNode *, struct _RuleFpList *, int);

    /* pointer to the next rule function node */
    struct _RuleFpList *next;
} RuleFpList;

/*
 * 规则头
 */
typedef struct _RuleTreeNode
{
    /*规则头的匹配函数 是一个单链表*/
    RuleFpList *rule_func; /* match functions.. (Bidirectional etc.. ) */

    /* 规则头计数,会去重*/
    int head_node_number;

    /* 规则类型  比如上一篇的举例:RULE_TYPE__ALERT*/
    RuleType type;

    /* 规则头中的 源IP组*/
    IpAddrSet *sip;
    /* 目的IP组*/
    IpAddrSet *dip;

    /* 协议类型  : tcp udp */
    int proto;

    /* 源端口组*/
    PortObject * src_portobject;
    /* 目的端口则*/
    PortObject * dst_portobject;

    /* 标记 : 数据包方向, 端口类型:any等等*/
    uint32_t flags;     /* control flags */

    /* stuff for dynamic rules activation/deactivation */
    /* 与 Dynamic规则一起使用*/
    int active_flag;
    int activation_counter;
    int countdown;
    ActivateListNode *activate_list;

#if 0
    struct _RuleTreeNode *right;  /* ptr to the next RTN in the list */

    /** list of rule options to associate with this rule node */
    OptTreeNode *down;   
#endif

    /**points to global parent RTN list (Drop/Alert) which contains this 
     * RTN.
     */
    /*该规则所属某一类的规则头链表头 alert*/
    struct _ListHead *listhead;

    /**reference count from otn. Multiple OTNs can reference this RTN with the same
     * policy.
     */
    /* 规则选项的引用计数, 多个规则选项从属于一个规则头的情况非常多*/
    unsigned int otnRefCount;

} RuleTreeNode;


/* 规则链表头 */
typedef struct _ListHead
{
    struct _OutputFuncNode *LogList;
    struct _OutputFuncNode *AlertList;
    struct _RuleListNode *ruleListNode;
} ListHead;

/* 规则链表, 将各类规则链表头ListHead链成一个链表, 方便检测规则是否合法,比如name="snort", 没有这类动作的规则,程序报错*/
typedef struct _RuleListNode
{
    ListHead *RuleList;         /* The rule list associated with this node */
    RuleType mode;              /* the rule mode */
    int rval;                   /* 0 == no detection, 1 == detection event */
    int evalIndex;              /* eval index for this rule set */
    char *name;                 /* name of this rule list (for debugging)  */
    struct _RuleListNode *next; /* the next RuleListNode */
} RuleListNode;

前面提到规则头是存在很多冗余的,接下来分析snort是如何去重的。

snort在解析规则头的时候,在ProcessHeadNode函数中,调用findHeadNode进行查询之前是否存在一样的规则头,

如果存在rtn->otnRefCount++, 增加引用计数,否则创建新的规则头对象,设置各类匹配回调函数。

以源码的形式进行分析规则头的解析流程

static void ParseRule(SnortConfig *sc, SnortPolicy *p, char *args,
                      RuleType rule_type, ListHead *list)
{
...
    /* 如果没有规则头, 使用默认规则头, tcp any any -> any any*/
    if (*args == '(')
    {
        test_rtn.flags |= ANY_DST_PORT;
        test_rtn.flags |= ANY_SRC_PORT;
        test_rtn.flags |= ANY_DST_IP;
        test_rtn.flags |= ANY_SRC_IP;
        test_rtn.flags |= BIDIRECTIONAL;
        test_rtn.type = rule_type;
        protocol = IPPROTO_TCP;

        roptions = args;

        DEBUG_WRAP(DebugMessage(DEBUG_CONFIGRULES, "Preprocessor Rule detected\n"););
    }    else
    {
        /* proto ip port dir ip port r*/
        /* 调用工具函数 mpspit进行切分读取的规则内容, 规则头以空格或者'\t'分隔,所以传入" \t",规则头有7项,但是没有了动作例如alert,所以规则头剩余6项,顺带切分规则选项,所以传入7, num_toks返回实际切分的个数, 最后一个参数为转义字符, 有的规则很长,使用'\\'进行换行*/
        toks = mSplit(args, " \t", 7, &num_toks, '\\');

        /* A rule might not have rule options */
        if (num_toks < 6)
        {
            ParseError("Bad rule in rules file: %s", args);
        }
        /* 正常处理, toks[6]:规则选项*/
        if (num_toks == 7)
            roptions = toks[6];

        /* 规则动作进入函数前就已经解析了*/
        test_rtn.type = rule_type;

       ...

        /* Set the rule protocol - fatal errors if protocol not found */
        /* 前一篇的实例:alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS */
        /* 第一项 规则协议 */
        protocol = GetRuleProtocol(toks[0]);
        test_rtn.proto = protocol;
        ...
        /* 解析源IP组, 会从snort_config对象中的targeted_policies策略对象中的ip_vartable链表中获取$HOME_NET的值*/
        ProcessIP(sc, toks[1], &test_rtn, SRC, 0);
        ...
        /*解析源IP组, 会从snort_config对象中的targeted_policies策略对象中的portVarTable中的哈希表中查找 PortObject对象*/
        if (ParsePortList(&test_rtn, portVarTable, nonamePortVarTable,
                          toks[2], protocol, 0 /* =src port */ ))
        {
            ParseError("Bad source port: '%s'", toks[2]);
        }

        /* 规则头的数据包方向解析,先判定格式*/
        if ((strcmp(toks[3], RULE_DIR_OPT__DIRECTIONAL) != 0) &&
            (strcmp(toks[3], RULE_DIR_OPT__BIDIRECTIONAL) != 0))
        {
            ParseError("Illegal direction specifier: %s", toks[3]);
        }

        /* New in version 1.3: support for bidirectional rules
         * This checks the rule "direction" token and sets the bidirectional
         * flag if the token = '<>' */
        /* 默认"->", 否则 "<>"*/
        if (strcmp(toks[3], RULE_DIR_OPT__BIDIRECTIONAL) == 0)
        {
            DEBUG_WRAP(DebugMessage(DEBUG_CONFIGRULES,"Bidirectional rule!\n"););
            test_rtn.flags |= BIDIRECTIONAL;
        }
        ...
       /* 设置规则头所属的规则动作的链表头*/
       test_rtn.listhead = list;
       /* 内部会查询是否已经存在该规则头和设置规则头的匹配回调函数*/
       rtn = ProcessHeadNode(sc, &test_rtn, list);

    ...

    }
}

 

规则头回调函数源码分析

static RuleTreeNode * ProcessHeadNode(SnortConfig *sc, RuleTreeNode *test_node,
                                      ListHead *list)
{
    /* 查找是否存在冗余*/
    RuleTreeNode *rtn = findHeadNode(sc, test_node, getParserPolicy(sc));
    /* 不存在, 直接创建,并且深拷贝*/
    if (rtn == NULL)
    {
        DEBUG_WRAP(DebugMessage(DEBUG_CONFIGRULES,"Building New Chain head node\n"););

        rtn = (RuleTreeNode *)SnortAlloc(sizeof(RuleTreeNode));

        rtn->otnRefCount++;

        /* copy the prototype header info into the new header block */
        XferHeader(test_node, rtn);

        head_count++;
        rtn->head_node_number = head_count;

        /* initialize the function list for the new RTN */
        /* 设置各类回调函数*/
        SetupRTNFuncList(rtn);

        /* add link to parent listhead */
        rtn->listhead = list;
...
    }
    else
    {
        /*存在增加引用计数*/
        rtn->otnRefCount++;
        FreeRuleTreeNode(test_node);
    }

    return rtn;
}

 

static void SetupRTNFuncList(RuleTreeNode * rtn)
{
    /* 如果规则头都是双向的, 直接设置回调函数CheckBidirectional*/
    if(rtn->flags & BIDIRECTIONAL)
    {
        DEBUG_WRAP(DebugMessage(DEBUG_CONFIGRULES,"CheckBidirectional->\n"););
        AddRuleFuncToList(CheckBidirectional, rtn);
    }
    /* 根据规则选项逐个设置回调函数*/
    else
    {
        
        /* Attach the proper port checking function to the function list */
        /*
         * the in-line "if's" check to see if the "any" or "not" flags have
         * been set so the PortToFunc call can determine which port testing
         * function to attach to the list
         */
        PortToFunc(rtn, (rtn->flags & ANY_DST_PORT ? 1 : 0),
                   (rtn->flags & EXCEPT_DST_PORT ? 1 : 0), DST);

        /* as above */
        PortToFunc(rtn, (rtn->flags & ANY_SRC_PORT ? 1 : 0),
                   (rtn->flags & EXCEPT_SRC_PORT ? 1 : 0), SRC);

        /* link in the proper IP address detection function */
        AddrToFunc(rtn, SRC);

        /* last verse, same as the first (but for dest IP) ;) */
        AddrToFunc(rtn, DST);
    }

    /* tack the end (success) function to the list */
    /* snort中采用链式方式管理回调函数, 每个函数只有返回为1才可能成功, 所以在链表尾部设置一个成功的结束函数让规则匹配结束, 设计巧妙*/
    AddRuleFuncToList(RuleListEnd, rtn);
}

/* 该结束函数啥都没做 直接返回1, 检测规则头是否匹配成功,直接判定返回值是否为1就ok了 */
int RuleListEnd(Packet *p, struct _RuleTreeNode *rtn_idx,
        RuleFpList *fp_list, int check_ports)
{
    return 1;
}

/* 将rfunc匹配回调函数insert到链表尾部*/
void AddRuleFuncToList(int (*rfunc) (Packet *, struct _RuleTreeNode *, struct _RuleFpList *, int), RuleTreeNode * rtn)
{
    RuleFpList *idx;

    DEBUG_WRAP(DebugMessage(DEBUG_CONFIGRULES,"Adding new rule to list\n"););

    idx = rtn->rule_func;
    if(idx == NULL)
    {
        rtn->rule_func = (RuleFpList *)SnortAlloc(sizeof(RuleFpList));

        rtn->rule_func->RuleHeadFunc = rfunc;
    }
    else
    {
        while(idx->next != NULL)
            idx = idx->next;

        idx->next = (RuleFpList *)SnortAlloc(sizeof(RuleFpList));
        idx = idx->next;
        idx->RuleHeadFunc = rfunc;
    }
}

 

规则头解析的源码剖析就到这里分析完了。

看一眼如何调用回调函数进行匹配的

/*
 *规则头检测函数
 * rtn : 规则头
 * p : 数据包
 * check_ports : 检测标志 
 */
int fpEvalRTN(RuleTreeNode *rtn, Packet *p, int check_ports)
{

...
    /* 判定返回值是否1, 不为1 失败*/
    if(!rtn->rule_func->RuleHeadFunc(p, rtn, rtn->rule_func, check_ports))
    {
        DEBUG_WRAP(DebugMessage(DEBUG_DETECT,
                    "   => Header check failed, checking next node\n"););
        DEBUG_WRAP(DebugMessage(DEBUG_DETECT,
                    "   => returned from next node check\n"););
        PREPROC_PROFILE_END(ruleRTNEvalPerfStats);
        return 0;
    }

...
    /* 成功返回1*/
    return 1;

}

 

你可能感兴趣的:(snort)

  • 【网络攻防实验】【北京航空航天大学】【实验一、入侵检测系统(Intrusion Detection System, IDS)实验】 不是AI 网络技术Linux网络
    实验一、入侵检测系统实验1、虚拟机准备本次实验使用1台KaliLinux虚拟机和1台WindowsXP虚拟机,虚拟化平台选择OracleVMVirtualBox,如下图所示。2、Snort环境搭建实验前,先确保KaliLinux虚拟机能够访问外网,将网络模式设置为“网络地址转换”:2.1安装数据采集模块(1)安装依赖项:命令:sudoaptupdate命令执行结果:命令:sudoaptinstal
  • arm 平台安装snort3 小明爱IT arm开发网络
    本文来自原创,转载请说明来源。谢谢配合。选择初衷最近在学习渗透相关课程,回想起曾经拥有自己的域名和服务器的经历。不幸的是,服务器被注入了木马文件,起初并没有察觉。直到我加入了定时任务,才发现了这个问题。当时我下定决心要打造一个安全的网站,以保护自己的网站免受渗透的威胁。我在抖音上了解到了雷池,然而我尝试运行雷池时发现它需要在支持ssse3指令集的CPU上运行,而我的aarch64系列CPU并不支持
  • Cisco FirePower FTD的一些操作命令 funnycoffee123 Ciscofirepowerciscofirepower
    CiscoFirepowerFTD的命令,其实和ASA几乎一样。FTD上跑了2个逻辑上的模块LInaSnortLina就是传统的ASA,执行4层检查,Snort就是IPS,带7层检测功能FTD上的show的命令和ASA几乎一样下面来几个查看接口showintipbrief查看nameifshownameif查看FailovershowFailover查看ACLshowrunaccess-lists
  • 【网络安全实验】snort实现高级IDS 轻闲一号机 网络安全实验web安全网络安全snort
    注:本实验分别使用kali和CentOS6.8进行测试,可惜的是使用kali进行实验过程中遇到了困难,未能完成完整实验,而使用CentOS6.8成功完成了完整实验。实验中用到的软件:https://download.csdn.net/download/weixin_52553215/88800055【实验目的】了解IDS基本原理;掌握snort实现高级IDS;【实验内容】1、实验环境:kali2、
  • CVE-2024-23897复现及IDS中snort防御规则制定 2077-hacker servletweb安全安全网络安全安全威胁分析网络攻击模型计算机网络
    CVE-2024-23897原理大致分析CVE-2024-23897是一个涉及Jenkins未授权文件读取的漏洞。它利用了Jenkins命令行接口(CLI)的特性,其中CLI使用args4j库解析命令行参数。args4j库具有一个特点,即当命令行参数以@字符开头时,该参数会被视为文件路径,并将该文件内容读取作为参数。利用这一特性,攻击者可以通过JenkinsCLI读取Jenkins服务器上的任意文
  • 【云计算学习教程】与云计算相关的开源软件有哪些? 小熊coder 云计算云计算服务器运维
    文章目录1)OpenSSH2)Netfilter/Iptables3)Snort4)Postfix5)Squid6)Zabbix7)Odoo商业化的云计算组件有哪些?ⅤMware1.虚拟化平台2.管理工具3.交付部分Citrix1)DeliveryController(交付控制器)2)StoreFront(存储前端)3)Director4)Studio1.虚拟化平台2.管理工具3.交付部分Micr
  • 快速安装可视化IDS系统Security Onion 「已注销」 数据库运维操作系统
    快速安装可视化IDS系统SecurityOnion背景:网上有不少关于snort+barnyard2+base搭建IDS的文章,可是当你花费数天时间,还是无法完全安装完成时,及时当你安装完成发现不是你想要的平台式,时间成本如何计算?为了节约时间,本节为大家介绍的软件叫安全洋葱SecurityOnion(本文中简称:SO),它和OSSIM一样,是基于DebianLinux的系统,内部集成了很多开源安
  • 2018.09.16 Mr_Oldman
    It'sSunday.Pamutteredtohimself:Tenderfeet!Everythingtheyown,andnodogtowatchit.Didn'tkeepwatchhimself.Andtiedhishorseswithropes.Pasnorted."Tenderfeet!"hesaidagain."Shouldn'tbeallowedloosewestoftheMissi
  • 安全 漏洞扫描 OSSIM wowocpp web_htmlcentos
    安全漏洞扫描OSSIMOSSIMBurpSuiteProfessional:一站式Web应用程序漏洞检测套件(4)硬件选择,可以采用品×××服务器,对于中小企业也可以根据自己需求,以OSSIM4.8系统为例,目前系统对多核性能支持的比较好,推荐采用至强E系列处理器,OSSIM在漏洞扫描、Ossec扫描、Snort事件分析时会消耗大量CPU,所以要尽量选择高性能CPU,尤其是在OSSIMUSM发展到
  • Snort入侵检测系统的体系结构、工作模式、及规则 成谜的李四 snort网络安全
    *Snort入侵检测系统的体系结构、工作模式、及规则*Snort的结构由4大软件模块组成,它们分别是:(1)数据包嗅探模块——负责监听网络数据包,对网络进行分;(2)预处理模块——该模块用相应的插件来检查原始数据包,从中发现原始数据的“行为”,如端口扫描,IP碎片等,数据包经过预处理后才传到检测引擎;(3)检测模块——该模块是Snort的核心模块。当数据包从预处理器送过来后,检测引擎依据预先设置的
  • 【Microsoft Azure 的1024种玩法】二十八. 基于Azure Cloud搭建IPS入侵防御系统实现安全流量实时分析 一只特立独行的兔先森 【MicrosoftAzure的1024种玩法】IPSAzureAzureVM
    【简介】Snort是一个开源入侵防御系统(IPS),SnortIPS使用一系列规则来帮助定义恶意网络活动,并利用这些规则来查找与之匹配的数据包,并为用户生成警报,Snort也可以在线部署来阻止这些数据包。Snort有三个主要用途。作为一个像tcpdump一样的数据包嗅探器,作为一个数据包记录器–这对网络流量调试很有用,或者它可以作为一个完整的网络入侵防御系统,本篇文章将带着大家完成通过AzureC
  • 国科大网络协议安全大作业——分析流量并使用Snort规则进行检测 起床学FPGA 国科大作业linuxcentos网络安全网络协议计算机网络
    一、实验准备1.1实验要求SHA256(SecureHashAlgorithm256-bit)是一种密码学哈希函数,用于计算数据的哈希值。每个文件使用一个哈希算法只会有一个确定的哈希值。1.2虚拟机配置被感染主机设置为ubuntu22.04,虚拟机IP地址为192.168.88.142二、打开.pcap文件的流程2.1用root账号登录虚拟机原因:避免wireshark奇怪报错2.2查看文件类型和
  • [读书笔记]网空态势感知理论与模型(六) xian_wwq 安全网空态势
    企业级网空态势感知1.态势感知系统的挑战从海量的日志、网络流量、安全告警及业务交易日志中找到所需的信息是一个巨大的挑战;其次,对于孤立系统生成的信息整合和理解也是一个挑战,没有现成的整合框架或模型可被用于工具、算法和技术的耦合;第三,相关技术很少考虑安全分析人员在其中的作用。(1)安全监测:记录网络流量的WireShark、Ntop、Tcpdump、Bro以及Snort扫描漏洞的Nessus、OV
  • 【转】snort的安装、配置和使用 xian_wwq snort安全
    一、Snort概述在1998年,MartyRoesch先生用C语言开发了开放源代码(OpenSource)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(NetworkIntrusionDetection/PreventionSystem)
  • 网络安全——基于Snort的入侵检测实验 李秋天 网络安全web安全安全
    一、实验目的要求:二、实验设备与环境:三、实验原理:四、实验步骤:五、实验现象、结果记录及整理:六、分析讨论与思考题解答:七、实验截图:一、实验目的要求:1、掌握Snort的安装配置方法。2、掌握Snort规则定义方法。3、掌握使用Snort分析网络状态的方法。4、具体内容:1)学习Snort工作原理。2)配置Snort规则文件。3)使用Snort检测网络入侵事件。二、实验设备与环境:三、实验原理
  • 2019中考国庆70周年英语作文(汉英对照) 天晟杨老师
    InEarth'snorthernside,Asia'seasternpart,PacificOcean'sWestbank,somebeautifulplace,hereisourhometown,hereisourhomeland,thisisourgreatmotherland-mother,isshe,withyaalreadythemilk,cultivatedthemyriadhero
  • 数据结构:串:第2关:基于KMP算法的网络入侵检测 Unen030 数据结构网络
    任务描述随着互联网的飞速发展,网络安全问题日益严重。入侵检测技术是一种积极主动防御的安全保障技术,而Snort是其中基于规则匹配的一种入侵检测技术。Snort自1998年被发明以来,历经数年的迭代更新,Snort已成为一个具有多平台(Multi-Platform)、实时(Real-Time)流量分析、网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(NetworkIntrus
  • Suricata/Snort规则参考 神域序列 Rust网络安全Snort网络安全IDSIPSSnortSuricata
    Suricata/Snort规则参考文章目录Suricata/Snort规则参考限制优势6.Suricata规则6.1.规则格式6.1.1.动作(Action)6.1.2.协议(Protocol)6.1.3.源和目的(Sourceanddestination)6.1.4.端口(Sourceanddestination)6.1.5.方向(Direction)6.1.6.规则选项(Ruleoption
  • 戏剧性的木星 AliceWanderAI
    图片发自AppDramaticatmosphericfeaturesinJupiter’snorthernhemispherearecapturedinthisviewfromNASA’sJunospacecraft.Thenewperspectiveshowsswirlingcloudsthatsurroundacircularfeaturewithinajetstreamregioncalle
  • 编写snort规则检测网络攻击 手可摘辰 网络安全网络tcp/iphttp
    编写snort规则检测网络攻击1.snort规则2.编写三个snort规则3.开启snort和barnyard21.snort规则Snort规则被分成两个逻辑部分:规则头和规则选项。规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以源和目标端口信息;规则选项部分包含报警消息内容和要检查的包的具体部分。Alert:使用选择的报警方法生成一个警报,然后记录(log)这个包。Alert动作用来在
  • Yara、Snort和Sigma规则 摔不死的笨鸟 网络
    基于规则的检测是处理已知安全威胁的最有效手段,它作为当前安全检测的核心与基石,其地位短期内还无法动摇。Yara规则是基于二进制文件的静态HEX数据内容实现的扫描规则。简单点说,就是基于原始文件的内容数据扫描规则。Snort规则是基于IDS入侵检测系统,主要针对流量中数据包内容编写的扫描规则。SIGMA是一种通用的开放签名格式,允许以简单的方式描述SIEM系统中的相关日志事件。Sigma规则更偏向于
  • suricata匹配从入门到精通(三)----开始编写简单的snort规则 leeezp suricataIDS网络安全网络安全web安全安全
    suricata兼容snort规则的大部分语法。今天我来教大家编写一条检测请求的规则。基于suricata6.0.x版本。0x00规则编写初体验以http的流量举例:例如,想匹配一个黑客工具建立三次握手后发起的恶意请求,使用下面的关键字:flow:established,to_server;想匹配请求方法,POST等,使用下面的关键字:http.method;content:"POST";如果想匹
  • snort--content中几个选项 sunshine-01 snortsnortcontent
    **Content**nocase定义content忽略大小写。用法:content:“wan”;nocase;offset在n个字节后匹配用法:offset:字节数;举例:content:“wan”;offset:2;从负载的第二个字节开始匹配wandepth在负载的第n个字节内匹配用法:depth:字节数;举例:content:“wan”;depth:2;在负载的第二个字节内匹配wandist
  • 安全 | 开源入侵防御系统 Snort 青Cheng序员石头 安全网络服务器系统安全运维
    theme:orange持续创作,加速成长!这是我参与「掘金日新计划·6月更文挑战」的第21天,点击查看活动详情个人主页:@青Cheng序员石头Snort概要是世界上最重要的开源入侵防御系统(IPS)。其由Sourcefire创始人、前首席技术官MartinRoesch创建,目前由Cisco开发和维护。Snort概要Snort概要是世界上最重要的开源入侵防御系统(IPS)。其由Sourcefire
  • 2019年阜阳中小学教师考编英语学科专业知识倒装主谓一致强调句法要点 阜阳师出教育
    第二部分句法考点十三主谓一致一、就近原则1.由并列结构或连词(either...or,neither...nor,not...but,notonly...butalso,or等)连接的并列主语,谓语动词与较近的那个名词或代词保持一致。NeitherhisparentsnorTomisathome.2.在倒装句和therebe句型中,谓语动词与后面的第一个主语保持一致。Thereisabookand
  • 杨柳絮?垂柳?催人泪下?Chinadaily学习笔记(6.24) 云吞悠扬
    杨柳絮willowandpoplarcatkinsAstheweekbegins,thecapital'sdowntownandsouthernpartswillseewillowandpoplarcatkinswaftingthroughtheair,andthecity'snortheasternareaswillstarttofacetheproblemabitlater,betweenWe
  • Linux网络安全技术与实现(弱点扫描、入侵检测、主动防御) SkTj
    漏洞扫描工具:OpenVAS入侵检测系统:snortossec入侵防御系统:snort+guardian
  • 岁暮归南山 译文 之彦
    岁暮归南山①孟浩然北阙②休上书,南山归敝庐。不才明主弃,多病故人疏。白发催年老,青阳③逼岁除。永怀愁不寐,松月夜窗虚。注:①写这首诗时,诗人正是四十岁,长安科考落第。②北阙:指帝宫。③青阳:指春天。ReturningtosouthernmountainasoldUpwordsnorthpalaceofEmporerpetitionsstopping,Tothehumblehutofsouthern
  • python+snort 入侵检测 沐阳zz python
    Snort是一款开源的入侵检测系统(IDS),其主要功能是监控网络流量,通过规则匹配来检测网络中的异常行为和攻击。而Python是一种流行的编程语言,它有着强大的数据处理和分析能力。结合两者,我们可以使用Python对Snort捕获的网络流量进行分析。首先,我们需要安装Snort和相应的Python模块,如PyCap、py-idstools等。安装方法可以参考官方文档或者第三方教程,不再赘述。接下
  • snort入侵检测技术 xuanxi
    #snort-v【开启snort的嗅探功能】在win10上ping192.168.67.130在Ubuntu上抓取到数据包ctrl+C退出:自动统计数据root@bt:~#cd/etc/snortroot@bt:/etc/snort#lsclassification.configreference.configsnort.confunicode.mapcommunity-sid-msg.mapru
  • ASM系列五 利用TreeApi 解析生成Class lijingyao8206 ASM字节码动态生成ClassNodeTreeAPI
       前面CoreApi的介绍部分基本涵盖了ASMCore包下面的主要API及功能,其中还有一部分关于MetaData的解析和生成就不再赘述。这篇开始介绍ASM另一部分主要的Api。TreeApi。这一部分源码是关联的asm-tree-5.0.4的版本。          在介绍前,先要知道一点, Tree工程的接口基本可以完
  • 链表树——复合数据结构应用实例 bardo 数据结构树型结构表结构设计链表菜单排序
    我们清楚:数据库设计中,表结构设计的好坏,直接影响程序的复杂度。所以,本文就无限级分类(目录)树与链表的复合在表设计中的应用进行探讨。当然,什么是树,什么是链表,这里不作介绍。有兴趣可以去看相关的教材。 需求简介: 经常遇到这样的需求,我们希望能将保存在数据库中的树结构能够按确定的顺序读出来。比如,多级菜单、组织结构、商品分类。更具体的,我们希望某个二级菜单在这一级别中就是第一个。虽然它是最后
  • 为啥要用位运算代替取模呢 chenchao051 位运算哈希汇编
        在hash中查找key的时候,经常会发现用&取代%,先看两段代码吧,     JDK6中的HashMap中的indexFor方法: /** * Returns index for hash code h. */ static int indexFor(int h, int length) {
  • 最近的情况 麦田的设计者 生活感悟计划软考
          今天是2015年4月27号      整理一下最近的思绪以及要完成的任务             1、最近在驾校科目二练车,每周四天,练三周。其实做什么都要用心,追求合理的途径解决。为
  • PHP去掉字符串中最后一个字符的方法 IT独行者 PHP字符串
    今天在PHP项目开发中遇到一个需求,去掉字符串中的最后一个字符 原字符串1,2,3,4,5,6, 去掉最后一个字符",",最终结果为1,2,3,4,5,6 代码如下: $str = "1,2,3,4,5,6,"; $newstr = substr($str,0,strlen($str)-1); echo $newstr;
  • hadoop在linux上单机安装过程 _wy_ linuxhadoop
    1、安装JDK     jdk版本最好是1.6以上,可以使用执行命令java -version查看当前JAVA版本号,如果报命令不存在或版本比较低,则需要安装一个高版本的JDK,并在/etc/profile的文件末尾,根据本机JDK实际的安装位置加上以下几行:    export JAVA_HOME=/usr/java/jdk1.7.0_25  
  • JAVA进阶----分布式事务的一种简单处理方法 无量 多系统交互分布式事务
    每个方法都是原子操作: 提供第三方服务的系统,要同时提供执行方法和对应的回滚方法 A系统调用B,C,D系统完成分布式事务 =========执行开始======== A.aa(); try { B.bb(); } catch(Exception e) { A.rollbackAa(); } try { C.cc(); } catch(Excep
  • 安墨移动广 告:移动DSP厚积薄发 引领未来广 告业发展命脉 矮蛋蛋 hadoop互联网
      “谁掌握了强大的DSP技术,谁将引领未来的广 告行业发展命脉。”2014年,移动广 告行业的热点非移动DSP莫属。各个圈子都在纷纷谈论,认为移动DSP是行业突破点,一时间许多移动广 告联盟风起云涌,竞相推出专属移动DSP产品。   到底什么是移动DSP呢?   DSP(Demand-SidePlatform),就是需求方平台,为解决广 告主投放的各种需求,真正实现人群定位的精准广
  • myelipse设置 alafqq IP
      在一个项目的完整的生命周期中,其维护费用,往往是其开发费用的数倍。因此项目的可维护性、可复用性是衡量一个项目好坏的关键。而注释则是可维护性中必不可少的一环。 注释模板导入步骤  安装方法: 打开eclipse/myeclipse 选择 window-->Preferences-->JAVA-->Code-->Code
  • java数组 百合不是茶 java数组
    java数组的   声明  创建  初始化;   java支持C语言      数组中的每个数都有唯一的一个下标 一维数组的定义 声明: int[] a = new int[3];声明数组中有三个数int[3] int[] a 中有三个数,下标从0开始,可以同过for来遍历数组中的数
  • javascript读取表单数据 bijian1013 JavaScript
    利用javascript读取表单数据,可以利用以下三种方法获取: 1、通过表单ID属性:var a = document.getElementByIdx_x_x("id"); 2、通过表单名称属性:var b = document.getElementsByName("name"); 3、直接通过表单名字获取:var c = form.content.
  • 探索JUnit4扩展:使用Theory bijian1013 javaJUnitTheory
    理论机制(Theory) 一.为什么要引用理论机制(Theory)         当今软件开发中,测试驱动开发(TDD — Test-driven development)越发流行。为什么 TDD 会如此流行呢?因为它确实拥有很多优点,它允许开发人员通过简单的例子来指定和表明他们代码的行为意图。 TDD 的优点:     &nb
  • [Spring Data Mongo一]Spring Mongo Template操作MongoDB bit1129 template
    什么是Spring Data Mongo Spring Data MongoDB项目对访问MongoDB的Java客户端API进行了封装,这种封装类似于Spring封装Hibernate和JDBC而提供的HibernateTemplate和JDBCTemplate,主要能力包括 1. 封装客户端跟MongoDB的链接管理 2. 文档-对象映射,通过注解:@Document(collectio
  • 【Kafka八】Zookeeper上关于Kafka的配置信息 bit1129 zookeeper
    问题: 1. Kafka的哪些信息记录在Zookeeper中 2. Consumer Group消费的每个Partition的Offset信息存放在什么位置 3. Topic的每个Partition存放在哪个Broker上的信息存放在哪里 4. Producer跟Zookeeper究竟有没有关系?没有关系!!!   //consumers、config、brokers、cont
  • java OOM内存异常的四种类型及异常与解决方案 ronin47 java OOM 内存异常
           OOM异常的四种类型:       一: StackOverflowError :通常因为递归函数引起(死递归,递归太深)。-Xss 128k 一般够用。        二: out Of memory: PermGen Space:通常是动态类大多,比如web 服务器自动更新部署时引起。-Xmx
  • java-实现链表反转-递归和非递归实现 bylijinnan java
    20120422更新: 对链表中部分节点进行反转操作,这些节点相隔k个: 0->1->2->3->4->5->6->7->8->9 k=2 8->1->6->3->4->5->2->7->0->9 注意1 3 5 7 9 位置是不变的。 解法: 将链表拆成两部分: a.0-&
  • Netty源码学习-DelimiterBasedFrameDecoder bylijinnan javanetty
    看DelimiterBasedFrameDecoder的API,有举例: 接收到的ChannelBuffer如下: +--------------+ | ABC\nDEF\r\n | +--------------+ 经过DelimiterBasedFrameDecoder(Delimiters.lineDelimiter())之后,得到: +-----+----
  • linux的一些命令 -查看cc攻击-网口ip统计等 hotsunshine linux
    Linux判断CC攻击命令详解 2011年12月23日 ⁄ 安全 ⁄ 暂无评论 查看所有80端口的连接数 netstat -nat|grep -i '80'|wc -l 对连接的IP按连接数量进行排序 netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 查看TCP连接状态 n
  • Spring获取SessionFactory ctrain sessionFactory
    String sql = "select sysdate from dual"; WebApplicationContext wac = ContextLoader.getCurrentWebApplicationContext(); String[] names = wac.getBeanDefinitionNames(); for(int i=0; i&
  • Hive几种导出数据方式 daizj hive数据导出
    Hive几种导出数据方式   1.拷贝文件   如果数据文件恰好是用户需要的格式,那么只需要拷贝文件或文件夹就可以。 hadoop fs –cp source_path target_path   2.导出到本地文件系统   --不能使用insert into local directory来导出数据,会报错 --只能使用
  • 编程之美 dcj3sjt126com 编程PHP重构
    我个人的 PHP 编程经验中,递归调用常常与静态变量使用。静态变量的含义可以参考 PHP 手册。希望下面的代码,会更有利于对递归以及静态变量的理解   header("Content-type: text/plain"); function static_function () { static $i = 0; if ($i++ < 1
  • Android保存用户名和密码 dcj3sjt126com android
    转自:http://www.2cto.com/kf/201401/272336.html 我们不管在开发一个项目或者使用别人的项目,都有用户登录功能,为了让用户的体验效果更好,我们通常会做一个功能,叫做保存用户,这样做的目地就是为了让用户下一次再使用该程序不会重新输入用户名和密码,这里我使用3种方式来存储用户名和密码 1、通过普通 的txt文本存储 2、通过properties属性文件进行存
  • Oracle 复习笔记之同义词 eksliang Oracle 同义词Oracle synonym
    转载请出自出处:http://eksliang.iteye.com/blog/2098861 1.什么是同义词       同义词是现有模式对象的一个别名。       概念性的东西,什么是模式呢?创建一个用户,就相应的创建了 一个模式。模式是指数据库对象,是对用户所创建的数据对象的总称。模式对象包括表、视图、索引、同义词、序列、过
  • Ajax案例 gongmeitao Ajaxjsp
    数据库采用Sql Server2005 项目名称为:Ajax_Demo 1.com.demo.conn包 package com.demo.conn; import java.sql.Connection;import java.sql.DriverManager;import java.sql.SQLException; //获取数据库连接的类public class DBConnec
  • ASP.NET中Request.RawUrl、Request.Url的区别 hvt .netWebC#asp.nethovertree
      如果访问的地址是:http://h.keleyi.com/guestbook/addmessage.aspx?key=hovertree%3C&n=myslider#zonemenu那么Request.Url.ToString() 的值是:http://h.keleyi.com/guestbook/addmessage.aspx?key=hovertree<&
  • SVG 教程 (七)SVG 实例,SVG 参考手册 天梯梦 svg
    SVG 实例 在线实例 下面的例子是把SVG代码直接嵌入到HTML代码中。 谷歌Chrome,火狐,Internet Explorer9,和Safari都支持。 注意:下面的例子将不会在Opera运行,即使Opera支持SVG - 它也不支持SVG在HTML代码中直接使用。   SVG 实例 SVG基本形状 一个圆 矩形 不透明矩形 一个矩形不透明2 一个带圆角矩
  • 事务管理 luyulong javaspring编程事务
    事物管理 spring事物的好处 为不同的事物API提供了一致的编程模型 支持声明式事务管理 提供比大多数事务API更简单更易于使用的编程式事务管理API 整合spring的各种数据访问抽象 TransactionDefinition 定义了事务策略 int getIsolationLevel()得到当前事务的隔离级别 READ_COMMITTED 
  • 基础数据结构和算法十一:Red-black binary search tree sunwinner AlgorithmRed-black
      The insertion algorithm for 2-3 trees just described is not difficult to understand; now, we will see that it is also not difficult to implement. We will consider a simple representation known
  • centos同步时间 stunizhengjia linux集群同步时间
    做了集群,时间的同步就显得非常必要了。 以下是查到的如何做时间同步。 在CentOS 5不再区分客户端和服务器,只要配置了NTP,它就会提供NTP服务。 1)确认已经ntp程序包: # yum install ntp 2)配置时间源(默认就行,不需要修改) # vi /etc/ntp.conf server pool.ntp.o
  • ITeye 9月技术图书有奖试读获奖名单公布 ITeye管理员 ITeye
    ITeye携手博文视点举办的9月技术图书有奖试读活动已圆满结束,非常感谢广大用户对本次活动的关注与参与。 9月试读活动回顾:http://webmaster.iteye.com/blog/2118112本次技术图书试读活动的优秀奖获奖名单及相应作品如下(优秀文章有很多,但名额有限,没获奖并不代表不优秀):      《NFC:Arduino、Andro
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他