码迷,mamicode.com
首页 > 其他好文 > 详细

流量检测主机漏洞之困顿

时间:2017-09-21 21:13:43      阅读:124      评论:0      收藏:0      [点我收藏+]

标签:网络   没有   数据包   内容   大数   匹配   分析   字段   协议   

几个主机漏洞的环境搭好,等待dpi数据的流入,遗憾的是,dpi今天的配置终于弄好了,持续了两三个星期,而没有数据。现在有数据了,EXP一打,日志出来了,结果并没有buf的内容,只有常规的  源IP源端口,目的IP目的端口,网络层应用层协议,以及一些进出数据量的大小,并没有具体的内容。而且不能用关联,只能用单条日志匹配。所以之前做的漏洞检测大多废了用不上。如果一定要用,只能取发送Buf的bytesIn、bytesOut和bytesAll了。

没有字段是因为大数据分析的数据需要关联分析,所以需要保留,而流量日志不太好照单全收、全部存储,那样数据量太大了。所以,如果一定需要,只能向 dpi端的开发人员提需求,获取发送的数据包的前n个字节的内容,用于检测主机漏洞EXP发送的buf的特征,可以再结合bytesIn bytesOut bytesAll 字段,两个方面一起检测。

大概要转向web端的CMS、框架漏洞了,这方面字段比较多,也不用看二进制,比较容易吧。

流量检测主机漏洞之困顿

标签:网络   没有   数据包   内容   大数   匹配   分析   字段   协议   

原文地址:http://www.cnblogs.com/huim/p/7570703.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!