强壮的向阳花-CSDN博客

强壮的向阳花

码龄9年

44,320

总访问量
25

原创
245

粉丝
7

关注

IP 属地：北京市

加入CSDN时间： 2017-11-24

查看详细资料

个人成就

获得348次点赞
内容获得24次评论
获得316次收藏
博客总排名403,270名

TA的专栏

TA关注的专栏 1

TA关注的收藏夹 0

TA关注的社区 0

TA参与的活动 0

创作活动更多

「谁说嵌入式只是调包和焊板子？」—— 2026嵌入式全栈技术征锋令

谁说嵌入式只会“Ctrl+C 调包”和“拿电烙铁焊板子”？2026嵌入式全栈技术征锋令正式启幕！本次活动专为硬核硬件/软件开发者打造，无论你是刚玩转裸机外设的萌新，还是精通RTOS调度、死磕底层驱动的行业老手，亦或是执掌系统架构的大神，这里都是你证明实力的舞台！拒绝表面功夫，每一行代码，都有撬动硬件的力量！晒出你的硬核工程实战，为嵌入式开发者的全栈硬实力正名！

213人参与去参加

更多

ndpi使用示例

``int ret;if(!ERROR;if(rc!ERROR;if(ret!= 0) {ERROR;``````int i, ret;if(!g_ctx) {ERROR;for(i = 0;i++) {if(!ERROR;if(rc!ERROR;if(ret!= 0) {ERROR;for(i = 0;i++) {```

博文更新于 2024.11.06 ·

NDPI介绍和应用

NDPI (nDPI) 是一个开源的深度包检测（DPI）库，由意大利网络研究和监测公司 NetFilter 开发。nDPI 的主要功能是识别网络流量中的应用协议，nDPI 是一个库，可以很容易地集成到其他项目中。设置位掩码来控制哪些协议应该被检测。通过这种方式，用户可以灵活配置 nDPI 协议检测模块，启用或禁用特定的协议检测。入参：struct ndpi_global_context *g_ctx #入参一般为NULL，ndpi_risk *flow_risk ：检测结果，安全风险评分或风险信息。

博文更新于 2024.11.06 ·

日志审计-graylog ssh登录超过6次告警

PAM日志将会追加trytime1Failed password将会追加server_ipGraylog Alert聚合规则PAM日志聚合规则1、字段匹配首先过滤日志中的字段在进行聚合匹配前先对周期内的日志根据源目的IP分类对同类日志，配置聚合规则，失败次数大于4就告警测试尝试登录，且填写错误密码，登录6次查看告警内容问题：1、graylog运行状态graylog所有的功能都是基于日志的，如果不能连续提供日志，grayLog所有功能就会暂停；

博文更新于 2024.08.22 ·

日志审计Graylog 使用教程-kafka收取消息

Graylog 常用于 IT 运维、安全监控、故障排查等场景，通过对日志数据的集中管理和分析，帮助企业提高系统的可观测性和问题解决能力。产生的告警内容，我们自定义字段“renyuan”他的value通过映射表username关联到的。我们创建映射表时，通过username查找department内容，并添加到告警自定义字段中。他作为动态数据获取，比如IP 地理位置等，根据日志某个字段的信息从XX库找到对应的数据。这里内容是kafka生产的消息，只作为日志，可以对每个字段配置提取。

博文更新于 2024.08.22 ·

Wireshark - tshark支持iptables提供数据包

cf_init_iptables接口完成初始化工作，cf是全局的数据，数据包信息，数据包状态相关，比如处理多少，丢掉多少，提供的解码工具等外来数据。其中第一个条件if (cf_name)这里是读文件的形式，使用是通过-r *.pcap判断的，第二个else位置，里面是capture用来监听网口通过-I eth0使用。//绑定上我们创建的队列。running_get_pkt_from_nfqueue0接口完成iptables初始化，创建接收队列数据包的回调，将数据包接入到tshrak的解密解码逻辑。

博文更新于 2024.07.01 ·

wireshark源码分析是怎么完成协议识别的

在wireshark中，他所有的协议相关操作，都是通过一个全局变量处理的，变量的内容就是一个关于接口描述和接口回调的成员。通过process_packet_single_pass处理单个数据包，每层数据包都会使用decode_udp(tcp)_ports识别协议，这里面提供端口和特征识别；很简单，对比其他工具特征识别逻辑（比如suricata的hyperscan），wireshark针对特征识别真的很简单。关于特征识别，wireshark是不太注重的，因为其使用场景多为协议分析，读取文件的形式。

博文更新于 2024.06.11 ·

Beyond Compare 4软件30天试用重置工具

链接：https://pan.baidu.com/s/1E3I03CVy4_--J3arFS9ZNw?

博文更新于 2024.05.16 ·

wireshark-cli工具Tshark工具使用教程

tshark为wireshark工具的命令行版本呢，在服务器版本服务器上，通过tshark工具可以实现和wireshark相同的功能。工具使用wireshark默认配置，对于wireshark一些常用的首选项，也可通过tshark -o [key:value]修改。dumpcap子进程负责数据包捕获并将数据包写入文件，tshark进程负责将文件中的数据包读取后并解密打印到终端。包长度，数量偏移，一些命令，包括pcap文件名称。根据管道返回的文件创建文件的描述符。tshark进程拥有的描述符。

博文更新于 2024.05.09 ·

ubuntu原始套接字多线程负载均衡

在原始套接字多线程负载均衡中，需要选择适当的负载均衡算法，确保不同线程间的数据包分发均匀。多线程负载均衡的目标是将网络流量有效地分发到不同的线程中，以充分利用系统资源。通过使用源 IP、目标 IP、源端口、目标端口等数据包头部信息进行哈希运算，将相同会话的数据包映射到相同的线程。这样可以确保相同连接的数据包被分发到同一个线程，避免了连接状态的维护问题。为了最大程度地提高性能，需要考虑线程间的通信开销、锁的使用、以及可能的瓶颈。按照轮询的顺序将数据包分发到不同的线程，确保每个线程都有机会处理数据包。

博文更新于 2024.05.06 ·

suricata流表管理-流新建

FlowGetFlowFromHash分为三部分，流表空的状态处理，流表与数据包完成hash匹配为数据包关联对应的流。FlowWoker接口中处理每个数据包，通过FlowHandlePacket完成对每个数据包的流匹配和新建工。2）匹配到对应的流表，把这个表节点放在头部，并判断节点是否为待关闭状态（配置新的流）3、如果第一条流就是匹配的流，判断节点是否为待关闭状态（配置新的流）1）下一节点为空，拿一个新的节点放在流表头部。2、如果流表中有数据且头节点流不匹配数据包。

博文更新于 2024.05.06 ·

suricata基础介绍

报文处理流程->匹配协议->查看是否存在关于该协议的规则->根据header（五元组）确定使用的规则->异步处理（流处理：规则判断）->流处理（生成事件）->规则（决定对报文的动作）该部分依赖suricata的协议处理，通过suricata.yaml文件给定规则文件内容，通过文件中编写的规则对固定协议的流量进行检测，对命中规则细节的报文进行对应动作处理。Suricata 用户协会维护的一个中文文档，覆盖了 Suricata 的基础知识、安装配置、使用教程、高级功能等方面内容。Suricata 中文文档（

博文更新于 2024.05.06 ·

java 模糊测试jazzer使用教程

文件是一个重现文件，期内部逻辑为先调用待测类注册的关于模糊测试初始化接口fuzzerInitialize，如果没有则调用内置接口。FuzzedDataProvider类是Jazzer提供的用于获取模糊测试数据的工具类。consumeString(int length): 以模糊方式获取指定长度的字符串。consumeBytes(int count): 以模糊方式获取指定长度的字节数组。结果文件跟源文件的关系：结果文件保留了导致源文件异常的数据，并可以重现异常现象。代码中，类内提供的测试入口内抛出了异常。

博文更新于 2024.02.08 ·

suricata构成-线程分布-功能讲解

根据提供的接口完成woker线程的启动，这个接口里面的循环次数取决于yaml配置文件af-packet项内有几个接口。// 运行提供的启动接口，对于af-packet worker启动接口为 RunModeIdsAFPWorkers。// 提供接口对应项配置解析器（af-packet），提供获取线程数量的回调接口。传入线程数量获取接口，收包，解码，线程名称，接口名称，接口对应配置信息。// 接口完成主线程的创建，并将线程交给主线程的tv_root。//接口实现，激活收包流程，处理数据包。

博文更新于 2024.02.06 ·

suricata 开源工具学习-自定义协议开发

suricata协议解析存在PM、PP、PE三种模式，其中PM为数据报关键特征匹配，即匹配报文字段（类似规则中的content字段），PP为端口匹配，即服务器目的端口值匹配命中即确定为协议，最后一个PE为字节流匹配，目前常规只有FTP-DATA协议，其协议会根据FTP commend计算并创建紧跟的子协议。注册协议接口：在AppLayerParserRegisterProtocolParsers接口中插入协议的注册接口，在这个文件中要加入头文件。这里遍历结构查看是否存在异常，比如请求处理中加入的事件。

博文更新于 2024.01.29 ·

关于#git#的问题：git stash 如何暂存多个文件呢

git stash 命令默认会暂存所有未提交的变更，但如果你只想暂存特定的文件，你可以使用以下方式：

git stash push -m "Your stash message" path/to/file1 path/to/file2 ...

在上述命令中，path/to/file1、path/to/file2 等是你想要暂存的文件路径。这样，只有这些文件的变更会被暂存，而其他文件的变更则会保持未暂存状态。

在你的具体情况下，如果想要暂存多个文件，可以使用如下命令：

git stash push -m "Stashing changes" A/src/main/resources/application.yml B/src/main/resources/application.yml C/src/main/resources/application-dev.properties D/src/main/resources/application.yml

这将会暂存指定的四个文件，而不影响其他未暂存的文件。之后，你可以执行 git pull 操作。

回答问题 2024.01.25

入驻CSDN，结交各行业社畜，哈哈哈

发布动态 2024.01.24

linux 消息发布工具-kafka

rd_kafka_topic_partition_list_new()创建，创建时指定长度，通过rd_kafka_topic_partition_list_add()添加主题-分区对，用于订阅消息。对消费者来讲，订阅主题,轮询接收消息。Type：RD_KAFKA_PRODUCER是创建生产者类型，RD_KAFKA_CONSUMER是创建消费者类型。释放队列，类型为rd_kafka_topic_partition_list_t。返回值：rd_kafka_conf_res_t 枚举，错误写入errstr中。

博文更新于 2024.01.24 ·

markdown编写教程

你好！这是你第一次使用 Markdown编辑器所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章，了解一下Markdown的基本语法知识。我们对Markdown编辑器进行了一些功能拓展与语法支持，除了标准的Markdown编辑器功能，我们增加了如下几点新功能，帮助你用它写博客：撤销：Ctrl/Command + Z重做：Ctrl/Command + Y加粗：Ctrl/Command + B斜体：Ctrl/Command + I标题：Ctrl/Command + S

博文更新于 2024.01.24 ·

suricata 开源工具学习-规则关键字开发应用

查看默认规则位置，打开suricata.yaml文件，找到rules部分，追加test.rules。这个规则的含义，数据包中存在连续ascll值http内容，且tcp首尾值10进制为104,110。suricata提供了组件式的开发方式，在SigTableSetup注册所有规则关键字。从上得出结论，每个检测关键字提供了三个检测功能，分别为数据包匹配，协议流匹配，和文件匹配。这个匹配接口实现，数据包负载部分首尾值匹配，匹配条件取决于规则中给出的首尾10进制内容。版本中使用，因为他是裁剪的所以我还是用主干。

博文更新于 2024.01.24 ·

suricata 开源工具学习-规则了解

匹配信用卡号码： pcre:"/([0-6]\d\d|7[0-256]\d|73[0-3]|77[0-2])-\d{2} - \d{4} /";1. TTL：匹配指定的TTL指，可使用关系运算符（< , =, >）,可以用来识别操作系统类型。针对检测http流量的规则，Suricata提供了http流重组能力，同时提供了用于编写HTTP流量相关的更高效的规则修饰器。2. dsize：匹配一个指定payload大小的数据包，可使用关系运算符（< , =, >）

博文更新于 2024.01.24 ·