端口转发

本文由红日安全成员： ruanruan 编写，如有不当，还望斧正。 大家好，我们是 红日安全-Web安全攻防小组 。此项目是关于Web安全的系列文章分享，还包含一个HTB靶场供大家练习，我们给这个项目起了一个名字叫 Web安全实战 ，希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法（手工测试，工具测试）-靶场测试（分为PHP靶场、JAVA靶场、Python靶场基本上三种靶场全部涵盖）-实战演练（主要选择相应CMS或者是Vulnhub进行实战演练)，如果对大家有帮助请 Star 鼓励我们创作更好文章。如果你愿意加入我们，一起完善这个项目，欢迎通过邮件形式（ sec-redclub@qq.com ）联系我们。 1. XXE概述 XXE（XML External Entity Injection）即XML外部实体注入。漏洞是在对非安全的外部实体数据进行处理时引发的安全问题。 下面我们主要介绍PHP语言下的XXE攻击. 1.1 XML基础 XML是可扩展的标记语言（eXtensible Markup Language），设计用来进行数据的传输和存储。 1.1.1文档结构 XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。 <!--XML声明--> <?xml version="1.0"?> <!--文档类型定义--> <

简单认识网络协议 通过浅谈互联网协议，我们已经了解了TCP/IP的参考模型，对网络的分层管理有了有一个概念。我们知道计算机之间的通信，靠的就是这些互联网协议（IPS,Internet Protocol Suite）来保障的。下面我们将通过最底层 数据链路层 到最顶层 应用层 ，来简单的了解一下计算机通信的背后到底是怎么样子。 0x01 数据链路层 ​ ​ 我们的电脑如果想要上网，首先要干嘛？想必大家会吧。我们要么连接WiFi，要么插根网线。之后我们就可以在广阔的物联网上冲浪，浏览浏览新闻，刷刷B站…（打住，回归正题。）网线，WiFi，无非就是我们把电脑连接起来的方式。利用这些电气属性，我们可以发送和接受0，1信号。这样计算机之间就建立了联系。 ​ 能发送0/1信号，计算机就可以进行交流了，最初的时候，各家都有各个的语言，但计算机又不像我们人类一样能学会多种语言。它有点笨，不能同时掌握多种方式的0/1信号的解读方式。 但慢慢地，一种叫做 "以太网" （Ethernet）的协议出现了，并占据了主导地位。 以太网协议 ​ 以太网规定了一种电信号的分组方式，一组电信号构成一个数据包，称做 以太网帧 ( Frame ) 。 ​ 以太网帧，分为 头部 ( Header )、 数据 ( Data )以及 校验和 ( Checksum )总共 3 大部分。 头部 包含数据包的一些说明项，比如发送者

简单认识网络协议 通过浅谈互联网协议，我们已经了解了TCP/IP的参考模型，对网络的分层管理有了有一个概念。我们知道计算机之间的通信，靠的就是这些互联网协议（IPS,Internet Protocol Suite）来保障的。下面我们将通过最底层 数据链路层 到最顶层 应用层 ，来简单的了解一下计算机通信的背后到底是怎么样子。 0x01 数据链路层 ​ ​ 我们的电脑如果想要上网，首先要干嘛？想必大家会吧。我们要么连接WiFi，要么插根网线。之后我们就可以在广阔的物联网上冲浪，浏览浏览新闻，刷刷B站...（打住，回归正题。）网线，WiFi，无非就是我们把电脑连接起来的方式。利用这些电气属性，我们可以发送和接受0，1信号。这样计算机之间就建立了联系。 ​ 能发送0/1信号，计算机就可以进行交流了，最初的时候，各家都有各个的语言，但计算机又不像我们人类一样能学会多种语言。它有点笨，不能同时掌握多种方式的0/1信号的解读方式。 但慢慢地，一种叫做 "以太网" （Ethernet）的协议出现了，并占据了主导地位。 以太网协议 ​ 以太网规定了一种电信号的分组方式，一组电信号构成一个数据包，称做 以太网帧 ( Frame ) 。 ​ 以太网帧，分为 头部 ( Header )、 数据 ( Data )以及 校验和 ( Checksum )总共 3 大部分。 头部 包含数据包的一些说明项

1 ．什么是 xinetd xinetd即extended internet daemon，xinetd是新一代的网络守护进程服务程序，又叫超级Internet服务器。经常用来管理多种轻量级Internet服务。xinetd提供类似于inetd+tcp_wrapper的功能，但是更加强大和安全。 2. xinetd 的特色 1 ) 强大的存取控制功能 — 内置对恶意用户和善意用户的差别待遇设定。 — 使用libwrap支持，其效能更甚于tcpd。 — 可以限制连接的等级，基于主机的连接数和基于服务的连接数。 — 设置特定的连接时间。 — 将某个服务设置到特定的主机以提供服务。 2 ) 有效防止 DoS 攻击 — 可以限制连接的等级。 — 可以限制一个主机的最大连接数，从而防止某个主机独占某个服务。 — 可以限制日志文件的大小，防止磁盘空间被填满。 3 ) 强大的日志功能 — 可以为每一个服务就syslog设定日志等级。 — 如果不使用syslog，也可以为每个服务建立日志文件。 — 可以记录请求的起止时间以决定对方的访问时间。 — 可以记录试图非法访问的请求。 4 ) 转向功能 可以将客户端的请求转发到另一台主机去处理。 5) 支持 IPv6 xinetd自xinetd 2.1.8.8pre*起的版本就支持IPv6，可以通过在./configure脚本中使用with-inet6

作者 | 叶磊（稻农）阿里巴巴高级技术专家 本文整理自《CNCF x Alibaba 云原生技术公开课》第 25 讲， 点击直达课程页面 。 关注“阿里巴巴云原生”公众号，回复关键词 “入门” ，即可下载从零入门 K8s 系列文章 PPT。 导读 ：本文将基于之前介绍的 基本网络模型 ，进行更深入的一些了解，希望给予读者一个更广更深的认知。首先简单回顾一下容器网络的历史沿革，剖析一下 Kubernetes 网络模型的由来；其次会剖析一个实际的实现（Flannel Hostgw），展现了数据包从容器到宿主机的变换过程；最后对于和网络息息相关的 Servcie 做了比较深入的机制和使用介绍，通过一个简单的例子说明了 Service 的工作原理。 Kubernetes 网络模型来龙去脉 容器网络发端于 Docker 的网络。Docker 使用了一个比较简单的网络模型，即内部的网桥加内部的保留 IP。这种设计的好处在于容器的网络和外部世界是解耦的，无需占用宿主机的 IP 或者宿主机的资源，完全是虚拟的。它的设计初衷是：当需要访问外部世界时，会采用 SNAT 这种方法来借用 Node 的 IP 去访问外面的服务。比如容器需要对外提供服务的时候，所用的是 DNAT 技术，也就是在 Node 上开一个端口，然后通过 iptable 或者别的某些机制，把流导入到容器的进程上以达到目的。

配置端口80转发到8080 iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080 操作表名nat，添加规则名PREROUTING,协议名tcp，转发端口80，动作REDIRECT,到目标端口8080 此时，访问http://ip:80 和http://ip:8080是一样的。 来源： https://www.cnblogs.com/rb-zhang/p/12402527.html

作者 | 叶磊（稻农）阿里巴巴高级技术专家 本文整理自《CNCF x Alibaba 云原生技术公开课》第 25 讲， 点击直达课程页面 。 关注“阿里巴巴云原生”公众号，回复关键词 “入门” ，即可下载从零入门 K8s 系列文章 PPT。 导读 ：本文将基于之前介绍的 基本网络模型 ，进行更深入的一些了解，希望给予读者一个更广更深的认知。首先简单回顾一下容器网络的历史沿革，剖析一下 Kubernetes 网络模型的由来；其次会剖析一个实际的实现（Flannel Hostgw），展现了数据包从容器到宿主机的变换过程；最后对于和网络息息相关的 Servcie 做了比较深入的机制和使用介绍，通过一个简单的例子说明了 Service 的工作原理。 Kubernetes 网络模型来龙去脉 容器网络发端于 Docker 的网络。Docker 使用了一个比较简单的网络模型，即内部的网桥加内部的保留 IP。这种设计的好处在于容器的网络和外部世界是解耦的，无需占用宿主机的 IP 或者宿主机的资源，完全是虚拟的。它的设计初衷是：当需要访问外部世界时，会采用 SNAT 这种方法来借用 Node 的 IP 去访问外面的服务。比如容器需要对外提供服务的时候，所用的是 DNAT 技术，也就是在 Node 上开一个端口，然后通过 iptable 或者别的某些机制，把流导入到容器的进程上以达到目的。

Firewalld必备命令 关闭firewalld systemctl stop firewalld.service 启动firewalld systemctl start firewalld.service 把firewalld加入到系统服务 systemctl enable firewalld.service 从系统服务移除 systemctl disable firewalld.service 查看firewalld状态 两种方法2选1即可 firewall-cmd --state systemctl status firewalld 重读防火墙 以 root 身份输入以下命令，重新加载防火墙，并不中断用户连接，即不丢失状态信息： firewall-cmd --reload 以 root 身份输入以下信息，重新加载防火墙并中断用户连接，即丢弃状态信息： firewall-cmd --complete-reload 注意:通常在防火墙出现严重问题时，这个命令才会被使用。比如，防火墙规则是正确的，但却出现状态信息问题和无法建立连接。 Firewalld区域操作 获取支持的区域(zone)列表 firewall-cmd --get-zone 获取所有支持的服务 firewall-cmd --get-services 获取所有支持的ICMP类型 firewall-cmd --get

运用Ntop监控网络流量 ____ 网络流量反映了网络的运行状态，是判别网络运行是否正常的关键数据，在实际的网络中，如果对网络流量控制得不好或发生网络拥塞，将会导致网络吞吐量下降、网络性能降低。通过流量测量不仅能反映网络设备（如路由器、交换机等）的工作是否正常，而且能反映出整个网络运行的资源瓶颈，这样管理人员就可以根据网络的运行状态及时采取故障补救措施和进行相关的业务部署来提高网络的性能。对网络进行流量监测分析，可以建立网络流量基准，通过连接会话数的跟踪、源/目的地址对分析、TCP流的分析等，能够及时发现网络中的异常流量，进行实时告警，从而保障网络安全。本节将介绍的Ntop便可以提供详细的网络流量明细表。在Ossim系统中集成了Ntop可以直接使用。 1．Ntop简介 ____ Ntop是一种监控网络流量的工具，用NTOP显示网络的使用情况比其他一些网管软件更加直观、详细。NTOP甚至可以列出每个节点计算机的网络带宽利用率。 2.Ntop主要功能 Ntop主要提供以下一些功能： ①.自动从网络中识别有用的信息； ②.将截获的数据包转换成易于识别的格式； ③.对网络环境中通信失败的情况进行分析； ④.探测网络环境中的通信瓶颈,记录网络通信的时间和过程。 ____ Ntop可以通过分析网络流量来确定网络上存在的各种问题；也可以用来判断是否有黑客正在攻击网络系统

2.1 框架图 -->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING--> mangle | mangle ^ mangle nat | filter | nat | | | | v | INPUT OUTPUT | mangle ^ mangle | filter | nat v ------>local------->| filter 2.2 链和表 表 filter： 顾名思义，用于过滤的时候 nat： 顾名思义，用于做 NAT 的时候 NAT：Network Address Translator 链 INPUT： 位于 filter 表，匹配目的 IP 是本机的数据包 FORWARD： 位于 filter 表，匹配穿过本机的数据包， PREROUTING： 位于 nat 表，用于修改目的地址（DNAT） POSTROUTING：位于 nat 表，用于修改源地址 （SNAT） 3.1 iptables 语法概述 iptables [-t 要 操作 的表] < 操作 命令> [要 操作 的链] [规则号码] [匹配条件] [-j 匹配到以后的动作] 3.2 命令概述 操作 命令（-A、-I、-D、-R、-P、-F） 查看命令（-[vnx]L） 3.2.1 -A -A <链名> APPEND，追加一条规则（放到最后） 例如：