wireshark

最近公司的无线网出现问题，客户端会不定时且无规律的无法访问网络，甚至无法到达网关。但出现问题的时候无论是在WLC上还是在AP的CLI中，所见一切皆正常。寻找售后经过一番show log和debug之后没有发现什么有用的信息。于是，二次信息收集，我们准备收集空气中的报文，查看通信的原始包究竟发生了什么。 通过思科提供的文档对比，发现使用AP的sniffer模式结合wireshark，实验起来比较方便。 简单罗列一个步骤： 1.准备一个AP，最好非生产环境的（可选清空配置）。 2.更改AP mode为sniffer。 3.配置AP的sniffer。 4.使用安装有Wireshark的PC进行抓包。 5.Wireshark中修改decode。 详细过程请往下看： 首先准备一个AP，最好是有非生产环境的AP，因为AP开启sniffer模式后就无法再正常为客户端提供网络，说白了开了sniffer就只能做嗅探，甭指望他还能同时做AP。 这里我使用的是一个AIR2802的型号。 因为AP之前有配置，为避免旧配置对嗅探有影响，我先恢复AP出厂设置。 看图片的左上角，有一个标着 MODE 的按钮，在给AP接上上联口的同时，立即按下MODE健，长按20s以上即可。 为了看得更清楚，我接上了AP的console，看看此时CLI里的回显是什么。 明确提示按下超过20s即可恢复出厂设置。

昨天的万粉闯关活动让我始料未及，推文才刚刚发出十分钟左右，阳光普照奖就被抢完了，不到两小时，五个关卡所有红包也被清空，读者真是卧虎藏龙，高手如云啊～ 是这次的题目太简单了吗？下一次增加点难度？ 好啦，按照惯例，来解密一下昨天的关卡。 第一关 看看这棵二叉树，关键词已经提醒的很明显了，遍历！ 关键词：二叉树遍历，注意大小写 看看左下角的http，很明显这是一个URL，再观察h-t-t-p出现的顺序，可知道这是后续遍历的出场方式，所以第一关就很简单了，后续遍历一下这棵二叉树，答案就能揭晓： http://suo.im/6bZxgm 其中要注意的是字母Z是大写的，这一点，在图片的提示中也有说明，不少人直接都是小写自然是打不开的。请不要放过给出的每一句提示！ 打开这个URL，第一关告破： 话说，图片本身的链接是一个很长的URL，如果直接用它来做二叉树的话，那这棵二叉树就会长得很“茂盛”了，为了降低难度，用了一个短链接的技术压缩了一下。关于短链接设计，推荐大家看一下微信公众号『码海』的一篇文章： 高性能短链设计 第二关 拿到第一关口令的同时，第二关的入口也就浮出水面了： https://www.cnblogs.com/xuanyuan/p/13275248.html 打开看看： 第二关的题目，我放在了我的博客园文章里，这篇文章是隐藏状态，在我的博客园主页是直接看不到的哦，不然就提前暴露了。

本文博客地址： http://blog.csdn.net/qq1084283172/article/details/78878057 一、360路由器登录协议分析的工具配置 1. 路由器型号：360路由器P2 2. 浏览器：火狐浏览器 3. 抓包分析工具：Burp Suite 和 Wireshark 二、360路由器登录协议的分析 通过对360路由器 P2的包装信息进行查看，发现360路由器P2的web登录页面的ip地址为 192.168.0.1 端口为 80 ，在进行路由器登录协议分析之前，先自己尝试使用浏览器进行路由器登录页面的测试，比如，输入错误的路由器登录密码和输入正确的路由器登录密码，看看路由器登录页面的错误提示，方便后面对路由器的登录web页面的分析，熟悉和了解一下路由器web管理登录的流程，然后再去分析路由器的登录协议，在进行路由器登录协议分析的时候，通过wifi网络或者网线将电脑或者手机连接到路由器设备，登录路由器的web控制界面，然后将 路由器的web管理页面的Html网页全部保存下来 ，用以接下来路由器登录协议的分析和模拟，还有一个地方需要注意，对于路由器的登录管理，PC的web登录管理，Android或者iOS的web登录管理，Android或者iOS的App管理登录的协议可能是不同也可能都是相同的

TCP四次挥手 四次挥手的流程 挥手的过程可以由任何一方发起，这里以服务器端发起为例说明： 第一次挥手：服务器端发出FIN，用来断开服务器端到客户端的数据传送，进入FIN-WAIT-1状态 第二次挥手：客户端收到服务器端的FIN后，发送ACK确认报文，进入CLOSE-WAIT状态 第三次挥手：客户端发出FIN，用来断开客户端到服务器端的数据传送，进入LAST-ACK状态 第四次挥手：服务器端收到客户端的FIN后，发送ACK确认报文，进入TIME-WAIT状态，服务器端等待2个最长报文段寿命后进入Close状态；客户端收到确认后，立刻进入Close状态。 为什么需要四次挥手 三次握手时，服务器同时把ACK和SYN放在一起发送到了客户端那里，节省了一次报文的传送。 四次挥手时，当收到对方的FIN报文时，仅仅表示对方不再发送数据但是还能接收数据，己方是否现在关闭发送数据通道，需要上层应用来决定，因此，己方ACK和FIN一般都会分开发送。 为什么客户端最后还要等待2MSL？ MSL(Maximum Segment Lifetime)：报文最大生存时间，它是任何报文在网络上存在的最长时间，超过这个时间报文将被丢弃。 2MSL即两倍的MSL，TCP的TIME_WAIT状态也称为2MSL等待状态，当TCP的一端发起主动关闭，在发出最后一个ACK包后就进入了TIME_WAIT状态

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。前文分享了基于机器学习的恶意代码检测技术，包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。这篇文章将尝试软件来源分析，结合APT攻击中常见的判断方法，利用Python调用扩展包进行溯源，但也存在局限性。文章同时也普及了PE文件分析和APT溯源相关基础，基础性文章，希望对您有所帮助~ 你是否想过如何判断PE软件或APP来源哪个国家或地区呢？你又想过印度是如何确保一键正确卸载中国APP呢？使用黑白名单吗？本文尝试进行软件来源溯源，目前想到的方法包括： 通过PE文件分析抓取创建文件时间戳，然后UTC定位国家地区，但受样本数量较少，活动规律不稳定影响很大 通过静态分析获取非英文字符串，软件中一般有供该国使用的文字，然后进行编码比对溯源地区 某些APP或软件存在流量反馈或IP定位，尝试进行流量抓取分析 利用深度学习进行分类，然后提取不同国家的特征完成溯源 欢迎大家讨论和留言，我们一起进行更深入的尝试和安全测试 O(∩_∩)O 作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之

很多朋友们对于登录必然遇到的验证码这个事情很不理解，增加用户操作的冗余性，直接登录很方便，为什么web端登录要添加个验证码？直到上周，一家做业务安全的公司给出我们现在Web网站的安全报告，我才意识到：验证码的本质属性安全性，除了防止恶意破解密码、刷票、羊毛党、论坛灌水、爬虫等行为外，还是用户与网站信息安全的有力保障。 下面是我们安服技术人员给的从安全角度看，为什么Web登录需要验证码？ 因为你的WEB站有时会碰到客户机恶意***。其中一种很常见的***手段就是身份欺骗，它通过在客户端脚本写入一些代码，然后利用其客户机在网站、论坛反复登陆，或者***者创建一个HTML窗体，其窗体如果包含了你注册窗体或发帖窗体等相同的字段，然后利用"http-post"传输数据到服务器，服务器会执行相应的创建帐户，提交垃圾数据等操作。如果服务器本身不能有效验证并拒绝此非法操作，它会很严重耗费其系统资源，降低网站性能甚至使程序崩溃。 下面引用2个常见的HTML***举例说明： 1、HTML语法暴露的账户安全问题 标准的HTML语法中，支持在form表单中使用<input></input>标签来创建一个HTTP提交的属性，现代的WEB登录中，常见的是下面这样的表单： <form action = "http://localhost:8080/Application/login" method =

快手，快影的App保护用的是同一套代码，反调试也很容易，下面请看过程。 > 作为一个开发者，有一个学习的氛围跟一个交流圈子特别重要，这是一个我的 iOS交流群 ：761407670 进群密码‘博客’，不管你是小白还是大牛欢迎入驻 ，分享BAT,阿里面试题、面试经验，讨论技术， 大家一起交流学习成长！ 1.快手App去反调试 直接frida砸壳，然后创建MonkeyDev工程，并在antiAntiDebug.m文件的相关函数下断点，然后运行。 App运行起来后，将在my_dlsym函数断下来，然后bt打印调用栈： 然后在栈1地址处下断， 即: b 0x00000001054c3430，按C运行。 在0x00000001054c3430 处断下来之后， 修改返回值 x0 = 0 ,即： register write $x0 0 在汇编55行： nop该行指令，然后运行即可，命令如下： memory write -s 4 0x1028c09f4 0xd503201f 2.快影App去反调试 砸壳快影，然后创建MonkeyDev工程， 运行，闪退。 看下日志，打印如下： [AntiAntiDebug] - dlsym get ptrace symbol [AntiAntiDebug] - ptrace request is PT_DENY_ATTACH 在antiAntiDebug的my

作者 | L的存在 来源 | 我是程序员小贱 本文将从以下几个方面进行分享。其中包括 HTTP发展史，HTTP缓存代理机制，常用的web攻击，HTTP和HTTPS的流量识别 ，网络协议学习的 工具 推荐以及 高频HTTP与HTTPS的高频面试题 题解等，开工。 提纲 1989年，蒂姆·伯纳斯 - 李（Tim Berners-Lee）在论文中提出可以在互联网上构建超链接文档，并提出了三点： URI ：统一资源标识符。互联网的唯一ID HTML ：超文本文档 HTTP ：传输超文本的文本传输协议 HTTP应用在哪儿 学习一门知识，采用五分钟时间看看这个知识是干啥的可能会更加有目的性。HTTP可谓无处不在，这里例举出几个。 HTTP应用场景 HTTP是什么 HTTP(hypertexttransport protocol)翻译过来为" 超文本传输协议 "，文本可以理解为简单的字符文字组合，也可以理解为更为复杂的音频或者图像等。那么将这个词语拆分为三个部分。 超文本传输协议 "超文本" 和 "文本" 相比多了一个字"超"，这样看来比文本丰富，因为它可以将多种文本/图像等进行 混合 ，更重要的是可以从一个文本 跳转 到另一个文本(文本连接)。 "传输" ，传输的过程中需要沟通，沟通即可能一对一沟通也可能一对多沟通(进行内容协商)，无论怎么样，参加沟通的人数>1

一、前言 这两天看tomcat，查阅 tomcat 怎么承载高并发时，看到了backlog参数。我们知道，服务器端一般使用mq来减轻高并发下的洪峰冲击，将暂时不能处理的请求放入队列，后续再慢慢处理。其实操作系统已经帮我们做了一些类似的东西了，这个东西就是backlog。服务端一般通过 accept 调用，去获取socket。但是假设我们的程序处理不过来（比如因为程序bug，或者设计问题，没能及时地去调用 accept），那么此时的网络请求难道就直接丢掉吗？ 当然不会！这时候，操作系统会帮我们放入 accept 队列，先暂存起来。等我们的程序缓过来了，直接调用 accept 去 队列取就行了，这就达到了类似mq的效果。 而 backlog，和另一个参数 /proc/sys/net/core/somaxconn 一起，决定了队列的容量，算法为：min(/proc/sys/net/core/somaxconn, backlog) 。 文章比较长，如果只需要结论，看第三章的总结即可，有时间的话，可以仔细看看正文、第四章的验证部分。 如果只想知道怎么设置这个值，直接跳到最后即可。 下面这篇文章，基础原理讲得很不错。但是是外国人写的，我这里简（tong）单（ku）翻译一下，我也会结合自己的理解，做一些补充。原文链接： http://veithen.io/2014/01/01/how-tcp

这两天和朋友谈到软件测试的发展，其实软件测试已经在不知不觉中发生了非常大的改变，前几年的软件测试行业还是一个风口，随着不断地转行人员以及毕业的大学生疯狂地涌入软件测试行业，目前软件测试行业“缺口”已经基本饱和。当然，我说的是最基础的功能测试的岗位需求已经很少了，而自动化、性能、安全乃至于以后可能出现的大数据测试、AI测试仍存在着非常多的机会。 image “长江后浪推前浪，前浪死在沙滩上”，曾经一句让人会心一笑的调侃，而今变成了软件测试行业的真实写照。由于软件测试行业入门门槛低，薪资报酬高，不断有新鲜血液冲刷着软件测试行业的“前行者”们，给我们带来了非常大的压力。 那些入行几年，但是依然是功能测试的同学所面临的的压力可想而知。说到底，软件测试行业还是属于技术岗位。既然是技术岗位，那就要靠技术说话。不断掌握新的技能，提高软件测试“找bug”的能力也就变成了目前软件测试从业人员迫在眉睫需要解决的问题。因此，现在大部分初级功能测试人员都在向自动化、性能、安全靠拢。 但是还是有不少的软件测试工程师站在“十字路口”迷茫、无助，找不到自己的方向。 image 一切的迷茫都是因为想得太多而做的太少！每位软件测试行业从业者都能意识到目前自己面临的窘境，但能及时作出改变，顺应时代变化的人还是太少。多数人明明“泰山崩于前而面色如土”却只能眼睁睁看着自己被行业淘汰吗？ image 并不是