NetWork Security Essentials

在过去的十几年中,一个机构内部对信息安全的要求经历了两个重大变革。在广泛应用数据处理设备之前,对机构非常重要的信息安全保障主要是靠武力管理的方法实现的。前者的一个例子是用于存储敏感文档的带有组合锁的档案柜的应用。而后者的一个例子是在聘用过程中使用的人事屏蔽步骤。

在引入计算机之后,对于用来保护存储在计算机的文件和其他信息的自动工具的需求变得显而易见。对于共享系统更是如此,例如分时共享系统,对于能通过公共电话网络、数据网络或者互联网访问的系统而言这种需求更加迫切。用于保护数据安全和防范黑客工具集合的通用名称便是计算机安全。

服务器集群负载均衡与DDOS防御

2018年05月23日

最近网站频繁受到DDOS攻击,最高的时候是31.1G的流量。遭受到如此大的流量攻击,导致服务器提供商将所有流量都进入黑洞。服务器封停8小时,这简直是无法忍受的。为了保证网络安全,网站稳定,准备采用CDN+负载均衡的方式来使网站稳定运行。CDN已经部署完成,但是负载均衡现在看来对于防御DDOS Flow防御是没有什么效果的,原因在于:1、如果要做syn flow攻击,最合适的是做DNS负载均衡,参考...

CDN安全小结

2018年05月23日

CDN作为反向代理服务器,除非操作系统或者反向代理软件爆出严重的漏洞,其本身是不存在较大的安全问题的。扫描CDN服务器的端口往往会发现只开了80(http)和443(https),而这两个端口又不运行动态脚本,作为攻击者很难从这里下手。尽管CDN服务器看起来固若金汤,但是攻击CDN可以从CDN运行逻辑入手。CDN安全主要出现在环路攻击上,一旦流量形成环,则整个CDN会带着流量不断消耗自身的资源,造...

为何 shadowsocks 要弃用一次性验证 (OTA)

2018年01月29日

前些天,shadowsocks 提出了 SIP004 草案,旨在使用 AEAD 算法 取代原先的不安全的 流加密 + OTA,并弃用了一次性验证 (OTA)。新协议的提出对于 shadowsocks 是一个非常非常重大的改进,因此我写了这篇博文为看不懂洋文的朋友们科普一下「为什么 OTA 会被这么快被弃用」以及「为什么应该使用新协议」。一、OTA 是什么OTA(One Time Auth,一次性验...

网络战(Inside.Cyber.Warfare.2nd.Edition)

2017年11月24日

Since the first edition of Jeffrey Carr’s Inside Cyber Warfare: Mapping the CyberUnderworld was published, cyber security has become an increasing strategic andeconomic concern. Not only have major co...

数字证书文件格式(cer和pfx)的区别

2017年10月27日

作为文件形式存在的证书一般有这几种格式:  1.带有私钥的证书  由Public Key Cryptography Standards #12,PKCS#12标准定义,包含了公钥和私钥的二进制格式的证书形式,以pfx作为证书文件后缀名。  2.二进制编码的证书  证书中没有私钥,DER 编码二进制格式的证书文件,以cer作为证书文件后缀名。  3.Base64编码的证书证书中没有私钥,BASE64...

Upload Attack Framework Framework Framework Framework

2017年10月02日

上传文件除了通过本地验证,还需要服务器端验证,本文主要讲了文件上传如何绕过客户端检测,直接上传到服务器。喜欢的朋友可以看一下:

HTTPS那些事(三)攻击实例与防御

2017年09月29日

在《HTTPS那些事(二)SSL证书》我描述了使用SSL证书时一些需要注意的安全问题,在这一篇文章里面我再演示一下针对HTTPS攻击的一些实例,通过这些实例能更安全的使用HTTPS。知己知彼百战不殆。先说一下我的测试环境,WIFI局域网,两台计算机,其中一台是Windows 7用于发起攻击。另一台测试机用于测试攻击,配置为Windows XP SP3,IE8,Chrome 17。在开始之前,再回顾...

Step by Step 配置使用HTTPS的ASP.NET Web应用

2017年09月29日

本文将演示如何在IIS中配置一个HTTPS的ASP.NET Web Application。 (1)打开Internet Information Services (IIS) Manager(2)创建一个Self-Signed CertificateA self-signed certificate is an identity certificate that is signed by its ...