自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

曹世宏的博客

记录一些学习资料

  • 博客(252)
  • 论坛 (1)
  • 收藏
  • 关注

原创 在大型数据中心使用BGP进行路由(翻译自RFC7938)

本文是在看RFC7938《 Use of BGP for Routing in Large-Scale Data Centers》是翻译整理的资料。主要讲述了在大型数据中心使用BGP进行路由。原文链接:https://tools.ietf.org/rfc/rfc7938.txt摘要一些网络运营者建立和运营数据中心,支持超过10万台服务器。在本文中,这样的数据中心被称为“大型(larg...

2020-04-23 16:21:31 2850

原创 BGP in the datacenter, 数据中心的BGP,数据中心网络架构,Clos网络架构

数据中心的BGP说明:这是最近在学习《BGP in the datacenter》。由于原文是全英文。所以在学习过程中,利用谷歌翻译和网易翻译,再把翻译不通的地方,加上自己理解稍微改了改。在此共享出来,需要的人可以参考参考。原文链接:https://www.oreilly.com/library/view/bgp-in-the/9781491983416/前言这本小册子是我在与大大...

2020-04-18 16:22:29 4318 3

原创 字节跳动内推码 春招 社招

字节跳动内推码校招内推码内推链接:字节跳动校招内推码: YYG5KEY投递链接: https://jobs.toutiao.com/s/e1pWdg8社招内推链接:https://job.toutiao.com/s/e1pKenC

2021-02-24 21:51:29 261

原创 Tacacs-配置single-connection单连接模式证测试与总结

其他文章:Tacacs+协议原理Tacacs+服务搭建与配置详解Tacacs+各厂商交换机配置Tacacs+协议交互报文抓包示例Tacacs+双通道认证配置测试与总结Tacacs+配置single-connection单连接模式证测试与总结Tacacs+ single-connection单连接模式测试经测试单连接模式真正实现的效果就是:不论有多少用户同时登陆一台网络设备,不论同时执行多少条命令,设计到的认证,授权,计费报文都在同一个TCP连接中传输。单连接模式相关概念:单连..

2020-12-27 22:53:32 266

原创 Tacacs-双通道认证配置测试与总结

其他文章:Tacacs+协议原理Tacacs+服务搭建与配置详解Tacacs+各厂商交换机配置Tacacs+协议交互报文抓包示例Tacacs+双通道认证配置测试与总结Tacacs+配置single-connection单连接模式证测试与总结背景一般在网络组网中,从可靠性来说,一般主要的网络设备都有两个管理地址:一个是loopback的逻辑地址,主要用于OSPF,BGP等路由协议配置Router-id等,也可以用于远程管理设备。loopback在网络中主要是通过路由协议的传播..

2020-12-27 22:47:20 225

原创 如何在交换机上抓包

在交换机上抓包,一般可排查一些网络问题。下面是总结的在各厂商交换机上抓包方式。H3C交换机抓包:在华三交换机上可使用:packet-capture 命令,在用户视图下执行。具体操作可查看这:https://www.h3c.com/cn/d_202009/1327093_30005_0.htm#做流统匹配抓包流量acl advanced 3000description test rule 0 permit ip source 192.168.1.1 0 destination 192.168

2020-11-20 21:31:55 3571 5

原创 WireGuard基本原理

WireGuard:下一代内核网络隧道摘要:WireGuard是一个安全的网络隧道,在第3层运行,作为Linux的内核虚拟网络接口实现,其目标是在大多数情况下取代IPsec,以及流行的用户空间和/或基于tls的解决方案,如Openvnp,同时更安全、性能更高且更易于使用。虚拟隧道接口基于安全隧道的基本原则:对等公钥和隧道源IP地址之间的关联。它使用基于NoiseIK的单次往返密钥交换,并使用新的计时器状态机机制对用户透明地处理所有会话创建。短的预共享静态密钥(Curve25519点)用于OpenSSH风

2020-11-13 19:50:01 2604

原创 Tacacs-协议交互报文抓包示例

其他文章:Tacacs+协议原理Tacacs+服务搭建与配置详解Tacacs+各厂商交换机配置Tacacs+协议交互报文抓包示例tacacs+协议报文抓包示例如果使用wireshark对tacacs+报文进行抓包,需要将tacacs+服务器的tac_plus服务监听端口设置为49,这是为tacacs+分配的默认端口,TCP 49。此时,会将TCP 49端口的报解码为tacacs+报文。否则,看到的都是TCP交互报文。实验拓扑:本次实验在eve-ng仿真环境中进行测试,可测试..

2020-10-06 22:11:24 639 1

原创 Tacacs-各厂商交换机配置

其他文章:Tacacs+协议原理Tacacs+服务搭建与配置详解Tacacs+各厂商交换机配置Tacacs+协议交互报文抓包示例以下为整理的常见厂商的交换机tacacs+认证配置。交换机配置Tacacs+认证思路交换机全局开启Tacacs+认证配置tacacs+认证模板,主要配置tacacs+认证的服务器地址,端口,密钥。配置tacacs+的认证,授权,计费列表全局内调用tacacs+认证方式vty,console下调用tacacs+认证方式华为交换机tacacs+认..

2020-10-06 22:03:44 663

原创 Tacacs-服务搭建与配置详解

其他文章:Tacacs+协议原理Tacacs+服务搭建与配置详解Tacacs+各厂商交换机配置Tacacs+协议交互报文抓包示例简介tac_plus是TACACS +守护程序。它为网络设备和访问服务器提供身份验证,授权和计费服务。(authentication, authorisation and accounting)此版本是原始Cisco源代码的主要重写。主要功能包括:NAS特定的主机密钥,提示,开启密码与NAS和ACL相关的组成员身份用于用户配置文件的灵活的外部后端(..

2020-10-06 22:00:14 1663 4

原创 Tacscs-协议原理

参考资料:https://tools.ietf.org/html/draft-ietf-opsawg-tacacs-18TACACS+ 简介本文档介绍了(Terminal Access Controller Access-ControlSystem Plus )终端访问控制器访问控制系统增强版(TACACS +)协议。 它最初被构想为通用的身份验证,授权和计费(AAA)协议。 它在当今得到了广泛的部署,但主要限于AAA(Authentication, Authorization and Acco..

2020-09-02 23:31:02 679

原创 光纤学习总结

光纤简介光纤概念:光导纤维(英语:Optical fiber),简称光纤,是一种由玻璃或塑料制成的纤维,利用光在这些纤维中以全内反射原理传输的光传导工具。微细的光纤封装在塑料护套中,使得它能够弯曲而不至于断裂。通常光纤的一端的发射设备使用发光二极管或一束激光将光脉冲发送至光纤中,光纤的另一端的接收设备使用光敏组件检测脉冲。包含光纤的线缆称为光缆。由于信息在光导纤维的传输损失比电在电线传导的损耗低得多,更因为主要生产原料是硅,蕴藏量极大,较易开采,所以价格很便宜,促使光纤被用作长距离的信息传递介质。

2020-08-27 00:10:44 1812

原创 MPLS技术原理

BGP/MPLS IP简介BGP/MPLS IP [Virtual Private Network]是一种L3[Virtual Private Network](Layer 3 Virtual Private Network)。它使用BGP(Border Gateway Protocol)在服务提供商骨干网上发布[Virtual Private Network]路由,使用MPLS(Multiprotocol Label Switch)在服务提供商骨干网上转发[Virtual Private Network

2020-08-25 22:53:59 41453 6

原创 SSL技术原理

SSL详解建议直接看这:https://cshihong.github.io/2019/05/11/SSL-VPN%E6%8A%80%E6%9C%AF%E5%8E%9F%E7%90%86/SSL [虚拟专用网络]的技术主要用到了SSL技术。有关SSL具体技术,可以参考:SSL/TLS协议详解SSL [虚拟专用网络]简介SSL [虚拟专用网络]是以SSL协议为安全基础的[虚拟专用网络]远程接入技术,移动办公人员(在SSL [虚拟专用网络]中被称为远程用户)使用SSL [虚拟专用网络]可以安全

2020-08-25 19:20:08 10229 2

原创 光模块学习总结

光模块简介什么是光模块:光模块(Optical Module)作为光纤通信中的重要组成部分,是实现光电转换和电光转换功能的光电子器件。准确来说,光模块是几种类别的模块的统称,具体包括:光发送模块Transmitter、光接收模块Receiver、光收发一体模块Transceiver和光转发模块Transponder。通常我们所说的光模块,一般是指光收发一体模块(下同)。工作原理:光模块工作在OSI模型的物理层,是光纤通信系统中的核心器件之一。它主要由光电子器件(光发射器、光接收器)、功能电路和光(

2020-08-23 00:48:28 4323

原创 数据中心交换机芯片学习总结
原力计划

交换机分类交换机按照品牌可以分为品牌交换机、裸机交换机、白盒交换机。品牌交换机厂商主要有 Cisco、Huawei、HPE 等;裸机交换机主要是台湾企业,包括 Accton,Quanta QCT,Alpha Networks 和 Delta Computer 等公司,这些公司还是许多主流交换机供应商的原始设计制 造商(ODM);白盒交换机相当于你是打包购买了一个裸机交换机和一个操作系统,主要 厂商有 Juniper、Arista、星网锐捷等。对比:交换机芯片交换机芯片的主要功能:交换芯

2020-07-18 18:30:03 5826 2

原创 数据库审计系统基本原理与部署方式

数据库审计系统简介什么是数据库审计?数据库审计是记录数据库被访问行为的日志系统。访问数据库的一般有两种行为,一种是应用服务区的访问,一种是数据库运维人员的访问。数据库审计(简称DBAudit)能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。数据库审计是数据库安全技术之一,数据库

2020-06-17 12:10:39 2117

原创 大学四年总结与感悟及给刚上大学的同学的一些建议
原力计划

以下是我即将毕业,对自己大学四年生活的一个阶段性总结,以及给刚上大学的一些同学的建议。仅仅是个人意见,仅供参考。本人能力有限,各位大佬们勿喷。主要是刚上大学的学生可以参考下。先来个自我介绍​ 曹世宏,男,来自一所普通二本院校,大学本科专业网络工程。大学期间主要学习方向路由交换与网络安全。大四期间在安恒,小米实习了近一年。目前准备入职字节跳动,职位是数据中心的网络工程师。个人博客:https://cshihong.github.io/ https://blog.csdn.net/qq_3826.

2020-06-16 19:27:28 6119 10

原创 日志审计系统的基本原理与部署方式

日志审计系统简介什么是日志审计?综合日志审计平台,通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。通过日志审计系统,企业管理员随时了解整个IT系统的运行情况,及时发现系统异常事件;另一方面,通过事后分析和丰富的报表系统,管理员可以方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障,日志审计系统

2020-06-16 16:43:56 3535

原创 堡垒机(运维审计系统)的基本原理与部署方式
原力计划

堡垒机简介堡垒机是什么?堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。[百度百科解释]堡垒机目前也有很多叫运维审计系统。简单总结一句话:堡垒机是用来控制哪些人可以登录哪些资产(事先防范和事中控制),以及录像记录登录资产后做了什么事情(事后溯源.)堡垒机的核心是可控及审计。可控是指权限可控、行为可控。权限可控,比如某个工程

2020-06-15 10:58:10 5826 2

原创 IPSec基本原理

IPSec简介为什么要实施?实施的最大动机是省钱。虚拟专用网络的分类:虚拟专用网分类方法很多。**站点到站点的虚拟专用网 **ATM,Rrame Relay, GRE, MPLS 虚拟专用网 , **IPSec 虚拟专用网 **。常用的是IPSec 虚拟专用网 。远程拨号虚拟专用网 。IPSec 虚拟专用网 , PPTP, L2TP + IPSec, **SSL 虚拟专用网 **。常用的是SSL 虚拟专用网。什么是IPSec?IPSec(Internet Protocol

2020-06-14 10:45:48 18024 2

原创 WAF基本原理与部署方式

WAF介绍WAF是什么?WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF。国际上公认的一种说法是:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。WAF常见的部署方式: WAF常见部署方式WAF一般部署在Web服务器之前,用来保护Web应用。那么WAF能做什么?WAF可以过滤HTTP/HTTPS协议流量,防护Web攻击。WAF可以对Web应用进行安全审计WAF可以防止CC攻击应用

2020-06-14 10:34:16 5520 2

原创 SSL协议原理详解

SSL 可参考:SSL技术原理SSL简介SSL和TLS:SSL (Secure Sockets Layer)安全套接层。是由Netscape公司于1990年开发,用于保障Word Wide Web(WWW)通讯的安全。主要任务是提供私密性,信息完整性和身份认证。1994年改版为SSLv2,1995年改版为SSLv3.TLS(Transport Layer Security)安全传输层协...

2020-04-18 19:08:30 23706

原创 BGP知识手册-华为-华三-思科

备注:以下资料整理自以下三个网站,有华为,华三,思科三个厂商官网的BGP相关资料。放这里是为了自己查看方便。同时,有需要的可以参考参考。官方文档BGP相关资料:华为:https://support.huawei.com/hedex/hdx.do?docid=EDOC1100101225&lang=zh&idPath=24030814|21782165|21782236|2...

2020-04-18 13:15:43 2955

原创 python通过nmap扫描在线设备并尝试AAA登录

如果管理网络设备很多,不可能靠人力每天去登录设备去查看是否在线。所以,可以利用python脚本通过每天扫描网络中的在线设备。可以部署在服务器上做成定时任务,每天发送AAA巡检报告。下面是我写的一个python练手小程序。用来扫描一个网段中的在线主机,并尝试AAA去登录。统计一个大网段内可以成功aaa登录的主机。注意:该程序只是测试小程序,还有些小bug需要解决。不是通用的程序。主要提供一...

2019-12-29 19:51:15 953

原创 python通过xlrd读取Excel表格和Template批量生成配置

当需要配置的网络设备很多的时候,不可能都通过手动去配置。此时则需要利用脚本来批量生成配置。从而既保证了配置的准确性,也提高了配置的效率。可以利用python的xrld库来读取execl表格,利用String库的Template模板来配合批量生成配置。Template模板替换:主要利用Template的substitute(config)方法进行替换。substitute(mapping[,...

2019-12-29 19:50:39 908

原创 python网络自动化netconf配置模块ncclient学习笔记

ncclient介绍ncclient简介:ncclient是一个用于NETCONF客户端的Python库。它旨在体用一个直观的API,将NETCONF的XML编码特性映射到Python构造和习语,并使编写网络管理脚本更容易。其他主要功能有:支持RFC 4741中定义的所有操作和功能。管道请求。异步RPC请求。保持XML的方式,除非真正需要变更。扩展。可以轻松添加新的传输映射和功能...

2019-12-29 18:19:12 6755 2

原创 Netconf协议学习笔记

Netconf简介网络配置协议NETCONF(Network Configuration Protocol)提供一套管理网络设备的机制,用户可以使用这套机制增加、修改、删除网络设备的配置,获取网络设备的配置和状态信息。通过NETCONF协议,网络设备可以提供规范的应用程序编程接口API(Application Programming Interface),应用程序可以直接使用这些API,向网络设...

2019-12-29 18:18:03 6728 2

原创 IPy-IPv4和IPv6地址处理模块学习笔记

在日常网络规划中,会有很多关于IP地址的分配规划问题,如果是手动分配,在量很大的情况下,容易出错。而利用IPy这个python模块,可以很容易实现对iP地址的分配等操作。*IPy-用于处理IPv4和IPv6地址和网络的类和工具。

2019-12-01 22:51:56 1445

原创 Yarn技术原理

Yarn的基本介绍Yarn基本定义:Apache Hadoop YARN(Yet Another Resource Negotiator,另一种资源协调者)是一种新的Hadoop资源管理器,它是一个通用资源管理系统,可为上层应用提供统一的资源管理和调度,它的引入为集群在利用率、资源统一管理和数据共享等方面带来的巨大的好处。YARN在产品中的位置:图:Yarn在Fusio...

2019-11-16 17:02:07 2252

原创 Flume技术原理

Flume简介Flume概述:Flume是开源日志系统。是一个分布式、可靠性和高可用的海量日志聚合系统,支持在系统中定制各类数据发送方,用于收集数据;同时,FLume提供对数据进行简单处理,并写到各种数据接收方(可定制)的能力。Flume是什么?Flume是流式日志采集工具,FLume提供对数据进行简单处理并且写到各种数据接收方(可定制)的能力,Flume提供从本地文件(s...

2019-11-16 16:59:39 4733

原创 Kali基本扫描工具

Fping工具的使用fping简介:fping是一个小型命令行工具,用于向网络主机发送ICMP回应请求,类似于ping,但在ping多个主机时性能要高得多。fping完全不同于ping,因为可以在命令行上定义任意数量的主机,或者指定包含要ping的IP地址或主机列表的文件。与ping要等待某一主机连接超时或发回反馈信息不同,fping给一个主机发送完数据包后,马上给下一个主机发送数据包,实...

2019-10-03 22:40:04 2748

原创 nmap扫描工具学习笔记

参考文档:2019.3_Kali man namp手册。Namp简介Namp概述:nmap - 网络探测工具和安全/端口扫描器Namp是一个综合性的工具,并且特性丰富的端口扫描工具。Nmap (“Network Mapper(网络映射器)”) 是一款开放源代码的 网络探测和安全审核的工具。它的设计目标是快速地扫描大型网络,当然用它扫描单个 主机也没有问题。Nmap以新颖的方式使用原...

2019-10-03 22:39:34 785

原创 华为HCIE-Security考试心得

HCIE考试心得在此记录下我的HCIE成长之路。从2016年刚上大学对网络的一无所知,到2019-09-09一次通过HCIE-Security认证的一次记录与总结。也是对我一个阶段的一次学习总结。对HCIE的认识:因为从小对计算机技术的热爱,特别羡慕那电影里的电脑高手,对着屏幕,可以快速敲击键盘,来控制电脑做各种事情。 大学专业报考了网络工程。还记得从前一直对各种事情都充满了好奇。电话...

2019-10-02 13:29:40 22329 30

原创 OS命令注入学习笔记

OS命令注入调用OS命令引起的安全隐患:Web开发所使用的编程语言中,大多数都能通过Shell执行OS(操作系统)命令。通过Shell执行OS命令时,或者开发中用到的某个方法其内部利用了Shell时,就有可能出现OS命令被任意执行的情况。这种现象被称为OS命令注入。安全隐患产生的原因:内部调用OS命令的函数以及系统调用(System Call)中,多数都通过Shell来启动命令。Shell...

2019-09-22 14:41:35 3163

原创 文件处理相关问题

文件处理相关问题概述:在有些Web应用中,外界能够通过传入参数的形式来指定服务器中的文件名。比如由外界参数来指定模板文件的情况。这样的Web应用可能会招致以下攻击。非法访问Web服务器内的文件(目录遍历)调用OS命令(OS命令注入)目录遍历漏洞:Web应用中允许外界以参数的形式来指定服务器上的文件名时,如果没有对文件名进行充分的校验 ,就可能会造成意料之外的问题,比如文件被浏览、篡...

2019-09-22 14:41:05 283

原创 Cookie输出相关的安全隐患

Cookie输出相关问题Cookie的使用不当:Web应用中需要存储包含多个网页的信息时,一般会使用PHP或Servlet容器等提供的会话管理机制。通常情况下,会话管理机制仅将会话ID保存至Cookie,而将数据本身保存在Web服务器的内存或者文件、数据库中。如果在Cookie中保存了不该保存的数据,就有可能会产生安全隐患。不该保存在Cookie中的数据:**外界无法更改会话变量,而应用的...

2019-09-22 14:40:35 359

原创 重定向相关的安全隐患

重定向相关的安全隐患隐患来源:Web应用中有时会重定向至外界指定的URL。典型的案例为,在登录页面的参数中指定URL,登录成功后再重定向至该URL。比如:使用以下URL登录Googe后,就会重定向到continue=指定的URL(此处为Gmail)。https://www.goole.com/accounts/ServiceLogin?continue=https://mail.goole...

2019-09-22 14:40:04 1429

原创 SQL注入学习笔记

SQL注入基础SQL注入介绍:SQL注入漏洞是由于SQL语句的调用方法不完善而产生的安全隐患。一旦应用中存在SQL注入漏洞,就可能造成如下影响。值得注意的是,以下影响中攻击者都能够直接对服务器实施主动攻击,而不需要用户参与。数据库内的信息全部被外界窃取数据库中的内容被篡改登录认证绕过(应用程序登录不需要用户名和密码)其他,例如服务器上的文件被读取或修改、服务器上的程序被执行等。S...

2019-09-22 14:39:33 407

原创 CSRF攻击学习笔记

CSRF攻击简介关键处理中引入的安全隐患:Web应用中,用户登录后执行的操作中有些处理一旦完成就无法撤销。比如用户使用信用卡支付、从用户的银行账号转账、发送邮件、更改密码或邮箱地址等都是关键处理的典型案例。关键处理中如果存在安全隐患,就会产生名为**跨站请求伪造(Cross-Site Request Forgeries,简称CSRF)**的漏洞。CSRF介绍:在执行关键处理前,需要确认该...

2019-09-22 14:39:09 263

空空如也

曹世宏的博客的留言板

发表于 2020-01-02 最后回复 2020-07-02

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人 TA的粉丝

提示
确定要删除当前文章?
取消 删除