端口隔离

信息收集 服务器的相关信息（真实ip，系统类型，版本，开放端口，WAF等） 网站指纹识别（包括，cms，cdn，证书等），dns记录 whois信息，姓名，备案，邮箱，电话反查（邮箱丢社工库，社工准备等） 子域名收集，旁站，C段等 google hacking针对化搜索，pdf文件，中间件版本，弱口令扫描等 扫描网站目录结构，爆后台，网站banner，测试文件，备份等敏感文件泄漏等 传输协议，通用漏洞，exp，github源码等 漏洞挖掘 浏览网站，看看网站规模，功能，特点等 端口，弱口令，目录等扫描,对响应的端口进行漏洞探测，比如 rsync,心脏出血，mysql,ftp,ssh弱口令等。 XSS，SQL注入，上传，命令注入，CSRF，cookie安全检测，敏感信息，通信数据传输，暴力破解，任意文件上传，越权访问，未授权访问，目录遍历，文件 包含，重放攻击（短信轰炸），服务器漏洞检测，最后使用漏扫工具等 漏洞利用 | 权限提升 mysql提权，serv-u提权，oracle提权 windows 溢出提权 linux脏牛,内核漏洞提权e 清除测试数据 | 输出报告 日志、测试数据的清理 总结，输出渗透测试报告，附修复方案 复测 验证并发现是否有新漏洞，输出报告，归档 问题 在渗透过程中，收集目标站注册人邮箱对我们有什么价值？ 丢社工库里看看有没有泄露密码

搭建OpenStack平台或者维护OpenStack平台会用到一些交叉性的网络知识，一部分和Linux操作系统的配置有关、一部分和交换机、路由器、网桥等网络设备有关。当然，和网络有关的部分并不会涉及的特别深入，仍以基本操作为主，毕竟OpenStack平台本质上仍旧是一个以软件为中心的OS级底层平台。 在使用OpenStack平台时，我们会在日常维护过程中频繁使用到这几个概念：网卡接口、网桥、VLAN、VXLAN、命名空间与名字空间、GRE。 网卡，指的是Linux系统中的 Ethnet，是一个物理接口，也可以通过虚拟软件模拟生成。 网卡管理工具 ethtool 安装： Ubuntu：apt-get install -y ethtool CentOS：yum install -y ethtool 操作： ethtool -s DEVICENAME autoneg off speed NUMBER duplex full / 设置网卡以某个速度开启全双工 / Ubuntu:网卡配置文件是 /etc/network/interfaces ethtool eth0 / 查看网考eth0的信息 / /etc/init.d/networking restart / 重启网络服务 / 配置网卡eth2 的子接口 eth2:0 ，编辑eth2的配置文件如下｛ auto eth2 iface

原文地址： 梁桂钊的博客 博客地址： http://blog.720ui.com 欢迎关注公众号：「服务端思维」。一群同频者，一起成长，一起精进，打破认知的局限性。 一、欢迎来到 Docker 世界 1. Docker 与虚拟化 在没有 Docker 的时代，我们会使用硬件虚拟化（虚拟机）以提供隔离。这里，虚拟机通过在操作系统上建立了一个中间虚拟软件层 Hypervisor ，并利用物理机器的资源虚拟出多个虚拟硬件环境来共享宿主机的资源，其中的应用运行在虚拟机内核上。但是，虚拟机对硬件的利用率存在瓶颈，因为虚拟机很难根据当前业务量动态调整其占用的硬件资源，因此容器化技术得以流行。其中，Docker 是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的 Linux 机器上。 Docker 容器不使用硬件虚拟化，它的守护进程是宿主机上的一个进程，换句话说，应用直接运行在宿主机内核上。因为容器中运行的程序和计算机的操作系统之间没有额外的中间层，没有资源被冗余软件的运行或虚拟硬件的模拟而浪费掉。 Docker 的优势不仅如此，我们来比较一番。 特性 Docker 虚拟机 启动速度 秒级 分钟级 交付/部署 开发、测试、生产环境一致 无成熟体系 性能 近似物理机 性能损耗大 体量 极小（MB） 较大（GB） 迁移/扩展 跨平台，可复制

运用Ntop监控网络流量 ____ 网络流量反映了网络的运行状态，是判别网络运行是否正常的关键数据，在实际的网络中，如果对网络流量控制得不好或发生网络拥塞，将会导致网络吞吐量下降、网络性能降低。通过流量测量不仅能反映网络设备（如路由器、交换机等）的工作是否正常，而且能反映出整个网络运行的资源瓶颈，这样管理人员就可以根据网络的运行状态及时采取故障补救措施和进行相关的业务部署来提高网络的性能。对网络进行流量监测分析，可以建立网络流量基准，通过连接会话数的跟踪、源/目的地址对分析、TCP流的分析等，能够及时发现网络中的异常流量，进行实时告警，从而保障网络安全。本节将介绍的Ntop便可以提供详细的网络流量明细表。在Ossim系统中集成了Ntop可以直接使用。 1．Ntop简介 ____ Ntop是一种监控网络流量的工具，用NTOP显示网络的使用情况比其他一些网管软件更加直观、详细。NTOP甚至可以列出每个节点计算机的网络带宽利用率。 2.Ntop主要功能 Ntop主要提供以下一些功能： ①.自动从网络中识别有用的信息； ②.将截获的数据包转换成易于识别的格式； ③.对网络环境中通信失败的情况进行分析； ④.探测网络环境中的通信瓶颈,记录网络通信的时间和过程。 ____ Ntop可以通过分析网络流量来确定网络上存在的各种问题；也可以用来判断是否有黑客正在攻击网络系统

本文首发于 vivo互联网技术 微信公众号 链接： https://mp.weixin.qq.com/s/gk-Hb84Dt7JqBRVkMqM7Eg 作者：张文博 领域驱动设计（Domain Driven Design，DDD）其实并非新理论，大家可以看看 Eric Evans 编著的《领域驱动设计》原稿首版是2003年，距今已十余年时间。与现在的分布式、微服务相比，绝对是即将步入中年的“老家伙”了。 直到近些年微服务理论被提出、被互联网行业广泛使用，人们似乎又重新发现了领域驱动设计的价值。所以看起来也确实是因为微服务，领域驱动设计才迎来了第二春。 不过我发现大家对DDD也存有一些误区，使其渐渐成了一门“高深的玄学”，随之又被大家束之高阁。我本人在过去两年多的时间里，研读过多本DDD相关的经典论著、也请教过一些资深DDDer，并在项目中实践过。 不过在初步学习、实践之后我又带着疑问与自己的思考重新读了一遍相关的著述理论。逐渐领悟到DDD作为一种思想，其实离我们很近。 我把自己的学习过程、思考编写成系列文章，与大家一起探讨学习，希望大家能够有所收获，当然其中不正确的地方也欢迎大家批评指正。 同时，在文章中我也会引用相关的论著或者一些我认为不错的案例素材，权当是我们对这些知识的详细诠释，在这里一并对这些DDD前辈的不倦探索表示感谢。 （DDD相关的经典论著） 一、关于DDD的误区

FTP支持两种模式，一种方式叫做Standard主动方式，缺省时默认的方式，一种是 Passive 被动方式。 下面介绍一个这两种方式的工作原理： 主动模式 ：第一步FTP客户端首先随机选择一个大于1024的端口p1，并通过此端口发送请求连接到FTP服务器的21号端口建立TCP连接，在FTP中这个连接叫做控制连接，连接成功建立后，FTP客户端会发送port命令，紧接着FTP客户端会监视自己的p1+1端口，FTP服务器接收到port命令会从自己的20号端口向FTP客户端的p1+1端口发起请求建立TCP连接，这个连接叫做数据连接，用来发送数据，数据传输完毕后数据连接随即关闭，控制连接保持开启。 被动模式 ：在建立控制连接的时候和主动模式类似，但建立连接后发送的不是Port命令，而是Pasv命令。FTP服务器收到Pasv命令后，随机打开一个临时端口（也叫自由端口，端口号大于1023小于65535）并且通知客户端在这个端口上传送数据的请求，FTP客户端发送请求连接FTP服务器此端口，成功建立连接后FTP服务器将通过这个端口进行数据的传送数据传输完毕后数据连接随即关闭，控制连接保持开启。 因为很多防火墙在设置的时候都是不允许接受外部发起的连接的，所以许多位于防火墙后或内网后的FTP客户端不支持主动模式，因为服务器无法穿过防火墙或者无法连接到NAT后的客户端。 至此，找到了原因

本文主要谈谈关于主机网络和容器网络的实现原理！ 容器资源限制 在某些时候我们不想让容器肆无忌惮的抢占系统资源，所以就会对其做一系列的限制，这些参数可以使用蛮力查看到： docker container run --help 主要的限制参数包含以下这些： --cpu-shares ：CPU 使用占比，如一个容器配置 10，一个配置 20，另外一个配置 10，那就是资源分配：1:2:1。 --memory ：限制内存，比如配置 200M，但是如果不配置 swap，则实际内存其实是 400M。 --memory-swap ：限制 swap，结合内存限制使用。 虚拟机网络名称空间（选择性了解） docker 网络隔离的实现方式其实就是网络名称空间的方式，但是这方面的知识其实对于就算是运维工程师也不一定有详细的了解，所以这部分内容作为选择性了解。简单的对其实现方式说明，然后看看效果是怎样的。 1. 建立两个网络名称空间： # 查看现有的网络名称空间 ip netns ls # 新建两个网络名称空间 ip netns add net-ns-1 ip netns add net-ns-2 # 在两个网络名称空间中分别查看它的网卡信息 ip netns exec net-ns-1 ip a ip netns exec net-ns-2 ip a 结果如图： 可以看到各自拥有一张回环网卡，并且未启动

本文将帮助你厘清在Kubernetes中调试 deployment的思路。下图是完整的故障排查思路，如果你想获得更清晰的图片，请在公众号后台（RancherLabs）回复“ troubleshooting ”。 当你希望在Kubernetes中部署一个应用程序，你通常需要定义三个组件： Deployment——这是创建名为Pods的应用程序副本的方法 Serivce——内部负载均衡器，将流量路由到Pods Ingress——可以描述流量如何从集群外部流向Service 接下来，我们通过图片快速回顾一下。 在Kubernetes中，你的应用程序通过两层负载均衡器暴露：内部和外部。 内部负载均衡器称为Service，而外部负载均衡器则称为Ingress。 Pod未直接部署，因此，Deployment创建Pod并监视它们。 假设你想部署一个简单的Hello World应用程序，那么对于此类应用程序，其YAML文件与以下类似： apiVersion: apps/v1 kind: Deployment metadata: name: my-deployment labels: track: canary spec: selector: matchLabels: any-name: my-app template: metadata: labels: any-name: my-app spec

本文首发于 vivo互联网技术 微信公众号 链接： https://mp.weixin.qq.com/s/gk-Hb84Dt7JqBRVkMqM7Eg 作者：张文博 领域驱动设计（Domain Driven Design，DDD）其实并非新理论，大家可以看看 Eric Evans 编著的《领域驱动设计》原稿首版是2003年，距今已十余年时间。与现在的分布式、微服务相比，绝对是即将步入中年的“老家伙”了。 直到近些年微服务理论被提出、被互联网行业广泛使用，人们似乎又重新发现了领域驱动设计的价值。所以看起来也确实是因为微服务，领域驱动设计才迎来了第二春。 不过我发现大家对DDD也存有一些误区，使其渐渐成了一门“高深的玄学”，随之又被大家束之高阁。我本人在过去两年多的时间里，研读过多本DDD相关的经典论著、也请教过一些资深DDDer，并在项目中实践过。 不过在初步学习、实践之后我又带着疑问与自己的思考重新读了一遍相关的著述理论。逐渐领悟到DDD作为一种思想，其实离我们很近。 我把自己的学习过程、思考编写成系列文章，与大家一起探讨学习，希望大家能够有所收获，当然其中不正确的地方也欢迎大家批评指正。 同时，在文章中我也会引用相关的论著或者一些我认为不错的案例素材，权当是我们对这些知识的详细诠释，在这里一并对这些DDD前辈的不倦探索表示感谢。 （DDD相关的经典论著） 一、关于DDD的误区

docker 文章目录 docker 1 Linux内核实现名称空间的创建 1.1 ip netns命令 1.2 创建Network Namespace 1.3 操作Network Namespace 1.4 转移设备 1.5 veth pair 1.6 创建veth pair 1.7 实现Network Namespace间通信 1.8 veth设备重命名 2 四种网络模式配置 2.1 bridge模式配置 2.2 none模式配置 2.3 container模式配置 2.4 host模式配置 3 容器的常用操作 3.1 查看容器的主机名 3.2 在容器启动时注入主机名 3.3 手动指定容器要使用的DNS 3.4 手动往/etc/hosts文件中注入主机名到IP地址的映射 3.5 开放容器端口 3.6 自定义docker0桥的网络属性信息 3.7 docker远程连接 3.8 docker创建自定义桥 1 Linux内核实现名称空间的创建 1.1 ip netns命令 可以借助ip netns命令来完成对 Network Namespace 的各种操作。ip netns命令来自于iproute安装包，一般系统会默认安装，如果没有的话，请自行安装。 注意：ip netns命令修改网络配置时需要 sudo 权限。 可以通过ip netns命令完成对Network Namespace