Apr
25
上大学时学校邀请一位成功人士到礼堂作讲座,讲座的间隙他让台下的学生写小纸条或者举手提问。有个同学举手问了这样一个问题:“以前你是一个生活落魄名不 见经传的在大街上摆小摊做小生意的小商贩,请问你走到今天拥有数亿资产的董事长的位子上,是什么支撑你走向成功?”
“很简单,没有什么 特别的窍门,别人只有一颗心,我无非是比别人多了四颗心而已。”他不失幽默地回答。
“哪四颗心啊?”提问的同学紧追不舍地发问。
“其 一,心宽似海;其二,心静如水;其三,心明如月;其四,心坚如钢。”董事长抑扬顿挫地回答。同学们专注地等待他详细阐述自己的“四心”。
他 喝了口茶展开讲述。
“大海里有惊涛骇浪,也有风平浪静的时候。我们好比撑船远航的水手,遇到惊涛骇浪的时候,就要不失时机地躲进 港湾,让自己免遭风暴的袭击。尽管风浪暂时不会停止,但我们不能悲观失望,要忍耐,既要容纳波浪洪流,又要以积极的心态接纳涓涓溪流,不拒众流方为沧海, 惊涛展开了大海的广阔,溪流衬托了大海的宽容,这就是心宽似海。”
礼堂里响起经久不息的掌声。
“心静如水,就是要风帆被大风刮破橹桨被海浪折断时保持一份从容镇定,临危不惧,紧紧抓牢信念这根橹桨,不断升起希望这面风帆。因为一切都是暂时的,好比乌云 遮不住太阳。大家对海明威的世界名著《老人与海》应该很熟悉,那个主人公老头说过,人可以被撕碎,但不可以被打倒,这就是心静如水的信念,这就是战无不胜 的法宝。一个人,如果信念都没有了,还能到达理想彼岸的目标吗?”
“生活中我们要与很多人打交道,为人处世,心态要正,处世要公,要堂堂正正,光明磊落,如同月亮,只有自身明亮了,才能把自己的光洁撒在周围,才能赢得大家的信赖。如果自身黑暗,怎么会有映照世界的光辉呢?桃李不言,下自成蹊,就是这个道理。所以,无论何时都要做到心明如月。”
“当然,做任何事情都不可能一帆风顺,大海上有许多船,我们哪里见过不 带伤的船?生活在南方水乡的同学可能会注意到,每一艘船的边缘尽管用铁链绑了许多厚实有弹性的塑胶轮胎,以防止外来的伤害碰撞,但许多船的边缘还是被碰撞 得凹陷、变形,如果船的边缘更坚硬些就不可能有更多的伤害了。郑板桥的那首诗你们应该不陌生,‘立根原在破岩中,咬定青山不放松。千磨万击还坚劲,任尔东 西南北风’。心坚如钢,就无坚不摧!”
他的妙语连珠使礼堂里掌声一阵接着一阵。
多少年过去了,现在容易 怀旧的我,经常翻阅那时的笔记和日记。每当心情低落的时候,看到笔记中记载的那四颗心,就有一股莫名的力量催我奋进,笑对生活中的一切。
“很简单,没有什么 特别的窍门,别人只有一颗心,我无非是比别人多了四颗心而已。”他不失幽默地回答。
“哪四颗心啊?”提问的同学紧追不舍地发问。
“其 一,心宽似海;其二,心静如水;其三,心明如月;其四,心坚如钢。”董事长抑扬顿挫地回答。同学们专注地等待他详细阐述自己的“四心”。
他 喝了口茶展开讲述。
“大海里有惊涛骇浪,也有风平浪静的时候。我们好比撑船远航的水手,遇到惊涛骇浪的时候,就要不失时机地躲进 港湾,让自己免遭风暴的袭击。尽管风浪暂时不会停止,但我们不能悲观失望,要忍耐,既要容纳波浪洪流,又要以积极的心态接纳涓涓溪流,不拒众流方为沧海, 惊涛展开了大海的广阔,溪流衬托了大海的宽容,这就是心宽似海。”
礼堂里响起经久不息的掌声。
“心静如水,就是要风帆被大风刮破橹桨被海浪折断时保持一份从容镇定,临危不惧,紧紧抓牢信念这根橹桨,不断升起希望这面风帆。因为一切都是暂时的,好比乌云 遮不住太阳。大家对海明威的世界名著《老人与海》应该很熟悉,那个主人公老头说过,人可以被撕碎,但不可以被打倒,这就是心静如水的信念,这就是战无不胜 的法宝。一个人,如果信念都没有了,还能到达理想彼岸的目标吗?”
“生活中我们要与很多人打交道,为人处世,心态要正,处世要公,要堂堂正正,光明磊落,如同月亮,只有自身明亮了,才能把自己的光洁撒在周围,才能赢得大家的信赖。如果自身黑暗,怎么会有映照世界的光辉呢?桃李不言,下自成蹊,就是这个道理。所以,无论何时都要做到心明如月。”
“当然,做任何事情都不可能一帆风顺,大海上有许多船,我们哪里见过不 带伤的船?生活在南方水乡的同学可能会注意到,每一艘船的边缘尽管用铁链绑了许多厚实有弹性的塑胶轮胎,以防止外来的伤害碰撞,但许多船的边缘还是被碰撞 得凹陷、变形,如果船的边缘更坚硬些就不可能有更多的伤害了。郑板桥的那首诗你们应该不陌生,‘立根原在破岩中,咬定青山不放松。千磨万击还坚劲,任尔东 西南北风’。心坚如钢,就无坚不摧!”
他的妙语连珠使礼堂里掌声一阵接着一阵。
多少年过去了,现在容易 怀旧的我,经常翻阅那时的笔记和日记。每当心情低落的时候,看到笔记中记载的那四颗心,就有一股莫名的力量催我奋进,笑对生活中的一切。
Apr
23
有一天,一个小职员正在赶着上班,这天他的公司有一个很重要的会议,会议中的表现关乎到他能否升职,所以不能迟到。无奈他的闹钟却在今晨坏掉了,最糟 糕的是还有二十分钟会议便要开始了。
小职员唯有改乘出租车,希望能赶得及参加会议。
好不容易才给他截到了一 辆出租车,匆匆忙忙上车后,他便对司机说:“司机先生,我很赶时间,拜托你走最短的路!”
司机问道:“先生,是走最短的路,还是走 最快的路?”
小职员好奇地问:“最短的路不是最快的吗?”
“当然不是,现在是繁忙时间,最短的路都会交通挤 塞。你要是赶时间的话便得绕道走,虽然多走一点路,却是最快的方法。”
听见了司机的话,小职员最后还是选择走了最快的路。途中他看 见不远处有一条街道交通挤塞得水泄不通,司机解释说那条正是最短的路。司机所言没差,多走一点路果然畅通无阻,虽然路程较远,多花了点时间,却很快便到达 目的地。
小职员最终也赶得上会议,还升了职当部门主任。
人总喜欢走快捷方式、希望不劳而获,还以为走快捷方 式可以用最小的体力最快到达目的地。所以现今满眼所见到的是:马场、六合彩永远不乏投注的人龙,澳门葡京从来不缺出手阔绰的赌徒,补习班亦向来不愁没有学 生光顾。
然而,快捷方式虽然是最短的路,却未必是最快的。你有看过多少赌徒从不工作却因为赌博而成为富翁?你又有见过有多少学生从 不上学却因为上补习班而考得十优的成绩?
相反,因为走快捷方式而赔上时间、金钱甚至是生命的,我倒见过不少。年中就有不少人因为嗜 赌而欠下高利贷,最后不但家破人亡,还赔上宝贵的性命。
所以说,快捷方式并不好走,不但荆棘满途,而且充满危险,也没人可以保证你 走的路一定可到达终点。
走长一点的路虽然会累一点,吃多一点苦,却是唯一最快到达目的地的方法。
正所谓“一 分耕耘,一分收获。”,世上没有免费的午餐,脚踏实地的去走每一步人生路才是明智之举。
人生的时间是有限的,机会也是有限的。有许 多人,就因为一生都在走快捷方式,结果每每走进死路里,把大好的时间和青春都浪费掉了。今天,有不少道路仍在塞车,却还有车辆驶进去,情况不但没有改善, 而且不断恶化……真是一可悲的世界啊!
小职员唯有改乘出租车,希望能赶得及参加会议。
好不容易才给他截到了一 辆出租车,匆匆忙忙上车后,他便对司机说:“司机先生,我很赶时间,拜托你走最短的路!”
司机问道:“先生,是走最短的路,还是走 最快的路?”
小职员好奇地问:“最短的路不是最快的吗?”
“当然不是,现在是繁忙时间,最短的路都会交通挤 塞。你要是赶时间的话便得绕道走,虽然多走一点路,却是最快的方法。”
听见了司机的话,小职员最后还是选择走了最快的路。途中他看 见不远处有一条街道交通挤塞得水泄不通,司机解释说那条正是最短的路。司机所言没差,多走一点路果然畅通无阻,虽然路程较远,多花了点时间,却很快便到达 目的地。
小职员最终也赶得上会议,还升了职当部门主任。
人总喜欢走快捷方式、希望不劳而获,还以为走快捷方 式可以用最小的体力最快到达目的地。所以现今满眼所见到的是:马场、六合彩永远不乏投注的人龙,澳门葡京从来不缺出手阔绰的赌徒,补习班亦向来不愁没有学 生光顾。
然而,快捷方式虽然是最短的路,却未必是最快的。你有看过多少赌徒从不工作却因为赌博而成为富翁?你又有见过有多少学生从 不上学却因为上补习班而考得十优的成绩?
相反,因为走快捷方式而赔上时间、金钱甚至是生命的,我倒见过不少。年中就有不少人因为嗜 赌而欠下高利贷,最后不但家破人亡,还赔上宝贵的性命。
所以说,快捷方式并不好走,不但荆棘满途,而且充满危险,也没人可以保证你 走的路一定可到达终点。
走长一点的路虽然会累一点,吃多一点苦,却是唯一最快到达目的地的方法。
正所谓“一 分耕耘,一分收获。”,世上没有免费的午餐,脚踏实地的去走每一步人生路才是明智之举。
人生的时间是有限的,机会也是有限的。有许 多人,就因为一生都在走快捷方式,结果每每走进死路里,把大好的时间和青春都浪费掉了。今天,有不少道路仍在塞车,却还有车辆驶进去,情况不但没有改善, 而且不断恶化……真是一可悲的世界啊!
Apr
23
看了《问绿盟黑洞》的文章好几天了,有点想法不吐不快。前两天正忙,现在闲下来了,说说我的想法。文章中会提到一些厂商的技术,有正有反,大家不 要对号入座,主要是希望对你们的技术提高有帮助。我以原始的ddos的先行者syn flood来举例说明,cc我不打算评价,因为我认为syn flood的效果远远好于cc,而隐蔽性是cc远远达不到的。先点评一下关于DDoS话题方面的一些网友的错误认识和厂商的技术弱点。以下如果没有特殊指 明,ddos我指的就是syn flood这种最原始、最有效、最简单、最可爱的东西。
1.只要一谈论ddos想到的就是大流量,就是无 边无际、无际无边的带宽消耗战。
错了,syn flood可不是带宽消耗战,drdos才是!那是因为syn flood的使用者使用不当,才会有今天大家的错误认识。
2.天,我CPU都满跑了,为什么目标机一点事都没有?我用的可以Linux下开源的、大家都害怕的、网评第1的攻击软件呀。
检查一下你的网关是不是有NAT,如果有。不是你的包没出去,就是你的网关快阵亡了,您赶快住手吧。
去掉你前面的防火墙,因为防火墙在你发起攻击时,最先受到损害,更重要的是它是你财产的一部分。
你极有可能拿一款ether下的攻击 程序在pppoe网络中使用了,为了提高效率攻击数据包都是自己填充的,所以程序本身可能把数据包进行了ether_type的二层封装,如果你在 pppoe环境中攻击,请自己修改源代码改为PPPOE封装。否则的话,你攻击的不是目标机,而是在自己的房间里大小便。要学会分析协议,下面才是二层 PPPOE封装的正确格式:
88 64 11 00 0B D0 00 56 00 21
3.这个ddos设备没什么了不起,用 的就是syn cookie和syn proxy。
我认为这两种方法是当前最有效的解决方法,就像攻击者必须联网才能发起攻击一样,这两种措施是 必做的。如果您没用这两种方法就实现了ddos防御,以下的内容您就不用看了。因为您是我见过的第一牛人,我在您面前绝对是个晚辈的。在此就不浪费您的宝 贵时间了。如果您感觉我还可救,给我留点面子传张纸条教侮我一番吧。
4.drdos比ddos时髦多了,可以四两拨千斤
真不好意 思,syn ack这个数据包应该从内网口收到才对,从外网口收到时直接丢掉就可以了。它浪费的是你的宽带而不是内存或者大量的cpu。
你可能会 说我后面的服务器是ftp并工作在主动模式,所以有时syn ack也是不能丢的。嗯…解决方案你自己已经说出来了,自己想个办法吧。
5.DDoS 是最没有水准的攻击类型,菜鸟才用。
这只能说明你只是使用ddos工具的人,而不是一个编写ddos攻击类程序的人。大家知道一款好的ddos攻 击软件,所发的包在各协议首部字段的合法范围内越随机越好。只要有一个字段该变但你没变的,特证过滤一下子就把你干掉了。如果攻击包是以多播、回环为源 ip发送,我只能说攻击者在和你开玩笑,看看日历确认今天不是愚人节。
但满足随机就是好的攻击软件吗?喵~喵~俺家的小花猫都知道,远远不是滴, 单纯发syn攻击包就不是好的攻击方式。浪费ddos设备资源的是握手的第三个ack包。但第三个包构造上又很有讲究,举个例子:国内某某ddos厂商的 主页,我小流量正常访问时抓包,可以发现他没有做syn proxy,但当我1000pps时,通过抓包就可以看出,他启用syn proxy了,并且syn cookie也随之打开了,你问我怎么知道的?看看它回复的syn ack包的tcp选项部分的变化你就明白了。这时是他启用防护的时机,也是它最脆弱的时候,细心的构造一个syn包,一个ack包,算准了它的 cookie,喂给它。喵~小花猫都知道5000pps足够了。我不是有意这么做的,是它在CU里叫大家帮忙做测试,我简单的分析了一下,是这个原理。没 叫劲,睡觉了,第二天具说有3000台肉机参与了,不知是真是假,如果没有了解原理,你就算动用8000台也没用啊!
这里真正的技术是推算 cookie,但我在市面上找不到一款ddos攻击软件有这个方面的功能,你可能会说这不就是cookie攻击吗,我不这么认为,我不会发大量的ack来 消耗它的cpu资源,我只是想钻它算法的空子。因为一种cookie的算法就好比是一类ddos设备的指纹,推出这个cookie的参数与运算法则,以后 遇到它的时候,它就死定了。当然厂商也不傻,算cookie的参数是个很大的数并且还是在不断变化,但不会经常变,每次启动的时候变一次就算很智能了。因 为每天小花猫吃饭的时候,我都会便顺发送一个相同的syn包给它,它返给我的syn ack中的cookie一直都是一样的。哈哈…如果我有耐心,终有一天我会推出来的,注意:这个syn包源IP是真实的,所以我能观察到它的返回数据包, 并且他根本就发现不了偶。一天才一个syn包嘛。
顺便问问版主,绿盟在测试黑洞的时候,肯定有一种攻击软件是他们自己写的,针对自己的产品的弱 点、软肋、命门、死穴、扪门发送5000pps应该就可以挂了。喵~喵~喵~小花猫咽到了。
6.这个百兆ddos设备真牛呀,百兆的线路 我都D满了,还可以正常访问保护的服务器
你的感叹用错对像了,你应该感叹于这条网线的质量很好,一条质量优秀的网线,百兆千兆的确都可以跑起来 呀。另外一个设备适用于百兆还是千兆环境的瓶颈,你没有弄清楚。我用82559网卡,我的算法再好也不可能你把百兆线路D满了,后面的服务器你还可以访 问。你的这种情况,我可以很负责任的告诉你,这个外表百兆ddos设备实际采用了千兆平台和千兆网卡,而流量的瓶颈在你测试中的其它结点上。仅此而己。
7.我们的算法不对syn包做回追处理,所以你的下行带宽没有被浪费。
这话也说的出口,真汗!小花猫甩甩尾巴跑去喝水了。你把10kpps的发包 器真接插在百兆ddos设备上面试一下,看看是回复syn ack时CPU使用率高,还是只接受syn包不回复时CPU占用率高。告诉你,后者的cpu占用率更高一些。为什么呢?因为我回复syn ack时也是一种另类的保护策略,在局域网中,攻击者发的数据包也必须依照冲突检测载波监听的方式来发送攻击包,如果你回复等量的syn ack也就是在堵攻击者的嘴,他发包的速度会成倍的减下来。这意味这什么?意味着你用你的下行带宽换来了上行带宽,这么好的机会你为什么要放弃?这就好像 一群人在用砖头拍你,拍的你上串下蹦,左躲右闪,累的你呼吃带喘,你心里还在想我TM怎么这么聪明呀,没有回拍他们,节约了不少力气,所以现在身行才能如 此敏捷。
8.你看我们的设备连IP地址都没有,可以实现网络隐身,所以很安全
幸好小花猫不在身边,否则还不得被呛个半死呀。这个 因果关系也说的出来?那我是不是可以说工作在桥模式下的设备都很安全?这是我见过的最大的拿缺点当优点忽忧人的说词。你把IP地址给我设上,我为什么要网 络隐身啊,我光明正大!你不是防ddos攻击吗?你自己的ip为什么不敢暴露在公网上提供http管理控制?厂商会找出各种的手段来忽忧你,以下是最常见 的托词:设置管理IP地址当然可以了,但要从另外的一个网口专门引出来,并且我们不对管理网口做防护,因为这样会增加我们系统的负载呀。呀~~呀~~ 呀~~,回想起测试性能的时候他们好像说自己的算法很牛,什么国际领先啦,什么可以抵御所有未知的ddos攻击啦,什么算法CPU零负载啦,什么指纹啦, 什么单向数据包一次检测啦,什么身份证啦、什么syn包实名制啦、什么暂住证啦….什么这个,什么那个了,你都这么强了,暴露一下嘛。
不 想做过多技术分析,主机型syn proxy syn cookie和网关型syn proxy syn cookie的难度不是一个数量级,原因是厂家为了效率把syn proxy syn cookie都在驱动层实现了,你叫他们把数据包上送到系统的TCP/IP协议栈给系统自身,真的是很难为他们。但你实现不了可以直说,忽忧我家小花猫就 不厚道了。
9.我们的设备是透明接入,不会修改你的拓扑
嗯…这要看你对透明接入的了解程度了,我翻了翻所有ddos厂商的手册, 吃惊的发现,都是一个模子,不知是谁抄谁的。上画三张用户常用拓扑,一个保护服务器、一个保护防火墙,一个保护网络,就认为自己可以全透明接入了?下面这 张图你能透明接入吗?内网为三个VLAN网段,服务器放在VLAN2中,每个网段互相访问都必须通过防火墙内网口的三个对应VLAN网卡(各网段默认网 关),防火墙通过DNAT后对外映射VLAN2网段服务器。我的要求是即要求你防外网的ddos还要你防止内网对VLAN2的ddos,敢问您,您打算怎 么个透明进入法?
1) 透明接入在防火墙外网口?
2) 透明接入在防火墙内网口?
你八成会修改我的 拓扑,把VLAN2转到DMZ,然后透明接入在防火墙DMZ网口上
外网
|
防 火墙
|
|交换机trunk口
|
switch
| | |
VLAN 1 VLAN2 VLAN3
10.利用超时重传来判断syn包是否合法
这种方法是相当的有效啊,远处传来 小花猫的声音:“给它在三秒钟之内发第二个syn包”
原文作者:skipjack
1.只要一谈论ddos想到的就是大流量,就是无 边无际、无际无边的带宽消耗战。
错了,syn flood可不是带宽消耗战,drdos才是!那是因为syn flood的使用者使用不当,才会有今天大家的错误认识。
2.天,我CPU都满跑了,为什么目标机一点事都没有?我用的可以Linux下开源的、大家都害怕的、网评第1的攻击软件呀。
检查一下你的网关是不是有NAT,如果有。不是你的包没出去,就是你的网关快阵亡了,您赶快住手吧。
去掉你前面的防火墙,因为防火墙在你发起攻击时,最先受到损害,更重要的是它是你财产的一部分。
你极有可能拿一款ether下的攻击 程序在pppoe网络中使用了,为了提高效率攻击数据包都是自己填充的,所以程序本身可能把数据包进行了ether_type的二层封装,如果你在 pppoe环境中攻击,请自己修改源代码改为PPPOE封装。否则的话,你攻击的不是目标机,而是在自己的房间里大小便。要学会分析协议,下面才是二层 PPPOE封装的正确格式:
88 64 11 00 0B D0 00 56 00 21
3.这个ddos设备没什么了不起,用 的就是syn cookie和syn proxy。
我认为这两种方法是当前最有效的解决方法,就像攻击者必须联网才能发起攻击一样,这两种措施是 必做的。如果您没用这两种方法就实现了ddos防御,以下的内容您就不用看了。因为您是我见过的第一牛人,我在您面前绝对是个晚辈的。在此就不浪费您的宝 贵时间了。如果您感觉我还可救,给我留点面子传张纸条教侮我一番吧。
4.drdos比ddos时髦多了,可以四两拨千斤
真不好意 思,syn ack这个数据包应该从内网口收到才对,从外网口收到时直接丢掉就可以了。它浪费的是你的宽带而不是内存或者大量的cpu。
你可能会 说我后面的服务器是ftp并工作在主动模式,所以有时syn ack也是不能丢的。嗯…解决方案你自己已经说出来了,自己想个办法吧。
5.DDoS 是最没有水准的攻击类型,菜鸟才用。
这只能说明你只是使用ddos工具的人,而不是一个编写ddos攻击类程序的人。大家知道一款好的ddos攻 击软件,所发的包在各协议首部字段的合法范围内越随机越好。只要有一个字段该变但你没变的,特证过滤一下子就把你干掉了。如果攻击包是以多播、回环为源 ip发送,我只能说攻击者在和你开玩笑,看看日历确认今天不是愚人节。
但满足随机就是好的攻击软件吗?喵~喵~俺家的小花猫都知道,远远不是滴, 单纯发syn攻击包就不是好的攻击方式。浪费ddos设备资源的是握手的第三个ack包。但第三个包构造上又很有讲究,举个例子:国内某某ddos厂商的 主页,我小流量正常访问时抓包,可以发现他没有做syn proxy,但当我1000pps时,通过抓包就可以看出,他启用syn proxy了,并且syn cookie也随之打开了,你问我怎么知道的?看看它回复的syn ack包的tcp选项部分的变化你就明白了。这时是他启用防护的时机,也是它最脆弱的时候,细心的构造一个syn包,一个ack包,算准了它的 cookie,喂给它。喵~小花猫都知道5000pps足够了。我不是有意这么做的,是它在CU里叫大家帮忙做测试,我简单的分析了一下,是这个原理。没 叫劲,睡觉了,第二天具说有3000台肉机参与了,不知是真是假,如果没有了解原理,你就算动用8000台也没用啊!
这里真正的技术是推算 cookie,但我在市面上找不到一款ddos攻击软件有这个方面的功能,你可能会说这不就是cookie攻击吗,我不这么认为,我不会发大量的ack来 消耗它的cpu资源,我只是想钻它算法的空子。因为一种cookie的算法就好比是一类ddos设备的指纹,推出这个cookie的参数与运算法则,以后 遇到它的时候,它就死定了。当然厂商也不傻,算cookie的参数是个很大的数并且还是在不断变化,但不会经常变,每次启动的时候变一次就算很智能了。因 为每天小花猫吃饭的时候,我都会便顺发送一个相同的syn包给它,它返给我的syn ack中的cookie一直都是一样的。哈哈…如果我有耐心,终有一天我会推出来的,注意:这个syn包源IP是真实的,所以我能观察到它的返回数据包, 并且他根本就发现不了偶。一天才一个syn包嘛。
顺便问问版主,绿盟在测试黑洞的时候,肯定有一种攻击软件是他们自己写的,针对自己的产品的弱 点、软肋、命门、死穴、扪门发送5000pps应该就可以挂了。喵~喵~喵~小花猫咽到了。
6.这个百兆ddos设备真牛呀,百兆的线路 我都D满了,还可以正常访问保护的服务器
你的感叹用错对像了,你应该感叹于这条网线的质量很好,一条质量优秀的网线,百兆千兆的确都可以跑起来 呀。另外一个设备适用于百兆还是千兆环境的瓶颈,你没有弄清楚。我用82559网卡,我的算法再好也不可能你把百兆线路D满了,后面的服务器你还可以访 问。你的这种情况,我可以很负责任的告诉你,这个外表百兆ddos设备实际采用了千兆平台和千兆网卡,而流量的瓶颈在你测试中的其它结点上。仅此而己。
7.我们的算法不对syn包做回追处理,所以你的下行带宽没有被浪费。
这话也说的出口,真汗!小花猫甩甩尾巴跑去喝水了。你把10kpps的发包 器真接插在百兆ddos设备上面试一下,看看是回复syn ack时CPU使用率高,还是只接受syn包不回复时CPU占用率高。告诉你,后者的cpu占用率更高一些。为什么呢?因为我回复syn ack时也是一种另类的保护策略,在局域网中,攻击者发的数据包也必须依照冲突检测载波监听的方式来发送攻击包,如果你回复等量的syn ack也就是在堵攻击者的嘴,他发包的速度会成倍的减下来。这意味这什么?意味着你用你的下行带宽换来了上行带宽,这么好的机会你为什么要放弃?这就好像 一群人在用砖头拍你,拍的你上串下蹦,左躲右闪,累的你呼吃带喘,你心里还在想我TM怎么这么聪明呀,没有回拍他们,节约了不少力气,所以现在身行才能如 此敏捷。
8.你看我们的设备连IP地址都没有,可以实现网络隐身,所以很安全
幸好小花猫不在身边,否则还不得被呛个半死呀。这个 因果关系也说的出来?那我是不是可以说工作在桥模式下的设备都很安全?这是我见过的最大的拿缺点当优点忽忧人的说词。你把IP地址给我设上,我为什么要网 络隐身啊,我光明正大!你不是防ddos攻击吗?你自己的ip为什么不敢暴露在公网上提供http管理控制?厂商会找出各种的手段来忽忧你,以下是最常见 的托词:设置管理IP地址当然可以了,但要从另外的一个网口专门引出来,并且我们不对管理网口做防护,因为这样会增加我们系统的负载呀。呀~~呀~~ 呀~~,回想起测试性能的时候他们好像说自己的算法很牛,什么国际领先啦,什么可以抵御所有未知的ddos攻击啦,什么算法CPU零负载啦,什么指纹啦, 什么单向数据包一次检测啦,什么身份证啦、什么syn包实名制啦、什么暂住证啦….什么这个,什么那个了,你都这么强了,暴露一下嘛。
不 想做过多技术分析,主机型syn proxy syn cookie和网关型syn proxy syn cookie的难度不是一个数量级,原因是厂家为了效率把syn proxy syn cookie都在驱动层实现了,你叫他们把数据包上送到系统的TCP/IP协议栈给系统自身,真的是很难为他们。但你实现不了可以直说,忽忧我家小花猫就 不厚道了。
9.我们的设备是透明接入,不会修改你的拓扑
嗯…这要看你对透明接入的了解程度了,我翻了翻所有ddos厂商的手册, 吃惊的发现,都是一个模子,不知是谁抄谁的。上画三张用户常用拓扑,一个保护服务器、一个保护防火墙,一个保护网络,就认为自己可以全透明接入了?下面这 张图你能透明接入吗?内网为三个VLAN网段,服务器放在VLAN2中,每个网段互相访问都必须通过防火墙内网口的三个对应VLAN网卡(各网段默认网 关),防火墙通过DNAT后对外映射VLAN2网段服务器。我的要求是即要求你防外网的ddos还要你防止内网对VLAN2的ddos,敢问您,您打算怎 么个透明进入法?
1) 透明接入在防火墙外网口?
2) 透明接入在防火墙内网口?
你八成会修改我的 拓扑,把VLAN2转到DMZ,然后透明接入在防火墙DMZ网口上
外网
|
防 火墙
|
|交换机trunk口
|
switch
| | |
VLAN 1 VLAN2 VLAN3
10.利用超时重传来判断syn包是否合法
这种方法是相当的有效啊,远处传来 小花猫的声音:“给它在三秒钟之内发第二个syn包”
原文作者:skipjack
Apr
23
随着Linux应用的扩展,许多朋友开始接触Linux,根据学习Windwos的经验往往有一些茫然的感觉,不知从何处开始学起。这里介绍学习Linux的一 些建议。
一、从基础开始:
常常有些朋友在Linux论坛问一些问题,不过,其中大多数的问题都是很基础的。例如:为什么我使用一个命令的时候,系统告诉我找不到该目录,我要如何限制使用者的权限等问题,这些问题其实都不是很难的,只要了解了Linux 的基础之后,应该就可以很轻易的解决掉这方面的问题。而有些朋友们常常一接触Linux就是希望构架网站,根本没有想到要先了解一下Linux 的基础。这是相当困难的。
二、Linux命令是必须学习掌握的:
虽然Linux桌面应用发展很快,但是命令在Linux中依然有很强的生命力。Linux是一个命令行组成的操作系统,精髓在命令行,无论图形界面发展到什么水平这个原理是不会变的,Linux命令有许多强大的功能:从简单的磁 盘操作、文件存取、到进行复杂的多媒体图象和流媒体文件的制作。举一个例子:Linux的常用命令find,查看man文档,初学者一定会觉得太复杂而不愿意用,但是你一旦学会就爱不释手。它的功能实在太强了,在配合exec参数或者通过管道重定向到xargs命令和grep命令,可以完成非常复杂的操作,如果同样的操作用图形界面的工具来完成,恐怕要多花十几陪的时间。
不同版本的Linux命令数量不一样,这里笔者把它们中比较重要的和使用频率最多的命令,按照它们在系统中的作用分成几个部分介绍给大家,通过这些基础命令的学习我们可以进一步理解Linux系统:
安装和登录命令:login、 shutdown、 halt、 reboot 、mount、umount 、chsh
文件处理命令:file、 mkdir、 grep、dd、 find、 mv 、ls 、diff、 cat、 ln
系统管理相关命令: df、 top、 free、 quota 、at、 lp、 adduser、 groupadd kill、 crontab、 tar、 unzip、 gunzip 、last
网络操作命令:ifconfig、 ip 、ping 、 netstat 、telnet、 ftp、 route、 rlogin rcp 、finger 、mail 、nslookup
系统安全相关命令: passwd 、su、 umask 、chgrp、 chmod、chown、chattr、sudo、 pswho
三、选择一本好的工具书
工具书对于学习 者而言是相当重要的。一本错误观念的工具书却会让新手整个误入歧途。目前国内关于Linux的书籍有很多不过精品的不多,笔者强烈建议阅读影印本的 “O’Reilly原版Linux图书http://www.oreilly.com.cn/ ”,而且出版社还提供了一个非常好的路线图:http: //www.oreilly.com.cn/guide/guide_linux.php 见图-1。
四、选择一个适合你的Linux发行版本
目前全球有超过1百多个Linux发行版本,在国内也能找到十几个常见版本。如何选择请根据你 的需求和能力,Redhat Linux 和Debian Linux是网络管理员的理想选择。对于英语不是很好的读者红旗Linux、中标Linux这些中文版本比较适合。现在一些Linux网站有一些 Linux版本的免费下载,这里要说的是并不适合Linux初学者。
五、 养成在命令行下工作
一定要养成在命令行下工作的习惯,要知道X-window只是运行在命令行模式下的一个应用程序。在命令行下学习虽然一开始进度较慢,但是熟悉后,您未来的学习之路将是以指数增加的 方式增长的。从网管员来说,命令行实际上就是规则,它总是有效的,同时也是灵活的。即使是通过一条缓慢的调制解调器线路,它也能操纵几千公里以外地远程系 统。
六、 选择一个适合你的Linux社区
随着Linux应用的扩展,出现了不少Linux社区。其中有一些非常优秀的社区:www.linuxforum.net(国内最高水平GNU站点)、http://www.chinaunix.net/ (中国最大的Unix技术社区),但是这几个论坛往往是Linux高手的舞台,如果在探讨高级技巧的论坛张贴非常初级的问题经常会没有结果。推荐适于初学 者的Linux社区:
Linux伊甸园 http://www.linuxeden.com/ ,
中国Linux公社 http://www.linuxfans.org/nuke/index.php 。
七、勤于实践
要增加自己 Linux 的技能,只有通过实践来实现了。所以,赶快找一部计算机,赶快安装一个 Linux 发行版本,然后进入精彩的Linux世界。相信对于你自己的 Linux 能力必然大有斩获。此外,人脑不像计算机的硬盘一样,除非硬盘坏掉了或者是资料被你抹掉了,否则储存的资料将永远而且立刻的记忆在硬盘中。在人类记忆的曲 线中,你必须要不断的重复练习才会将一件事情记得比较熟。同样的,学习 Linux 也一样,如果你无法经常学习的话,学了后面的,前面的忘了。你对Linux命令熟悉后你可以开始搭建一个小的Linux网络,这是最好的实践方法。 Linux是网络的代名词,Linux网络服务功能非常强大,不论是邮件服务器、Web服务器、DNS服务器等都非常完善。当然你不需搭建所有服务,可以 慢慢来。需要说明的是这个Linux网络对于初学者有两三台计算机即可,其中一台计算机最好安装Windows系统。自己多动手,不要非要等着别人帮你解决问题。
七、 如何得到联机帮助
和私有操作系统不同,各个Linux的发行版本的技术支持时间都较短,这对于Linux初学 者是往往不够的。其实当你安装了一个完整的Linux系统后其中已经包含了一个强大的帮助,只是可能你还没有发现和使用它们的技巧。
1. 主流Linux发行版都自带非常详细的文档(包括手册页和FAQ),从系统安装到系统安全,针对不同层次的人的详尽文档,仔细阅读文档后40%问题都可在 此解决。
2. 查阅经典工具书和Howto,特别是Howto是全球数以万计的Linux、Unix的经验总结非常有参考价值通常40%的问题同样可以解决。
八、 在Linux论坛获取帮助
如果上面的措施没有解决问题,此时你就需要Linux社区的帮助了。Linux的使用者一般都是专业人士,他们有着很 好的电脑背景且愿意协助他人,Linux高手更具有鼓励新手的文化精神。如何在Linux社区获得帮助,需要说明的是你要有周全的思考,准备好你的问题, 不要草率的发问,否则只会得到到草率的回答或者根本得 不到任何答案。越表现出在寻求帮助前为解决问题付出的努力,你越能得到实质性的帮助。最好先搜寻一下论坛是否有您需要的文章。这样可以获得事半功倍的效果。
下面笔者在论坛看到的一个好问题:“安装红旗4.0 后,系统紫光输入法自带的双拼方案和我的习惯不一样,如何自定义双拼方案解决?谢谢?”这个问题很简练,笔者五分钟后就给出了解决方法:“首先备份原文件 到其他目录,然后删掉/usr/local/unispim/unispimsp.ksc,编辑/usr/local/unispim /unispimsp.ini ,最后重启动计算机,生成新的unispimsp.ksc”另外得到回复后如果问题解决,向帮助过你的人发个说明,让他们知道问题是怎样解决的,这种补充 有助于他人在邮件列表/新闻组/论坛中搜索对你有过帮助的完整解决方案,这可能对他们也很有用。
下面看看一个让人无法回答的问题:“救 命各位高手,向你们请教一些问题:如何在Linux下配制HTTP、FTP、Samba、DNS、DHCP、Sendmail服务器,谢谢” 这样的问题我想即使Linux高手也很难快速准确精练的回答你。
你需要提供精确有效的信息。这并不是要求你简单的把成吨的出错代码或者 数据完全转储摘录到你的提问中。如果你有庞大而复杂的测试条件,尽量把它剪裁得越小越好。可能你会遇到这种情况,对于一个问题会出现不同内容回答,这时你 需要通过实践来验证。另外把这个问题放在其他Linux社区请求帮助也是一种选择。如果得不到答案,请不要以为我们觉得无法帮助你。有时只是看到你问题的人不知道答案罢了。这时换一个社区是不错的选择。
另外发问的时候一定要注意到某些礼节。因为Linux社区是一个松散的组织、也不承担 回复每个帖子的义务。它不是技术支持。
九、用Unix思维学习Linux
Linux是参照Unix思想设计的,理解掌握Linux必须按照Unix思维来进行。思想性的转变比暂时性的技术提高更有用,因为他能帮助你加快学习速度。
十、学习专业英文
如 果你想深入学习Linux,看不懂因为文档实在是太难了。写的最好的,最全面的文档都是英语写的,最先发布的技术信息也都是用英语写的。即便是非英语国家 的人发布技术文档,也都首先翻译成英语在国际学术杂志和网络上发表。安装一个新的软件时先看README,再看INSTALL然后看FAQ,最后才动手安 装,这样遇到问题就知道为什么。如果说明文档不看,结果出了问题再去论坛来找答案反而浪费时间。
十一、最后是Linux学习的路线图:
1、掌握至少50个以上的常用命令。
2、熟悉Gnome/KDE等X-windows桌面环境操作 。
3、掌握.tgz、.rpm等软件包的常用安装方法
4、学习添加外设,安装设备驱动程序(比如网卡)
5、熟悉Grub/Lilo引导器及简单的修复操作 。
6、熟悉Linux文件系统 和目录结构。
7、掌握vi,gcc,gdb等常用编辑器,编译器,调试器 。
8、理解shell别名、管道、I/O重定向、输入和输出以及shell脚本编程。
9、学习Linux环境下的组网。
以上是 笔者学习Linux一些经验,希望对你有些帮助。
原作者 曹江华
一、从基础开始:
常常有些朋友在Linux论坛问一些问题,不过,其中大多数的问题都是很基础的。例如:为什么我使用一个命令的时候,系统告诉我找不到该目录,我要如何限制使用者的权限等问题,这些问题其实都不是很难的,只要了解了Linux 的基础之后,应该就可以很轻易的解决掉这方面的问题。而有些朋友们常常一接触Linux就是希望构架网站,根本没有想到要先了解一下Linux 的基础。这是相当困难的。
二、Linux命令是必须学习掌握的:
虽然Linux桌面应用发展很快,但是命令在Linux中依然有很强的生命力。Linux是一个命令行组成的操作系统,精髓在命令行,无论图形界面发展到什么水平这个原理是不会变的,Linux命令有许多强大的功能:从简单的磁 盘操作、文件存取、到进行复杂的多媒体图象和流媒体文件的制作。举一个例子:Linux的常用命令find,查看man文档,初学者一定会觉得太复杂而不愿意用,但是你一旦学会就爱不释手。它的功能实在太强了,在配合exec参数或者通过管道重定向到xargs命令和grep命令,可以完成非常复杂的操作,如果同样的操作用图形界面的工具来完成,恐怕要多花十几陪的时间。
不同版本的Linux命令数量不一样,这里笔者把它们中比较重要的和使用频率最多的命令,按照它们在系统中的作用分成几个部分介绍给大家,通过这些基础命令的学习我们可以进一步理解Linux系统:
安装和登录命令:login、 shutdown、 halt、 reboot 、mount、umount 、chsh
文件处理命令:file、 mkdir、 grep、dd、 find、 mv 、ls 、diff、 cat、 ln
系统管理相关命令: df、 top、 free、 quota 、at、 lp、 adduser、 groupadd kill、 crontab、 tar、 unzip、 gunzip 、last
网络操作命令:ifconfig、 ip 、ping 、 netstat 、telnet、 ftp、 route、 rlogin rcp 、finger 、mail 、nslookup
系统安全相关命令: passwd 、su、 umask 、chgrp、 chmod、chown、chattr、sudo、 pswho
三、选择一本好的工具书
工具书对于学习 者而言是相当重要的。一本错误观念的工具书却会让新手整个误入歧途。目前国内关于Linux的书籍有很多不过精品的不多,笔者强烈建议阅读影印本的 “O’Reilly原版Linux图书http://www.oreilly.com.cn/ ”,而且出版社还提供了一个非常好的路线图:http: //www.oreilly.com.cn/guide/guide_linux.php 见图-1。
四、选择一个适合你的Linux发行版本
目前全球有超过1百多个Linux发行版本,在国内也能找到十几个常见版本。如何选择请根据你 的需求和能力,Redhat Linux 和Debian Linux是网络管理员的理想选择。对于英语不是很好的读者红旗Linux、中标Linux这些中文版本比较适合。现在一些Linux网站有一些 Linux版本的免费下载,这里要说的是并不适合Linux初学者。
五、 养成在命令行下工作
一定要养成在命令行下工作的习惯,要知道X-window只是运行在命令行模式下的一个应用程序。在命令行下学习虽然一开始进度较慢,但是熟悉后,您未来的学习之路将是以指数增加的 方式增长的。从网管员来说,命令行实际上就是规则,它总是有效的,同时也是灵活的。即使是通过一条缓慢的调制解调器线路,它也能操纵几千公里以外地远程系 统。
六、 选择一个适合你的Linux社区
随着Linux应用的扩展,出现了不少Linux社区。其中有一些非常优秀的社区:www.linuxforum.net(国内最高水平GNU站点)、http://www.chinaunix.net/ (中国最大的Unix技术社区),但是这几个论坛往往是Linux高手的舞台,如果在探讨高级技巧的论坛张贴非常初级的问题经常会没有结果。推荐适于初学 者的Linux社区:
Linux伊甸园 http://www.linuxeden.com/ ,
中国Linux公社 http://www.linuxfans.org/nuke/index.php 。
七、勤于实践
要增加自己 Linux 的技能,只有通过实践来实现了。所以,赶快找一部计算机,赶快安装一个 Linux 发行版本,然后进入精彩的Linux世界。相信对于你自己的 Linux 能力必然大有斩获。此外,人脑不像计算机的硬盘一样,除非硬盘坏掉了或者是资料被你抹掉了,否则储存的资料将永远而且立刻的记忆在硬盘中。在人类记忆的曲 线中,你必须要不断的重复练习才会将一件事情记得比较熟。同样的,学习 Linux 也一样,如果你无法经常学习的话,学了后面的,前面的忘了。你对Linux命令熟悉后你可以开始搭建一个小的Linux网络,这是最好的实践方法。 Linux是网络的代名词,Linux网络服务功能非常强大,不论是邮件服务器、Web服务器、DNS服务器等都非常完善。当然你不需搭建所有服务,可以 慢慢来。需要说明的是这个Linux网络对于初学者有两三台计算机即可,其中一台计算机最好安装Windows系统。自己多动手,不要非要等着别人帮你解决问题。
七、 如何得到联机帮助
和私有操作系统不同,各个Linux的发行版本的技术支持时间都较短,这对于Linux初学 者是往往不够的。其实当你安装了一个完整的Linux系统后其中已经包含了一个强大的帮助,只是可能你还没有发现和使用它们的技巧。
1. 主流Linux发行版都自带非常详细的文档(包括手册页和FAQ),从系统安装到系统安全,针对不同层次的人的详尽文档,仔细阅读文档后40%问题都可在 此解决。
2. 查阅经典工具书和Howto,特别是Howto是全球数以万计的Linux、Unix的经验总结非常有参考价值通常40%的问题同样可以解决。
八、 在Linux论坛获取帮助
如果上面的措施没有解决问题,此时你就需要Linux社区的帮助了。Linux的使用者一般都是专业人士,他们有着很 好的电脑背景且愿意协助他人,Linux高手更具有鼓励新手的文化精神。如何在Linux社区获得帮助,需要说明的是你要有周全的思考,准备好你的问题, 不要草率的发问,否则只会得到到草率的回答或者根本得 不到任何答案。越表现出在寻求帮助前为解决问题付出的努力,你越能得到实质性的帮助。最好先搜寻一下论坛是否有您需要的文章。这样可以获得事半功倍的效果。
下面笔者在论坛看到的一个好问题:“安装红旗4.0 后,系统紫光输入法自带的双拼方案和我的习惯不一样,如何自定义双拼方案解决?谢谢?”这个问题很简练,笔者五分钟后就给出了解决方法:“首先备份原文件 到其他目录,然后删掉/usr/local/unispim/unispimsp.ksc,编辑/usr/local/unispim /unispimsp.ini ,最后重启动计算机,生成新的unispimsp.ksc”另外得到回复后如果问题解决,向帮助过你的人发个说明,让他们知道问题是怎样解决的,这种补充 有助于他人在邮件列表/新闻组/论坛中搜索对你有过帮助的完整解决方案,这可能对他们也很有用。
下面看看一个让人无法回答的问题:“救 命各位高手,向你们请教一些问题:如何在Linux下配制HTTP、FTP、Samba、DNS、DHCP、Sendmail服务器,谢谢” 这样的问题我想即使Linux高手也很难快速准确精练的回答你。
你需要提供精确有效的信息。这并不是要求你简单的把成吨的出错代码或者 数据完全转储摘录到你的提问中。如果你有庞大而复杂的测试条件,尽量把它剪裁得越小越好。可能你会遇到这种情况,对于一个问题会出现不同内容回答,这时你 需要通过实践来验证。另外把这个问题放在其他Linux社区请求帮助也是一种选择。如果得不到答案,请不要以为我们觉得无法帮助你。有时只是看到你问题的人不知道答案罢了。这时换一个社区是不错的选择。
另外发问的时候一定要注意到某些礼节。因为Linux社区是一个松散的组织、也不承担 回复每个帖子的义务。它不是技术支持。
九、用Unix思维学习Linux
Linux是参照Unix思想设计的,理解掌握Linux必须按照Unix思维来进行。思想性的转变比暂时性的技术提高更有用,因为他能帮助你加快学习速度。
十、学习专业英文
如 果你想深入学习Linux,看不懂因为文档实在是太难了。写的最好的,最全面的文档都是英语写的,最先发布的技术信息也都是用英语写的。即便是非英语国家 的人发布技术文档,也都首先翻译成英语在国际学术杂志和网络上发表。安装一个新的软件时先看README,再看INSTALL然后看FAQ,最后才动手安 装,这样遇到问题就知道为什么。如果说明文档不看,结果出了问题再去论坛来找答案反而浪费时间。
十一、最后是Linux学习的路线图:
1、掌握至少50个以上的常用命令。
2、熟悉Gnome/KDE等X-windows桌面环境操作 。
3、掌握.tgz、.rpm等软件包的常用安装方法
4、学习添加外设,安装设备驱动程序(比如网卡)
5、熟悉Grub/Lilo引导器及简单的修复操作 。
6、熟悉Linux文件系统 和目录结构。
7、掌握vi,gcc,gdb等常用编辑器,编译器,调试器 。
8、理解shell别名、管道、I/O重定向、输入和输出以及shell脚本编程。
9、学习Linux环境下的组网。
以上是 笔者学习Linux一些经验,希望对你有些帮助。
原作者 曹江华
Apr
23
Author:
赵彦,中联绿盟信息技术(北京)有限公司
Homepage:www.ph4nt0m.org
Mailto: [email protected]
本版初稿只代表个人观点,仅供参考,对于迷信产生的后果,本人不承担任何责任
本文实际上并不能算 是Career Planning,只是一些分类描述,唯一好处仅在于帮助你理解不同职位的技能要求,因为最近很忙,本文也远远达不到Body of Knowledge的详细程度,计划在空闲时再补一篇真正的Career Roadmap
[漏洞挖掘/安全技术研究员]
研 究对象:OS,网络,应用,通讯媒介及协议的安全漏洞和防御方法,偏重于底层技术,对技术要求最高,但不要求很全面,只需精通一两种流行的平台即可。其研 究成果经常为IDS/IPS/Vulnerability Scanner插件作分析等,最新的技术可能被转化到产品中实现商业价值,或可能承担技术最高的一部分专业安全服务。
主要技 能:CC++,ASM,OS kernel,调试器,反汇编、缓冲区溢出类,逻辑编程错误等
[安全产品开发]
和其他程序员一 样,只不过是面向安全产品,有核心引擎也有界面开发,如何成为一个优秀的程序员就不用我废话了吧,网上的Proposal多的是
[产品工 程师]
作为厂商的技术人员,一般是对自有产品做售后技术支持,如 FW,VPN,IDS/IPS,Scanner,AV,AAAA,CF,UTM,SOC,Terminal Management,Vulnerability/Patch Management,Anti-DOS,Anti-Spam……该职位对技术要求一般,有一定的系统、网络基础,可以熟练部署产品即可,另外还有 Testing和Troubleshooting的能力也是比较重要的
[技术顾问/售前工程师]
作为厂商的售前,须对自有的产品 和解决方案非常熟悉,售前偏重于架构/方案设计,Presentation,Documentation以及其他Presale Engineering的能力(如投标、销售推介技能),一般需要多年工作经验,有售后或者研发背景,对特定行业的理解-如曾在电信、金融或者SI的工作 经验能增强竞争力,如能对专业安全技术服务及咨询服务有所掌握,会使你的知识背景更强势,项目管理技能也是必要的。
[安全服务工程师]
个 人觉得在安全工程领域,产品选型和部署相对简单,门槛较高的是专业安全服务,先不论当前行业内的安全服务技术人员实际水平如何,我只是就我的理解谈一下以 下职位的技能需求。如渗透测试、安全加固、安全外包/安全监控,应急响应,高级安全技术培训,风险评估等要求技术人员对主流的操作系统平台,网络设备,数 据库,企业应用有一定程度的掌握,并且需要融入对安全和攻防技术的理解,另外安全服务人员最好需要有信息安全管理和项目管理的知识。沟通表达以及文档撰写 能力都是必须的。
[安全架构师]
之前的售前工程师和安全服务工程师也要写整体解决方案,但从专业程度来说,他们还达不到安全架构 师的技术高度,安全架构师须熟悉IT基础设施、容灾备份,大型企业级应用,安全集成,网络设计规划,网络安全产品典型部署,熟悉各种通信标准及协议,需要 了解安全趋势和客户的整体安全需求,既有深度又有广度,需要较多的经验和技术。
[信息安全咨询顾问]
信息安全既有技术也有管理的 问题,如传统的Strategy、HR、IT consulting一样,Information Security Consulting也是专业服务中的主要业务,如:Risk Assessment、ISMS building、SOX Compliance……
信 息安全不可能脱离企业自身的业务和实际需求,否则便成了空中楼阁,信息安全管理应该是以企业管理为上层引导,信息安全管理为中间支柱,下层以计算机及通信 技术为基础依托的三层结构,当然出售的最终产物是三层融合的整体解决方案,咨询顾问一般需要以下技能:
熟悉各类安全标准 –BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……
相关的知识领域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……
咨询体系–企业经营管理,流程管理,人力资源管理,信息 战略,法律法规
基本技能–沟通表达、文档、项目管理
技术体系–All above(不要因为我说了这句话趋之若鹜哦)
[CHO]
这 里并不是指人力资源总监,而是传说中的Chief Hacker Officer–首席黑客官,在国外某些公司设有此类职位,是更加纯技术的职位,从名字就可以看出他的技术偏向哪里,实际上应该是安全教科书中的 Whitehat,从Know your enemy的角度讲,反黑的的能力也确实强
[CSO/CISO]
一般只有较大的组织机 构才单独设有首席安全官或首席信息安全官,在没有独立设置CSO职位的情况下,信息安全通常属于CIO/CTO/COO考虑的范畴,实际上也由他们扮演 CSO的角色,因此换个角度—信息安全管理咨询应该是in CXO’s perspective,实际上高级咨询顾问到甲方即可成为CSO
通 用且有一定竞争力的认证:
CISSP,CISM,CISA,BS7799LA
可供职的厂商:
国内专业安全公司:绿盟科 技、启明星辰、天融信、联想网御、安氏
国外安全公司:ISS、Mcafee、Symantec、Checkpoint、TrendMirco
各 大IT公司:Microsoft、HP、IBM、Cisco、Juniper、F5、Various vendors
会计事务所:PWC、 E&Y、KPMG、DTT……
咨询公司:Accenture
甲方:如电信移动、金融、各大门户、电子商务以及IT系统对内部运营 起到关键作用的企业
薪酬:
职位当然是影响Salary的重要因素,除此之外,审计师/咨询顾问、安全架构师和研究员的工资较高, 外企的工资一般比国内企业高,在甲方的工资不一定有乙方高,主要看所在行业、企业盈利程度和对信息安全的重视程度,但乙方高薪职位通常来说比甲方更忙碌, 其实质也是用时间换工资,从行为经济学看未必很实惠。
职业发展路线
研究员-高级安全研究员
开发程序员-项目经理
产 品工程师-安全服务工程师-售前技术顾问
产品工程师-安全服务工程师-安全服务项目经理
产品工程师、安全服务工程师、技术顾问有两个发展 方向:
1. 偏技术方向—安全架构师
2. 偏管理方向—咨询顾问
甲方和乙方的角色切换,如果对当前 的视角失去了兴趣,不妨换个角度,如果结婚了寻求安定不想出差可以去甲方
当然以上只是理论公式,现实生活中的“天花板”在哪里有机会可以自己去体 验一下
知识体系结构
大体分为技术体系和管理体系吧
技术体系:
对攻防技术的理解
OS、 Network、Application、Data protection and related
TCP/IP protocol suits
研 究偏重底层技术,架构偏重网络
安全管理体系:
各种信息安全技术/管理标准,审计及内部控制标准
传统管理学大集合
咨 询及审计
其他:
对客户业务的理解
表达沟通,文档,演讲,项目管理和销售技能
赵彦,中联绿盟信息技术(北京)有限公司
Homepage:www.ph4nt0m.org
Mailto: [email protected]
本版初稿只代表个人观点,仅供参考,对于迷信产生的后果,本人不承担任何责任
本文实际上并不能算 是Career Planning,只是一些分类描述,唯一好处仅在于帮助你理解不同职位的技能要求,因为最近很忙,本文也远远达不到Body of Knowledge的详细程度,计划在空闲时再补一篇真正的Career Roadmap
[漏洞挖掘/安全技术研究员]
研 究对象:OS,网络,应用,通讯媒介及协议的安全漏洞和防御方法,偏重于底层技术,对技术要求最高,但不要求很全面,只需精通一两种流行的平台即可。其研 究成果经常为IDS/IPS/Vulnerability Scanner插件作分析等,最新的技术可能被转化到产品中实现商业价值,或可能承担技术最高的一部分专业安全服务。
主要技 能:CC++,ASM,OS kernel,调试器,反汇编、缓冲区溢出类,逻辑编程错误等
[安全产品开发]
和其他程序员一 样,只不过是面向安全产品,有核心引擎也有界面开发,如何成为一个优秀的程序员就不用我废话了吧,网上的Proposal多的是
[产品工 程师]
作为厂商的技术人员,一般是对自有产品做售后技术支持,如 FW,VPN,IDS/IPS,Scanner,AV,AAAA,CF,UTM,SOC,Terminal Management,Vulnerability/Patch Management,Anti-DOS,Anti-Spam……该职位对技术要求一般,有一定的系统、网络基础,可以熟练部署产品即可,另外还有 Testing和Troubleshooting的能力也是比较重要的
[技术顾问/售前工程师]
作为厂商的售前,须对自有的产品 和解决方案非常熟悉,售前偏重于架构/方案设计,Presentation,Documentation以及其他Presale Engineering的能力(如投标、销售推介技能),一般需要多年工作经验,有售后或者研发背景,对特定行业的理解-如曾在电信、金融或者SI的工作 经验能增强竞争力,如能对专业安全技术服务及咨询服务有所掌握,会使你的知识背景更强势,项目管理技能也是必要的。
[安全服务工程师]
个 人觉得在安全工程领域,产品选型和部署相对简单,门槛较高的是专业安全服务,先不论当前行业内的安全服务技术人员实际水平如何,我只是就我的理解谈一下以 下职位的技能需求。如渗透测试、安全加固、安全外包/安全监控,应急响应,高级安全技术培训,风险评估等要求技术人员对主流的操作系统平台,网络设备,数 据库,企业应用有一定程度的掌握,并且需要融入对安全和攻防技术的理解,另外安全服务人员最好需要有信息安全管理和项目管理的知识。沟通表达以及文档撰写 能力都是必须的。
[安全架构师]
之前的售前工程师和安全服务工程师也要写整体解决方案,但从专业程度来说,他们还达不到安全架构 师的技术高度,安全架构师须熟悉IT基础设施、容灾备份,大型企业级应用,安全集成,网络设计规划,网络安全产品典型部署,熟悉各种通信标准及协议,需要 了解安全趋势和客户的整体安全需求,既有深度又有广度,需要较多的经验和技术。
[信息安全咨询顾问]
信息安全既有技术也有管理的 问题,如传统的Strategy、HR、IT consulting一样,Information Security Consulting也是专业服务中的主要业务,如:Risk Assessment、ISMS building、SOX Compliance……
信 息安全不可能脱离企业自身的业务和实际需求,否则便成了空中楼阁,信息安全管理应该是以企业管理为上层引导,信息安全管理为中间支柱,下层以计算机及通信 技术为基础依托的三层结构,当然出售的最终产物是三层融合的整体解决方案,咨询顾问一般需要以下技能:
熟悉各类安全标准 –BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……
相关的知识领域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……
咨询体系–企业经营管理,流程管理,人力资源管理,信息 战略,法律法规
基本技能–沟通表达、文档、项目管理
技术体系–All above(不要因为我说了这句话趋之若鹜哦)
[CHO]
这 里并不是指人力资源总监,而是传说中的Chief Hacker Officer–首席黑客官,在国外某些公司设有此类职位,是更加纯技术的职位,从名字就可以看出他的技术偏向哪里,实际上应该是安全教科书中的 Whitehat,从Know your enemy的角度讲,反黑的的能力也确实强
[CSO/CISO]
一般只有较大的组织机 构才单独设有首席安全官或首席信息安全官,在没有独立设置CSO职位的情况下,信息安全通常属于CIO/CTO/COO考虑的范畴,实际上也由他们扮演 CSO的角色,因此换个角度—信息安全管理咨询应该是in CXO’s perspective,实际上高级咨询顾问到甲方即可成为CSO
通 用且有一定竞争力的认证:
CISSP,CISM,CISA,BS7799LA
可供职的厂商:
国内专业安全公司:绿盟科 技、启明星辰、天融信、联想网御、安氏
国外安全公司:ISS、Mcafee、Symantec、Checkpoint、TrendMirco
各 大IT公司:Microsoft、HP、IBM、Cisco、Juniper、F5、Various vendors
会计事务所:PWC、 E&Y、KPMG、DTT……
咨询公司:Accenture
甲方:如电信移动、金融、各大门户、电子商务以及IT系统对内部运营 起到关键作用的企业
薪酬:
职位当然是影响Salary的重要因素,除此之外,审计师/咨询顾问、安全架构师和研究员的工资较高, 外企的工资一般比国内企业高,在甲方的工资不一定有乙方高,主要看所在行业、企业盈利程度和对信息安全的重视程度,但乙方高薪职位通常来说比甲方更忙碌, 其实质也是用时间换工资,从行为经济学看未必很实惠。
职业发展路线
研究员-高级安全研究员
开发程序员-项目经理
产 品工程师-安全服务工程师-售前技术顾问
产品工程师-安全服务工程师-安全服务项目经理
产品工程师、安全服务工程师、技术顾问有两个发展 方向:
1. 偏技术方向—安全架构师
2. 偏管理方向—咨询顾问
甲方和乙方的角色切换,如果对当前 的视角失去了兴趣,不妨换个角度,如果结婚了寻求安定不想出差可以去甲方
当然以上只是理论公式,现实生活中的“天花板”在哪里有机会可以自己去体 验一下
知识体系结构
大体分为技术体系和管理体系吧
技术体系:
对攻防技术的理解
OS、 Network、Application、Data protection and related
TCP/IP protocol suits
研 究偏重底层技术,架构偏重网络
安全管理体系:
各种信息安全技术/管理标准,审计及内部控制标准
传统管理学大集合
咨 询及审计
其他:
对客户业务的理解
表达沟通,文档,演讲,项目管理和销售技能
