路由器木马，其主要目标是控制网络的核心路由设备；一旦攻击成功，其危害性远大于一台主机被控。

如果仅仅在路由器上面防范该类木马，那也是不够的，有很多Linux服务器违规开放Telnet端口，且使用了弱口令，一样可以中招。下面我们就一起来回顾一起真实案例。

近期，越来越多的人被一种恶意软件程序勒索，电脑上的多种重要文件都被加密而无法打开，并且无计可施，只能乖乖支付赎金，以对文件解密。

在对客户网络内网进行流量监控时发现，一台主机172.25.112.96不断对172.25.112.1/24网段进行TCP445端口扫描，这个行为目的在于探测内网中哪些机器开启了SMB服务，这种行为多为木马的通信特征。

“知己知彼，百战不殆。”扫描探测，目的就是“知彼”，为了提高攻击命中率和效率，基本上常见的攻击行为都会用到扫描探测。

扫描探测的种类和工具太多了，攻击者可以选择现有工具或自行开发工具进行扫描，也可以根据攻击需求采用不同的扫描方式。本文仅对Nmap常见的几种扫描探测方式进行分析。如：地址扫描探测、端口扫描探测、操作系统扫描探测、漏洞扫描探测（不包括Web漏洞，后面会有单独文章介绍Web漏洞扫描分析）。

暴力破解，即用暴力穷举的方式大量尝试性地猜破密码。猜破密码一般有3种方式：

1、排列组合式：首先列出密码组合的可能性，如数字、大写字母、小写字母、特殊字符等；按密码长度从1位、2位……逐渐猜试。当然这种方法需要高性能的破解算法和CPU/GPU做支持。

接到客户需求，对其互联网办公区域主机安全分析。在对某一台主机通信数据进行分析时，过滤了一下HTTP协议。

肉鸡也称傀儡机，是指可以被黑客远程控制的机器。一旦成为肉鸡，就可以被攻击者随意利用，如：窃取资料、再次发起攻击、破坏等等。下面将利用WireShark一起学习一种肉鸡的用途：广告垃圾邮件发送站。

一看题目，很多朋友就会有疑问：市面上那么多的安全监控分析设备、软件，为什么要用WireShark来发现黑客和攻击行为？我想说的是WireShark目前作为最优秀的网络分析软件，如果用好了，比任何设备、软件都Nice。首先，它识别的协议很多；其次，WireShark其实具备很多分析功能；最主要的，它免费，既能采集又能分析，不丢包、不弃包。

当时dns反射攻击爆发的时候，我就开始研究snmp的反射攻击（实际可以达到20倍的放大效果），在2013年夏天就已经理论研究完成，后来实现工具化。最后还差规模化（武器化）。其实，是国外在2013年初，就有只言片语叙述snmp的反射攻击，但是没有一篇完整的文章，最近在微博上看到很多朋友转载国外的信息，我觉得，如果再不把自己所研究的放出来刷刷存在感，让我这个rank9的人活不下去了。

基于PKI体系的SSL/TLS协议近年来暴出很多安全问题，比如著名的HeartBleed、POODLE攻击和Freak攻击等，2014年关于SSL/TLS协议证书验证问题的CVE有成千个。针对SSL协议在实现中暴露出的各种问题，这里我们讨论一下现有的加固和防范方案，主要包括四个方面：

RC4是美国密码学家Ron Rivest在1987年设计的密钥长度可变的流加密算法。它加解密使用相同的密钥，因此也属于对称加密算法。RC4曾被用在有线等效加密（WEP）中，但由于其错误的使用的方式已被有效破解，而如今，它又被TLS协议所放弃。

SSL/TLS协议是网络安全通信的重要基石，本系列将简单介绍SSL/TLS协议，主要关注SSL/TLS协议的安全性，特别是SSL规范的正确实现。 本系列的文章大体分为3个部分：

最近世界真是越来越不太平了，尤其是对于大部分普通人而言。昨天又传来噩耗，根据网络监测公司BGPMon，Google的公开DNS服务器 IP 8.8.8.8被劫持到了委内瑞拉和巴西超过22分钟。

Google DNS 服务器平均每天处理超过1500亿个查询，在被劫持的22分钟里起码几百万个查询包括金融系统，政府和个大商业网站的DNS查询流量都被劫持走了。

最近一段时间 DDoS 攻击事件让基于 NTP 的 DDoS 攻击变得很火热，先看看下面的信息感受下：

最近看了一些文章，比如利用TTL 判断GFW，或者一些奇怪设备的位置，特做一个实验，看一下TTL 及TRACERT 。 TRACERT 大概的原理，就是通过发送不断+1 的TTL（TIME TO LIVE）的ICMP REQUEST到达最终设备，最后由最终设备返回ICMP REPLY（中间经过的设备返回的都是ICMP超时---|||||ICMP TIME EX）实现。 先发一个TRACERT 图