https://blog.qife122.com/tags/%E8%9C%9C%E7%BD%90%E5%88%86%E6%9E%90/ Recent content in 蜜罐分析 on 办公AI智能小助手 Hugo zh-cn qife Fri, 17 Oct 2025 23:18:28 +0800 https://blog.qife122.com/p/%E8%9C%9C%E7%BD%90%E6%8D%95%E8%8E%B7%E5%BC%82%E5%B8%B8%E8%AF%B7%E6%B1%82%E5%A4%B4x-forwarded-app%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ Fri, 17 Oct 2025 23:18:28 +0800 https://blog.qife122.com/p/%E8%9C%9C%E7%BD%90%E6%8D%95%E8%8E%B7%E5%BC%82%E5%B8%B8%E8%AF%B7%E6%B1%82%E5%A4%B4x-forwarded-app%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ <h1 id="求助这些异常请求是什么">求助：这些异常请求是什么？</h1> <p>查看我们的网络蜜罐数据时，我遇到了一个以前从未见过的奇怪请求头：&ldquo;X-Forwarded-App&rdquo;。我最初的猜测是，这又是代理服务器在特定&quot;应用&quot;连接时泄露秘密的问题。于是我进行了更深入的分析，发现了如下请求：</p> https://blog.qife122.com/p/%E8%9C%9C%E7%BD%90%E9%81%AD%E9%81%87%E7%B2%BE%E5%BF%83%E8%AE%BE%E8%AE%A1%E7%9A%84ddos%E5%B9%B2%E6%89%B0%E6%94%BB%E5%87%BB%E5%88%86%E6%9E%90/ Fri, 10 Oct 2025 17:36:57 +0800 https://blog.qife122.com/p/%E8%9C%9C%E7%BD%90%E9%81%AD%E9%81%87%E7%B2%BE%E5%BF%83%E8%AE%BE%E8%AE%A1%E7%9A%84ddos%E5%B9%B2%E6%89%B0%E6%94%BB%E5%87%BB%E5%88%86%E6%9E%90/ <h1 id="客座日记-以干扰分析为乐的ddos攻击分析">[客座日记] 以干扰分析为乐的DDoS攻击分析</h1> <p>[这是一篇由Taylor House撰写的客座日记，他是ISC实习生，参与SANS.edu应用网络安全学士学位项目[1]。]</p> https://blog.qife122.com/p/%E8%9C%9C%E7%BD%90%E6%8D%95%E8%8E%B7%E5%BC%82%E5%B8%B8%E8%AF%B7%E6%B1%82%E5%A4%B4x-forwarded-app%E7%9A%84%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E5%88%86%E6%9E%90/ Fri, 26 Sep 2025 18:44:12 +0800 https://blog.qife122.com/p/%E8%9C%9C%E7%BD%90%E6%8D%95%E8%8E%B7%E5%BC%82%E5%B8%B8%E8%AF%B7%E6%B1%82%E5%A4%B4x-forwarded-app%E7%9A%84%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E5%88%86%E6%9E%90/ <h1 id="求助这些异常请求是什么">求助：这些异常请求是什么？</h1> <p>查看我们的网络蜜罐数据时，我遇到了一个之前从未见过的奇怪请求头：&ldquo;X-Forwarded-App&rdquo;。我的第一猜测是这又是代理服务器桶 brigade 泄露秘密的问题，当特定&quot;应用&quot;连接到它时会出现这种情况。于是我深入调查，发现了如下请求：</p> https://blog.qife122.com/p/%E8%9C%9C%E7%BD%90%E9%81%AD%E9%81%87%E4%BC%AA%E8%A3%85ddos%E6%94%BB%E5%87%BB%E5%88%A9%E7%94%A8scapy%E5%8C%85%E4%BC%AA%E9%80%A0%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ Fri, 26 Sep 2025 04:34:19 +0800 https://blog.qife122.com/p/%E8%9C%9C%E7%BD%90%E9%81%AD%E9%81%87%E4%BC%AA%E8%A3%85ddos%E6%94%BB%E5%87%BB%E5%88%A9%E7%94%A8scapy%E5%8C%85%E4%BC%AA%E9%80%A0%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ <h1 id="客座日记-以干扰分析为乐蜜罐遭遇伪装ddos攻击分析">[客座日记] 以干扰分析为乐：蜜罐遭遇伪装DDoS攻击分析</h1> <p><strong>发布：2025-09-23 最后更新：2025-09-23 12:55:18 UTC</strong><br> 作者：Jesse La Grew（版本：1）</p> https://blog.qife122.com/p/ssh%E9%9A%A7%E9%81%93%E5%AE%9E%E6%88%98%E6%8F%AD%E7%A7%98direct-tcp%E8%AF%B7%E6%B1%82%E6%94%BB%E5%87%BB%E9%93%BE/ Fri, 05 Sep 2025 20:53:29 +0800 https://blog.qife122.com/p/ssh%E9%9A%A7%E9%81%93%E5%AE%9E%E6%88%98%E6%8F%AD%E7%A7%98direct-tcp%E8%AF%B7%E6%B1%82%E6%94%BB%E5%87%BB%E9%93%BE/ <h1 id="ssh隧道实战direct-tcp请求攻击链">SSH隧道实战：direct-tcp请求攻击链</h1> <h2 id="背景与实验环境">背景与实验环境</h2> <p>作为SANS学位课程的一部分，我通过AWS免费层EC2实例在日本部署了Cowrie SSH/Telnet蜜罐，用于模拟脆弱服务器并记录暴力破解和攻击者交互行为。同时基于ISC导师Guy Bruneau的GitHub指南[1]，在独立VPS上搭建ELK SIEM平台集中分析日志。</p> https://blog.qife122.com/p/ssh%E9%9A%A7%E9%81%93%E5%AE%9E%E6%88%98%E6%8F%AD%E7%A7%98direct-tcp%E8%AF%B7%E6%B1%82%E4%B8%8E%E7%A7%81%E6%9C%89ca%E6%90%AD%E5%BB%BA%E6%8C%87%E5%8D%97/ Wed, 03 Sep 2025 16:14:52 +0800 https://blog.qife122.com/p/ssh%E9%9A%A7%E9%81%93%E5%AE%9E%E6%88%98%E6%8F%AD%E7%A7%98direct-tcp%E8%AF%B7%E6%B1%82%E4%B8%8E%E7%A7%81%E6%9C%89ca%E6%90%AD%E5%BB%BA%E6%8C%87%E5%8D%97/ <h1 id="ssh-tunneling-in-action-direct-tcp-requests-guest-diary">SSH Tunneling in Action: direct-tcp requests [Guest Diary]</h1> <p><strong>[本文为Sihui Neo的客座日记，其为SANS.edu BACS项目的ISC实习生]</strong></p> <p>作为SANS学位课程的一部分，我有机会设置一个蜜罐来模拟易受攻击的服务器并监控日志活动。我使用AWS免费层EC2实例在日本设置了蜜罐传感器，并部署了Cowrie——一个SSH和Telnet蜜罐，旨在记录攻击者执行的暴力攻击和shell交互。</p>