分类目录归档:运维

windows加密DNS请求

发表评论

在之前的微软更新公告中,windows 21H1加入了基于HTTPS的DNS请求(DOH)这一功能,目前来看是要推迟到21H2版本了,可以使用以下方法暂时在21H1非预览版中代替DOH功能。

配置

  1. 从https://github.com/cloudflare/cloudflared/releases下载对应系统的版本
  2. 新建一个config.yaml文件,文件内容如下
proxy-dns: true
proxy-dns-address: 0.0.0.0   # 监听全部IP,可以给内网其他客户端提供加密的DNS服务,需要关闭防火墙
proxy-dns-upstream:
  - https://1.1.1.1/dns-query
  - https://1.0.0.1/dns-query

其他DOH服务器列表可以参考这里:DNS over HTTPS – 维基百科,自由的百科全书 

启动

管理员权限运行powershell,运行以下命令启动服务端

cloudflared-windows-amd64.exe --config PATH\config.yaml

启动后在IP地址设置中设置DNS为127.0.0.1,并参考以下“测试”章节对DNS流量进行测试

测试

使用WIN10自带的Packetmon 工具分析网络流量,验证当前DNS请求状态是否加密

# 管理员权限打开powershell
# 重置网络流量分析
pktmon filter remove

# 过滤普通DNS服务器的53端口流量
pktmon filter add -p 53
# 开始抓包
pktmon start --etw -m real-time

 

随便ping几个不常见的域名,如果服务生效,Packetmon抓不到任何请求

安装服务

将cloudflared-windows-amd64.exe复制到system32文件夹下,并在管理员权限的powershell中执行以下命令安装服务

cloudflared-windows-amd64.exe service install

安装完成后,会看到

2:47PM INF Installing Argo Tunnel Windows service 2:47PM INF Argo Tunnel agent service is installed windowsServiceName=Cloudflared

在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cloudflared中编辑ImagePath项为上面命令行启动时的命令

保存后,在powershell中执行以下命令启动服务(安装好后开机会自动启动)

Start-Service Cloudflared

 

openwrt记录互联网访问日志

发表评论

openwrt标准的日志记录功能是使用logd ubox 日志守护程序实现的。默认日志会以固定大小、循环覆盖的方式存储在内存中,可以使用命令logread在路由器上读取。logd还支持通过TCP/UDP的方式将日志发送到远程syslog服务器中。

用iptables标记转发的数据包后,通过logd记录至本地或发送到syslog服务器。

日志

本地记录

在配置文件:/etc/config/systemconfig system字段下面加入以下行:

config system 
...
   option log_file '/var/log/mylog'
   option log_remote '0'

重启服务

/etc/init.d/log restart
/etc/init.d/system restart

继续阅读

Elasticsearch 性能调优-硬盘

发表评论

ES生产环境中, 磁盘的读写能力是非常重要的, 尤其对于大量写操作的集群, 比如电商公司将每天的实时日志数据以高并发的方式写入ES集群.

使用SSD(固态硬盘), 而不是(HDD)机械硬盘

使用SSD, 就需要配置SSD的I/O Scheduler —— 数据写入磁盘时, IO Scheduler会决定将数据从OS Cache刷入到磁盘的时机.
大部分SSD的默认IO Scheduler是CFQ (completely fair queuing), 它会为每个进程都分配一些时间片(time slice), 然后通过磁盘的物理布局来决定如何将数据写入磁盘 (对各个进程的数据写入进行优化), 进而提升写入磁盘的性能.
但是默认的CFQ并不高效. 对SSD来说, 推荐使用Deadline/Noop Scheduler, 它基于写操作被Pending的时间长短来进行写磁盘优化, 而Noop Scheduler就是一个简单的FIFO(先进先出)队列机制.

使用RAID0

RAID 0也被称之为条带式(striping)存储机制, 在RAID各种级别中性能是最高的, 它的基本原理是:
把连续的数据分散存储到多个磁盘上进行读写, 也就是对数据进行条带式存储 —— 磁盘的读写请求被分散到多个磁盘上并行执行.
没有必要使用镜像或者RAID的其他模式, 因为我们并不需要通过RAID来实现数据的高可用存储 —— 这方面的工作ES的Replica副本机制已经实现了.

避免使用NAS

虽然很多供应商都说他们的NAS解决方案性能非常高, 而且比本地存储的可靠性更高, 但在实际使用上还是会有很多风险: 网络传输可能存在比较高的时延, 还可能存在单点故障.

windows组策略配置文件含义

发表评论

审核口令设置安全策略

密码必须符合复杂性要求 PasswordComplexity = 1
密码长度最小值 MinimumPasswordLength = 8
密码最长使用期限 MaximumPasswordAge = 42
密码最短使用期限 MinimumPasswordAge = 1
强制密码历史 PasswordHistorySize = 5
用可还原的加密来储存密码 ClearTextPassword = 0
复位帐户锁定计时器 ResetLockoutCount = 15
帐户锁定时间 LockoutDuration = 15
帐户锁定阈值 LockoutBadCount = 15

继续阅读

windows共享(SMB)连接在注册表中的痕迹

发表评论

现已知,注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 中保存了”运行”框中历史的运行命令,测试目的在删除上述注册表内容后,是否可以在其他注册表项中追溯到历史连接的共享

测试条件

使用 WIN10\WIN SER 2K8 虚拟机进行测试

使用regshot对下述条件中的注册表变化键值进行比对:

  1. 未连接共享时的注册表快照(1.hive)
  2. 连接共享(3个)后的注册表快照(2.hive)

上述连接的共享IP为:

192.168.169.116 未开启共享,连接失败
192.168.169.254 仅连接,不登陆
192.168.169.107 连接并登录

继续阅读

如何在Windows中删除旧的Shellbag条目的隐私

发表评论

原文出处:How to remove old Shellbag entries in Windows for privacy – gHacks Tech News

(此处使用Google翻译,文章有改动)

作者Martin Brinkmann于2014年6月9日写在Security版块

上次更新时间:2014年6月9日

微软Windows操作系统在Windows注册表中记录有关窗口查看首选项的信息(称为ShellBag信息)。

当用户使用Windows资源管理器时,它会跟踪文件夹的大小,视图模式,图标,访问时间和日期以及位置等信息。

让Shellbag的信息有趣的事是,当文件夹被删除,Windows并不删除它们,这意味着信息可以用来证明系统上的文件夹的存在。

取证使用这些信息来记录用户访问过的文件夹。它可以用来查找文件夹上次访问,修改或在系统上创建的时间。

该信息还可以用于显示过去连接到计算机的可移动存储设备的内容,以及之前安装在系统上的加密卷的信息。

概况

当用户至少访问一次操作系统上的文件夹时,会创建Shellbags。这意味着它们可以用来证明用户至少访问过一次特定的文件夹。

Windows将信息保存到以下注册表项:

HKEY_USERS\ID\Software\Microsoft\Windows\Shell\Bags

HKEY_USERS\ID\Software\Microsoft\Windows\Shell\BagMRU

HKEY_USERS\ID\Software\Microsoft\Windows\ShellNoRoam

如果你分析的BagMRU结构,你会注意到存储在主键下的许多整数。Windows在这里存储有关最近打开的文件夹的信息。每个项目与系统上的子文件夹相关,由存储在这些子文件夹中的二进制日期标识。

另一方面,Bags包含关于每个文件夹的信息,包括其显示设置。

有关结构的更多信息由一篇名为“使用 Shellbag 信息重建用户活动”的文章提供,您可以点击下面的链接下载该文件:p69-zhu.pdf

您可以根据微软提供的解决方案删除注册表项来重置所有文件夹的设置:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Bags

HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagMRU

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags

另外在64位系统上:

HKEY_CURRENT_USER\Software\Classes\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\Bags

HKEY_CURRENT_USER\Software\Classes\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\BagMRU

之后,重新创建以下键:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags

另外在64位系统上:

HKEY_CURRENT_USER\Software\Classes\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\Bags

HKEY_CURRENT_USER\Software\Classes\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\BagMRU

社工库问题汇总及一些常见的泄露数据共享网站

发表评论

社工库使用ELK架构,记录一下社工库搭建过程中的一些未解决的问题及可能的解决方案。还有最重要的,去哪收集数据

问题

遇到的问题主要有以下几个:

1.导入数据过慢

2.库内有大量重复数据

可能的解决方案

1.砸钱上NAS(导入数据慢)

2.每个文件建立新索引,建立索引的主机与查询主机分开(导入数据慢)

3.建立索引时与现有索引数据进行对比,重复数据超过阈值后不建立索引(有重复数据)

泄露数据共享网站

https://nuclearleaks.com/random/ (提供下载)

https://ghostproject.fr/ (仅查询)

https://www.inoitsu.com/(仅查询)

https://leaksify.com/dashboard/(查询、下载,需要注册)

https://cdn.databases.today/ (下载,目前貌似仅提供收费的查询服务)

https://hacked-emails.com/ (仅发布泄露的数据来源,不提供查询、下载服务)

https://weleakinfo.com/ (仅查询)

https://ashley.cynic.al/ (仅查询)

https://data.occrp.org/ (仅查询)

https://dehashed.com/ (仅查询)

https://haveibeenpwned.com/ (仅查询)

https://scatteredsecrets.com/ (仅查询)

有可能会发布泄露数据的地方

http://www.pastebin.com/ ( pastebin )

https://psbdmp.ws/ (pastebin搜索)