1.BGP路由协议的工作原理
2.网络测量工具集合（ZMap、源用XMap、码使scamper、源用mtr、码使ZGrab 2.0，源用pyasn(IP2AS) 持续更新ing...）
3.冬训营丨高级威胁活动中C2的码使ijkplayer 源码解析多样风格
4.tracert工作原理&路由原理

BGP路由协议的工作原理

       BGP的工作原理看书就行了，主要是了解BGP选路的个规则，学好个规则，BGP也算差不多了

       1， 忽略下一跳不可达的路由

       2， 忽略不同步的IBGP路由

       3, 首选具有最大权重优先，思科私有。(local to router)

       4， 首选具有最大本地优先级优先。(global within AS)

       5， 首选具有始发本地的路由的路由器优先，(next hop=0.0.0.0)

       6， 首选具有最短AS-PATH的路由。

       7， 首选具有最小的源码的路由，IGP〈EBP〈incomplete

       8, 当所有路由的AS号都相同的时候，首选MED最低的路由，在所有AS号码相同的时候比较MED

       9， 首选具有EBGP〉联盟EBGP>IBGP

       ï¼Œé¦–选具有最近的IGP邻居路由器优先，metric

        首选具有最老的路由优先（注意：现在这条基本不用）

       ï¼Œé¦–选具有最低ROUTER-ID的路由。(2个BGP地址不能建邻)

       ï¼Œé¦–选具有最低的neighbor的IP地址

网络测量工具集合（ZMap、XMap、源用scamper、码使mtr、源用ZGrab 2.0，码使pyasn(IP2AS) 持续更新ing...）

       网络高速扫描工具ZMap和XMap提供快速而高效的源用网络扫描能力，支持IPv6和IPv4，码使以及ping、源用traceroute等技术，码使适用于大规模网络分析。源用

       scamper是一款由CAIDA开发的工具，用于积极探测互联网，分析拓扑结构和性能。scamper支持IPv6和IPv4探测、ping、traceroute以及MDA traceroute、radargun、bcpl语言 源码ally、mercator、sting、speedtrap、DNS探测等技术，是CAIDA宏观拓扑项目中的探针。开发者Matthew Luckie提供了scamper的C语言源码，用户可以自行构建和使用。

       Yarrp是一种针对互联网规模快速网络拓扑发现的下一代主动网络拓扑发现技术。它在短时间内以超过Kpps的速度进行探查，能够在不到5分钟内发现超过K个路由器接口。Yarrp支持TCP、UDP-paris和ICMP-paris探测，适用于IPv4和IPv6环境。Yarrp基于C++，在Linux和BSD系统上运行，并以BSD许可开源。

       mtr结合了traceroute和ping程序的功能，成为一个集成的网络诊断工具。它通过与指定目标主机进行连接，确定网络跳点的php echo源码地址，并发送ICMP ECHO请求以评估链路质量，同时提供运行统计信息。mtr提供入门指南和官方网站，用户可以获取详细信息和源代码，了解其在估计往返时间波动（interarrival jitter）方面的优势。使用mtr进行诊断时，重要的是参考RFC文档中的相关部分，了解代码中涉及的计算方法，如在ui/net.c #line处的代码实现。

       ZGrab 2.0是一款专注于应用层协议扫描的工具，适用于快速识别和分析网络流量中的协议特征。通过安装和使用ZGrab 2.0，用户可以进行高效的应用层扫描。

       对于高速DNS查询的需求，ZDNS提供了一个命令行界面的解决方案，支持高效率的DNS查找操作。

       快速IP2AS映射是网络研究中的一项重要任务。pyasn是用于批量IP2AS映射的Python工具，支持IPv4和IPv6，通过离线查询历史路由数据（如MRT/RIB BGP archive），pyasn能够显著提高查询速度和准确性。android弹球源码使用pyasn进行IP到自治系统编号（ASN）的映射，可利用routeviews等历史路由数据源，以确保结果的可靠性和精确性。

冬训营丨高级威胁活动中C2的多样风格

       C2是什么？它是指APT组织掌握的基础设施，即IP、域名、URL。作为动词，C2意味着命令与控制（Command and Control），APT组织基于各种网络基础设施，如广域网/公网、局域网/内网、Tor洋葱路由、卫星等，对已成功入侵的目标进行控制、指令下发、资源下发和数据回传。

       在命令与控制过程中，APT组织通过OODA循环展开网空杀伤链，C2属于控制阶段。攻击方需要隐蔽自身行为和通信通道，yy动态源码即使被发现也难以定位真实的C2基础设施，甚至定位到基础设施也无法溯源到攻击方。攻击方为达成效果，使用了多种技术手段，包括Payload、信道、协议、报文、基础设施和C2节点。以下将从基础设施角度，探讨C2的多样风格。

       案例一：APT组织入侵网站作为C2

       年，安天发布报告指出，攻击者利用BBS漏洞入侵网站，上传Webshell和其他组件作为C2。Webshell作为跳板机，实现邮件发送、信息接收和恶意载荷下载。通过分析发现，攻击者可能使用自研Webshell，能够获取网站服务器信息。Webshell采用加密手段进行保护，但无法直接作为检测指标。

       案例二：APT组织利用DDR作为C2

       DDR是一种间谍活动策略，用于在未见面的情况下进行信息传递。越来越多APT组织将其用于合法Web服务作为C2，方便创建和测试环境，且加密报文难以直接封禁，对安全产品构成挑战。

       案例三：利用入侵的IoT设备作为C2

       海莲花组织自年开始使用IoT设备转发流量，隐藏真实C2地址，通过设备取证可获取真实C2节点。

       案例四：美国CIA自建C2基础设施控制平台蜂巢

       年，维基解密公开了CIA使用的Hive源代码和开发日志，Hive是用于控制恶意软件基础设施的组件，通过可选身份验证隐藏C2节点。

       案例五：使用可移动设备作为C2

       APT组织在隔离网络中使用可移动设备作为C2，如在SolarWinds供应链攻击中，APT组织利用基于Cobalt Strike的SMB管道作为内网C2。

       案例六：基于域名前置的隐蔽通道作为C2

       APT组织使用域名前置隐蔽通道和Tor洋葱路由隐藏C2节点。

       案例七：图拉组织利用卫星通信作为C2

       图拉组织通过中东和非洲国家的卫星网络进行通信，很难追踪到具体位置。他们可能通过BGP劫持卫星通信协议作为C2信道。

       案例八：利用其他组织的C2作为C2

       年，图拉组织劫持伊朗APT组织的网络基础设施作为恶意软件下载服务器，将恶意软件植入目标网络。

       结合案例，高级威胁活动中C2的多样风格得到抽象化总结。从威胁框架整体看，C2问题已不仅仅是单一维度。通过深入挖掘流量中的协议和文件格式，提升ATT&CK威胁框架的覆盖度。在定位、观察和情报层面形成闭环，针对C2的多样化情况进行猎杀与捕获。

tracert工作原理&路由原理

       1:1 <1 ms <1 ms <1 ms proxy.huayuan.hy [...1]

        2 * ms ms ..2.3

        3 ms ms ms ...

        4 ms ms ms ..7.

        5 ms ms ms ..3.

        6 ms ms ms ..3.

        7 ms ms ms xd--5-a8.bta.net.cn [...5]

       Trace complete.

       看一下上面这个过程 应该不用解释了

       下面我们来分析一下 我们是怎么看到这个回显的

       大家都知道我们所发送的tracert数据包 属于icmp数据包的一种

       关于ttl的概念不知道能否理解

       ttl 就是生存时间的意思 也就是我们所发送的数据包 在转发过程中的寿命问题

       很好理解 如果寿命为0的话 就不能到达目的地 每经过一个三层设备我们的数据包的

       ttl值都会减一 如果减到0 就证明不能到达就会给我们的源主机一个回应显示

       并告知源主机 在哪个三层设备将这个生存值置0的 然后将这个三层设备的ip地址转发给

       源主机

       上面我们说的是ttl的一个原理和作用

       下面我们来说 tracert包的原理

       我们发送TRACERT包时 第一次的包的ttl值为1 这样到第一个三层设备那就会给

       源主机一个回应 并告知其IP

       依次类推 第二次发送的时候的TTL值等于2

       第三次为3 默认最大hop为

       也就是说ttl最大升到

       这样我门就能清楚的看到 我们的数据包是怎么到达目的地的

       2:当IP子网中的一台主机发送IP分组给同一IP子网的另一台主机时，它将直接把IP分组送到网络上，对方就能收到。而要送给不同IP子网上的主机时，它要选择一个能到达目的子网上的路由器，把IP分组送给该路由器，由路由器负责把IP分组送到目的地。如果没有找到这样的路由器，主机就把IP分组送给一个称为“缺省网关（default gateway）”的路由器上。“缺省网关”是每台主机上的一个配置参数，它是接在同一个网络上的某个路由器端口的IP地址。

        路由器转发IP分组时，只根据IP分组目的IP地址的网络号部分，选择合适的端口，把IP分组送出去。同主机一样，路由器也要判定端口所接的是否是目的子网，如果是，就直接把分组通过端口送到网络上，否则，也要选择下一个路由器来传送分组。路由器也有它的缺省网关，用来传送不知道往哪儿送的IP分组。这样，通过路由器把知道如何传送的IP分组正确转发出去，不知道的IP分组送给“缺省网关”路由器，这样一级级地传送，IP分组最终将送到目的地，送不到目的地的IP分组则被网络丢弃了。目前TCP／IP网络，全部是通过路由器互连起来的，Internet就是成千上万个IP子网通过路由器互连起来的国际性网络。网络称为以路由器为基础的网络（router based network），形成了以路由器为节点的“网间网”。在“网间网”中，路由器不仅负责对IP分组的转发，还要负责与别的路由器进行联络，共同确定“网间网”的路由选择和维护路由表。路由动作包括两项基本内容：寻径和转发。寻径即判定到达目的地的最佳路径，由路由选择算法来实现。由于涉及到不同的路由选择协议和路由选择算法，要相对复杂一些。为了判定最佳路径，路由选择算法必须启动并维护包含路由信息的路由表，其中路由信息依赖于所用的路由选择算法而不尽相同。路由选择算法将收集到的不同信息填入路由表中，根据路由表可将目的网络与下一站（nexthop）的关系告诉路由器。路由器间互通信息进行路由更新，更新维护路由表使之正确反映网络的拓扑变化，并由路由器根据量度来决定最佳路径。这就是路由选择协议（routing protocol），例如路由信息协议（RIP）、开放式最短路径优先协议（OSPF）和边界网关协议（BGP）等。

        转发即沿寻径好的最佳路径传送信息分组。路由器首先在路由表中查找，判明是否知道如何将分组发送到下一个站点（路由器或主机），如果路由器不知道如何发送分组，通常将该分组丢弃；否则就根据路由表的相应表项将分组发送到下一个站点，如果目的网络直接与路由器相连，路由器就把分组直接送到相应的端口上。这就是路由转发协议（routed protocol）。

        路由转发协议和路由选择协议是相互配合又相互独立的概念，前者使用后者维护的路由表，同时后者要利用前者提供的功能来发布路由协议数据分组。