安全通信相关

一、解决DOS攻击生产案例

根据web日志或者或者网络连接数,监控当某个IP 并发连接数或者短时内PV达到100,即调用防火墙命令封掉对应的IP,监控频率每隔5分钟。防火墙命令为:iptables -A INPUT -s IP -j REJECT

# vim deny_dos.sh
#!/bin/bash
#
#********************************************************************
#Author:        xinshidong
#QQ:            6736080
#Date:          2021-03-01
#FileName:     deny_dos.sh
#URL:            
#Description:      The test script
#Copyright (C):     2021 All rights reserved
#********************************************************************

LINK=100
while true;do
ss -nt | awk -F"[[:space:]]+|:" '/^ESTAB/{print $(NF-2)}'|sort |uniq -c|while read count ip;do
if [ $count -gt $LINK ];then
iptables -A INPUT -s $ip -j REJECT
fi
done
sleep 5m    #也可以加入定时任务 crontab -e  */5 * * * * /home/xsd/shells/deny_dos.sh
done

二、描述密钥交换的过程

  • 对称加密

    1. 加密方和解密方使用同一个密钥。
    2. 加密解密的速度比较快,适合数据比较长时的使用。
    3. 密钥传输的过程不安全,且容易被破解,密钥管理也比较麻烦。
    4. 加密算法:DES(Data Encryption Standard)、3DES、AES(Advanced Encryption Standard,支持128、192、256、512位密钥的加密)、Blowfish。
    5. 加密工具:openssl、gpg(pgp工具)。

  • 非对称加密

    1. 每个用户拥用一对密钥加密:公钥和私钥。
    2. 公钥加密,私钥解密;私钥加密,公钥解密。
    3. 公钥传输的过程不安全,易被窃取和替换。
    4. 由于公钥使用的密钥长度非常长,所以公钥加密速度非常慢,一般不使用其去加密。
    5. 某一个用户用其私钥加密,其他用户用其公钥解密,实现数字签名的作用。
    6. 公钥加密的另一个作用是实现密钥交换。
    7. 加密和签名算法:RSA、ELGamal。
    8. 公钥签名算法:DSA。
    9. 加密工具:gpg、openssl。

  • Pb {Sa(data}) :用sa签名,再用pb加密-----用sb解密后,再用pa解密

  1. 在A上对原数据进行单向hash运算得到限定长度的摘要字符串hash(data) 。
  2. 把hash运算得到的摘要用A的私钥在A主机上加密摘要Sa(hash(data))。
  3. 把加密后的摘要和原数据作为一个整体在A主机上用B的公钥加密成密文Pb(Sa(hash(data))+data)。
  4. 发送传输给B。
  5. 主机B上用B的私钥对密文进行第一次解密得到原数据和被主机A私钥加密的摘要密文。
  6. 在主机B上用A的公钥对摘要密文进行解密,如能解密成功表示数据来源一定是从A主机来的(确定数据来源)。
  7. 在主机B上对原数据进行单向hash运算得到摘要字符串。
  8. 判断用A公钥解密后的摘要字符串和B自己通过对原数据hash运算得到的摘要是否完全相同,如果完全相同则表示数据没有被篡改或者损坏。
  9. 使用文件摘要来进行比较是因为文件内容太大而文件对应的摘要内容却比较短,能大大提高加密和解密的效率。
  • 对称key{Sa[hash(data)]+data}+Pb(对称key)

  1. A上对原数据进行单向hash运算得到摘要信息1 。
  2. 用A的私钥加密摘要信息1得到A的数字签名。
  3. 用对称密钥加密数据和数字签名。
  4. 用B的公钥加密对称密钥。
  5. 将3、4产生的数据传输给B。
  6. B用私钥解密对称密钥,如能解密成功表示数据来源一定是从A主机来的(确定数据来源)。
  7. 用A的公钥解密数据和摘要信息1。
  8. B上对原数据进行单向hash运算得到摘要信息2。
  9. 对比摘要信息1和摘要信息2是否相同,如果完全相同则表示数据没有被篡改或者损坏。

三、https的通信过程

  1. 客户端发起HTTPS请求

    用户在浏览器里输入一个https网址,然后连接到服务器的443端口。

  2. 服务端的证书配置

    采用HTTPS协议的服务器必须要有一套数字证书,可以自己制作,也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出提示页面。这套证书其实就是一对公钥和私钥。

  3. 传送服务器的证书给客户端

    证书里其实就是公钥,并且还包含了很多信息,如证书的颁发机构,过期时间等等。

  4. 客户端解析验证服务器证书

    这部分工作是有客户端的TLS来完成的,首先会验证公钥是否有效,比如:颁发机构,过期时间等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一个随机值。然后用证书中公钥对该随机值进行非对称加密。

  5. 客户端将加密信息传送服务器

    这部分传送的是用证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。

  6. 服务端解密信息

    服务端将客户端发送过来的加密信息用服务器私钥解密后,得到了客户端传过来的随机值。

  7. 服务器加密信息并发送信息

    服务器将数据利用随机值进行对称加密,再发送给客户端。

  8. 客户端接收并解密信息

    客户端用之前生成的随机值解密服务段传过来的数据,于是获取了解密后的内容。