1、解决DOS攻击生产案例:根据web日志或者网络连接数,监控当某个IP并发连接数或者短时间内PV达到100,即调用防火墙命令封掉对应的IP,监控频率每隔5分钟。防火墙命令为iptables -A INPUT -s IP -j REJECT
创建脚本文件: [root@CentOS8 ~]#cat /data/script/deny_dos.sh #!/bin/bash LINK=100 ss -nt|awk -F" +|:" '/^ESTAB/{print $(NF-2)}'|sort|uniq -c|sort -nr|while read COUNT IP;do if [ $COUNT -gt $LINK ];then iptables -A INPUT -s $IP -j REJECT fi done 创建定时任务: [root@CentOS8 script]#crontab -l */5 * * * * /data/script/deny_doc.bash
2、描述密钥交换过程
(1) 公钥加密实现 发送方用接收方的公钥加密自己的密钥,接收方用自己的私钥解密得到发送方的密钥,逆过来亦然,从而实现密钥交换。 (2) 使用DH算法 1) 发送方和接受方协商使用同一个大素数P和生成数g 2) A:生成隐私数据:a (a<P),计算得出 g^a%P,发送给B B:生成隐私数据:b (b<P),计算得出 g^b%P,发送给A 3) A:计算得出 [(g^b%P)^a] %P = g^ab%P,生成为密钥 B:计算得出 [(g^a%P)^b] %P = g^ab%P,生成为密钥
3、https的通讯过程
(1) 客户端发起HTTPS请求 用户在浏览器里输入一个https网址,然后连接到服务器的443端口 (2) 传送服务器的证书给客户端 证书里其实就是服务器的公钥,并且还包含了很多信息,如证书的颁发机构,过期时间等等。采用HTTPS协议的服务器必须要有一套数字证书,可以自己制作,也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出提示页面。 (3) 客户端解析验证服务器证书 这部分工作是由客户端的TLS来完成的,首先会验证公钥是否有效,比如:颁发机构,过期时间等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一个随机值。然后用证书中公钥对该随机值进行非对称加密。 (5) 客户端将加密信息传送服务器 这部分传送的是用证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。 (6) 服务端解密信息 服务端将客户端发送过来的加密信息用服务器私钥解密后,得到了客户端传过来的随机值。 (7) 服务器加密信息并发送信息 服务器将数据利用随机值进行对称加密,再发送给客户端。 (8) 客户端接收并解密信息 客户端用之前生成的随机值解密服务段传过来的数据,于是获取了解密后的内容。
