代理服务器(Proxy Server)
类似于房产中介,因为我们有时候无法直接找到服务器,就好比我们无法一下子找到房东,所以我们要借代理服务器来找到我们想要的服务器(就好比上外网(google.com))
◼ 特点
本身不生产内容
处于中间位置转发上下游的请求和响应
✓ 面向下游的客户端:它是服务器
✓ 面向上游的服务器:它是客户端
正向代理、反向代理
◼ 正向代理:代理的对象是客户端
我ABC客户端找到你,让你代理服务器帮我干一件事情
◼ 反向代理:代理的对象是服务器
选择访问哪一个服务器,帮服务器干事情,为服务器提供负载均衡的能力
正向代理—作用
◼ 隐藏客户端身份(防止公网IP地址泄露)
◼ 绕过防火墙(突破访问限制)
◼ Internet访问控制
在路由器上面设置只有代理服务器可以上网,在来由代理服务器来选择谁可以上网
◼ 数据过滤
可以对请求和响应进行过滤,发现外网传回来了黄色的信息,就把它过滤掉,通过我这台代理服务器上的网都是健康的
◼ …
◼ 一些免费的正向代理
https://ip.jiangxianli.com/
https://www.kuaidaili.com/free/inha/
可以设置整台电脑的代理
反向代理—作用
◼ 隐藏服务器身份
◼ 安全防护
用了代理服务器,客户端就无法直接访问Web服务器集群,Web服务器集群不对外公开了,客户端只能访问代理服务器
相对来说安全了一点
◼ 负载均衡
突然之间涌入大量数据包,服务器会受不了宕机,因为服务器除了要处理客户端发过来的数据,还要运行业务,做各种算法处理
代理服务器只负责转发,利用负载均衡算法来决定把服务器转发给那台服务器,根本就不用运行业务,压力没有那么大
负载:服务器能够承受多少容量
均衡:大家平摊一点
大量的运算在Web服务器集群上,做各种算法运算,IO处理,耗时运算
抓包工具的原理
可以通过代理服务器实现抓包功能
◼ Fiddler、Charles等抓包工具的原理:在客户端启动了正向代理服务
改了客户端的代理,以后我们上网都要经过这两个工具
代理服务器就是代理上下游的响应,上下游都得穿过它
◼ 需要注意的是
Wireshark的原理是:通过底层驱动,拦截网卡上流过的数据
底层:操作系统、网卡
代理服务器—相关的头部字段
◼ Via:追加经过的每一台代理服务器的主机名(或域名)//不是IP,这里是一个名字
◼ X-Forwarded-For:追加请求方的IP地址(下一级的IP地址,有多少个下级IP就写多少)
◼ X-Real-IP:客户端的真实IP地址(公网IP地址,就一台,不会变的)
◼ ①
X-Forwarded-For: 14.14.14.14
X-Real-IP: 14.14.14.14
Via: proxy1
◼ ②
X-Forwarded-For: 14.14.14.14, 220.11.11.11
X-Real-IP: 14.14.14.14
Via: proxy1, proxy2
◼ ③
服务器的IP是隐藏的
Via: proxy2
◼ ④
Via: proxy2, proxy1
①、②是请求头,③、④是响应头
CDN
◼ CDN(Content Delivery Network或Content Dstribution Network),译为:内容分发网络
利用最靠近每位用户的服务器
更快更可靠地将音乐、图片、视频等资源文件(一般是静态资源)传递给用户(动态资源也可以,不过这又是另外一回事)
经过的路由器越多,网速就越慢,所以采用了CDN技术
CDN—使用CDN前后
使用CDN前,所有的用户都从这台服务主机下载资源,就会负载过重
使用CDN后,所有的用户都从最近的CDN节点服务器下载资源,服务主机可以正常工作(镜像站点)
◼ CDN运营商在全国、乃至全球的各个大枢纽城市都建立了机房
部署了大量拥有高存储高带宽的节点,构建了一个跨运营商、跨地域的专用网络
跨运营商:不管你是什么ISP,都支持
专用网络:CDN之间是相连的,资源共享
◼ 内容所有者向CDN运营商支付费用,CDN将其内容交付给最终用户
内容所有者:这台服务器的主人
CDN—使用CDN前
输入域名,发送请求访问DNS服务器拿到IP地址,然后根据IP地址请求到对应的网站服务器
CDN—使用CDN后
输入特殊的域名,发起请求去访问DNS服务器,DNS服务器发现你这个域名比较特殊,我没办法给你IP地址,因为这个域名对应着CDN相关的服务器,他就会把这个请求发给CDN DNS服务器,CDN DNS服务器返回对应的IP地址给客户端,这个IP地址是CDN全局负载均衡系统,客户端根据IP地址去请求CDN全局负载均衡系统,CDN全局负载均衡系统根据客户端的请求,分析出它的地理位置,给它一个离它最近的CDN节点,这个时候客户端就会访问到最近的节点,从这个节点上去拿数据
CDN边缘节点:离客户端最近的节点
有很多层,这里只列出了两层,越往下节点越多
接入网类型:是什么ISP
CDN边缘节点有可能没有内容,没有内容会向上一层节点要内容
CDN边缘节点为周边用户服务的,周边用户服务想访问的内容有可能是类似的,所以它不会去缓存所有的内容
所有的CDN节点都没有内容了,才会去向源站发起请求
利用算法来返回离用户最近的CDN节点
CDN—使用举例
◼ 使用cdn引入jquery
只是刚好网站域名带有CDN字样,不是说访问CDN服务器的域名都得带有CDN字样,碰巧而已
jqueryCDN网站:https://www.bootcdn.cn/jquery/
vueCDN网站:https://www.bootcdn.cn/vue/
网络通信中面临的4种安全威胁
◼ 截获:窃听通信内容
拦下来,看一下在发过去
◼ 中断:中断网络通信
◼ 篡改:篡改通信内容
◼ 伪造:伪造通信内容
我根本就没有发消息给你,但有人伪装成是我发的
网络层—ARP欺骗
◼ ARP欺骗(ARP spoofing),又称ARP毒化(ARP poisoning)、ARP病毒、ARP攻击
◼ ARP欺骗可以造成的效果
可让攻击者获取局域网上的数据包甚至可篡改数据包
可让网络上特定电脑之间无法正常通信(例如网络执法官这样的软件)
如何来控制谁跟谁可以通信
PC机会在同网段内发送ARP广播,网络执法官通过接收ARP广播来获取各pc机的MAC地址,
执法官给A发送ARP请求,源IP是C的IP地址,源MAC地址却是不存在的,A更新自己的MAC地址表,当A想给C发送数据时,会发往一个不存在的地方,A跟C之间将无法通信
让送至特定IP地址的流量被错误送到攻击者所取代的地方
因为A的MAC地址表里的B的MAC地址被改成其它的,A本来想发送给B的,却错误的发送到了其它地方
…
ARP欺骗—核心步骤举例
◼ 假设主机C是攻击者,主机A、B是被攻击者
C只要收到过A、B发送的ARP请求,就会拥有A、B的IP、MAC地址,就可以进行欺骗活动
ARP请求是广播包,只要是同一个网段的都可以收到
C发送一个ARP响应给B,把响应包里的源IP设为A的IP地址,源MAC设为C的MAC地址
B收到ARP响应后,更新它的ARP表,把A的MAC地址(IP_A, MAC_A)改为(IP_A, MAC_C)
当B要发送数据包给A时,它根据ARP表来封装数据包的头部,把目标MAC地址设为MAC_C,而非MAC_A
当交换机收到B发送给A的数据包时,根据此包的目标MAC地址(MAC_C)而把数据包转发给C
C收到数据包后,可以把它存起来后再发送给A,达到窃听效果。C也可以篡改数据后才发送数据包给A
ARP欺骗—防护
像一些360软件就可以做到
◼ 静态ARP
动态ARP会更新MAC地址表,而静态不会,有效的防止了ARP欺骗
◼ DHCP Snooping
网络设备可借由DHCP保留网络上各电脑的MAC地址,在伪造的ARP数据包发出时即可侦测到
DHCP是负责自动分配IP地址的地方,它知道每台PC机的IP地址和其对应的MAC地址
◼ 利用一些软件监听ARP的不正常变动
◼ …
网络安全的问题,针对不同端的,有不同端的问题
DoS、DDoS
◼ DoS攻击(拒绝服务攻击,Denial-of-Service attack)
使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问
把你的电脑搞崩,把你的服务器搞崩,用户访问的时候提供不了服务
◼ DDoS攻击(分布式拒绝服务攻击,Distributed Denial-of-Service attack)
黑客使用网络上两个或以上被攻陷的电脑作为“僵尸”向特定的目标发动DoS攻击
僵尸:又叫肉鸡
在网络上找存在漏洞的主机,(主要是服务器,因为它们的IP是公网IP)利用它们的漏洞,获取它们的权限,命令让它们向目标发起DOS攻击
2018年3月,GitHub遭到迄今为止规模最大的DDoS攻击
◼ DoS攻击可以分为2大类(这里只举出了几种,还有好几种没列出来)
带宽消耗型:UDP洪水攻击、ICMP洪水攻击
占满你的网络带宽,不断的发送数据包过去,这样子用户正常的数据就无法通过
资源消耗型:SYN洪水攻击、LAND攻击
消耗主机上的资源,都是针对TCP三次握手而展开的攻击
DoS、DDoS防御
◼ 防御方式通常为:入侵检测、流量过滤、和多重验证
堵塞网络带宽的流量将被过滤,而正常的流量可正常通过
◼ 防火墙
防火墙可以设置规则,例如允许或拒绝特定通讯协议,端口或IP地址
例如我只允许80端口的数据过来
当攻击从少数不正常的IP地址发出时,可以简单的使用拒绝规则阻止一切从攻击源IP发出的通信
设置这个IP数据不准过来
复杂攻击难以用简单规则来阻止,例如80端口遭受攻击时不可能拒绝端口所有的通信,因为同时会阻止合法流量
很多协议走的是80端口,例如HTTP协议
防火墙可能处于网络架构中过后的位置,路由器可能在恶意流量到达防火墙前即被攻击影响
防火墙一般在路由器后面
◼ 交换机:大多数交换机有一定的速度限制和访问控制能力
◼ 路由器:和交换机类似,路由器也有一定的速度限制和访问控制能力
◼ 黑洞引导
将所有受攻击计算机的通信全部发送至一个“黑洞”(空接口或不存在的计算机地址)或者有足够能力处理洪流的网络设备商,以避免网络受到较大影响
◼ 流量清洗
当流量被送到DDoS防护清洗中心时,通过采用抗DDoS软件处理,将正常流量和恶意流量区分开
正常的流量则回注回客户网站
阿里云、腾讯云有DDoS防御套餐,只不过你要出点钱
传输层—SYN洪水攻击
◼ SYN洪水攻击(SYN flooding attack)
攻击者发送一系列的SYN请求到目标,然后让目标因收不到ACK(第3次握手)而进行等待、消耗资源
不让主机建立连接,让主机一直处于等待状态,消耗资源
◼ 攻击方法
跳过发送最后的ACK信息
用一些手段是可以做到的
修改源IP地址,让目标发送SYN-ACK到伪造的IP地址,因此目标永不可能收到ACK(第3次握手)
攻击者发送的ACK请求当中源IP是不存在的
◼ 防护
参考:RFC 4987
传输层—LAND攻击
◼ LAND攻击(局域网拒绝服务攻击,Local Area Network Denial attack)
通过持续发送相同源地址和目标地址的欺骗数据包,使目标试图与自己建立连接,消耗系统资源直至崩溃
主机跟自己建立连接之后,属于空连接,中间就不会再有数据包了
◼ 有些系统存在设计上的缺陷,允许设备接受并响应来自网络、却宣称来自于设备自身的数据包,导致循环应答
◼ 防护
大多数防火墙都能拦截类似的攻击包,以保护系统
部分操作系统通过发布安全补丁修复了这一漏洞
路由器应同时配置上行与下行筛选器,屏蔽所有源地址与目标地址相同的数据包
应用层—DNS劫持
◼ DNS劫持,又称为域名劫持
一开始输入域名,我们会先向DNS服务器要IP地址,然后在去访问网站
攻击者篡改了某个域名的解析结果,使得指向该域名的IP变成了另一个IP
输入的是百度域名,打开的却是赌博网站
导致对相应网址的访问被劫持到另一个不可达的或者假冒的网址
黑客把DNS服务器域名对应的IP地址改掉
从而实现非法窃取用户信息或者破坏正常网络服务的目的
通过DNS劫持的方式,让用户访问我假冒的网站,网站内容与真实的毫无差别,用户在我网站登录,从而获取用户信息
◼ 为防止DNS劫持,可以考虑使用更靠谱的DNS服务器,比如:114.114.114.114
域名:https://www.114dns.com/
可以在IP设置那边改
谷歌:8.8.8.8、8.8.4.4
微软:4.2.2.1、4.2.2.2
百度:180.76.76.76
阿里:223.5.5.5、223.6.6.6
◼ HTTP劫持:对HTTP数据包进行拦截处理,比如插入JS代码
比如你访问某些网站时,在右下角多了个莫名其妙的弹窗广告,或者点了个按钮,到了其它地方的网站
网站本身自己就有的弹窗不算
HTTP协议的安全问题
◼ HTTP协议默认是采取明文传输的,因此会有很大的安全隐患
传输的数据一目了然
常见的提高安全性的方法是:对通信内容进行加密后,再进行传输
就算黑客拿到了,也不知道我这个是什么
◼ 常见的加密方式有
不可逆
✓ 单向散列函数:MD5、SHA等
可逆
✓ 对称加密:DES、3DES、AES等
✓ 非对称加密:RSA等
其它
✓ 混合密码系统
✓ 数字签名
✓ 证书
常见英文
◼ encrypt:加密
◼decrypt :解密
◼plaintaxt :明文
◼ciphertext:密文
学前须知
◼ 为了便于学习,设计4个虚拟人物
Alice、Bob:互相通信
Eve:窃听者
Mallory:主动攻击者
如何防止被窃听?
单向散列函数—几个网站
◼MD5加密
https://www.cmd5.com/hash.aspx
◼MD5解密
https://www.cmd5.com/
暴力破解,通过枚举的方式
密码越奇怪越好,越复杂越好
◼ 其它加密
https://www.sojson.com/encrypt_des.html
https://tool.chinaz.com/tools/md5.aspx
单向散列函数
◼ 单向散列函数,可以根据根据消息内容计算出散列值
◼ 散列值的长度和消息的长度无关,无论消息是1bit、10M、100G,单向散列函数都会计算出固定长度的散列值
单向散列函数—特点
◼ 根据任意长度的消息,计算出固定长度的散列值
◼ 计算速度快,能快速计算出散列值
◼ 消息不同,散列值也不同
◼ 具备单向性
不可逆
拿到两段散列值,我们无法知道它们之前是有多么的相似
单向散列函数—称呼
◼ 单向散列函数,也被称为
消息摘要函数(message digest function)
把很长的数据,加密成一小段数据,有点像是对一篇文章进行了提取和总结
哈希函数(hash function)
输出的函数像hash值
◼ 输出的散列值,也被称为
消息摘要(message digest)
指纹(fingerprint)
做为你的标识,不是很像指纹吗
单向散列函数—常见的几种单向散列函数
◼MD4、MD5
产生128bit的散列值,MD就是Message Digest的缩写,目前已经不安全
是不是加密,要看你怎么看,没有必要揪着是摘要还是加密不放
但是你密码复杂一点还是可以用的
◼SHA-1
产生160bit的散列值
撒盐可以增强我的密码性,
◼SHA-2
SHA-256、SHA-384、SHA-512 ,散列值长度分别是256bit、384bit、512bit
除以8就知道占了多少字节
◼SHA-3
全新标准
单向散列函数—如何防止数据被篡改
一个个去比对太麻烦了
单向散列函数—应用:防止数据被篡改
可以通过单向散列函数来却确定值是否被改变
在官网拿到的散列值,和我从镜像站点拿到的散列值进行比对,来核验数据是否被篡改了
单向散列函数—应用:密码加密
登录时拿请求的密码MD5值和数据库当中的MD5值进行比较,一样就登录成功
数据库当中的密码都是搞密文,搞明文,可就把用户给坑惨了
用户不会去要旧密码,没有这个需求,所以用不可逆加密是没有问题的
现在用户忘记密码,都是重置密码
状态码和错误代号冲突了怎么办
需要前后端约定好,虽说状态码和错误代号都是由服务器发过来的
是通过响应体JS来判断,状态行来判断,完全由你们公司开发来决定