1、解决DOS攻击生产案例:根据web日志或者或者网络连接数，监控当某个IP 并发连接数或者短时内PV达到100，即调用防火墙命令封掉对应的IP，监控频 率每隔5分钟。防火墙命令为:iptables -A INPUT -s IP -j REJECT

[root@centos8 scripts]#cat check.sh

#!/bin/bash

PV=100

awk '{IP[$1]++}END{for(i in IP){print IP[i],i}}' /data/scripts/access.log | while read count IP;do

if [ "$count" -ge $PV ];then

/usr/sbin/iptables -A INPUT -s $IP -j REJECT

echo "$IP $count" >> /data/ddosattack

fi

done

[root@centos8 ~]#chmod u+x /data/scripts/check.sh

[root@centos8 ~]#crontab -l

*/5 * * * *  /root/check.sh

2、描述密钥交换的过程

前提

    非对称加密

    公私钥能相互解开，但是对于被嵌套的公私钥，相当于嵌套的锁，一定要将外层的锁解开之后才能解开内层的锁

    有一个公证人，即证书中心，CA

过程

    服务器产生公私钥

    将公私钥发送给CA

    CA生成客户端浏览器公私钥

    CA使用客户端浏览器的私钥对共服务器的公钥进行加密，得到证书，返回给服务器

    CA将证书发给客户端

    服务器发送公钥与证书给客户端

    客户端利用公钥对证书解密，对比服务端公钥，确认来源无误

    客户端生成随机密码，保存在本地，然后使用服务端公钥加密

    将加密的密码返回给服务端

    服务端使用私钥解密得到客户端密码

    此时完成了密码交换工作

    此后进行的所有数据交换都会事先使用这个密码进行对称加密，如DES，3DES。

    总结：对密钥进行非对称加密，后使用密钥进行对称加密

3、https的通信过程

https的特点

1. https有 握手阶段 和 请求阶段

2. 握手阶段 使用 非对称加密算法

请求阶段 使用 对称加密算法

3. 保证数据的完整性使用数字签名

4. 握手阶段有两组非对称加密，数字证书本身有一组公私钥，用于将服务器公钥发送到客户端。

服务器也有一组公私钥，用于将客户端的随机密码发送到服务器。

https基本过程

1. 客户端请求服务器，服务器返回数字证书（里面包括，服务器公钥，网站地址，证书颁发机构），数字证书本身使用证书私钥加密

2. 解密证书，验证证书数字签名，通过操作系统和浏览器内置的CA证书信息。验证通过后，客户端生成一个随机密码，用接收到的服务器公钥将其加密，发送到服务器

3. 用服务器私钥解密，得到随机密码

4. 握手结束，之后的通信全部使用随机密码进行对称加密通信

https的缺点

1. 握手阶段增加了服务器和客户端的开销，延长了通信时间

2. 通信阶段使用对称加密也会增加服务器和客户端的负担