第7周

1、解决DOS攻击生产案例:根据web日志或者或者网络连接数,监控当某个IP 并发连接数或者短时内PV达到100,即调用防火墙命令封掉对应的IP,监控频 率每隔5分钟。防火墙命令为:iptables -A INPUT -s IP -j REJECT

[root@centos8 ~]#cat dos.sh 
#!/bin/bash
LINK=100 
while true;do 
    ss -nt | awk -F" +|:"  '/^ESTAB/{print $(NF-2)}'|sort |uniq -c|while read count ip;do 
            if [ $count -gt $LINK ];then 
                      iptables -A INPUT -s $ip -j REJECT
           fi 
    done
done
[root@centos8 ~]#chmod +x  dos.sh
 [root@centos8 ~]#crontab -e
 [root@centos8 ~]#crontab -l
*/5 * * * * ~/dos.sh

2、描述密钥交换的过程

一、RSA密钥交换过程(没有前向安全性,攻击者可以把前面交互的内容保存着,一旦拿到私钥,就可以得到主密钥):
1、客户端准备一个Client Random随机数,并将此随机数和协议版本号以及支持的加密方式一起发给服务端。
2、服务端收到Client Random后,将服务端CA证书和服务端准备的Sever Random随机数一起发给客户端。
3、客户端校验服务端证书后并通过解密证书得到服务端的公钥,同时客户端再生成一个新的46位的隐私参数SecPara,并用服务端公钥对这个隐私参数进行加密后,发给服务端,此时客户端已存有Client Random,Server Random,SecPara。
4、服务端对数据解密后,获得SecPara。此时服务端也存有了Client Random,Server Random,SecPara。
5、客户端和服务端根据之前约定好的加密方法,利用这三个参数生成一个新的对称密钥,此密钥即为主密钥。
6、双方验证完主密钥的有效性后,后续的数据交互即用此密钥进行对称加密。
二、ECDHE密钥交换过程(利用DH原理,避免了预备主密钥的泄露,即使私钥泄露,攻击者也无法得到主密钥):
1、客户端准备一个Client Random随机数,并将此随机数和协议版本号以及支持的加密方式一起发给服务端。
2、服务端收到Client Random后,将服务端CA证书和服务端准备的Sever Random随机数、利用DH算法原理算出来的服务端DH参数一起发给客户端。
3、客户端校验服务端证书后并通过解密证书得到服务端的公钥,并根据DH算法原理得到客户端DH参数,将此参数利用服务端公钥加密后传给服务端,然后利用DH算法原理和服务端的DH参数得到预备主密钥
4、服务端得到客户端DH参数后,利用DH算法原理和客户端DH参数得到预备主密钥,按照DH原理,服务端算出的预备主密钥和客户端算出的预备主密钥是一致的,这样避免了预备主密钥的泄露。
5、再根据原先约定好的加密方式,利用Client Random,Server Random,预备主密钥三个参数生成一个新的密钥即为主密钥
6、双方验证完主密钥的有效性后,后续的数据交互即用此密钥进行对称加密。

3、https的通信过程

HTTPS通信过程
  1. 客户端发起HTTPS请求 即用户在浏览器里输入一个https网址。
  2. 服务端的配置 采用HTTPS协议的服务器必须要有一套数字证书(CA),可以自己制作,也可以向组织申请。区别就是自 己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出 提示页面。这套证书其实就是一对公钥A和私钥B 。
  3. 传送服务器的证书给客户端
    证书里其实就是公钥A,并且还包含了很多信息,如证书的颁发机构,过期时间等等
  4. 客户端解析验证服务器证书
    这部分工作是由客户端的TLS来完成的,首先会验证公钥A是否有效,比如:颁发机构,过期时间等 等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一 个随机值KEY。然后用证书中公钥A对该随机值KEY进行非对称加密
  5. 客户端将加密信息传送服务器
    这部分传送的是用证书A加密后的随机值KEY,目的就是让服务端得到这个随机值KEY,以后客户端和服务端 的通信就可以通过这个随机值KEY来进行加密解密了
  6. 服务端解密信息
    服务端将客户端发送过来的加密信息用服务器私钥B解密后,得到了客户端传过来的随机值KEY
  7. 服务器加密信息并发送信息
    服务器将数据利用随机值KEY进行对称加密,再发送给客户端
  8. 客户端接收并解密信息
    客户端用之前生成的随机值KEY解密服务端传过来的数据,于是获取了解密后的内容

4、使用awk以冒号分隔获取/ettc/passwd文件第一列

[root@centos8 ~]# awk -F: '{print $1}' /etc/passwd
root
bin
daemon
adm
lp
sync
shutdown
halt
mail
operator
games
ftp
nobody
dbus
systemd-coredump
systemd-resolve
tss
polkitd
sssd
sshd
rngd
liu
postfix

©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • 1、解决DOS攻击生产案例:根据web日志或者网络连接数,监控当某个IP 并发连接数或者短时内PV达到100,即调...
    布格雷斯阅读 1,293评论 0 0
  • 1、解决DOS攻击生产案例:根据web日志或者或者网络连接数,监控当某个IP 并发连接数或者短时内PV达到100,...
    陌路残蝉阅读 1,072评论 0 0
  • 1、解决DOS攻击生产案例:根据web日志或者或者网络连接数,监控当某个IP并发连接数或者短时内PV达到100,即...
    亨利阅读 1,235评论 1 0
  • 1、解决DOS攻击生产案例:根据web日志或者或者网络连接数,监控当某个IP并发连接数或者短时内PV达到100,即...
    亨利阅读 1,209评论 0 0
  • 原文链接: https://blog.wangriyu.wang/2018/03-http-tls.html 1....
    鱼_乐阅读 13,636评论 1 6