1、解决DOS攻击生产案例:根据web日志或者或者网络连接数,监控当某个IP 并发连接数或者短时内PV达到100,即调用防火墙命令封掉对应的IP,监控频 率每隔5分钟。防火墙命令为:iptables -A INPUT -s IP -j REJECT
1.1 通过监控日志的方法
#!/bin/sh
while true
do
cat access_log.dms|awk '{print 1}'|sort|uniq -c|sort -nr > a.log
exec< a.log
while read line
do
pv=(echo $line|awk '{print 1}')
ip=(echo $line|awk ‘{print $2}’)
if [ pv -gt 1000 ] && [ `iptables -L -n|grep "ip"|wc -l` -eq 0 ];then
iptables -A INPUT -s $ip -j DROP
fi
done
sleep 180
done
说明:
#!/bin/bash
[ -f /tmp/tmp.txt ] && rm -f /tmp/tmp.txt || touch /tmp/tmp.txt
while true
do
awk '{a[$1]++}END{for (i in a) if(a[i]>100) print i,a[i]}' /apps/http/logs/access_log >> /tmp/tmp.txt
while read line
do
ip=`echo $line |awk '{ print $1 }'`
if [ `iptables -nvL |grep "$ip"|wc -l` -gt 0 ];then
continue
fi
iptables -A INPUT -s $ip -j REJECT
echo "$ip is dropped" >> /tmp/droplist.txt
done < /tmp/tmp.txt
done
说明
1.2 监控ip连接数的方法
#!/bin/sh
while true
do
netstat -an|grep EST|awk -F ‘[ :]+’ '{print 6}'|sort|uniq -c >a.log
exec< a.log
while read line
do
pv=(echo $line|awk '{print 1}')
ip=(echo $line|awk ‘{print $2}’)
if [ pv -gt 1000 ]&& [ `iptables -L -n|grep "ip"|wc -l` -eq 0 ];then
iptables -A INPUT -s $ip -j DROP
fi
done
sleep 180
done
说明:
2、描述密钥交换的过程
2.1对称加密
加密和解密使用同一个秘钥
特性:
- 加密,解密使用同一个秘钥,效率高.
- 将原始数据分割成固定大小的块,逐个进行加密
缺陷:
- 秘钥过多
- 秘钥分发 数
- 据来源无法确
2.2 非对称加密
秘钥是成对出现
公钥: Public Key,公开给所有人,主要给别人加密使用
私钥: Secret Key,Private Key自己留存,必须保证其私密性,用于自己加密签名
特点: 用公钥和加密数据,只能使用与之配对的私钥解密;反之亦然
功能:
数据加密:适合加密较小数据,比如:加密对称秘钥
数字签名:主要在于让接收方确认发送方身份
缺点:
密钥长,算法复杂
加密解密效率低下
3、https的通信过程
HTTP 与 HTTPS 有哪些区别?
- HTTP 是超文本传输协议,信息是明文传输,存在安全风险的问题。HTTPS 则解决 HTTP 不安全的缺陷,在 TCP 和 HTTP 网络层之间加入了 SSL/TLS 安全协议,使得报文能够加密传输。
- HTTP 连接建立相对简单, TCP 三次握手之后便可进行 HTTP 的报文传输。而 HTTPS 在 TCP 三次握手之后,还需进行 SSL/TLS 的握手过程,才可进入加密报文传输。
- HTTP 的端口号是 80,HTTPS 的端口号是 443。
- HTTPS 协议需要向 CA(证书权威机构)申请数字证书,来保证服务器的身份是可信的。
HTTPS 解决了 HTTP 的哪些问题?
HTTP 由于是明文传输,所以安全上存在以下三个风险:
- 窃听风险,比如通信链路上可以获取通信内容,用户号容易没。
- 篡改风险,比如强制植入垃圾广告,视觉污染,用户眼容易瞎。
- 冒充风险,比如冒充淘宝网站,用户钱容易没。
HTTPS 在 HTTP 与 TCP 层之间加入了 SSL/TLS
协议,可以很好的解决了上述的风险:
- 信息加密:混合加密的方式实现信息的机密性,解决了交互信息被窃取的问题,但你的号会因为「自身忘记」账号而没。
- 校验机制:摘要算法的方式来实现完整性,它能够为数据生成独一无二的「指纹」,指纹用于校验数据的完整性,无法篡改通信内容,篡改了就不能正常显示,解决了篡改的风险。
- 身份证书:将服务器公钥放入到数字证书中,解决了冒充的风险,证明网站的真实性。
SSL/TLS 协议建立在TCP协议三次握手的基础上,其「握手阶段」涉及四次通信,基本流程如下:
- 客户端向服务器索要并验证服务器的公钥。
- 双方协商生产「会话秘钥」。
- 双方采用「会话秘钥」进行加密通信。
详细流程:
1. ClientHello
首先,由客户端向服务器发起加密通信请求,也就是 ClientHello
请求。
在这一步,客户端主要向服务器发送以下信息:
(1)客户端支持的 SSL/TLS 协议版本,如 TLS 1.2 版本。
(2)客户端生产的随机数(Client Random
),后面用于生成「会话秘钥」条件之一。
(3)客户端支持的密码套件列表,如 RSA 加密算法。
2. SeverHello
服务器收到客户端请求后,向客户端发出响应报文,也就是 SeverHello
。服务器回应的内容有如下内容:
(1)确认 SSL/ TLS 协议版本,如果浏览器不支持,则关闭加密通信。
(2)服务器生产的随机数(Server Random
),也是后面用于生产「会话秘钥」条件之一。
(3)确认的密码套件列表,如 RSA 加密算法(从接收到的客户端加密组件内筛选出来的)。
(4)服务器的公钥数字证书,私钥自己保存着(数字证书认证机构用自己的私钥向服务器的公钥署数字签名并颁发公钥证书)。
3.客户端回应
客户端收到服务器的回应之后,首先通过TLS协议校验浏览器或者操作系统中的 CA 公钥的有效性,确认服务器的数字证书的真实性。
如果证书没有问题,客户端会从数字证书中取出服务器的公钥,然后使用它加密报文,向服务器发送如下信息:
(1)一个随机数(pre-master key
)。该随机数会被服务器公钥加密。
(2)加密通信算法改变通知,表示随后的信息都将用「会话秘钥」加密通信。
(3)客户端握手结束通知,表示客户端的握手阶段已经结束。这一项同时把之前所有内容的发生的数据做个摘要,用来供服务端校验。
上面第一项的随机数是整个握手阶段的第三个随机数,会发给服务端,所以这个随机数客户端和服务端都是一样的。
服务器和客户端有了这三个随机数(Client Random、Server Random、pre-master key),接着就用双方协商的加密算法,各自生成本次通信的「会话秘钥」。
4. 服务器的最后回应
将客户端发送过来的加密信息用服务器私钥解密后,得到了客户端传过来的第三个随机数(pre-master key
)之后,通过协商的加密算法与三个随机数,计算出本次通信的「会话秘钥」。
然后,向客户端发送最后的信息:
(1)加密通信算法改变通知,表示随后的信息都将用「会话秘钥」加密通信。
(2)服务器握手结束通知,表示服务器的握手阶段已经结束。这一项同时把之前所有内容的发生的数据做个摘要,用来供客户端校验。
至此,整个 SSL/TLS 的握手阶段全部结束。接下来,客户端与服务器进入加密通信,就完全是使用普通的 HTTP 协议,只不过用「会话秘钥」加密内容。
4、使用awk以冒号分隔获取/ettc/passwd文件第一列
cat /ettc/passwd | awk -F: '{print$1}'