一、解决DOS攻击生产案例:根据web日志或者或者网络连接数,监控当某个IP 并发连接数或者短时内PV达到100,即调用防火墙命令封掉对应的IP,监控频率每隔5分钟。
1.编写脚本
[root@Centos8 ~]# cat deny.dos.sh
#!/bin/bash
LINK=100
while true;do
ss -nt | awk -F"[[:space:]]+|:" '/^ESTAB/{print $(NF-2)}' | sort | tr "]" " " | uniq -c | while read count ip;do
# 使用read将标准输出的值赋予给count和ip变量。
if [ $count -gt $LINK ];then
iptables -A INPUT -s $ip -j REJECT
echo "$ip 被拒绝访问\ " >> /root/test.txt
fi
done
done
[root@Centos8 ~]# crontab -l
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin
*/5 * * * * /root/deny.dos.sh #定义5分钟的步长,即每五分钟执行一次脚本
2.演练攻击
[root@localhost ~]# ls
anaconda-ks.cfg a.out flood flood_connect.c original-ks.cfg
[root@localhost ~]# ./flood 10.0.0.8
Starting flood connect attack on 10.0.0.8 port 80
^CAborted (made 0 successful connects)
3.查看防火墙
[root@Centos8 ~]# iptables -vnL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
2583 143K REJECT all -- * * 10.0.0.27 0.0.0.0/0 reject-with icmp-port-unreachable
二、密钥交换的过程
2.1对称加密算法
对称加密:加密和解密使用同一个密钥,传输过程中使用的是通过密钥加密后的密文,在数据交换的过程中,用户通过同一个密钥将拿到的密文解码。
特性:
加密、解密使用同一个密钥,效率高
将原始数据分割成固定大小的块,逐个进行加密
缺陷:
密钥过多
密钥分发
数据来源无法确认
2.2 非对称加密算法
接收者生成公钥/密钥对:P和S,公开公钥P,保密密钥S。发送者使用接收者的公钥来加密消息M 将P(M)发送给接收者接收者使用密钥S来解密:M=S(P(M))。
2.3 综合加密
方法1:Pb{Sa[hash(data)]+data}过程
发送者将原文通过哈希算法确保数据的完整一性,再将原文中128字节的数字摘要用自身的私钥加密生成数字签名,将原文和数字签名打包用接受者的公钥加密通过tcp协议发送给接受者,接受者将接受到的密文用自身的私钥解密得到数字签名和原文,通过将原文进行哈希算法与将发送者的公钥将数字签名解密后得到的128字节的数字摘要对比,来保证数据在传输过程中密钥被篡改。
方法2:对称key{Sa[hash(data)]+data}+Pb(对称key)
三、https的通信过程
HTTPS 协议:就是“HTTP 协议”和“SSL/TLS 协议”的组合。HTTP over SSL 或 HTTP over TLS ,对http协议的文本数据进行加密处理后,成为二进制形式传输
3.1结构
3.2 HTTPS工作过程
- 客户端发起HTTPS请求
用户在浏览器里输入一个https网址,然后连接到服务器的443端口。 - 服务端的配置
采用HTTPS协议的服务器必须要有一套数字证书,可以自己制作,也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出提示页面。这套证书其实就是一对公钥和私钥。 - 传送服务器的证书给客户端。
证书里其实就是公钥,并且还包含了很多信息,如证书的颁发机构,过期时间等等。 - 客户端解析验证服务器证书
这部分工作是由客户端的TLS来完成的,首先会验证公钥是否有效,比如:颁发机构,过期时间等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一个随机值。然后用证书中公钥对该随机值进行非对称加密。 - 客户端将加密信息传送服务器
这部分传送的是用证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了 - 服务端解密信息
服务端将客户端发送过来的加密信息用服务器私钥解密后,得到了客户端传过来的随机值。 - 服务器加密信息并发送信息
服务器将数据利用随机值进行对称加密,再发送给客户端。 - 客户端接收并解密信息
客户端用之前生成的随机值解密服务段传过来的数据,于是获取了解密后的内容。
四、使用awk以冒号分隔获取/ettc/passwd文件第一列
[root@Centos8 ~]# awk -F: '{print $1}' /etc/passwd
root
bin
daemon
adm
lp
sync
shutdown
halt
mail
operator
games
ftp
nobody
dbus
systemd-coredump
systemd-resolve
tss
polkitd
unbound
sssd
chrony
sshd
rngd
lw
rtkit
pipewire
postfix