第十三周作业

1、解决DOS攻击生产案例:根据web日志或者或者网络连接数，监控当某个IP 并发连接数或者短时内PV达到100，即调用防火墙命令封掉对应的IP，监控频 率每隔5分钟。防火墙命令为:iptables -A INPUT -s IP -j REJECT

1.编写脚本

 [root@centos7 ~]#cat deny_dos.sh
LINK=100
while true;do
  ss -nt | awk -F"[[:space:]]+|:" '/^ESTAB/{print $(NF-2)}'|sort |uniq -c|while read count ip;do  ##使用awk命令将IP地址取出再用做统计，在输出给while做数值大小判断
  if [ $count -gt $LINK ];then
    iptables -A INPUT -s $ip -j REJECT
  fi
 done
done

2.将脚本设置为5分钟一次

[root@centos7 ~]#crontab -l
*/5 * * * *   /root/deny_dos.sh

 

2、描述密钥交换的过程

• 客户端向服务器发送自己支持的秘钥交换算法列表。
• 服务器选取一种秘钥交换算法加上CA证书返回给客户端。
• 客户端验证服务器CA是否合法，并生成一个随机数然后用协商好的加密算法加密生成随机秘钥，并用刚才从CA证书中拿到的公钥对其加密后发送给服务器。
• 服务器收到后用自己的私钥解密（中间人没有服务器的私钥，所以没有办法看到传输的数据，另外确认秘钥交换算法是在第一步，中间人是不知道秘钥交换算法（中间人是无法在第一步做手脚的，那等同于它自己就是一个真实客户端发起了一个新的请求，唯一一种情况攻击人有一个合法CA下发的证书，且客户端（一般为安卓设备）没有对CA下发的证书中的内容网站地址和当前请求地址做对比校验），就算攻击者有公钥，因为不知道协商协议，所以做不出来随机秘钥，顶多就是在传输过程中将报文拦截下来，乱改，但是给到服务器后，私钥是解不开乱改之后的密文的）
• 服务器私钥解密之后，拿到对称秘钥（此处是使用不对称秘钥来加密对称秘钥，因为对称秘钥解密更有效率），并且用它再加密一个信息，返回给浏览器。

最关键的一步就是在客户端采用 RSA 或 Diffie-Hellman 等加密算法生成 Pre-master，这个随机秘钥是用来计算最终的对称秘钥的，用公钥加密之后攻击人是不知道这个这个随机秘钥的，只有服务器才能解的开。