第七周

1、解决DOS攻击生产案例:根据web日志或者或者网络连接数，监控当某个IP 并发连接数或者短时内PV达到100，即调用防火墙命令封掉对应的IP，监控频 率每隔5分钟。防火墙命令为:iptables -A INPUT -s IP -j REJECT
[root@anonymous data]# cat dos.sh
/usr/sbin/ss -tn | awk -F " +|:" '/ESTAB/{ip[$(NF-2)]++}END{for(i in ip)if(ip[i]>10) print i}' > /data/ddosip.txt
while read IP;do
/usr/sbin/iptables -A INPUT -s $IP -j REJECT
echo "The $IP reject" >> /data/checkddos.txt
done < /data/ddosip.txt
[root@anonymous data]# ll
total 4
-rw-r--r--. 1 root root 256 Oct 24 19:06 dos.sh
[root@anonymous data]# ss -tn
State Recv-Q Send-Q Local Address:Port Peer Address:Port
ESTAB 0 0 192.168.1.6:22 192.168.1.5:53007
[root@anonymous data]# bash -x /data/dos.sh

• awk -F ' +|:' '/ESTAB/{ip[$(NF-2)]++}END{for(i in ip)if(ip[i]>10) print i}'
• /usr/sbin/ss -tn
• read IP
  [root@anonymous data]# ll
  total 4
  -rw-r--r--. 1 root root 0 Oct 24 19:09 ddosip.txt
  -rw-r--r--. 1 root root 256 Oct 24 19:06 dos.sh
  [root@anonymous data]# cat ddosip.txt
  [root@anonymous data]# iptables -n -L |more
  Chain INPUT (policy ACCEPT)
  target prot opt source destination
  ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
  ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
  INPUT_direct all -- 0.0.0.0/0 0.0.0.0/0
  INPUT_ZONES_SOURCE all -- 0.0.0.0/0 0.0.0.0/0
  INPUT_ZONES all -- 0.0.0.0/0 0.0.0.0/0
  DROP all -- 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
  REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
FORWARD_direct all -- 0.0.0.0/0 0.0.0.0/0
FORWARD_IN_ZONES_SOURCE all -- 0.0.0.0/0 0.0.0.0/0
FORWARD_IN_ZONES all -- 0.0.0.0/0 0.0.0.0/0
FORWARD_OUT_ZONES_SOURCE all -- 0.0.0.0/0 0.0.0.0/0
FORWARD_OUT_ZONES all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

监控频率每隔5分钟
[root@anonymous data]# crontab –l
*/5 * * * * /data/dos.sh

2、描述密钥交换的过程
密钥交换：IKE（ Internet Key Exchange ）
公钥加密：用目标的公钥加密对称密钥
DH (Deffie-Hellman)：生成对称（会话）密钥
参看：https://en.wikipedia.org/wiki/Diffie–Hellman_key_exchange
DH 介绍
这个密钥交换方法，由惠特菲尔德•迪菲（Bailey Whitfield Diffie）和马丁•赫尔曼（Martin
Edward Hellman）在1976年发表
它是一种安全协议，让双方在完全没有对方任何预先信息的条件下通过不安全信道建立起一个密
钥，这个密钥一般作为“对称加密”的密钥而被双方在后续数据传输中使用。
DH数学原理是base离散对数问题。做类似事情的还有非对称加密类算法，如：RSA。
其应用非常广泛，在SSH、VPN、Https...都有应用，勘称现代密码基石
DH 实现过程：
DH 特点
泄密风险：私密数据a，b在生成K后将被丢弃，因此不存在a，b过长时间存在导致增加泄密风险。
中间人攻击：由于DH在传输p，g时并无身份验证，所以有机会被实施中间人攻击，替换双方传输时的
数据
范例:
A: g,p 协商生成公开的整数g, 大素数p
B: g,p
A:生成隐私数据:a (a<p)，计算得出 g^a%p，发送给B
B:生成隐私数据:b,(b<p)，计算得出 g^b%p，发送给A
A:计算得出 [(g^b%p)a]%p = g^ab%p，生成为密钥
B:计算得出 [(g^a%p)b]%p = g^ab%p，生成为密钥
g=23
p=5
A:a=6
g^a%p=236%5=4
[(g^b%p)a]%p=2^6%5=4

3、https的通信过程

1.客户端发起HTTPS请求
用户在浏览器里输入一个https网址，然后连接到服务器的443端口
2. 服务端的配置
采用HTTPS协议的服务器必须要有一套数字证书，可以自己制作，也可以向组织申请。区别就是自
己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出
提示页面。这套证书其实就是一对公钥和私钥
3. 传送服务器的证书给客户端
证书里其实就是公钥，并且还包含了很多信息，如证书的颁发机构，过期时间等等
4. 客户端解析验证服务器证书
这部分工作是由客户端的TLS来完成的，首先会验证公钥是否有效，比如：颁发机构，过期时间等
等，如果发现异常，则会弹出一个警告框，提示证书存在问题。如果证书没有问题，那么就生成一
个随机值。然后用证书中公钥对该随机值进行非对称加密
5. 客户端将加密信息传送服务器
这部分传送的是用证书加密后的随机值，目的就是让服务端得到这个随机值，以后客户端和服务端
的通信就可以通过这个随机值来进行加密解密了
6. 服务端解密信息
服务端将客户端发送过来的加密信息用服务器私钥解密后，得到了客户端传过来的随机值
7. 服务器加密信息并发送信息
服务器将数据利用随机值进行对称加密,再发送给客户端
8. 客户端接收并解密信息
客户端用之前生成的随机值解密服务段传过来的数据，于是获取了解密后的内容

4、使用awk以冒号分隔获取/ettc/passwd文件第一列
awk -F: '{print $1}' /etc/passwd