1捉撮、解決DOS攻擊:根據(jù)web日志或者或者網(wǎng)絡(luò)連接數(shù)怕品,監(jiān)控當(dāng)某個(gè)IP 并發(fā)連接數(shù)或者短時(shí)內(nèi)PV達(dá)到100,即調(diào)用防火墻命令封掉對(duì)應(yīng)的IP呕缭,監(jiān)控頻 率每隔5分鐘堵泽。
[10:54:50 root@centos8 ~]#awk '{ip[$1]++}END{for(i in ip){if(ip[i]>=10)
{system("iptables -A INPUT -s "i" -j REJECT")}}}' nginx.access.log-20200428
[13:06:37 root@centos8 ~]#crontab -l
*/5 * * * * /usr/bin/awk'{ip[$1]++}END{for(i in ip){if(ip[i]>=10){system("iptables -A INPUT -s "i" -j REJECT")}}}' nginx.access.log-20200428
2、描述密鑰交換的過(guò)程
QQ圖片20210420122352.png
1恢总、首先客戶(hù)端會(huì)生成一對(duì)密鑰(ssh-keygen)
2迎罗、并將客戶(hù)端的公鑰ssh-copy-id拷貝到服務(wù)器端
3、當(dāng)客戶(hù)端重新向服務(wù)器端發(fā)送一個(gè)連接請(qǐng)求(包括ip片仿、用戶(hù)名)
4纹安、服務(wù)器端得到客戶(hù)端的請(qǐng)求后,會(huì)到authorized_keys中查找,如果有響應(yīng)的IP和用戶(hù)厢岂,就會(huì)隨機(jī)生成一個(gè)字符串
5光督、服務(wù)端將使用客戶(hù)端發(fā)送過(guò)來(lái)的公鑰和生成的隨機(jī)字符串進(jìn)行加密,然后發(fā)送給客戶(hù)端
6塔粒、客戶(hù)端接受到服務(wù)端發(fā)送的消息之后结借,客戶(hù)端會(huì)使用自己的私鑰對(duì)其進(jìn)行解密,得到隨機(jī)字符串并發(fā)送給服務(wù)器端
7卒茬、服務(wù)器端得到客戶(hù)端發(fā)送的解密生成的字符串與本機(jī)所隨機(jī)生成的字符串進(jìn)行比較船老,如果本機(jī)和發(fā)送的字符串一致,則可以實(shí)現(xiàn)免密登陸圃酵。
3柳畔、https的通信過(guò)程
QQ圖片20210420124402.png
1、客戶(hù)端發(fā)起https請(qǐng)求
用戶(hù)在瀏覽器里輸入一個(gè)https的網(wǎng)址郭赐,然后連接到服務(wù)器的443端口
2薪韩、服務(wù)端的配置
采用https協(xié)議的服務(wù)器必須要有一套數(shù)字證書(shū),可以自己生成也可向權(quán)威機(jī)構(gòu)申請(qǐng)(區(qū)別:自己頒發(fā)的證書(shū)需要客戶(hù)端驗(yàn)證通過(guò)捌锭,才可以自己訪問(wèn)俘陷,受信任的公司申請(qǐng)的證書(shū)不會(huì)彈出提示框,證書(shū)其實(shí)就是一對(duì)公鑰和私鑰)
3舀锨、服務(wù)器的證書(shū)傳到客戶(hù)端
證書(shū)其實(shí)就是公鑰岭洲,并且包含很多的信息,如頒發(fā)證書(shū)的機(jī)構(gòu)和過(guò)期時(shí)間等等
4坎匿、客戶(hù)端解析認(rèn)證服務(wù)端發(fā)來(lái)的證書(shū)
這部分工作是有客戶(hù)端的TLS來(lái)完成的,首先會(huì)驗(yàn)證公鑰是否有效雷激,比如:頒發(fā)機(jī)構(gòu)替蔬,過(guò)期時(shí)間等等,如果發(fā)現(xiàn)異常屎暇,則會(huì)彈出一個(gè)警告框承桥,提示證書(shū)存在問(wèn)題。如果證書(shū)沒(méi)有問(wèn)題根悼,那么就生成一個(gè)隨機(jī)值凶异。然后用證書(shū)中公鑰對(duì)該隨機(jī)值進(jìn)行非對(duì)稱(chēng)加密
5、客戶(hù)端將加密的信息傳送給服務(wù)器
這部分隨機(jī)值是使用證書(shū)加密后的隨機(jī)值挤巡,目的是為了讓服務(wù)器端獲取這個(gè)隨機(jī)值剩彬,以后通信服務(wù)器和客戶(hù)端就可使用這個(gè)隨機(jī)值來(lái)進(jìn)行加密和解密了
6、服務(wù)端解密的信息
服務(wù)端將客戶(hù)端發(fā)送的加密信息使用證書(shū)的私鑰進(jìn)行解密獲取到客戶(hù)端的隨機(jī)值
7矿卑、服務(wù)器加密信息并發(fā)送信息
服務(wù)器將數(shù)據(jù)利用隨機(jī)值進(jìn)行對(duì)稱(chēng)加密喉恋,再發(fā)送給客戶(hù)端
8、客戶(hù)端接受消息并進(jìn)行解密
客戶(hù)端用之前生成的隨機(jī)值解密服務(wù)器傳過(guò)來(lái)的數(shù)據(jù),從而獲取到服務(wù)器發(fā)送的數(shù)據(jù)轻黑。
