标签:0.0 reject 简述 密钥 HTTPS REJECT 172.20 服务端 客户端
1、解决DOS***生产案例:根据web日志或者或者网络连接数,监控当某个IP 并发连接数或者短时内PV达到1000,即调用防火墙命令封掉对应的IP,监控频 率每隔5分钟。防火墙命令为:iptables -A INPUT -s IP -j REJECT
[root@CentOS8 scripts]#cat check_ddosip.sh
#!/bin/bash
awk '{print $1}' /data/access_log | sort | uniq -c | sort -nr > /data/hosts_ip
while read number ip
do
if [ $number -gt 1000 ]
then
iptables -A INPUT -s $ip -j REJECT
echo "from $ip is rejected" >> /data/reject
fi
done < /data/hosts_ip
[root@CentOS8 scripts]#cat /data/reject
from 172.20.116.228 is rejected
from 172.20.116.208 is rejected
from 172.20.0.222 is rejected
from 172.20.112.14 is rejected
from 172.20.0.227 is rejected
from 172.20.116.179 is rejected
from 172.20.65.65 is rejected
from 172.20.0.76 is rejected
from 172.20.0.200 is rejected
from 172.20.28.145 is rejected
from 172.20.116.182 is rejected
[root@CentOS8 scripts]#bash check_ddosip.sh
[root@CentOS8 scripts]#iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 172.20.116.228 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 172.20.116.208 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 172.20.0.222 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 172.20.112.14 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 172.20.0.227 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 172.20.116.179 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 172.20.65.65 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 172.20.0.76 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 172.20.0.200 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 172.20.28.145 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 172.20.116.182 0.0.0.0/0 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination 2、描述密钥交换的过程
- 客户端发起链接请求
- 服务端返回自己的公钥,以及一个回合ID(这一步客户端得到服务端公钥)
- 客户端生成密钥对
- 客户端用自己的公钥异或会话ID,计算出一个值Res,并用服务端的公钥加密
- 客户端发送加密后的值到服务端,服务端用私钥解密,得到Res
- 服务端用解密后的值Res异或会话ID,计算出客户端的公钥(这一步服务端得到客户端公钥)
- 最终:双方各自持有三个密钥,分别是自己的一对公、私钥,以及对方的公钥,之后的所有通信都会被加密
3、https的通信过程
HTTPS 协议:就是“HTTP 协议”和“SSL/TLS 协议”的组合。HTTP over SSL 或 HTTP over TLS ,对http协**议的文本数据进行加密处理后,成为二进制形式传输 。**
1. 客户端发起HTTPS请求
用户在浏览器里面输入一个https网址,然后连接到服务器的443端口
2. 服务端的配置
采用HTTPS协议的服务器必须要有一套数字证书,可以自己制作,也可以向组织申请,区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会有提示页面。这套证书其实就是一对公钥和私钥。
3. 传送服务器的证书给客户端
证书里其实就是公钥,并且还包含了很多信息,如证书的颁发机构,过期时间等。
4. 客户端解析验证服务器证书
这部分工作是由客户端的TLS来完成,首先会验证公钥是否有效,比如:颁发机构,过期时间等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一个随机值,然后用证书中公钥对该随机值进行非对称加密
5. 客户端将加密信息传送服务器
这部分传送的是用证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了
6. 服务端解密信息
服务端将客户端发送过来的加密信息用服务器私钥解密后,得到了客户端传过来的随机值
7. 服务器加密信息并发送信息
服务器叫数据利用随机值进行对称加密,再发送给客户端
8. 客户端接收并解密信息
客户端用之前生成的随机值解密服务端传过来的数据,于是获取了解密后的内容。标签:0.0,reject,简述,密钥,HTTPS,REJECT,172.20,服务端,客户端 来源: https://blog.51cto.com/u_13618052/2873939
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。