linux作业--第七周

1、解决DOS攻击生产案例:根据web日志或者或者网络连接数，监控当某个IP 并发连接数或者短时内PV达到100，即调用防火墙命令封掉对应的IP，监控频率每隔5分钟。防火墙命令为:iptables -A INPUT -s IP -j REJECT

测试脚本如下：

/data/ddoscheck.sh
#!/bin/bash
#
/usr/sbin/ss -tn | awk -F " +|:" '/ESTAB/{ip[$(NF-2)]++}END{for(i in ip)if(ip[i]>10) print i}' > /data/ip.txt
while read IP;do
     /usr/sbin/iptables -A INPUT -s $IP -j REJECT
     echo "The  $IP reject" >> /data/dos.txt
done < /data/ip.txt

[root@localhost ~]# cat /data/ip.txt
192.168.42.5
[root@localhost ~]# cat /data/dos.txt
The  192.168.42.5 reject

[root@localhost ~]# iptables -n -L | more
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
REJECT     all  --  192.168.42.5         0.0.0.0/0            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination   

监控频率每隔5分钟
[root@localhost ~]# crontab -l
*/5 * * * * /data/ddoscheck.sh
[root@localhost ~]#

2、描述密钥交换的过程

一、RSA密钥交换过程（没有前向安全性，攻击者可以把前面交互的内容保存着，一旦拿到私钥，就可以得到主密钥）：

1、客户端准备一个Client Random随机数，并将此随机数和协议版本号以及支持的加密方式一起发给服务端。

2、服务端收到Client Random后，将服务端CA证书和服务端准备的Sever Random随机数一起发给客户端。

3、客户端校验服务端证书后并通过解密证书得到服务端的公钥，同时客户端再生成一个新的46位的隐私参数SecPara，并用服务端公钥对这个隐私参数进行加密后，发给服务端，此时客户端已存有Client Random,Server Random,SecPara。

4、服务端对数据解密后，获得SecPara。此时服务端也存有了Client Random,Server Random,SecPara。

5、客户端和服务端根据之前约定好的加密方法，利用这三个参数生成一个新的对称密钥，此密钥即为主密钥。

6、双方验证完主密钥的有效性后，后续的数据交互即用此密钥进行对称加密。

二、ECDHE密钥交换过程（利用DH原理，避免了预备主密钥的泄露，即使私钥泄露，攻击者也无法得到主密钥）：

1、客户端准备一个Client Random随机数，并将此随机数和协议版本号以及支持的加密方式一起发给服务端。

2、服务端收到Client Random后，将服务端CA证书和服务端准备的Sever Random随机数、利用DH算法原理算出来的服务端DH参数一起发给客户端。

3、客户端校验服务端证书后并通过解密证书得到服务端的公钥，并根据DH算法原理得到客户端DH参数，将此参数利用服务端公钥加密后传给服务端，然后利用DH算法原理和服务端的DH参数得到预备主密钥

4、服务端得到客户端DH参数后，利用DH算法原理和客户端DH参数得到预备主密钥，按照DH原理，服务端算出的预备主密钥和客户端算出的预备主密钥是一致的，这样避免了预备主密钥的泄露。

5、再根据原先约定好的加密方式，利用Client Random,Server Random，预备主密钥三个参数生成一个新的密钥即为主密钥

6、双方验证完主密钥的有效性后，后续的数据交互即用此密钥进行对称加密。

3、https的通信过程

客户端发起HTTPS请求
用户在浏览器里输入一个https网址，然后连接到服务器的443端口；
服务端的配置
采用HTTPS协议的服务器必须要有一套数字证书，可以自己制作，也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出提示页面。这套证书其实就是一对公钥和私钥；
传送服务器的证书给客户端
证书里其实就是公钥，并且还包含了很多信息，如证书的颁发机构，过期时间等等；
客户端解析验证服务器证书
这部分工作是有客户端的TLS来完成的，首先会验证公钥是否有效，比如：颁发机构，过期时间等等，如果发现异常，则会弹出一个警告框，提示证书存在问题。如果证书没有问题，那么就生成一个随机值。然后用证书中公钥对该随机值进行非对称加密；
客户端将加密信息传送服务器
这部分传送的是用证书加密后的随机值，目的就是让服务端得到这个随机值，以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了；
服务端解密信息
服务端将客户端发送过来的加密信息用服务器私钥解密后，得到了客户端传过来的随机值；
服务器加密信息并发送信息
服务器将数据利用随机值进行对称加密,再发送给客户端；
客户端接收并解密信息
客户端用之前生成的随机值解密服务段传过来的数据，于是获取了解密后的内容。

4、使用awk以冒号分隔获取/etc/passwd文件第一列

cat  /etc/passwd |awk -F":" '{print $1}'