一个故事讲完哈希洪荒攻击,看不懂你打我

最新推荐文章于 2022-12-09 10:19:53 发布
最新推荐文章于 2022-12-09 10:19:53 发布
阅读量8.2k 收藏 36
点赞数 45
分类专栏: 数据结构与算法 文章标签: 算法 哈希
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37907797/article/details/104426210
版权

生意红火

有一天你和你的邻居同时开了一个快递驿站,不过你的运气很好,每天都有很多快递到你这里来,生意红红火火,然而,你的邻居生意很冷清。

快递一多,为了取件人方便找到快递,于是你按照快递手机号码的最后两位数字来给快递分类,例如尾号为 01 的放到柜子 1 中,尾号为 02 的放到柜子 2 。如果有人来取快递,他只需要报出他的手机号码,就可以快速找到对应的柜子,然后再根据完整的手机号码在这个柜子里找到对应的快件了。

心声恶意的邻居

日子一天天过去,你的店铺越来越火,然而,你邻居的生意冷清到哭晕在厕所里,但是你并没有去在意你的邻居,也没有分担点生意给他,于是,你的邻居心生坏意,决定搞搞你。

他知道你是采用按照快件手机号码末尾两位来分类的,于是他分批买了大量非常廉价的物品,并且把大部分快递的手机号码的末尾的两位弄成是一样的。

于是,你收到了大量的快递,并且大量的快递都被分到了同一个柜子里,导致有些柜子里堆放了大量的快件,挤满到不得不把一些放地下了,然而有些柜子里却是空荡荡的。

这也不仅导致了资源分配不均匀,每次顾客来取快件的时候,还得找好久才能找到。

于是你老爸和你说:要不加大柜子的容量吧。

你:加大容量没用,虽然能短暂不会出现挤满放地下的情况,但本质问题并没有解决。

更换策略

为了解决这个问题,于是你采取了別的策略,把手机号码当做一个数值,然后对这个数值进行取余,例如 手机号 % 99 = 柜子的编号

每次客人来的时候,你把他的手机号码也进行取余,然后告诉他,去对应的柜子取,取余这个操作虽然麻烦了点,工作量比之前大了,但,躲开了你邻居的攻击,也算值得。

问题的本质

然而好景不长,你的邻居通过观察与测试,发现你是通过手机号码取余来映射到对应的柜子上的,于是,它又找了一堆手机号码取余后值相同的手机号码来搞定,于是,你又奔溃了。

你知道你侄子是学计算机专业的,于是你把这件事告诉了你的侄子,你的侄子一听到这个,就来了劲,于是管不住嘴吹了下面这一大堆:

告诉你,你的这种映射策略相当于我平时学的哈希算法,不管你如何改变你的算法策略,只要被别人知道了你的哈希算法,那么,都会容易遭受到别人的攻击,像你的邻居的那种攻击方式,就叫做哈希洪荒攻击

我们都知道,在各种数据结构里,有平均时间复杂度最差时间复杂度之分,对于哈希算法,我们插入 n 个到元素到数组里的话,平均时间复杂度是 O(n),而最差的时间复杂度是 O(n^2);查找某个元素的平均复杂度是 O(1),最差时间复杂度是 O(n),而哈希洪荒攻击就是攻击者有意给出一些特殊值,使得我们每次都遇到了最差时间复杂度

如何防御?

刚才说了,哈希洪荒攻击的本质就是攻击者掌握了你的哈希算法,所以如何想要防御的话,就需要我们设计出优秀的哈希算法了,什么才算优秀的哈希算法?

1、映射出来的哈希码分布均匀。

2、不容易被破解。

当然,不管你如何设计,一旦攻击者掌握了你的算法细节,那么你都得凉。

那有没有比较好的防御措施呢?

其实,我们可以通过生成一些随机值来加强我们的哈希算法,例如,我们每次建立一张哈希表的时候,我们就随机生成一个新的随机值,来作为哈希算法的一部分。这样一来,即使是同样的内容,放在不同的表里也会产生完全不同的哈希码。

这样一来,攻击者就很难进行预测了,即使发生了碰撞,也是小概率的巧合,而不是攻击者在主动控制,我们也把这个随机的值称之为哈希种子(Hash Seed)。而这类使用哈希种子的哈希算法,我们称之为带密钥哈希算法(Keyed Hash Function)

当然,上面这种方式只是防御哈希洪荒攻击的一种方式,对于哈希碰撞,在面试中问的最多的应该就是 Java 中的哈希表了,我跟大家补充讲讲 Java8 中是如何解决哈希碰撞的吧。

Java 中的哈希表如果出现了哈希冲突,就会用一个链表来存放哈希码相同的元素,但是如果出现大量哈希码相同的话,那么大量的元素都放在了同一条链表里,这样会导致哈希表的查找时间复杂度是 O(n),为了解决这个问题,当链表中的元素大于等于 8 的时候,就把用红黑树来取代链表,这样一来,可以把最差时间复杂度控制在 O(logn)。

尾声

你侄子吹了一大堆专业名词,对于只读过小学的你,想不懵逼都难,这个时候你憋不住了,抛了一句给你侄子:能不能讲点人话?你只需要告诉我,我该怎么做就行了。

你侄子:我来去给你设计一个程序吧,你到时候只需要把你的手机号码进去就可以了,它会把你自动映射出对应的柜子。

最后,邻居把店铺拆了,开了一家网吧…

兄dei,如果觉得我写的不错,不妨帮个忙

1、关注我的原创微信公众号「帅地玩编程」,每天准时推送干货技术文章,专注于写算法 + 计算机基础知识(计算机网络+ 操作系统+数据库+Linux),听说关注了的不优秀也会变得优秀哦。

2、给俺点个赞呗,可以让更多的人看到这篇文章,顺便激励下我,嘻嘻。

在这里插入图片描述

作者简洁

作者:大家好,我是帅地,从大学、自学一路走来,深知算法计算机基础知识的重要性,所以申请了一个微星公众号『帅地玩编程』,专业于写这些底层知识,提升我们的内功,帅地期待你的关注,和我一起学习。 转载说明:未获得授权,禁止转载

帅地
关注
  • 45
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 8
    评论
专栏目录
哈希表-使用Go实现的一个分片的哈希表.zip
03-04
哈希表是一种数据结构,它提供了快速的数据存储和检索功能,通过使用哈希函数将键(key)映射到一个数组的索引位置。在Go语言中,哈希表的实现通常基于`map`关键字,但为了理解其内部工作原理和优化性能,我们可以...
分享一个 哈希实例 外加注释
08-31
在这个哈希实例中,我们使用了开放定址法来处理冲突,这是一种当哈希函数产生冲突时寻找下一个可用位置的方法。 首先,代码定义了几个重要的常量和数据类型。`NULLKEY` 被设为 0,表示哈希表中的空槽位。`N` 定义了...
根据hash值找到bt种子的磁力下载链…
极客学长 | 极客学长Bravo
08-15 14万+
有时大家需要通过某个bt种子(torrent)下载某些资源,但无法直接找到.torrent格式的附件或其下载地址。比如,在某论坛限于权限只能看到hash信息(一串hash值),而"磁力链接" 是隐藏的,或需要花积分,亦或有附件,但附件的下载链接失效或需要积分才能下载。此时可以自行构造磁力链接,然后进行正常的下载。 下载方法: 画皮2 hash:E5757D533B36907745...
哈希码转磁力链 magnet:?xt=urn:btih:
热门推荐
❤️❤️❤️❤️❤️永进舫❤️❤️❤️❤️❤️
02-18 59万+
Hash码,直接在前面加上“ magnet:?xt=urn:btih: ”,就能生成一个可用的磁链,下载到Hash码对应的文件了。
【数据结构】哈希(Hash)
秋之回忆Alex的博客
09-02 6415
数据结构:哈希函数
bt 介绍以及 bt 种子的hash值(特征值)计算
weixin_33796205的博客
07-03 1302
bt种子的hansh值计算,近期忽然对bt种子感兴趣了(原因勿问) 1. bt种子(概念) bt 是一个分布式文件分发协议,每一个文件下载者在下载的同一时候向其他下载者不断的上传已经下载的数据,这样保证下载越快,上传越快,从而实现告诉下载 2. bt 怎样实现下载同一时候上传文件 这个须要从文件本身说起,bt文件包括了两部分信息,一部分是Tracker信息,...
什么是哈希洪水攻击(Hash-Flooding Attack)?
qq_35656655的博客
07-19 1332
如果一名程序员想要接触信息安全的话,哈希洪水攻击我是一定会重点圈出来的。一方面是因为它的原理非常简单,只要掌握一点数据结构方面的基本知识就能理解;另一方面是因为,它是我入坑以来对我启发最大的技术之一,从中不仅可以学到一项具体的攻击技术,还可以看到“软件开发从业人员”和“信息安全从业人员”之间决定性的分野。 比较遗憾的是,国内互联网上真正搞懂这项攻击的人不多。虽然有几篇不错的文章讲清了它的攻击原理,但他们给出的防御手段也不过是“限制参数个数”、“禁止不明用户提交数据”之类的东西,无法从根本上解决哈希洪水..
我的第一个哈希工作
02-23
我的第一个哈希目标使用文字构造函数创建哈希。 使用括号方法从哈希中检索数据。 使用“括号等于”方法将数据添加到哈希中。指示挑战一:实例化哈希在my_hash方法中,使用文字构造函数设置一个名为your_hash的变量,...
手动构造一个哈希
02-27
哈希表的核心是哈希函数,它将任意大小的键转化为固定长度的哈希值,这个哈希值通常是一个整数,作为数组的索引。理想的哈希函数应该使不同的键产生不同的哈希值,避免冲突。然而,由于键的无限性和数组大小的有限性...
我的第一个哈希v-000
02-21
我的第一个哈希 目标 使用文字构造函数创建哈希。 使用括号方法从哈希中检索数据。 使用“括号等于”方法将数据添加到哈希中。 指示 挑战一:实例化哈希 在my_hash方法中,使用文字构造函数设置一个名为your_hash...
特别好用的种子搜索引擎
03-14
资源搜索引擎,针对某云,各种盘,网站,论坛内容统一进行搜索资源搜索引擎,针对某云,各种盘,网站,论坛内容统一进行搜索资源搜索引擎,针对某云,各种盘,网站,论坛内容统一进行搜索
彩虹哈希表120G BT种子
01-27
120G的彩虹哈希表种子。知道的就下。使用方法网搜都有。
C++获取文件哈希值(hash)和获取torrent(bt种子)磁力链接哈希
09-04
二个代码一个是获取文件哈希值的,另外一个是获取torrent文件磁力链接的哈希
域渗透之哈希传递攻击及其原理
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-09 1975
哈希传递攻击是基于NTLM认证的一种攻击方式。哈希传递攻击的利用前提是我们获得了某个用户的密码哈希值,但是解不开明文。这时我们可以利用NTLM认证的一种缺陷,利用用户的密码哈希值来进行NTLM认证。在域环境中,大量计算机在安装时会使用相同的本地管理员账号和密码。因此,如果计算机的本地管理员账号密码相同,攻击者就能使用哈希传递攻击登录内网中的其他机器。在学习哈希传递攻击之前我们先来了解一下其背后的Windows 底层协议和原理。
通过 BT 种子 Hash 值从 BitComet 服务器上下载种子文件
arex53316的博客
06-28 609
程序和代码下载: 最新,包含 x64 版本:http://pan.baidu.com/netdisk/singlepublic?fid=284762_2586021055 或者在这里找:http://umu.download.csdn.net/ 举例: Hash 值为 004f50950256e66f128d528d0773fdefbc298cce 的种子,可以通过以下链接下载:...
pth(pass the hash)哈希传递攻击
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
10-09 2754
pth(pass-the-hash)哈希传递攻击在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码域/工作组环境账号hash内网中存在和当前机器相同的密码(ps:微软打了KB22871997补丁后只有Administrator(SID 500)可以PTH成功,默认windows server 2012后都会存在补丁)
PHP哈希表碰撞攻击原理
fengxinze的专栏
01-09 999
原文:http://www.codinglabs.org/html/hash-collisions-attack-on-php.html 最近哈希表碰撞攻击(Hashtable collisions as DOS attack)的话题不断被提起,各种语言纷纷中招。本文结合PHP内核源码,聊一聊这种攻击的原理及实现。 哈希表是一种查找效率极高的数据结构,很多语言都在内部实现了哈希表。
哈希碰撞与生日相同概率
相见不如怀念
09-06 2098
一、哈希碰撞是什么? 所谓哈希(hash),就是将不同的输入映射成独一无二的、固定长度的值(又称"哈希值")。它是最常见的软件运算之一。 如果不同的输入得到了同一个哈希值,就发生了"哈希碰撞"(collision)。 举例来说,很多网络服务会使用哈希函数,产生一个 token,标识用户的身份和权限。 AFGG2piXh0ht6dmXUxqv4nA1PU120r0yMAQhuc13...
你能不能用Python写一个哈希表怎么用的例子
最新发布
07-16
当然可以!下面是一个用 Python 实现的简单希表示例: ```python class HashTable: def __init__(self): self.size = 10 # 假设哈希表的大小为 10 self.table = [[] for _ in range(self.size)] # 创建一个包含 10 个空列表的哈希表 def _hash_function(self, key): return hash(key) % self.size # 使用内置的 hash 函数对键进行哈希运算,然后取余数来确定存储位置 def insert(self, key, value): index = self._hash_function(key) # 计算键的哈希值并得到对应的索引位置 self.table[index].append((key, value)) # 将键值对添加到对应的索引位置上 def get(self, key): index = self._hash_function(key) # 计算键的哈希值并得到对应的索引位置 for k, v in self.table[index]: # 在对应的索引位置上查找键值对 if k == key: return v # 返回找到的值 return None # 如果未找到,则返回 None # 使用示例 hash_table = HashTable() hash_table.insert("Alice", 123456789) hash_table.insert("Bob", 987654321) print(hash_table.get("Alice")) # 输出:123456789 print(hash_table.get("Bob")) # 输出:987654321 print(hash_table.get("Charlie")) # 输出:None(因为该键不存在) ``` 在这个示例中,我们实现了一个简单的哈希表类 `HashTable`。它包含一个表 `table`,使用列表来表示每个存储桶,并且使用一个哈希函数 `_hash_function` 来计算键的哈希值并得到对应的索引位置。通过 `insert` 方法可以向哈希表中插入键值对,通过 `get` 方法可以根据键获取对应的值。 在示例中,我们创建了一个哈希表实例 `hash_table`,插入了两个键值对 "Alice" 和 "Bob",然后通过 `get` 方法分别获取了对应的值,并输出结果。 请注意,这只是一个简单的示例,实际的哈希表可能需要处理冲突、扩容等更复杂的情况。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

帅地

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值