第十七天：代理服务器-CDN-网络安全

第十七天：代理服务器-CDN-网络安全

代理服务器(Proxy Server)

特点

1. 本身不生产内容
2. 处于中间位置转发上下游的请求和响应
   • 面向下游的客户端:它是服务器
   • 面向上游的服务器:它是客户端

正向代理:代理的对象是客户端

为客服端工作

作用：

• 隐藏客户端身份

• 绕过防火墙(突破访问限制)

  

• Internet访问控制

  在路由器上设置，哪些能上网，哪些不能上网

• 数据过滤

  由于都经过了代理服务器，所以他就可以过滤数据

一些免费的正向代理
https://ip.jiangxianli.com/
lhttps://www.kuaidaili.com/free/inha/

如何设置代理

1.打开设置找到Internet选项

2.然后点击连接

3.填写代理服务器的端口和ip

反向代理:代理的对象是服务器

为服务端工作

作用

• 隐藏服务器身份

• 安全防护

• 负载均衡

  

  就是本来只能访问一台服务器，现在我们搞个代理，就可以让这个代理通过算法来分发到相关的服务器进行数据处理

抓包工具

抓包工具的原理:在客户端启动了正向代理服务

需要注意的是
Wireshark的原理是:通过底层驱动，拦截网卡上流过的数据

代理服务器相关字段

Via:追加经过的每一台代理服务器的主机名（或域名)

X-Forwarded-For:追加请求方的IP地址

X-Real-IP:客户端的真实IP地址

• 代理服务器完全可以加这个字段把客服端的真实IP加到这个里面去，告诉真实的服务器

在1阶段，会有这些请求头

Forwarded-For: 14.14.14.14

追加上了请求方的真实IP

X-Real-IP: 14.14.14.14

客服端的真实IP

Via:proxy1

在2阶段，会有这些请求头

X-Forwarded-For: 14.14.14.14,220.11.11.11

X-Real-IP: 14.14.14.14
Via: proxy1, proxy2

在3阶段，会有这些请求头

Via: proxy2

在4阶段，会有这些请求头

Via: proxy2, proxy1

CDN

CDN (Content Delivery Network或Content Distribution Network)，译为:内容分发网络

什么是cdn

其实就是一个缓存节点，如果你在渗透时进行对方的CDN节点，那你渗透只是对方的节点服务器，那你的渗透实际上是无效的，因为你并没有进入到对方服务器。

CDN的全称是Content Delivery Network，即内容分发网络。其目的是通过在现有的internet中增加一层新的网络架构，将网站的内容发布到最接近用户的网络边缘，使用户可以就近取得所需的内容，提高用户访问网站的响应速度。CDN有别于镜像，因为它比镜像更智能，或者可以做这样一个比喻：CDN=更智能的镜像+缓存+流量导流。因而，CDN可以明显提高Internet网络中信息流动的效率。从技术上全面解决由于网络带宽小、用户访问量大、网点分布不均等问题，提高用户访问网站的响应速度。

作用

• 利用最靠近每位用户的服务器
• 更快更可靠地将音乐、图片、视频等资源文件（一般是静态资源）传递给用户

没有CDN的情况

我们请求网站时这样请求的

通过DNS服务器拿到IP，然后再用IP去访问网站服务器

有CDN的情况

很明显的就能看到，如果存在CDN服务器，我们就能更快速的获得资源，提高访问速度

CDN运营商在全国、乃至全球的各个大枢纽城市都建立了机房
部署了大量拥有高存储高带宽的节点，构建了一个跨运营商、跨地域的专用网络
内容所有者向CDN运营商支付费用，CDN将其内容交付给最终用户

具体的网站访问流程是这样的

当用户请求某网站时，首先根据域名去DNS服务器寻找IP，但是DNS服务器发现这个域名存在CDN服务器，所以DNS就去请求专门的CDN DNS服务器，然后把IP返回给客服端，然后客服端根据IP地址，去请求CDN全局负载均衡服务器，然后再返回给客服端，客服端拿这个最终的IP地址去访问服务器，获得资源

整个流程图

例子

通过CDN访问jQuery

//jQuery官网
<script
  src="http://code.jquery.com/jquery-1.12.4.min.js"
  integrity="sha256-ZosEbRLbNQzLpnKIkEdrPv7lOy9C27hHQ+Xp8a4MxAQ="
  crossorigin="anonymous">
</script>

//bootCDN
<script src="https://cdn.bootcss.com/jquery/1.12.4/jquery.min.js"></script>

通过CDN可以快速得获取数据

网络安全

网络通信中面临的4种安全威胁

截获:窃听通信内容

中断:中断网络通信

篡改:篡改通信内容

伪造:伪造通信内容

网络层-ARP欺骗

• ARP欺骗（ARP spoofing)，又称ARP毒化(ARP poisoning) 、 ARP病毒、ARP攻击

• ARP欺骗可以造成的效果

  可以让攻击者获取局域网上的数据包甚至可篡改数据包

  可让网络上特定电脑之间无法正常通信（例如网络执法官这样的软件)

  让送至特定IP地址的流量被错误送到攻击者所取代的地方

ARP欺骗步骤

ARP欺骗的原理：
ARP欺骗包是通过一个恶毒的程序自动发送的，正常的TCP/IP网络是不会有这样的错误包发送的，而人工发送又比较麻烦。也就是说当***没有运行这个恶毒程序的话，网络上通信应该是一切正常的，保留在各个连接网络计算机上的ARP缓存表也应该是正确的，只有程序启动开始发送错误ARP信息以及ARP欺骗包时才会让某些计算机访问网络出现问题。

欺骗步骤举例如下：
Step1：假设一个交换机连接了3台机器，依次是服务器A，B，C。
A服务器：IP的地址为：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA
B服务器：IP的地址为：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB
C服务器：IP的地址为：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC

Step2：正常情况下在A服务器上运行ARP -A查询ARP缓存表应该出现如下信息。
Interface: 192.168.1.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.1.3 CC-CC-CC-CC-CC-CC dynamic

Step3：在B服务器上运行ARP欺骗程序，来发送ARP欺骗包。
B向A发送一个由B自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.1.3(C的IP地址)，MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了)。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存(A不知道被伪造了)。而且A不知道其实是从B发送过来的，A这里只192.168.1.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD mac地址。
Step4：欺骗完毕后在A服务器上运行cmd 窗口中输入“arp -a”来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。
Interface: 192.168.1.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

从上面的介绍可以清楚的明白网络中传输数据包最后都是要根据MAC地址信息的，也就是说虽然网络日常通讯都是通过IP地址，但是最后还是需要通过ARP协议进行地址转换，将IP地址变为MAC地址。而上面例子中在A服务器上的关于C服务器的MAC地址已经错误了，所以即使以后从A服务器访问C服务器这个192.168.1.3这个地址也会被ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。

问题也会随着ARP欺骗包针对网关而变本加厉，当网络中一台服务器，反复向其他服务器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。这就造成了无法访问外网的问题，另外由于很多时候网关还控制着我们的局域网LAN上网，所以这时我们的LAN访问也就出现问题了。
防护方法

静态ARP
DHCP Snooping
网络设备可借由DHCP保留网络上各电脑的MAC地址，在伪造的ARP数据包发出时即可侦测到
利用一些软件监听ARP的不正常变动

Dos、DDos

DoS攻击(拒绝服务攻击，Denial-of-Service attack)

• 使目标电脑的网络或系统资源耗尽，使服务暂时中断或停止，导致其正常用户无法访问

  

DDoS攻击(分布式拒绝服务攻击，Distributed Denial-of-Service attack)

• 黑客使用网络上两个或以上被攻陷的电脑作

• 为“僵尸”向特定的目标发动DoS攻击2018年3月，GitHub遭到迄今为止规模最大的DDoS攻击

  

DOS攻击分类

带宽消耗型: UDP洪水攻击、ICMP洪水攻击资

• 每个带宽都是有限的，不断的发送数据包，占满你的带宽

源消耗型:SYN洪水攻击、LAND攻击

• SYN洪水攻击(SYN flooding attack)

  攻击者发送一系列的SYN请求到目标，然后让目标因收不到ACK(第3次握手）而进行等待、消耗资源

  攻击方法

  • 跳过发送最后的ACK信息
  • 修改源IP地址，让目标送SYN-ACK到伪造的IP地址，因此目标永不可能收到ACK(第3次握手)

• LAND攻击（局域网拒绝服务攻击，Local Area Network Denial attack)

  通过持续发送相同源地址和目标地址的欺骗数据包，使目标试图与自己建立连接，消耗系统资源直至崩溃

  有些系统存在设计上的缺陷，允许设备接受并响应来自网络、却宣称来自于设备自身的数据包，导致循环应答

  防护

  大多数防火墙都能兰截类似的攻击包，以保护系统部分操作系统通过发布安全补丁修复了这一漏洞
  路由器应同时配置上行与下行筛选器，屏蔽所有源地址与目标地址相同的数据包

DOS、DDoS防御

防御方式通常为:入侵检测、流量过滤、和多重验证

• 堵塞网络带宽的流量将被过滤，而正常的流量可正常通过

防火墙

• 防火墙可以设置规则，例如允许或拒绝特定通讯协议，端口或lP地址

• 当攻击从少数不正常的IP地址发出时，可以简单的使用拒绝规则阻止一切从攻击源IP发出的通信

• 复杂攻击难以用简单规则来阻止，例如80端口遭受攻击时不可能拒绝端口所有的通信，因为同时会阻止合法流量

• 防火墙可能处于网络架构中过后的位置，路由器可能在恶意流量达到防火墙前即被攻击影响

黑洞引导

• 将所有受攻击计算机的通信全部发送至一个“黑洞”(空接口或不存在的计算机地址）或者有足够能力处理洪流的网络设备商，以避免网络受到较大影响

流量清洗

• 当流量被送到DDoS防护清洗中心时，通过采用抗DDoS软件处理，将正常流量和恶意流量区分开
• 正常的流量则回注回客户网站

应用层-DNS劫持

DNS劫持，又称为域名劫持

• 攻击者篡改了某个域名的解析结果，使得指向该域名的IP变成了另一个IP
• 导致对相应网址的访问被劫持到另一个不可达的或者假冒的网址
• 从而实现非法窃取用户信息或者破坏正常网络服务的目的

比如说你打开的是百度，结果给你跳转到了一个赌博网站，这就是DNS劫持

为防止DNS劫持，可以考虑使用更靠谱的DNS服务器

比如:114.114.114.114

谷歌:8.8.8.8、8.8.4.4

微软:4.2.2.1、4.2.2.2

百度:180.76.76.76

阿里:223.5.5.5、223.6.6.6

HTTP劫持:对HTTP数据包进行拦截处理，比如插入JS代码

• 比如你访问某些网站时，在右下角多了个莫名其妙的弹窗广告

HTTP协议的安全问题

HTTP协议默认是采取明文传输的，因此会有很大的安全隐患
常见的提高安全性的方法是:对通信内容进行加密后，再进行传输

常见的加密方式

相关单词

encrypy:加密

derypt:解密

plaintext：明文

ciphertext：密文

不可逆

• 单向散列函数:MD5、SHA等

  单向散列函数，可以根据根据消息内容计算出散列值
  散列值的长度和消息的长度无关，无论消息是1bit、10M、100G，单向散列函数都会计算出固定长度的散列值

  

  特点

  ​ 根据任意长度的消息，计算出固定长度的散列值计算速度快，能快速计算出散列值
  消息不同，散列值也不同
  具备单向性

  哪怕只有一个字不一样，也会完全不一样

  应用

  ​ 防止数据被篡改，判断今天的文件和昨天的文件是否一致

  ​

在实际生活中，当我们的密码忘记了，也只能采取密码重置的功能，因为都是采取不可逆加密，所以服务器也帮不到你

可逆

• 对称加密:DES、3DES、AES等
• 非对称加密:RSA等

其它

• 混合密码系统

• 数字签名

• 证书

须知

为了便于学习，设计4个虚拟人物

Alice、Bob:互相通信
Eve:窃听者
lMallory:主动攻击者

如防止被窃听

在传输之前先加密，加密了在传输，窃听者只能得到密文