一、描述密钥交换的过程
如何在不安全的信道上传输密钥,可以使用DH算法。该算法是由Bailey Whitfield Diffie和Martin Edward Hellman在1976年发表,是一种安全协议,让双方在不安全信道建立起一个密钥,这个密钥一般作为“对称加密”的密钥而被双方在后续数据传输中使用。
DH 实现过程:
1. 甲和乙:协商选取整数g和素数p;
2. 甲使用一个随机数:a (a<p),通过计算 g^a mod p,得出A发送给乙;
乙也用一个随机数:b (b<p),通过计算 g^b mod p,得出B发送给甲
3. 甲:通过计算得出 B^a mod p ,生成为密钥
乙:通过计算得出 A^b mod p ,生成为密钥
DH算法是一个密钥协商算法,双方最终协商出一个共同的密钥,而这个密钥是不会通过网络传输,而通过网络传输的是p,g。但是DH算法并没有解决中间人攻击,因为DH在传输p,g时并没有身份验证。
二、https的通信过程
- 客户端发起HTTPS请求
- 服务端的配置
采用HTTPS协议的服务器必须要有一套数字证书,其实就是一对公钥和私钥,还包含证书的颁发机构,过期时间等等 - 传送服务器的证书给客户端
- 客户端解析验证服务器证书
客户端的TLS会验证公钥是否有效,比如:颁发机构,过期时间等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一个随机值。然后用证书中公钥对该随机值进行非对称加密 - 客户端将加密信息传送服务器
这部分传送的是用证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了 - 服务端解密信息
服务端将客户端发送过来的加密信息用服务器私钥解密后,得到了客户端传过来的随机值 - 服务器加密信息并发送信息
服务器将数据利用随机值进行对称加密,再发送给客户端 - 客户端接收并解密信息
客户端用之前生成的随机值解密服务段传过来的数据,于是获取了解密后的内容
三、文本处理三剑客之awk用法
格式:
awk [options] -f progfile [–] file …
awk [options] [–] ‘program’ file …
program通常是被放在单引号中,并可以由三种部分组成
- BEGIN语句块
- 模式匹配的通用语句块
- END语句块
1.使用awk以冒号分隔获取/etc/passwd文件第一列
[root@CentOS8 ~]# awk -F: '{ print $1 }' /etc/passwd
root
bin
daemon
adm
lp
sync
shutdown
halt
mail
operator
games
ftp
nobody
dbus
systemd-coredump
systemd-resolve
tss
polkitd
unbound
sssd
sshd
rngd
jiangde
mysql
[root@CentOS8 ~]#
2.解决DOS攻击生产案例:根据web日志或者或者网络连接数,监控当某个IP 并发连接数或者短时内PV达到100,即调用防火墙命令封掉对应的IP,监控频率每隔5分钟。
[root@centos8 ~]#cat deny_dos.sh
#!/bin/bash
LINK=100
while true;do
ss -nt | awk -F"[[:space:]]+|:" '/^ESTAB/{print $(NF-2)}'|sort |uniq -c|while read count ip;do
if [ $count -gt $LINK ];then
iptables -A INPUT -s $ip -j REJECT
fi
done
done
[root@centos8 ~]#chmod +x /root/deny_dos.sh
[root@centos8 ~]#crontab -e
[root@centos8 ~]#crontab -l
*/5 * * * * /root/deny_dos.sh