IPSec防重放机制分析

最新推荐文章于 2024-06-12 16:12:30 发布
最新推荐文章于 2024-06-12 16:12:30 发布
阅读量1.1w 收藏 27
点赞数 7
文章标签: IPSec 防重放 滑动窗口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangbaolin/article/details/45824695
版权

      防重放机制有三种:时间戳、挑战和滑动窗。IPSec中使用了第三种机制,看了一些网上的资料终于看明白了,跟大家一起分享一下。

      一、滑动窗协议

     简单介绍一下滑动窗协议,该协议的最典型应用是用在TCP协议中,主要用于进行流控,下面的滑动窗的示意图:

               接收方提供的窗口

               |<----------------->|

                            可用窗口   

                            |<------>|

1234567891011
|<------>|

发送并被确认

             |<------>|

            发送未被确认

                           |<-------->|

                           能够发送 

                                           |---------------->

                                               不能发送

    收方在每个包中都要通报可用窗口大小      

    上面的例子是在发方角度去看,。其中字节1~3已经被收方确认,收方当前提供的窗口为4~9字节,其中4~6字节已发送出去但未被确认,可用窗口为7~9字节。9之后的字节不能被发送。当数据被发送但未确认时,窗口左沿向右移动,窗口收缩,意味着可接受的数据减少。数据被确认后,窗口右沿右移,窗口扩张,意味着可接收更多的数据。无论何时,右沿与左沿的距离不超过接收方提供的窗口。

    二、IPSec防重放

    IPSec滑动窗示意图如下:

                                                             大小为8的 滑动窗口

           |<--------------------------------------------------->|

n-3n-2n-1nn+1n+2n+3n+4n+5n+6n+7n+8n+9……

    其中红色背景为以受到数据包。


    接下来再分析一下IPSec中如何利用滑动窗来实现防重放攻击的。

    (1)IPSec协议中有一个序列号字段来唯一标识一个数据包

    (2) 关键数据结构为ipsec_sa,具体代码如下:

      struct ipsec_sa{

        ……

        u8  ipsa_replaywin; //滑动窗口大小

        u32 ipsa_replaywin_lastseq; //最后一个包的序号

        u32 ipsa_replaywin_bitmap; //已接收包位图,记录所有已接收过的序号

        u32 ipsa_replaywin_maxdiff; //最大包序号之间差值

        u32 ipsa_replaywin_errs ; //错误包序号

         ……

    }

    (3)具体处理流程如下:

    1)判断接收到的包序号是否小于最后一个包的序号,如果是,再检查最大包序号之间差值ipsa_replaywin_maxdiff;是否大于窗口大小,如果大于则说明数据包已经过期,否则转2)

    2)根据psa_replaywin_bitmap判断该序列号对应的包是否已经接受过,如果是则肯定是重放,反之不是重放,并更新ipsa_replaywin_bitmap

    3)如果接收到的序列号比最后一个包的序号大,并且差值小于窗口大小,则窗口向右滑动,否则窗口不滑动。最后更新 ipsa_replaywin_lastseq的值为本包序列号。

zhangbaolin
关注
  • 7
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻击及抗重
yingtongqaq的博客
07-29 7533
攻击以及抗重攻击 重攻击(Replay Attacks)又称重播攻击、回攻击或新鲜性攻击(Freshness Attacks),是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。 1、入侵者从网络上截取主机A to 主机B的报文 2、入侵者将A加密的报文发送给B 3、主机B误认为主机A=入侵者,主机B向入侵者发送应当发送给A的报文 重攻击的类型  1.根据消息的来源:   协议轮内攻击:一个协议轮内消息重   协议轮外攻击:一个协议不同
防重机制常用实现方法_最简单的6种防止数据重复提交的方法!
weixin_39863161的博客
12-03 6402
有位朋友,某天突然问磊哥:在 Java 中,防止重复提交最简单的方案是什么?这句话中包含了两个关键信息,第一:防止重复提交;第二:最简单。于是磊哥问他,是单机环境还是分布式环境?得到的反馈是单机环境,那就简单了,于是磊哥就开始装*了。话不多说,我们先来复现这个问题。模拟用户场景根据朋友的反馈,大致的场景是这样的,如下图所示:简化的模拟代码如下(基于 Spring Boot):import...
防重(接口防抖)
最新发布
qq_22343483的博客
06-12 1094
设置额外选项:过期时间和SET_IF_ABSENT选项”,有些同学可能不太清楚SET_IF_ABSENT是个啥,这里我解释一下:SET_IF_ABSENT是 RedisStringCommands.SetOption 枚举类中的一个选项,用于在执行 SET 命令时设置键值对的时候,如果键不存在则进行设置,如果键已经存在,则不进行设置。从测试的结果上看,防抖是做到了,但是随着缓存消失、锁失效,还是可以发起同样的请求,所以要真正做到接口幂等性,还需要业务代码的判断、设置数据库表的UK索引等操作。
数据安全(反爬虫)之「防重」策略
dzqxwzoe的博客
02-11 1225
API 接口存在很多常见的安全性问题,常见的有下面几种情况1.即使采用 HTTPS,诸如 Charles、Wireshark 之类的专业抓包工具可以扮演证书颁发、校验的角色,因此可以查看到数据 2.拿到请求信息后原封不动的发起第二个请求,在服务器上生产了部分脏数据(接口是背后的逻辑是对 DB 的数据插入、删除等)所以针对上述的问题也有一些解决方案:1.HTTPS 证书的双向认证解决抓包工具问题 2.假如通过网络层高手截获了 HTTPS 加证书认证后的数据,所以需要对请求参数做签名 3.「防重策略」解决请求
《优化接口设计的思路》系列:第六篇—接口防抖(防重复提交)的一些方式
summon的博客
12-05 2232
大家好!我是sum墨,一个一线的底层码农,平时喜欢研究和思考一些技术相关的问题并整理成文,限于本人水平,如果文章和代码有表述不当之处,还请不吝赐教。作为一名从业已达六年的老码农,我的工作主要是开发后端Java业务系统,包括各种管理后台和小程序等。在这些项目中,我设计过单/多租户体系系统,对接过许多开平台,也搞过消息中心这类较为复杂的应用,但幸运的是,我至今还没有遇到过线上系统由于代码崩溃导致资损的情况。这其中的原因有三点:一是业务系统本身并不复杂;
设计 API 接口时如何设计高效的防重机制
路多辛的所思所想
12-22 1300
攻击是一种常见的网络安全威胁,是指攻击者截获合法的 API 请求数据,并在之后重新发送这些数据到服务器,来获取未经授权的访问权限或执行其他恶意操作。这种攻击通常发生在没有适当防重机制的 API 接口上。例如,一个 API 接口用于处理用户的转账请求,如果没有防重机制,攻击者可以截获正常的请求数据,并使用这些数据重复请求接口,导致资金被多次转出。
防重攻击分析
weixin_44232532的博客
10-22 2787
API接口防重机制 一.重攻击的说明 我们在设计接口的时候,最怕一个接口被用户截取用于重攻击。重攻击是什么呢?就是把你的请求原封不动地再发送一次,两次…n次,重攻击是二次请求,黑客通过抓包获取到了请求的HTTP报文,然后黑客自己编写了一个类似的HTTP请求,发送给服务器。也就是说服务器处理了两个请求,先处理了正常的HTTP请求,然后又处理了黑客发送的篡改过的HTTP请求。如果这个正常逻辑...
ipsec等协议分析
07-20
AH协议主要用于提供数据源认证、无连接完整性、防重保护,但不提供数据保密性。它通过在IP数据包头后添加一个认证头来实现这些功能,可以检测数据包是否被修改或重。 ESP协议则更为全面,它不仅提供了AH的所有...
关于IPSec分析
嚴 帅的博客
03-05 2490
简介: IPsec是一组基于网络层的,应用密码学的安全通信协议族,它不是具体的哪个协议,而是一个开的协议族。 作用:在IPv4和IPv6环境中为网络层流量提供灵活的安全服务。 IPsec VPN:是基于IPsec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入头部来保证OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。 VPN只是IPsec协议...
安全防御 IPsec VPN
upmans的博客
04-21 1640
在计算机和网络安全领域中,数据认证是指验证数据在传输和存储过程中的完整性、真实性和合法性的过程。数据在传输和存储过程中容易受到数据篡改、损坏或未经授权的访问和修改的风险,数据认证可以帮助防止这些风险并提高数据的安全性和可靠性。数据认证的主要作用包括:1.防止数据被篡改和损坏:通过数据认证可以验证数据的完整性,确保数据没有被篡改或损坏。2.防止未经授权的访问和修改:数据认证可以验证数据的真实性和合法性,确保只有经过授权的用户才能访问和修改数据。
IPSec
FSZ111的博客
11-16 2905
简介 IPSec协议族是IETF制定的一系列安全协议,它为端到端IP报文交互提供了基于密码学的、可互操作的、高质量的安全保护机制IPSec VPN是利用IPSec隧道建立的网络VPN。 IPSec协议体系 IPSec通过验证头AH和封装安全荷载ESP两个安全协议实现IP报文的安全保护。 AH是报文头验证协议i,主要提供数据源验证、数据完整性验证和防报文重功能,不提供加密功能。 ESP是封装安全荷载协议,主要提供加密、数据源验证、数据完整性验证和防报文重功能。 AH和ESP协议提供的安全功能依赖于
防重机制常用实现方法_ATP检测方法
weixin_39648297的博客
11-18 332
1. 电泳法:根据核苷酸分子同时携带酸碱基团,在一定条件下,利用其在电场中的迁移速度不同而实现分离。1) 纸电泳法: 将电场加在浸泡过缓冲液的滤纸上,使ATP与其他杂质分离,再利用比色法测定ATP的吸收值,计算其含量。此法是卫生部及地方采用的ATP标准检测方法。2) 凝胶电泳法:根据介质不同,可分为聚丙烯酰胺电泳法(PAGE),SDS-PAGE和琼脂糖凝胶电泳法,前两种方法常用于生物机制的研究。琼...
客户端防重设计
做你所想,想你所做。
02-23 2366
需求概述客户端信道早在1.1版本中便实现了服务器防重攻击功能,但始终没有实现客户端防重攻击。这样会使得客户端存在被重攻击的危险,如用户在转账时被重了转账失败页面,导致用户重复转账。 为此,我们需要在客户端信道中实现客户端防重功能。功能需求我们需要实现以下需求: 在服务器响应中增加序列号,实现客户端防重功能 兼容之前版本的信道通信,以便在升级服务器后,可以兼容旧客户端。 设计为兼容旧版本信
防重机制的实现方法----LRUMap轻松解决
Lao_Wu66的博客
04-21 894
Apache 为我们提供了一个 commons-collections 的框架,里面有一个非常好用的数据结构 LRUMap 可以保存指定数量的固定的数据,并且它会按照 LRU 算法,帮你清除最不常用的数据。 LRU 是 Least Recently Used 的缩写,即最近最少使用,是一种常用的数据淘汰算法,选择最近最久未使用的数据予以淘汰。 import org.apache.commons.collections4.map.LRUMap; /** * 幂等性判断 */ public class I
防重攻击实践
anlanba的博客
03-11 2651
曾今做API网关项目的时候,遇到过重攻击,这是一种比较常见的攻击。那什么是重攻击? 百度百科:重攻击(Replay Attacks)又称重播攻击、回攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。重...
网络安全_抗重攻击实现步骤_资料分享
aocan3689的博客
04-28 1258
### 概述: > 这篇文章主要说一说如何自助设计实现系统登录模块,实现抗重攻击,的实现步骤,其次是进行一波资料的推广(不喜勿喷) > 软件系统登录设计实现抗重攻击 ### 抗重攻击的设计与实现 #### 重攻击原理: > 是把以前窃听到的数据原封不动地重新发送给接收方。 #### 抗重攻击原理: > 使用户请求唯...
IPSEC
t18060516114的博客
07-30 290
IPSEC提供的安全服务 不可否认性 重传攻击保护 数据源鉴别 完整性 机密性 IPSEC协议簇安全体系架构 IPSEC协议簇 传输模式 主要用于主机和主机之间的端到端通信的数据保护 封装方式:不改变原有包头,在其之后插入IPsec包头,保护的是数据部分 隧道模式 主要用于私网与私网之间的通讯,建立安全的VPN通道 封装方式:增加新的IP(外网IP)其后是ipsec包头,保护的是原始IP包头和数据 AH协议 提供的安全服务: 无连接数据完整性 数据源认证 抗重服务 AH不提供任何保密性服务:它不
IPSec可以防重
05-30
IPSec(Internet Protocol Security)协议可以防止重攻击,这是通过使用安全性质量协议(Security Association,SA)来实现的。 在IPSec中,SA是用于描述安全机制的一组协议参数,包括加密算法、身份验证方法、密钥管理等。在建立IPSec连接时,SA会生成一个随机数,作为序列号(Sequence Number)来标识每个数据包。在每个数据包传输时,序列号都会自动加1,以保证每个数据包的唯一性。 同时,在每个数据包中,IPSec会添加一个时间戳(Timestamp),用于检测重攻击。时间戳记录了数据包的发送时间,一旦接收方收到了一个具有相同序列号和时间戳的数据包,就会认为这是一个重复的数据包,而不会再次处理它。 因此,IPSec使用SA和序列号、时间戳等措施来防止重攻击,确保网络通信的安全性和稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值