代理服务器

本身不产生内容

处于中间位置转发上下游的请求和响应

正向代理，反向代理

1.正向代理：代理对象是客户端

隐藏客户端身份

绕过防火墙

Internet访问控制

数据过滤

2.反向代理：代理对象是服务器

隐藏服务器身份

安全防护

负载均衡

抓包工具原理

Fiddler，Charles抓包工具原理，在客户端启动了正向代理

wireshark原理：通过底层驱动，拦截网卡上流过的数据

代理服务器-相关的头部字段

Via：追加经过的每台代理服务器的主机名

X-Forwarded-For:追加请求方的IP地址

X-Real-IP：客户端的真实IP地址

CDN (Content Delivery Network )内容分发网络

利用最靠近用户的服务器

更快更可靠的将音乐，图片，视频等资源文件传给用户

截屏2021-08-02 下午5.42.22.png

缓存 Cache

4种安全威胁

截获 窃听通讯内容

中断 中断网络通信

篡改 篡改通信内容

伪造 伪造通信内容

image.jpeg

网络层-ARP欺骗 （ARP fooling）

C攻击 A，B被攻击

C只要接受过A，B的ARP请求，就知道A，B的IP，MAC地址

C发送一个ARP响应给B，把响应包的IP设置为A的IP地址，源MAC设置为C的MAC地址

B收到ARP响应，更新ARP表，把A的MAC地址替换为C的

当B发送数据包给A时，根据ARP表封装数据包头，把目标MAC设置为C

当交换机收到B发给A的数据包，根据包的目标MAC，把数据发给C

C收到数据包后，可以存起来发给A，窃听，或者篡改后发给A

ARP欺骗-防护

静态ARP

DHCP Snooping

网络设备可借助DHCP保留网络各电脑的MAC地址，在伪造的ARP数据包发出时即可检测到

DoS，DDos

DoS攻击（拒绝服务攻击，Denial-of-Service attack） 使目标电脑的网络或系统资源耗尽，使服务暂时中断或停止，导致其正常用户无法访问

DDoS攻击（分布式拒绝服务攻击，Distributed Denial-of-Service attack） 黑客使用网络上两个或以上被攻陷的电脑作为“僵尸”向特定的目标发动DoS攻击

DoS攻击可以分为2大类

带宽消耗型：UDP洪水攻击、ICMP洪水攻击

资源消耗型：SYN洪水攻击、LAND攻击

防御
防御方式通常为：入侵检测、流量过滤、和多重验证

堵塞网络带宽的流量将被过滤，而正常的流量可正常通过

防火墙

防火墙可以设置规则，例如允许或拒绝特定通讯协议，端口或IP地址

当攻击从少数不正常的IP地址发出时，可以简单的使用拒绝规则阻止一切从攻击源IP发出的通信

复杂攻击难以用简单规则来阻止，例如80端口遭受攻击时不可能拒绝端口所有的通信，因为同时会阻止合法流量

防火墙可能处于网络架构中过后的位置，路由器可能在恶意流量达到防火墙前即被攻击影响

交换机：大多数交换机有一定的速度限制和访问控制能力

 路由器：和交换机类似，路由器也有一定的速度限制和访问控制能力

防御

 黑洞引导

将所有受攻击计算机的通信全部发送至一个“黑洞”（空接口或不存在的计算机地址）或者有足够能力处理洪流的网络设备商，以避免网络受到较大影响

 流量清洗

当流量被送到DDoS防护清洗中心时，通过采用抗DDoS软件处理，将正常流量和恶意流量区分开

正常的流量则回注回客户网站

应用层-DNS劫持

DNS劫持，又称为域名劫持

攻击者篡改了某个域名的解析结果，使得指向该域名的IP变成了另一个IP

导致对相应网址的访问被劫持到另一个不可达的或者假冒的网址

从而实现非法窃取用户信息或者破坏正常网络服务的目的

为防止DNS劫持，可以考虑使用更靠谱的DNS服务器，比如：114.114.114.114

谷歌：8.8.8.8、8.8.4.4

微软：4.2.2.1、4.2.2.2

百度：180.76.76.76

阿里：223.5.5.5、223.6.6.6

HTTP劫持：对HTTP数据包进行拦截处理，比如插入JS代码

比如你访问某些网站时，在右下角多了个莫名其妙的弹窗广告

HTTP协议的安全问题

HTTP协议默认是采取明文传输的，因此会有很大的安全隐患

常见的提高安全性的方法是：对通信内容进行加密后，再进行传输

常见的加密方式有

不可逆

单向散列函数：MD5、SHA等

可逆

对称加密：DES、3DES、AES等

非对称加密：RSA等

其它

混合密码系统

数字签名

证书

常见英文

：加密 encrypt

：解密 decrypt

：明文 plaintext

：密文 ciphertext

 单向散列函数，可以根据根据消息内容计算出散列值

 散列值的长度和消息的长度无关，无论消息是1bit、10M、100G，单向散列函数都会计算出固定长度的散列值

单向散列函数（ ）

单向散列函数 特点

 根据任意长度的消息，计算出固定长度的散列值

 计算速度快，能快速计算出散列值

 消息不同，散列值也不同

 具备单向性

单向散列函数-应用 防止数据被篡改

软件下载，散列值

单向散列函数-应用 密码加密