FoundationProtocolAndBrowser

007-HTTPS加密原理及各类攻击及防范

HTTPS加密原理及各类攻击及防范

HTTPS加密原理

HTTPS = HTTP + SSL/TLS,它通过加密通信内容来保护数据传输安全。HTTPS结合使用了对称加密和非对称加密两种技术,发挥各自优势:

1. 非对称加密(建立安全通道)

  • 用途:用于密钥交换和身份验证
  • 常见算法:RSA、ECC、DH
  • 特点
    • 公钥加密,私钥解密(或反之)
    • 计算量大,速度慢
    • 安全性基于数学难题(如大数分解)

2. 对称加密(加密实际数据)

  • 用途:加密实际传输的数据
  • 常见算法:AES、DES、3DES
  • 特点
    • 加密解密使用相同密钥
    • 计算量小,速度快
    • 安全性依赖于密钥保密性

结合使用过程

  1. 客户端发起HTTPS请求:ClientHello,包含支持的加密套件列表
  2. 服务器响应:ServerHello,选择加密套件并发送证书(含公钥)
  3. 证书验证:客户端验证证书合法性(颁发机构、有效期等)
  4. 密钥交换
    • 客户端生成随机数(预主密钥)
    • 用服务器公钥加密预主密钥发送给服务器
    • 服务器用私钥解密获取预主密钥
  5. 会话密钥生成:双方用预主密钥+随机数生成相同的会话密钥(对称密钥)
  6. 对称加密通信:后续通信使用会话密钥进行对称加密

这种设计既利用了非对称加密的安全密钥交换,又获得了对称加密的高效数据传输。

中间人攻击(Man-in-the-Middle Attack)

定义

攻击者秘密插入到通信双方之间,冒充双方与对方通信,使双方认为他们是在直接通信,而实际上整个会话都被攻击者控制。

常见类型及举例

  1. SSL剥离(SSL Stripping)

    • 攻击方式:将HTTPS连接降级为HTTP
    • 举例:公共WiFi中,攻击者拦截所有流量,将HTTPS链接替换为HTTP

  2. 伪造证书攻击

    • 攻击方式:使用自签名或被盗的证书冒充合法网站
    • 举例:攻击者伪造银行网站证书,诱导用户连接

  3. DNS欺骗

    • 攻击方式:篡改DNS解析结果
    • 举例:将www.bank.com解析到攻击者控制的IP

  4. ARP欺骗

    • 攻击方式:局域网内伪造ARP响应
    • 举例:在公司网络中冒充网关

  5. BEAST攻击

    • 攻击方式:针对SSL/TLS早期版本的漏洞
    • 举例:解密加密的会话cookie

防范措施

  1. 服务器端措施

    • 使用强加密算法和足够长的密钥
    • 及时更新SSL/TLS版本(禁用SSL3.0、TLS1.0等旧协议)
    • 部署HSTS(HTTP Strict Transport Security)防止SSL剥离
    • 使用证书钉扎(Certificate Pinning)

  2. 客户端措施

    • 验证证书有效性(检查颁发机构、有效期、域名匹配)
    • 不忽略浏览器安全警告
    • 不在不受信任的网络进行敏感操作
    • 使用VPN在公共网络

  3. 网络层面

    • 部署入侵检测系统(IDS)监控异常流量
    • 使用DNSSEC防止DNS欺骗
    • 企业网络可部署证书透明化监控

  4. 用户教育

    • 识别钓鱼网站
    • 不安装不受信任的根证书
    • 定期清除浏览器缓存和证书

HTTPS通过合理结合对称和非对称加密,配合严格的证书验证机制,能有效防范中间人攻击,但需要服务器和客户端共同采取适当的安全措施才能确保完整的安全性。

常见网络安全攻击方法及解决方案

1. 注入攻击(Injection Attacks)

类型及示例

  • SQL注入:通过输入恶意SQL代码操纵数据库
    • 示例:' OR '1'='1 这样的登录表单输入
  • 命令注入:在系统命令中插入恶意代码
    • 示例:; rm -rf / 追加到合法的系统命令后
  • LDAP注入:操纵LDAP查询语句
  • XPath注入:针对XML数据库的攻击

解决方案

  • 使用参数化查询(Prepared Statements)
  • 实施输入验证和过滤
  • 最小权限原则(数据库账户只赋予必要权限)
  • 使用ORM框架避免直接SQL拼接
  • 定期更新和修补数据库系统

2. 跨站脚本攻击(XSS)

类型

  • 存储型XSS:恶意脚本永久存储在目标服务器
  • 反射型XSS:恶意脚本通过URL参数反射给用户
  • DOM型XSS:完全在客户端执行的攻击

解决方案

  • 实施内容安全策略(CSP)
  • 对用户输入进行HTML实体编码
  • 使用HttpOnly标记的Cookie
  • 框架内置的XSS防护(如React的JSX自动转义)
  • 定期进行安全扫描和渗透测试

3. 跨站请求伪造(CSRF)

攻击原理

利用用户已认证的状态,诱使用户执行非预期的操作

解决方案

  • 使用CSRF令牌(同步器令牌模式)
  • 检查Referer和Origin头部
  • 设置SameSite Cookie属性
  • 关键操作要求二次认证
  • 限制敏感操作的HTTP方法(如只允许POST)

4. 拒绝服务攻击(DoS/DDoS)

类型

  • 网络层攻击:SYN洪水、UDP洪水
  • 应用层攻击:HTTP洪水、Slowloris
  • 放大攻击:利用DNS/NTP等协议的反射放大

解决方案

  • 部署流量清洗设备
  • 配置网络设备(如防火墙、路由器)的速率限制
  • 使用CDN分散流量
  • 启用云服务商的DDoS防护(如AWS Shield)
  • 实施弹性架构设计(自动扩展)

5. 中间人攻击(MITM)补充

高级防护措施

  • 实施证书透明度(Certificate Transparency)
  • 使用QUIC协议(基于UDP的加密协议)
  • 部署双向TLS认证(mTLS)
  • 定期轮换密钥和证书

6. 社会工程学攻击

常见形式

  • 钓鱼攻击(邮件、短信、电话)
  • 鱼叉式钓鱼(针对特定目标)
  • 水坑攻击(感染目标常访问的网站)
  • 尾随攻击(物理安全突破)

解决方案

  • 员工安全意识培训
  • 多因素认证(MFA)
  • 模拟钓鱼测试
  • 严格的访问控制政策
  • 可疑行为报告机制

7. 零日攻击(0-day Exploits)

特点

利用尚未公开或修补的漏洞

解决方案

  • 实施深度防御策略
  • 行为分析而非特征检测
  • 网络分段隔离关键系统
  • 漏洞奖励计划鼓励白帽报告
  • 快速响应和补丁管理流程

8. 暴力破解攻击

目标

密码、API密钥、加密密钥等

解决方案

  • 账户锁定机制
  • 速率限制(Rate Limiting)
  • 强密码策略
  • 密码哈希加盐
  • 使用CAPTCHA

9. 内部威胁

类型

  • 恶意内部人员
  • 被入侵的账户
  • 疏忽导致的泄露

解决方案

  • 最小权限和职责分离
  • 用户行为分析(UEBA)
  • 全面的日志记录和审计
  • 离职流程中的权限回收
  • 数据丢失防护(DLP)系统

10. API安全威胁

常见问题

  • 未受保护的API端点
  • 过度的数据暴露
  • 缺乏速率限制
  • 错误的身份验证实现

解决方案

  • 严格的API身份验证(OAuth 2.0)
  • 输入验证和输出过滤
  • 详细的API文档和安全设计
  • 定期安全测试
  • API网关实施安全策略

综合防御策略

  1. 分层防御:在网络、主机、应用、数据各层实施安全控制
  2. 持续监控:SIEM系统实时分析安全事件
  3. 定期评估:渗透测试、漏洞扫描、红队演练
  4. 事件响应:建立完善的安全事件响应流程
  5. 安全意识:全员参与的持续安全培训
  6. 合规框架:遵循NIST、ISO 27001等安全标准

网络安全是持续的过程,需要结合技术手段和管理措施,随着威胁态势的变化不断调整防御策略。

FoundationProtocolAndBrowser

008-7层网络协议

OSI(开放系统互连)七层模型是网络通信的经典框架。

1. 物理层(Physical Layer)

  • 功能:传输原始比特流(0和1),定义物理介质(电缆、光纤、无线)的电气、机械特性。
  • 关键协议/技术
    • 以太网(IEEE 802.3)、Wi-Fi(IEEE 802.11)
    • RS-232、USB、光纤(SONET/SDH)
  • 设备:集线器(Hub)、中继器(Repeater)
  • 数据单位:比特(Bit)
  • 功能:将比特流组织成帧(Frame),提供物理地址(MAC地址)、错误检测(CRC)、流量控制。
  • 子层
    • LLC(逻辑链路控制):错误校验。
    • MAC(介质访问控制):控制设备如何访问共享介质(如CSMA/CD)。
  • 关键协议
    • 以太网(IEEE 802.3)、PPP(点对点协议)、VLAN(IEEE 802.1Q)
    • ARP(地址解析协议,将IP转MAC)
  • 设备:交换机(Switch)、网桥(Bridge)
  • 数据单位:帧(Frame)

3. 网络层(Network Layer)

  • 功能:逻辑寻址(IP地址)、路由选择、分组转发。
  • 关键协议
    • IP(IPv4/IPv6):无连接的数据包传输。
    • 路由协议:OSPF、BGP、RIP。
    • ICMP(用于ping/traceroute)。
  • 设备:路由器(Router)
  • 数据单位:数据包(Packet)

4. 传输层(Transport Layer)

  • 功能:端到端通信控制,提供可靠传输(TCP)或高效传输(UDP)。
  • 关键协议
    • TCP:面向连接,可靠传输(三次握手、流量控制、重传机制)。
    • UDP:无连接,低延迟(用于视频、DNS等)。
    • 其他:SCTP、QUIC(HTTP/3基础)。
  • 数据单位:段(Segment,TCP)/数据报(Datagram,UDP)

5. 会话层(Session Layer)

  • 功能:建立、管理、终止会话(Session),如断点续传、身份验证。
  • 关键协议/技术
    • NetBIOS、RPC(远程过程调用)、SSH会话。
    • TLS/SSL(加密会话,实际中常归于表示层)。

6. 表示层(Presentation Layer)

  • 功能:数据格式转换(编码/解码)、加密/解密、压缩。
  • 关键协议/技术
    • SSL/TLS(加密)、JPEG/MPEG(多媒体编码)、ASCII/Unicode。
    • 数据压缩(如gzip)。

7. 应用层(Application Layer)

  • 功能:直接为用户应用提供服务(HTTP、邮件、文件传输)。
  • 关键协议
    • HTTP/HTTPS:网页浏览。
    • FTP:文件传输。
    • SMTP/POP3/IMAP:电子邮件。
    • DNS:域名解析。
    • DHCP:动态IP分配。

实际应用中的简化:TCP/IP模型

OSI模型是理论框架,实际常用TCP/IP四层模型

  1. 网络接口层(物理+数据链路层)
  2. 网络层(IP/ICMP)
  3. 传输层(TCP/UDP)
  4. 应用层(HTTP/FTP等,合并OSI的应用/表示/会话层)。

数据封装流程示例(发送方)

  1. 应用层:生成HTTP请求 → 表示层加密 → 会话层建立连接。
  2. 传输层:添加TCP头(端口号)。
  3. 网络层:添加IP头(源/目的IP)。
  4. 数据链路层:添加帧头(MAC地址)和CRC校验。
  5. 物理层:转换为比特流通过网线传输。

关键区别总结

寻址方式 协议示例 设备
物理层 以太网(物理部分) 集线器
数据链路层 MAC地址 Ethernet, PPP 交换机
网络层 IP地址 IP, OSPF, ICMP 路由器
传输层 端口号 TCP, UDP 防火墙
应用层 URL/域名 HTTP, DNS, SMTP 网关/代理服务器

理解七层模型有助于排查网络问题(如物理层断线、传输层端口阻塞)和设计协议(如选择TCP还是UDP)。