2. 程式人生 > >https和http伺服器

https和http伺服器

阿新 發佈:2018-12-15

1, https:客戶端輸入網址:伺服器傳送證書(公鑰)給客戶端,客戶端解析證書是否安全(安全則生成隨機值並用該證書進行加密),並將加密後的隨機值告訴伺服器(傳送加密資訊),以後通訊都用這個值進行加密解密(私鑰);伺服器得到這個加密資訊後用證書解密得到隨機值,然後傳送資訊的時侯進行對稱加密(資訊和私鑰以某種演算法結合);然後客戶端接收到服務端的加密資訊後,用共同的金鑰解密;即使黑客監聽到資料,他沒有金鑰也沒用;

握手---協商加密演算法----傳送安全證書---檢查安全證書---傳送金鑰---傳送加密資訊;

ssl弱點:

1.ssl是不同的對稱、非對稱、單向加密演算法的組合加密實現(cipher suite)

如金鑰交換、身份驗證使用RAS/Diffie-Hellman,加密資料,使用AES加密,有RAS/DH完成金鑰交換,摘要資訊由HMAC-SHA2,組成了一個cipher suite,當然,也可以是其他組合。

2.伺服器端為提供更好的相容性,選擇支援大量過時的cipher suite。

3.協商過程中強迫降級加密強度。

4.現代處理器計算能力可以在接收的時間內破解過時加密演算法。

5.黑客購買雲端計算資源破解。

黑客攻擊方法:

1,降級攻擊,強制性將加密演算法從高強度降為低強度;

2,解密攻擊,偽造明文或者證書;

3,協議漏洞,配置不嚴格;

攻擊步驟:

1,檢視證書:

openssl是一個(安全套接字層密碼庫),包含ssl協議,加密演算法,常見金鑰,證書封裝管理功能;

下載openssl並開啟:輸入命令列:s_client -connect  www.baidu.com:443執行;

檢視目標伺服器支援的SSL/TLS cipher suite:

利用SSLscan:探測目標伺服器支援的加密演算法;

sslcan能自動識別ssl配置錯誤,過期協議,過時cipher suite和hash演算法

預設會檢查CRIME、heartbled漏洞,綠色表示安全、紅色黃色需要引起注意

輸入命令:sslscan -tlsall www.baidu.com:443

分析證書詳細資料:

sslscan -show-certificate  --no-ciphersuites www.baidu.com:443

3,使用nmap指令碼:

nmap --script=ssl-enm-ciphers.nse www.baidu.com

2,生成證書:

openssl req -new -x509 -days 1096 -key ca.key -out ca.crt,進行一個新的請求,格式為-x509,現在的證書基本是x509的國際標準的證書格式,有效期為1096天,並使用ca.key私鑰,生成ca.crt標準的證書檔案。sslsplit自動呼叫根證書,根據你要訪問哪些網站,根據網站的名稱,由根證書籤發一個專門針對網站的證書。

在openssl中需要有ca.key檔案(是含有64個字元的字串);

3,開啟路由功能:

中間人也是個終端裝置,不具有路由功能,轉發過程不是由軟體實現的,是由作業系統的路由功能實現的。

sysctl -w net.ipv4.ip_forward=1,將net.ipv4.ip_forward=1的值設為1,

wKioL1g5rjnRgjGrAAE88akQZG4132.png

4.寫轉發規則

iptables埠轉發規則

當客戶端把請求發給中間人終端裝置的時候,發到終端的443埠之後,需要用iptables做NAT地址轉換,其實是埠轉換,把本地443埠收到的包轉發到另外一個埠,而另外一個埠由sslsplit所偵聽的埠,這樣的話,凡是發給443埠的請求流量就會發給slsplit所偵聽的埠,而sslsplit就會呼叫證書偽造一個看起來是目標網站的偽造網站,sslsplit會利用偽造的證書對發過來的流量進行解密

iptables -t nat -L 檢視net的配置,為避免干擾,可以使用iptables -F清空配置,並使用netstat -pantu | grep :80 ,netstat -pantu | grep :443檢查80和443是否被使用,使用則停止程序

wKiom1g5rlqBmcK_AACv3jYkVpc625.png

將80、443埠進行轉發給8080和8443埠。

  1. iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080 
  2. iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8443 

當然還可以對其他的協議的加密流量進行中間人攻擊。

  1. iptables -t nat -A PREROUTING -p tcp --dport 587 -j REDIRECT --to-ports 8443 //MSA 
  2. iptables -t nat -A PREROUTING -p tcp --dport 465 -j REDIRECT --to-ports 8443 //SMTPS 
  3. iptables -t nat -A PREROUTING -p tcp --dport 993 -j REDIRECT --to-ports 8443 //IMAPS 
  4. iptables -t nat -A PREROUTING -p tcp --dport 995 -j REDIRECT --to-ports 8443 //POP3S 

4. 進行arp欺騙

使用arpspoof進行arp欺騙,不管是進行DNS欺騙還是HTTP或HTTPS的中間人攻擊,arp欺騙都是前提,所以,在進行防禦的時候,將ip和MAC繫結,就可以防止中間人攻擊了。

相關推薦

httpshttp伺服器

1, https:客戶端輸入網址:伺服器傳送證書(公鑰)給客戶端,客戶端解析證書是否安全(安全則生成隨機值並用該證書進行加密),並將加密後的隨機值告訴伺服器(傳送加密資訊),以後通訊都用這個值進行加密解密(私鑰);伺服器得到這個加密資訊後用證書解密得到隨機值,然後傳送資訊的時

HTTPSHTTP有什麽區別?如何將HTTP轉化成HTTPS

連接方式 圖標 image border view 網絡 獲得 協議 .html 不知道大家有沒有註意到輸入網址時的HTTP部分,在打開網站進行操作時有時候會自動跳轉為HTTPS格式,這是為什麽?HTTP與HTTPS到底有什麽區別?如何將HTTP轉化成HTTPS,針對這些問

HTTPSHTTP的區別(轉)

cap 解決 加密方法 nbsp 快速 之間 cape 而不是 銀行 什麽是 HTTPS? HTTPS (基於安全套接字層的超文本傳輸協議 或者是 HTTP over SSL) 是一個 Netscape 開發的 Web 協議。 你也可以說:HTTPS = HTTP + SS

HTTPSHTTP的區別:

http1、https協議需要到ca申請證書,一般免費證書較少,因而需要一定費用。 2、http是超文本傳輸協議,信息是明文傳輸,https則是具有安全性的ssl加密傳輸協議。 3、http和https使用的是完全不同的連接方式,用的端口也不一樣,前者是80,後者是443。 4、http的連接很簡單,是無狀態

HTTPSHTTP的區別

內容 出現 nbsp 子郵件 不能 AR 才會 EDA 傳輸 什麽是 HTTPS? HTTPS (基於安全套接字層的超文本傳輸協議 或者是 HTTP over SSL) 是一個 Netscape 開發的 Web 協議。 你也可以說:HTTPS = HTTP + SSL HT

android進階3step2:Android App通訊——HttpsHttp通訊

 需要了解的知識  X.509數字證書的結構與解析 計算機網路:這是一份全面& 詳細 HTTP知識講解  Https 實戰 • 主要用到的API介紹 – HttpsURLConnection (HttpURLConn

spring boot 支援httpshttp

配置檔案 server.port=443  server.tomcat.max-threads = 2000 server.tomcat.uri-encoding = UTF-8 server.tomcat.MaxConnections = 2000 server.tom

Linux+nginx實現Httpshttp

安裝nginx: 1.下載安裝包: http://nginx.org/en/download.html 上傳放入安裝包資料夾 2.安裝之前檢查安裝依賴是否完善: yum -y install gcc pcre pcre-devel zlib z

網路---HttpsHttp區別對稱加密非對稱加密

Https和Http區別 眾所周知,WEB服務存在http和https兩種通訊方式,http預設採用80作為通訊埠,對於傳輸採用不加密的方式,https預設採用443,對於傳輸的資料進行加密傳輸 目前主流的網站基本上開始預設採用HTTPS作為通訊方式,一切的考慮都基於對安全的要求,那麼如何對

HTTPS HTTP的聯絡與區別

HTTPS和HTTP的區別: https協議需要到ca申請證書,一般免費證書很少,需要交費。http是超文字傳輸協議,資訊是明文傳輸,https 則是具有安全性的ssl加密傳輸協議http和https使用的是完全不同的連線方式用的埠也不一樣,前者是80,後者是443。http的連線很簡單,是無狀態的H

使用HTTPS保障HTTP伺服器的安全性-使用Node.js HTTPS模組建立HTTPS伺服器

這篇文章是下面部落格的進一步搭建HTTPS server的部落格 // angular nodejs express mongodb apache,模擬線上部署(HTTP server) https://blog.csdn.net/liangxw1/arti

Nginx配置HTTPSHTTP

Nginx配置HTTPS HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer)安全超文字傳輸協議,是以安全為目標的HTTP通道,簡單講是HTTP的安全版。即將HTTP用SSL/TLS協議

M面試題-HTTPSHTTP的區別

轉載自 : https://www.cnblogs.com/wqhwe/p/5407468.html     超文字傳輸協議HTTP協議被用於在Web瀏覽器和網站伺服器之間傳遞資訊,HTTP協議以明文方式傳送內容,不提供任何方式的資料加密,如果攻擊者截取了Web瀏覽器和網站伺服器之

nodejs中tcp伺服器http伺服器實現的異同

一,相同點 1,都呼叫了createServer方法。 2,當客戶端接入時都會執行一個回撥函式。 二,不同之處 1,回撥函式的中物件的型別。net伺服器中,是個連線(connect)

Android之B面試題⑤HTTPSHTTP的區別

1. 什麼是 HTTPS?       HTTPS (基於安全套接字層的超文字傳輸協議 或者是 HTTP over SSL) 是一個 Netscape 開發的 Web 協議。       你也可以說:HTTPS = HTTP + SSL;       HTTPS 在 HTTP

ajax筆記1--HTTPHTTPSHTTP請求概念介紹

HTTP是一種無狀態協議,所謂無狀態就是客戶端和伺服器之間不會長時間的建立連線。 HyperText Transfer Protocol,超文字傳輸協議 所有的www檔案都必須遵守這個標準 通俗的來

git之httpshttp方式設置記住用戶名密碼的方法

高速 使用 目錄 project 遠程倉庫 用戶名 每次 cache 極速 https方式每次都要輸入密碼,按照如下設置即可輸入一次就不用再手輸入密碼的困擾而且又享受https帶來的極速 設置記住密碼(默認15分鐘): git config --global crede

原生node用fshttp完成檔案上傳到伺服器

var http=require("http"); var fs=require("fs"); http.createServer(function(req,res){ res.writeHead(200,{"Content-type":"text/html;charset=UTF-8","

spy-debugger移動手機除錯HTTP/HTTPS抓包

簡介 一站式頁面除錯、抓包工具。用於遠端除錯微信、HybridApp等各種WebView樣式、手機瀏覽器的頁面真機除錯。便捷的遠端除錯手機頁面、抓包工具,支援:HTTP/HTTPS,無需USB連線裝置。 spy-debugger原理是集成了weinre,簡化了weinre需要給每

Jexus 在centos上配置 https gzip(包括1 jexus設定 2..net core程式碼修改 3.http跳轉https 4.開啟gzip)

  一、只需要配置jexus,將現有的http網站改成https 1.首先檢視“/lib”或“/usr/lib”等系統庫資料夾中是否有SSL庫檔案的名字,該檔名應該是“libssl.so.版本號”(find / -name libssl.so.*),如