2. 程式人生 > >大白話瞭解雜湊洪荒攻擊

大白話瞭解雜湊洪荒攻擊

阿新 發佈:2019-06-22

生意紅火

有一天你和你的鄰居同時開了一個快遞驛站,不過你的運氣很好,每天都有很多快遞到你這裡來,生意紅紅火火,然而,你的鄰居生意很冷清。

快遞一多,為了取件人方便找到快遞,於是你按照快遞手機號碼的最後兩位數字來給快遞分類,例如尾號為 01 的放到櫃子 1 中,尾號為 02 的放到櫃子 2 。如果有人來取快遞,他只需要報出他的手機號碼,就可以快速找到對應的櫃子,然後再根據完整的手機號碼在這個櫃子裡找到對應的快件了。

 

心聲惡意的鄰居

日子一天天過去,你的店鋪越來越火,然而,你鄰居的生意冷清到哭暈在廁所裡,但是你並沒有去在意你的鄰居,也沒有分擔點生意給他,於是,你的鄰居心生壞意,決定搞搞你。

他知道你是採用按照快件手機號碼末尾兩位來分類的,於是他分批買了大量非常廉價的物品,並且把大部分快遞的手機號碼的末尾的兩位弄成是一樣的。

於是,你收到了大量的快遞,並且大量的快遞都被分到了同一個櫃子裡,導致有些櫃子裡堆放了大量的快件,擠滿到不得不把一些放地下了,然而有些櫃子裡卻是空蕩蕩的。

這也不僅導致了資源分配不均勻,每次顧客來取快件的時候,還得找好久才能找到。

於是你老爸和你說:要不加大櫃子的容量吧。

你:加大容量沒用,雖然能短暫不會出現擠滿放地下的情況,但本質問題並沒有解決。

 

更換策略

為了解決這個問題,於是你採取了別的策略,把手機號碼當做一個數值,然後對這個數值進行取餘,例如 手機號 % 99 = 櫃子的編號。

每次客人來的時候,你把他的手機號碼也進行取餘,然後告訴他,去對應的櫃子取,取餘這個操作雖然麻煩了點,工作量比之前大了,但,躲開了你鄰居的攻擊,也算值得。

 

問題的本質

然而好景不長,你的鄰居通過觀察與測試,發現你是通過手機號碼取餘來對映到對應的櫃子上的,於是,它又找了一堆手機號碼取餘後值相同的手機號碼來搞定,於是,你又奔潰了。

你知道你侄子是學計算機專業的,於是你把這件事告訴了你的侄子,你的侄子一聽到這個,就來了勁,於是管不住嘴吹了下面這一大堆:

告訴你,你的這種對映策略相當於我平時學的雜湊演算法,不管你如何改變你的演算法策略,只要被別人知道了你的雜湊演算法,那麼,都會容易遭受到別人的攻擊,像你的鄰居的那種攻擊方式,就叫做雜湊洪荒攻擊。

我們都知道,在各種資料結構裡,有平均時間複雜度和最差時間複雜度之分,對於雜湊演算法,我們插入 n 個到元素到數組裡的話,平均時間複雜度是 O(n),而最差的時間複雜度是 O(n^2);查詢某個元素的平均複雜度是 O(1),最差時間複雜度是 O(n),而雜湊洪荒攻擊就是攻擊者有意給出一些特殊值,使得我們每次都遇到了最差時間複雜度。

 

如何防禦?

剛才說了,雜湊洪荒攻擊的本質就是攻擊者掌握了你的雜湊演算法,所以如何想要防禦的話,就需要我們設計出優秀的雜湊演算法了,什麼才算優秀的雜湊演算法?

1、映射出來的雜湊碼分佈均勻。

2、不容易被破解。

當然,不管你如何設計,一旦攻擊者掌握了你的演算法細節,那麼你都得涼。

 

那有沒有比較好的防禦措施呢?

其實,我們可以通過生成一些隨機值來加強我們的雜湊演算法,例如,我們每次建立一張雜湊表的時候,我們就隨機生成一個新的隨機值,來作為雜湊演算法的一部分。這樣一來,即使是同樣的內容,放在不同的表裡也會產生完全不同的雜湊碼。

這樣一來,攻擊者就很難進行預測了,即使發生了碰撞,也是小概率的巧合,而不是攻擊者在主動控制,我們也把這個隨機的值稱之為雜湊種子(Hash Seed)。而這類使用雜湊種子的雜湊演算法,我們稱之為帶金鑰雜湊演算法(Keyed Hash Function)。

當然,上面這種方式只是防禦雜湊洪荒攻擊的一種方式,對於雜湊碰撞,在面試中問的最多的應該就是 Java 中的雜湊表了,我跟大家補充講講 Java8 中是如何解決雜湊碰撞的吧。

Java 中的雜湊表如果出現了雜湊衝突,就會用一個連結串列來存放雜湊碼相同的元素,但是如果出現大量雜湊碼相同的話,那麼大量的元素都放在了同一條連結串列裡,這樣會導致雜湊表的查詢時間複雜度是 O(n),為了解決這個問題,當連結串列中的元素大於等於 8 的時候,就把用紅黑樹來取代連結串列,這樣一來,可以把最差時間複雜度控制在 O(logn)。

 

尾聲

你侄子吹了一大堆專業名詞,對於只讀過小學的你,想不懵逼都難,這個時候你憋不住了,拋了一句給你侄子:能不能講點人話?你只需要告訴我,我該怎麼做就行了。

你侄子:我來去給你設計一個程式吧,你到時候只需要把你的手機號碼進去就可以了,它會把你自動映射出對應的櫃子。

最後,鄰居把店鋪拆了,開了一家網咖…..

 

原文來自:http://netsecurity.51cto.com/art/201905/597217.htm

 

本文地址:https://www.linuxprobe.com/hashihong-desert-attack.html編輯:馮瑞濤,稽核員:逄增寶

 

Linux命令大全:https

相關推薦

大白話瞭解洪荒攻擊

生意紅火 有一天你和你的鄰居同時開了一個快遞驛站,不過你的運氣很好,每天都有很多快遞到你這裡來,生意紅紅火火,然而,你的鄰居生意

五分鐘帶你瞭解演算法究竟是什麼!

大家好呀,我是你們的貝爾同學。經過一段時間的認知學習,大家應該對數字貨幣有了一定的瞭解。今天呢,我們要講一些比較深的內容,比如比特幣的雜湊演算法問題。熟悉區塊鏈的朋友首先想到的肯定就是比特幣挖礦,比特幣挖礦就是不斷修改區塊頭部的隨機數,然後計算區塊的雜湊值,知道這個雜湊值滿足特定標準的過程,那麼雜湊演算法到底

傳遞攻擊利用(Pass The Hash)

最近又複習了一下內網的相關知識,把以前的整理了一下發出來做個記錄。 # 0x01 雜湊傳遞攻擊概念 有一點內網滲透經驗的都應該聽說過雜湊傳遞攻擊,通過找到相應賬戶相關的密碼雜湊值(LM Hash,NTLM Hash)來進行未授權登陸。 可參考Wikipedia的介紹,地址如下:https://en.wikip

長度拓展攻擊

  雜湊長度拓展攻擊   五一假期在幹嘛?相信有很多小夥伴(其實是大表哥)開始了ISCC之旅,不知道為了在這個“動態分數”機制環境下得到更多的分數,大家的肝還好不好呢? 資訊保安與對抗技術競賽(ISCC:Information Security and Cou

LeetCode | 你不得不瞭解演算法 !

⒈雜湊是什麼 ? 問大家一個問題 。如果手機上儲存了 1000 個聯絡人 ,現在要你給小詹打個電話 ,跟他說 ,他老婆喊他回家吃飯 。你會怎麼做 ? 當然是按姓名搜尋呀 !(假裝你有小詹電話號碼~)言歸正傳 ,那你能想到這和雜湊表有異曲同工之妙嘛 ? 雜湊表簡單說可以理解成一個對映關係

hash長度擴充套件攻擊解析(記錄一下,保證不忘)

                起因這是 ISCC 上的一道題目,抄 PCTF 的,並且給予了簡化。在利用簡化過的方式通過後,突然想起利用雜湊長度擴充套件攻擊來進行通關。雜湊長度擴充套件攻擊是一個很有意思的東西,利用了 md5、sha1 等加密演算法的缺陷,可以在不知道原始金鑰的情況下來進行計算出一個對應的

洛谷P3396衝突

傳送門啦 非常神奇的分塊大法。 這個題一看資料範圍,覺得不小,但是如果我們以 $ \sqrt(x) $ 為界限,資料範圍就降到了 $ x < 400 $ 我們設陣列 $ f[i][j] $ 表示在 % $ i $ 意義下餘數是 $ j $ 的數的總和。 然後我們以 $ \sqrt(n) $ 為界

野生前端的資料結構基礎練習(5)——

網上的相關教程非常多,基礎知識自行搜尋即可。 習題主要選自Orelly出版的《資料結構與演算法javascript描述》一書。 參考程式碼可見:https://github.com/dashnowords/blogs/tree/master/Structure/Hash 雜湊的基本知識

[SCOI2007]壓縮(動態規劃,區間dp,字串)

[SCOI2007]壓縮 狀態:設\(dp[i][j]\)表示前i個字元,最後一個\(M\)放置在\(j\)位置之後的最短字串長度. 轉移有三類,用刷表法來實現. 第一種是直接往壓縮串後面填字元,這樣就是: \[dp[i+1][j]=min(dp[i+1][j],dp[i][j]+1)\] 另外一種

Hash(/)表中衝突處理及命中計算

前言   本片部落格主要講的是雜湊表中簡單的衝突處理的方法,以及命中率計算。原理方面基本沒有講解,基本就講個方法,主要用於知識記錄以及幫助一些刷題玩家瀏覽。   簡而言之,不講技術,只講方法。 引言   寫這篇部落格的契機是在刷pat甲級題遇到了一道寫雜湊的題目,結果英文太次被欺負了。之後靠翻譯讀懂題

Android 獲取證書籤名以及key hash

1、獲取Android應用簽名MD5/sha1/SHA256等證書指紋 keytool -v -list -keystore  uuoversea_tw.jks 2、獲取Android應用key hash 雜湊值  keytool -exportcert -alias

程式設計師小灰-漫畫:什麼是一致性

                        一年之前——    

查詢演算法 淺談演算法和資料結構: 七 二叉查詢樹 淺談演算法和資料結構: 十一

閱讀目錄 1. 順序查詢 2. 二分查詢 3. 插值查詢 4. 斐波那契查詢 5. 樹表查詢 6. 分塊查詢 7. 雜湊查詢   查詢是在大量的資訊中尋找一個特定的資訊元素,在計算機應用中,查詢是常用的基本運算,例如編譯程式中符號表的查詢。本文

【LeetCode】表 hashmap(共88題)

p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px Helvetica } 【1】Two Sum  【3】Longest Substring Without Repeating Characters  【18】4Sum 

C++【模板】字串

介紹:關於字串hash,一句話概括,就是把字串有效的轉化為一個整數 hash[i]=(hash[i-1]*p+idx(s[i]))%mod for example:取p=13, mod=101,求abc對應的整數 hash[0]=1; 表示a對映1。 hash[1]=(hash[0]

學習演算法前序:五個問題

雜湊學習演算法是大資料時代十分重要的一個演算法,本小白即將正式接觸雜湊演算法。當然,第一步,看論文~看了兩週的論文,竟然一上來又呆頭呆腦的從頭讀(呵呵噠…),正面教材請看如何高效讀論文 廢話少說,在沒有接觸learn to hash之前,本小白提出五個問題。一週後,若能以短短几句話回答它,說

記錄一下表底層原理

理解HashMap底層,首先應該理解Hash函式 從解決一個問題入手:大量的資料要儲存查詢,構造雜湊表來解決 初步想法 借鑑陣列下標訪問的思路來做,只需知道起始位置和下標值, 不管陣列中有多少個元素,都可以一次訪問到, 將元素和元素位置建立一種一一對應的關係 Hash函式的出現 輸入的元素的範圍

散列表(表)+衝突的解決方法

轉載http://www.nowamagic.net/academy/detail/3008060 1散列表 1簡單來說就是給一個key,就可以找到對應的key的儲存位置,就像身份證對應一個人一樣 儲存位置 = f(key) 2hashMap的key就是用到散列表 1.1雜湊衝突

第八章

雜湊的含義 散列表(Hash table,也叫雜湊表),是根據關鍵碼值(Key value)而直接進行訪問的資料結構。也就是說,它通過把關鍵碼值對映到表中一個位置來訪問記錄,以加快查詢的速度。這個對映函式叫做雜湊函式,存放記錄的陣列叫做散列表。 對不同的關鍵字可能得到同一雜湊地址,即k1≠k2,

兩個物件HashCode相同即 碰撞解決方案

先了解下Java中堆疊的功能分配, 棧是執行時的單位 , 而堆是儲存的單元,棧解決程式的執行問題,即程式如何執行,或者說如何處理資料,堆解決的是資料儲存的問題,即資料怎麼放,放在哪兒。 我們知道,物件Hash的前提是實現equals()和hashCode()兩個方法,那麼HashCode()