重放攻擊及防護

時間 2019-11-22

原文原文鏈接

若是是對內的rest api 服務, 可使用防火牆加出站入站規則來處理算法

若是是對外的rest api服務, 可使用( A. https(最好看下原理), B.雙方進行祕鑰加解密驗證,即token方式+簽名(防止內容被篡改), C.請求內容中加入時間戳和隨機數並加密 )等方式保證安全api

ps:簽名算法、密鑰的分配安全存儲要設計好安全

如下是從百度找到的關於重放攻擊的相關概念和防護方法, 主要看概念和防護方法便可服務器

概念網絡

重放攻擊(Replay Attacks)又稱重播攻擊、回放攻擊，是指攻擊者發送一個目的主機已接收過的包，來達到欺騙系統的目的，主要用於身份認證過程，破壞認證的正確性。重放攻擊能夠由發起者，也能夠由攔截並重發該數據的敵方進行。攻擊者利用網絡監聽或者其餘方式盜取認證憑據，以後再把它從新發給認證服務器。重放攻擊在任何網絡經過程中均可能發生，是計算機世界黑客經常使用的攻擊方式之一。併發

原理加密

重放攻擊的基本原理就是把之前竊聽到的數據原封不動地從新發送給接收方。不少時候，網絡上傳輸的數據是加密過的，此時竊聽者沒法獲得數據的準確意義。但若是他知道這些數據的做用，就能夠在不知道數據內容的狀況下經過再次發送這些數據達到愚弄接收端的目的。例如，有的系統會將鑑別信息進行簡單加密後進行傳輸，這時攻擊者雖然沒法竊聽密碼，但他們卻能夠首先截取加密後的口令而後將其重放，從而利用這種方式進行有效的攻擊。再好比，假設網上存款系統中，一條消息表示用戶支取了一筆存款，攻擊者徹底能夠屢次發送這條消息而偷竊存款spa

類型設計

1.根據重放消息的接收方與消息的原定接收方的關係，重放攻擊可分爲3種：

第一種是直接重放，即重放給原來的驗證端，直接重放的發送方和接收方均不變。

第二種是反向重放，將本來發給接收方的消息反向重放給發送方。

第三種是第三方重放，將消息重放給域內的其餘驗證端。

2.基於重放法發生在什麼回合，能夠將重放攻擊分爲兩類：

(1)在當前回合外攻擊中，重放的消息來自協議當前回合以外，所以至少涉及協議的兩個回合運行，能夠併發也能夠順序地實現。

①交錯攻擊須要兩回合或多回合同時執行協議，著名的例子是Lowe對NSPK協議的攻擊。

②經典重放也涉及當前回合外執行協議，但不要求同時執行協議。攻擊者存儲在前面的回合中所傳送的消息，並抓住機會重放它們，對協議的當前回合進行攻擊。Denning和Sacco對NSSK協議的攻擊，就是經典重放的一個著名例子。

(2)在當前回合內攻擊中，重放的消息來自協議當前回合。

3.考查攻擊者對消息重定向，這種分類法稱爲目的地分類法。分類以下。

(1)偏轉重放攻擊：重放消息從新定向，發送給不一樣於原接收者的第三方。這種情形可進一步分爲以下子類：