重放攻擊及防護

若是是對內的rest api 服務, 可使用 防火牆加 出站入站規則來處理算法

若是是對外的rest api服務, 可使用( A. https(最好看下原理),   B.雙方進行祕鑰加解密驗證,即token方式+簽名(防止內容被篡改),  C.請求內容中加入時間戳和隨機數並加密  )等方式保證安全api

ps:簽名算法、密鑰的分配安全存儲要設計好安全

 

 

 

如下是從百度找到的關於 重放攻擊的相關概念和防護方法, 主要看概念和防護方法便可服務器

 

概念網絡

重放攻擊(Replay Attacks)又稱重播攻擊、回放攻擊,是指攻擊者發送一個目的主機已接收過的包,來達到欺騙系統的目的,主要用於身份認證過程,破壞認證的正確性。重放攻擊能夠由發起者,也能夠由攔截並重發該數據的敵方進行。攻擊者利用網絡監聽或者其餘方式盜取認證憑據,以後再把它從新發給認證服務器。重放攻擊在任何網絡經過程中均可能發生,是計算機世界黑客經常使用的攻擊方式之一。併發

原理加密

重放攻擊的基本原理就是把之前竊聽到的數據原封不動地從新發送給接收方。不少時候,網絡上傳輸的數據是加密過的,此時竊聽者沒法獲得數據的準確意義。但若是他知道這些數據的做用,就能夠在不知道數據內容的狀況下經過再次發送這些數據達到愚弄接收端的目的。例如,有的系統會將鑑別信息進行簡單加密後進行傳輸,這時攻擊者雖然沒法竊聽密碼,但他們卻能夠首先截取加密後的口令而後將其重放,從而利用這種方式進行有效的攻擊。再好比,假設網上存款系統中,一條消息表示用戶支取了一筆存款,攻擊者徹底能夠屢次發送這條消息而偷竊存款spa

類型設計

1.根據重放消息的接收方與消息的原定接收方的關係,重放攻擊可分爲3種:
第一種是直接重放,即重放給原來的驗證端,直接重放的發送方和接收方均不變。
第二種是反向重放,將本來發給接收方的消息反向重放給發送方。
第三種是第三方重放,將消息重放給域內的其餘驗證端。
 
2.基於重放法發生在什麼回合,能夠將重放攻擊分爲兩類:
(1)在當前回合外攻擊中,重放的消息來自協議當前回合以外,所以至少涉及協議的兩個回合運行,能夠併發也能夠順序地實現。
①交錯攻擊須要兩回合或多回合同時執行協議,著名的例子是Lowe對NSPK協議的攻擊。
②經典重放也涉及當前回合外執行協議,但不要求同時執行協議。攻擊者存儲在前面的回合中所傳送的消息,並抓住機會重放它們,對協議的當前回合進行攻擊。Denning和Sacco對NSSK協議的攻擊,就是經典重放的一個著名例子。
(2)在當前回合內攻擊中,重放的消息來自協議當前回合。
3.考查攻擊者對消息重定向,這種分類法稱爲目的地分類法。分類以下。
(1)偏轉重放攻擊:重放消息從新定向,發送給不一樣於原接收者的第三方。這種情形可進一步分爲以下子類:
①重放消息重定向,發送給原發送者,稱爲反射重放攻擊。
②重放消息重定向,發送給第三方,即不一樣於原發送者和原接收方的第三方。
(2)攻擊者經過延時的方法(可能涉及不一樣的協議回合),將消息傳送給目的地,稱爲直接重放攻擊
 
防護方案
1. 加密,時間戳,每一個包要有包序號,每次同向加1,收到重複序號認爲是攻擊,能夠抵禦重放攻擊。此外借助於HTTPS/TLS其自身機制,保證了消息完整性,而且能夠抵禦重放攻擊。因爲加密,對方也沒法看到明文內容。
2. 客戶端生成一串隨機數R1,發給服務器,服務器判斷此R1是否重複,以後根據算法(R1+R2)生成密鑰。最好是結合驗籤機制。
3. https 會被中間人攻擊,Fiddler 能用替換證書的方式截獲並還原明文。非對稱加密(例如RSA)是個好辦法,不過你得防止別人直接反編譯你的代碼分析出你的明文拼接方式。
 
(1)加隨機數。該方法優勢是認證雙方不須要時間同步,雙方記住使用過的 隨機數,如發現 報文中有之前使用過的隨機數,就認爲是重放攻擊。缺點是須要額外保存使用過的隨機數,若記錄的時間段較長,則保存和查詢的開銷較大。
(2)加 時間戳。該方法優勢是不用額外保存其餘信息。缺點是認證雙方須要準確的時間同步,同步越好,受攻擊的可能性就越小。但當系統很龐大,跨越的區域較廣時,要作到精確的時間同步並非很容易。
(3)加流水號。就是雙方在報文中添加一個逐步遞增的整數,只要接收到一個不連續的流水號報文(太大或過小),就認定有重放威脅。該方法優勢是不須要時間同步,保存的信息量比隨機數方式小。缺點是一旦攻擊者對報文解密成功,就能夠得到流水號,從而每次將流水號遞增欺騙認證端。
在實際中,常將方法(1)和方法(2)組合使用,這樣就只需保存某個很短期段內的全部隨機數,並且時間戳的同步也不須要太精確。
對付重放攻擊除了使用本以上方法外,還可使用挑戰一應答機制和一次性口令機制,並且彷佛後面兩種方法在實際中使用得更普遍。
 
相關參考連接 ;
https://baike.baidu.com/item/%E9%87%8D%E6%94%BE%E6%94%BB%E5%87%BB
相關文章
相關標籤/搜索