目录
前面一篇讨论了攻击HTTP的常用手段:https://blog.csdn.net/qq_41895747/article/details/104296991,从而引出
更安全的HTTPS
简单的说:HTTPS = HTTP+SSL
详细点:HTTPS = HTTP+加密+认证+完整性保护
HTTPS并非应用层协议,只是HTTP通信接口部分用SSL和TLS协议代替
HTTP的缺点:
- 通信使用明文,内容可能会被窃听
- 不验证通信方的身份,可能遭遇伪装
- 无法证明报文的完整性,可能遭到篡改
最常用的抓包工具:wireshark
Wireshark是世界上最广泛使用的网络协议分析器。它使您可以从微观角度查看网络中发生的事情,并且是许多商业和非营利企业,政府机构和教育机构的事实上(通常是法律上)的标准。由于全球网络专家的自愿贡献,Wireshark得以蓬勃发展,并且是Gerald Combs在1998年启动的项目的延续。
Wireshark具有丰富的功能集,其中包括:
- 深入检查数百种协议,一直在增加
- 实时捕获和离线分析
- 标准三窗格数据包浏览器
- 多平台:在Windows,Linux,macOS,Solaris,FreeBSD,NetBSD和许多其他操作系统上运行
- 捕获的网络数据可以通过GUI或TTY模式的TShark实用程序进行浏览
- 业界最强大的显示过滤器
- 丰富的VoIP分析
- 读取/写入许多不同的捕获文件格式:tcpdump(libpcap),Pcap NG,Catapult DCT2000,Cisco Secure IDS iplog,Microsoft Network Monitor,Network GeneralSniffer®(压缩和未压缩),Sniffer®Pro和NetXray®,Network Instruments Observer ,NetScreen监听,Novell LANalyzer,RADCOM WAN / LAN分析仪,Shomiti / Finisar Surveyor,Tektronix K12xx,Visual Networks Visual UpTime,WildPackets EtherPeek / TokenPeek / AiroPeek等
- 使用gzip压缩的捕获文件可以即时解压缩
- 可以从以太网,IEEE 802.11,PPP / HDLC,ATM,蓝牙,USB,令牌环,帧中继,FDDI等读取实时数据(取决于您的平台)
- 对许多协议的解密支持,包括IPsec,ISAKMP,Kerberos,SNMPv3,SSL / TLS,WEP和WPA / WPA2
- 可以将着色规则应用于数据包列表,以进行快速,直观的分析
- 输出可以导出为XML,PostScript®,CSV或纯文本
在HTTP下传输过程中没有任何加密措施,可以轻易进行抓包获取请求和响应:
通信加密的方式
- SSL:Secure Socket Layer 安全嵌套层
SSL是全世界最广泛应用的网络安全技术 - TLS:Transport Layer Security 安全套接层
对HTTP采取安全处理的手段
- SSL和TLS对通信进行加密
- 对内容进行加密
- 查验对手的证书
- 采用PGP(完美隐私)创建数字签名及MD5算法涩会给你成散列值防止篡改
HTTPS采用混合加密机制
共享密钥加密+公开密钥加密的混合加密机制;
HTTPS安全通信机制
一图明了
为什么不一直使用HTTPS?
阿里云考试一道题;
简单的说,因为HTTPS会消耗更多资源;购买证书会造成额外开支;
SSL速度变慢
可以使用SSL硬件加速器改善
- 通信速度慢
- 大量消耗CPU内存资源,导致处理速度变慢
HTTP用户认证
- BASIC认证(基本认证)
服务器与客户端之间的认证方式;
明文,无加密与注销; - DIGEST认证(摘要认证)
质询/响应方式;
安全性高于BASIC认证; - SSL客户端认证
借由HTTPS客户端证书进行认证;
服务器可确认访问能否来自己登录客户端;
双因素认证:基于证书认证+基于表单认证/基于客户端计算机+基于用户本人行为 - FromBase认证(基于表单认证)
使用最广泛;
客户端向服务器上Web应用程序发送登录信息,按登录信息进行结果认证;
