整合營銷服務商
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
代計算機系統功能日漸復雜,信息化日漸強大,正在對社會各行各業產生巨大深遠的影響,但同時由于其開放性特點,使得安全問題越來越突出。然而,隨著人們對計算機網絡依賴程度的日漸加深,信息化安全也表現得越來越重要。為防止不同類型的系統安全隱患,所以構建一個安全的系統是非常重要的。
1、安裝防病毒軟件
計算機病毒的危害日益加重,我們必須在服務器上安裝防病毒軟件。
2、關掉不需要的服務
安裝完應用系統后,我們就應該禁止掉該服務器不承擔的任何網絡服務程序。
3、對系統帳戶進行安全設置
一些公司的管理員創建賬號的時候往往用公司名、計算機名做用戶名,然后又把這些用戶的密碼設置得太簡單,比如“welcome”等等。因此,要注意密碼的復雜性,還要記住經常改密碼。
4、關閉不需要的端口
用端口掃描器掃描系統所開放的端口,確定開放了哪些端口,關閉不必要的端口。
網絡通訊與訪問的安全防護主要在于保證信息在網絡上被安全地傳輸,保證通過網絡線路和設備訪問開源字節應用系統及數據信息的訪問者的合法性,保證企業內部數據信息不被企業外部攻擊者所竊取。
1、使用防火墻
在保證網絡安全方面,防火墻(Firewall)被廣泛使用。在接入Internet的組織中,經常使用來保護內部網及資源,也可以將防火墻用于內部網內對保密信息或其他敏感信息的限制訪問,使得只有限定的授權的操作可以通過防火墻。
2、使用VPN技術
基于公共網的VPN通過隧道技術、數據加密技術以及QoS機制,使企業的遠程用戶可以在安全的前提下迅速接入企業內部網,以實現對內部網的相關操作。
3、使用SSL安全機制
我們的系統支持MySQL7及以上的版本,對于數據庫來說數據的安全主要體現于以下幾個方面:
1、使用安全賬戶建立應用數據庫的管理
賬戶,通過數據庫的權限系統給管理賬戶分配指定的操作權限,防止因為誤操作導致數據庫數據丟失。
在我們的軟件的管理中,用戶的管理和權限在最大的限度上與數據庫的安全管理相結合,來保障數據的安全。
2、使用安全的密碼策略
數據庫用戶的密碼過于簡單是被攻擊的主要原因之一,對于數據庫用戶的密碼一定要使用字符、數字、符號相結合,如同系統用戶的密碼一樣重要。對于管理員的密碼更要注意,應該定期的更改密碼。
3、數據自動備份
在創建數據庫的同時,我們會創建系統任務和備份計劃,每天自動的進行數據備份,防止出現因數據庫被破壞等因素導致數據丟失的情況,可以利用備份恢復數據。默認策略為每天中午和晚上各備份一次,提高系統數據的容錯率。
系統提供的軟件安全設計有功能權限設置、數據權限設置和操作日志管理,以及防止系統奔潰設計。
1、功能權限設置
可以設置每個人使用的功能范圍。
2、數據權限設置
可以控制每個人查看和修改數據的范圍,例如有些數據只能看不能改等。對于權限的分配采取劃分角色的方式來實現成批人員權限的設置和維護。
3、操作日志管理
是應用系統自動把每個操作人員從進入系統到退出系統的每一步操作都詳細記錄下來,哪一天,什么時間,進行了什么操作。當出現問題時,可以起到查找原因的作用。
通過系統應用層就可以實現對每個操作人員使用范圍、使用時間、如何使用的管理和監督。
4、防止系統奔潰
系統設計的不合理同樣會導致系統奔潰,在這方面我們做了許多的優化設計,如導入業務數據時限制單次導入數據的上限,減少不必要的大批量數據操作,優化JVM服務器參數配置,防止因內存溢出而導致系統宕機等。
如若轉載,請注明出處:開源字節 https://sourcebyte.vip/article/304.html
果用的是三星、HTC等,可以對手機進行root,然后使用“權限管理”找到“自啟動管理”,找到QQ和微信,關閉即可。
一般現在的手機都自帶自啟動管理,可以直接設置。
較老的手機可以下載“一鍵root”之類的root應用或者連接電腦root,然后使用“百度手機衛士”或者“授權管理”管理應用自啟權限、通知權限等。
root前需要注意的事項為:root中與root后一切因root而引起的造成手機受損、無法使用的后果,即使手機在保修期內,手機廠商、售后、維保中心也是不提供免費維保服務的,維修費用以及數據被竊取、失去的損失全由用戶自行承擔。
以上所指的后果包括但不限于:
1:root時修改系統文件失敗造成的手機芯片損毀、無法開機、黑屏;
2:root后手機遭受病毒的攻擊造成的手機芯片損毀、無法開機、黑屏、GPS被利用、數據外泄、數據丟失。
然后在左邊菜單中切換到如圖所示,然后再選擇某個你所要禁止自啟動的程序(個人認為,除了通話,輸入法,安全類的一般就不會停用的都可以禁止)
然后這里點擊權限管理
便是進入到了程序的權限界面,我們這里講自啟動那個滑塊滑動即可
然后便成如圖便是成功了,這種方法比較適合你對軟件進行一些比較詳細的權限查詢。接下來再說一種比較簡便的方法,只針對軟件的自啟動。
我們這里點擊安全中心
然后下一步選擇“內存優化”
這里我們也是可以看到自啟動管理的,相對來說這里便是更加方便了,如果遇到很多軟件需要進行管理。
http://jingyan.baidu.com/article/86fae346d3a3043c49121a3b.html
以上回答你滿意么?
設定-開發者選項-不保留活動(離開后立即清除每個活動)/限制后臺進程(標準限制/無后臺程序/最多1個程序/最多2個程序/最多3個程序/最多4個程序)。若系統自動隱藏了開發者選項,此功能僅適用于開發人員測試使用,所以將該菜單隱藏,避免用戶造成誤操作而帶來使用上的不便,請諒解。如需開啟,方式:
功能表-設定-更多(右上方)-關于設備-內部版本號7次連續點擊-會提示開發者模式已啟用,返回上一級菜單即可看到開發者選項。
下文章來源于一口LINUX
我是程序員小賤
從面試出發,解剖各個知識點,讓我們向上成長!這里除了學習,還有音樂,生活攝影,籃球等,期待你的加入!
本文將從以下幾個方面進行分享。其中包括HTTP發展史,HTTP緩存代理機制,常用的web攻擊,HTTP和HTTPS的流量識別,網絡協議學習的工具推薦以及高頻HTTP與HTTPS的高頻面試題題解等,開工。
提綱
1989年,蒂姆·伯納斯 - 李(Tim Berners-Lee)在論文中提出可以在互聯網上構建超鏈接文檔,并提出了三點.
URI:統一資源標識符。互聯網的唯一ID
HTML:超文本文檔
HTTP:傳輸超文本的文本傳輸協議
學習一門知識,采用五分鐘時間看看這個知識是干啥的可能會更加有目的性。HTTP可謂無處不在,這里例舉出幾個。
HTTP應用場景
HTTP(hypertext transport protocol)翻譯過來為"超文本傳輸協議",文本可以理解為簡單的字符文字組合,也可以理解為更為復雜的音頻或者圖像等。那么將這個詞語拆分為三個部分。
超文本傳輸協議
"超文本"和"文本"相比多了一個字"超",這樣看來比文本豐富,因為它可以將多種文本/圖像等進行混合,更重要的是可以從一個文本跳轉到另一個文本(文本連接)。
"傳輸",傳輸的過程中需要溝通,溝通即可能一對一溝通也可能一對多溝通(進行內容協商),無論怎么樣,參加溝通的人數>1,想盡一切一切辦法更快更好的完成相應的任務。
"協議",無規矩不成方圓,做機密項目之前需要簽署保密協議,找工作要簽"三方協議",三方協議是學校,公司,和個人組成的協議,都是為了讓大家受一定的約束,違反了即有相應的懲罰。
三方協議
HTTP/0.9
當時網絡資源匱乏,0.9版本相對簡單,采用純文本格式,且設置為只讀,所以當時只能使用"Get"的方式從服務器獲得HTML文檔,響應以后則關閉。如下圖所示
GET /Mysite.html
響應中只包含了文檔本身。響應內容無響應頭,無錯誤碼,無狀態碼,可以說是"裸奔"。
<HTML>
Hello world
</HTML>
HTTP/1.0
此時HTTP/0.9請求過程如下
HTTP 0.9
HTTP1.0
隨著時代的進步,僅僅文本的傳輸無法滿足需求,更多情況需要采用圖文的方式才能生動的表達出自己的觀點。隨著1995年開發出Apache,同時其他的多媒體等技術發展迅速,從而進一步的促使HTTP新功能的出現。HTTP1.0在1996年誕生,增加了一下幾個方面:
典型的請求過程
GET /image.html HTTP/1.0
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64)
200 OK
Date: Tue, 17 Nov 2020 09:15:31 GMT
Content-Type: text/html
<HTML>
一個包含圖片的頁面
<IMG SRC="/image.gif">
</HTML>
HTTP1.0通信過程
HTTP1.0
HTTP /1.1
1995年是不平凡的一年,網景公司和微軟開啟瀏覽器大戰,誰都想當老大。1999年HTTP/1.1發布并成為標準,寫入RFC,以為以后不管是網關還是APP等,只要你要使用HTTP,就得遵守這個標準。
隨著文件越來越大,圖片等信息越來越復雜,如果每一次上傳下載文件都需要建立連接斷開連接的過程將增加大量的開銷。為此,提出了持久連接,也就是一次TCP連接可以具有多個HTTP請求。當然持久連接是可選擇的,如果考慮關閉,只需要使用Connecttion:close關閉即可。長連接如下圖所示
長連接
我們知道,在電商系統中,經常會因為促銷活動導致流量飆升,為了緩解流量,其中有種方法即加緩存或者加服務器。如果是單臺服務器負載過大,數據庫可能分庫分表。數據結構算法中分而治之方法亦是如此。那么HTTP中,同樣的道理,如果文件太大,就大文件切分為小文件塊發送。
HTTP /2
HTTP/1.1的出現,幾年間出來大量牛掰的互聯網公司,發展實在是太快,但是HTTP1.1中這幾點成為詬病
顧名思義,"慢啟動"從0到1循循漸進。轎車啟動不會按下按鈕就直接起飛,而是緩慢調節到適合的速度。這不是挺好的?為什么會帶來性能問題呢。我們知道一個頁面有靜態數據,動態頁面,很多小文件在加載的過程中就會直接發起請求,這樣導致太多的請求都會經歷慢啟動過程,花費時間太多。
帶寬固定,多條TCP連接同時發起競爭帶寬資源,由于各個TCP連接之間沒有通信機制,也無法得知哪些資源優先級更高,從而導致想快速下載的資源反而延遲下載。
阻塞,在網絡編程中,我們采用異步,多路復用(epoll)方式盡量讓cpu少等待多干事。在HTTP1.1中,雖然大家共用了一條TCP通道,但是第一個請求沒有結束,第二請求就可能阻塞等待,也就是說不能同時發送接收數據。那么一個網頁很多數據文件,如果能夠同時發出請求,讓部分數據文件能夠得到響應并預處理,這樣就大大的利用了帶寬和cpu的資源。基于這些因素,在HTTP2中出現了新的方案
如何解決頭部阻塞呢?
HTTP是一問一答的模式,大家都在這個隊列排隊導致堵塞,那就多個隊列并發進行,也就是"對同一個域名發起多個長連接"。舉個例子,在火車站排隊買票的時候,如果只有一個窗口可用,大家只能苦等,多開幾個窗口就可緩解這個問題。
這個時候用戶數 * 并發數(上限6-8)已經不錯得效果,但是互聯網速度太快,火車站就這么大,窗口也就這么多,怎么辦,建新的火車站進行分流(大部分城市都有什么東站 西站)。在這里叫做"域名分片",使用多個域名,這些域名指向同一服務器。
HTTP/3
HTTP/2看似很完美了吧,但是Google輪子哥可不服,其他人在研究HTTP/2的時候,它們就在琢磨QUIC。那QUIC有啥牛掰的地方呢
QUIC是Google開發的一個基于UDP且能像TCP一樣具有可靠性特點的協議。具備像HTTP/2一樣的應用數據二進制分幀傳輸。其主要解決的問題有兩個。
客戶端與服務端進行交互的信息為報文。客戶端為請求報文,服務端為響應報文。我們先用wireshark抓一個博客看看
報文層次結構
GET /article/12 HTTP/1.1
Host: www.xxx.cn
Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.106 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: SESSION=so9nlsvenminor5abs65sh9dsa
HTTP/1.1 200 OK
Server: nginx
Date: Sun, 17 May 2020 17:04:29 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
Vary: Accept-Encoding
X-Powered-By: blade-2.0.6-BETA
Content-Encoding: gzip
請求報文
請求報文
請求報文通常由三部分組成:
起始行:描述請求或者響應的基本信息
頭部字段集合:key-value形式說明報文
消息正文:實際傳輸諸如圖片等信息。具體如下圖試試
1 請求方法:一共有八種方法選擇,如下圖所示。采用不同的方法獲取不同的資源
HTTP請求方法詳解
說一下非常常見的幾種請求方法
Get:從服務器中取資源。可以請求圖片,視頻等
HEAD:和Get類似,但是從服務器請求的資源不會返回請求的實體數據,只會返回響應頭
POST/PUT:對應于GET,向服務器發送數據
2 URI
統一資源標識符(Uniform Resource Identifier),嚴格來說不等于網址,它包含URL和URN,可是URL太出名了以致于URL="網址"。無論開發,測試運維配置都離不開URI,所以好好掌握。
網絡層的IP主要目的是解決路由和尋址。現在的IP地址按照"."分割,總共2的32次方大約42億。對于計算機來說比較方便,但是對于人類來說還是不容易記憶,此時出現DNS了,他把IP地址映射為我們平時常見的"redis.org",按照"."分割域名,從左到右級別越高,最右邊為"頂級域名"。如下圖所示
域名體系
好了,現在TCP提供可靠(數據不丟失)且字節流(數據完整性),而且也有方便我們記憶的域名,但是互聯網資源千萬種,也不知道訪問什么(圖片,文字,視頻一大堆),這個時候URI(統一資源標識符)出現了,那長啥樣?
URI格式
協議名:HTTP協議,另外還有ftp等協議。告知訪問資源時使用什么協議。
緊接著是分隔符:"://"
主機名:標記互聯網主機,可以是IP也可以是域名,如果不寫端口則使用默認端口,例如HTTP為80,HTTPS為443.
登錄認證信息:登錄主機時的用戶名密碼(不建議,直接告訴了別人你的隱私信息)
主機名:此處可以是域名也可以是IP,如果不寫端口號則是默認端口。比如HTTP默認端口為80,HTTPS默認端口為443
資源所在位置:資源在主機上的位置,使用“/”分隔多級目錄,在這里是“/en/download.html”。注意,必須"/"開頭
參數:用"?"開始,表示額外的請求要求。通常使用"key=value"的方式存在,如果多個"key=value"則使用"&"相連。
看幾個例子
http://nginx.org/en/download.html
file:///E:/Demo/index/
這里注意是三個"///",因為前面"://"作為分隔符,資源路徑按照"/"開頭。
既然規則這么多,對于接收方而言需要完成的解析也需要遵守規則,全球用戶很多使用HTTP,每個國家地區所使用語言不同,HTTP為了能對其進行統一處理,引入了URI編碼,方法比較簡單,將非ASCII或者特殊字符全部轉換為十六進制字節值,同時在前面加入"%"。比如空格被轉換為"%20","中國"就編碼為"%E4%B8%AD%E5%9B%BD%0A"。
3 請求體
響應報文
響應報文
狀態行----服務器響應的狀態
<1> 版本號:使用的HTTP什么版本
<2> 狀態碼:不同數字代表不同的結果,就如我們在編碼時,通過返回不同的值代表不同的語義。
狀態碼一共分為5類。
1××:處于中間狀態,還需后續操作
2××:成功收到報文并正確處理
"200 OK"
最常見的成功狀態碼,表示一切正常,客戶端獲得期許的處理結果。如果不是Head請求,那么在響應頭中通常會有body數據。
"204 No Content"
這個的含義和"200"很相似,不同之處在于它的響應頭中沒有body數據。
"206 Partial Content"
是 HTTP 分塊下載或斷點續傳的基礎,在客戶端發送“范圍請求”、要求獲取資源的部分數據時出現,它與 200 一樣,也是服務器成功處理了請求,但 body 里的數據不是資源的全部,而是其中的一部分。狀態碼 206 通常還會伴隨著頭字段“Content-Range”,表示響應報文里 body 數據的具體范圍,供客戶端確認,例如“Content-Range: bytes 0-99/5000”,意思是此次獲取的是總計 5000 個字節的前 100 個字節。
3××:重定向到其他資源位置
"301 Moved Permanently"
“永久重定向”,意思是本地請求的資源以及不存在,使用新的URI再次訪問。
“302 Found”
“Moved Temporarily”,“臨時重定向”,臨時則所請求的資源暫時還在,但是目前需要用另一個URI訪問。
301 和 302 通過在字段Location中表明需要跳轉的URI。兩者最大的不同在于一個是臨時改變,一個是永久改變。舉個例子,有時候需要將網站全部升級為HTTPS,這種永久性改變就需要配置永久的"301"。有時候晚上更新系統,系統暫時不可用,可以配置"302"臨時訪問,此時不會做緩存優化,第二天還會訪問原來的地址。
“304 Not Modified”
運用于緩存控制。它用于 If-Modified-Since 等條件請求,表示資源未修改,可以理解成“重定向已到緩存的文件”(即“緩存重定向”)。
4××:請求報文有誤,服務器無法處理
"400 Bad Request”
通用錯誤碼,表示請求報文有錯誤,但是這個錯誤過于籠統。不知道是客戶端還是哪里的錯誤,所以在實際應用中,通常會返回含有明確含義的狀態碼。
“403 Forbidden”
注意了,這一個是表示服務器禁止訪問資源。原因比如涉及到敏感詞匯、法律禁止等。當然,如果能讓客戶端有一個清晰的認識,可以考慮說明拒絕的原因并返回即可。
“404 Not Found”
這可能是我們都知道且都不想看到的狀態碼之一,它的本意是想要的資源在本地未找到從而無法提供給服務端,但是現在,只要服務器"耍脾氣"就會給你返回 404,而我們也無從得知后面到底是真的未找到,還是有什么別的原因,
"405 Method Not Allowed"
獲取資源的方法好幾種,我們可以對某些方法進行限制。例如不允許 POST 只能 GET;
"406 Not Acceptable"
客戶端資源無法滿足客戶端請求的條件,例如請求需要中文但只有英文;
"408 Request Timeout"
請求超時,服務器等待了過長的時間;
"409 Conflict":
多個請求發生了沖突,可以理解為多線程并發時的競態;
413 Request Entity Too Large:
請求報文里的 body 太大;
414 Request-URI Too Long:請求行里的 URI 太大;
429 Too Many Requests:客戶端發送了太多的請求,
通常是由于服務器的限連策略;
431 Request Header Fields Too Large:請求頭某個字
段或總體太大;
5××:服務器錯誤,服務器對請求出的時候發生內部錯誤。
“500 Internal Server Error”
和400 類似,屬于一個通用的錯誤碼,但是服務器到底是什么錯誤我們不得而知。其實這是好事,盡量少的將服務器資源暴露外網,盡量保證服務器的安全。
“502 Bad Gateway”
通常是服務器作為網關或者代理時返回的錯誤碼,表示服務器自身工作正常,訪問后端服務器時發生了錯誤,但具體的錯誤原因也是不知道的。
“503 Service Unavailable”
表示服務器當前很忙,暫時無法響應服務,我們上網時有時候遇到的“網絡服務正忙,請稍后重試”的提示信息就是狀態碼 503。
503 是一個“臨時”的狀態,
暫時比較忙,稍后提供服務。在響應報文中的“Retry-After”字段,指示客戶端可以在多久以后再次嘗試發送請求。
4 請求體
上面大部分都是涉及到header部分,還有非常重要的body,everybody
頭字段注意事項
<1> 字段名不區分大小寫,例如“Host”也可以寫成“host”,但首字母大寫的可讀性更好;
<2> 字段名里不允許出現空格,可以使用連字符“-”,但不能使用下劃線"_"。例如,“test-name”是合法的字段名,而“test name”“test_name”是不正確的字段名;
<3> 字段名后面必須緊接著“:”,不能有空格,而":"后的字段值前可以有多個空格;
<4> 字段的順序是沒有意義的,可以任意排列不影響語義;
<5> 字段原則上不能重復,除非這個字段本身的語義允許,例如 Set-Cookie。
HTTP的body常常被分為這幾種的類別
<1> text:超文本text/html,純文本text/plain
<2> audio/video:音視頻數據
<3> application: 可能是文本,也可能是二進制,交給上層應用處理
<4> image: 圖像文件。image/png等
但是帶寬一定,數據大了通常考慮使用壓縮算法進行壓縮,在HTTP中使用Encoding type表示,常用的壓縮方式有下面幾種
<1> gzip:
一種數據格式,默認且目前僅使用deflate算法壓縮data部分
<2> deflate:
deflate是一種壓縮算法,是huffman編碼的一種加強
<3> br:
br通過變種的LZ77算法、Huffman編碼以及二階文本建模等方式進行數據壓縮,其他壓縮算法相比,它有著更高的壓塑壓縮效率
使用相應的壓縮方法在帶寬一定的情況下確實有不錯的效果,但是gzip等主要針對文件壓縮效果不錯,但是對視頻就不行了。這個時候是不是可以使用數據結構中常用的分而治之,大化小再合并的方式呢,
文件拆分
ok,在報文中使用"Transer-Encoding:chunked"表示,代表body部分數據是分塊傳輸的。另外在body中存在一個content-length字段表示body的長度,兩者不能共存,另外很多時候是流式數據,body中沒有指明content-length,這個時候一般就是chunked傳輸了。
現在可以通過采用分塊的方式增強帶寬的利用率,那他的編碼規則如何呢
<1> 每一個分塊包含長度和數據塊
<2> 長度頭按照CRLF結束
<3> 數據塊在長度快后,且最后CRLF結尾
<4> 使用長度0表示結束,"0\r\n\r\n"
我們還是看圖加深印象
chunked分塊
分塊解決了咋們一部分問題,但是有的時候我們想截斷發送怎么辦呢。在HTTP中提供了使用字段“Accept - Ranges: bytes”,明確告知客戶端:“我是支持范圍請求的”。那么Range范圍是怎樣的呢,Range從0開始計算,比如Range:0-5則讀取前6個字節,服務器收到了這個請求,將如何回應呢
<1> 合法性檢查。比如一共只有20字節,但是請求range:100-200。此時會返回416----"范圍請求有誤"
<2> 范圍正常,則返回216,表示請求數據知識一部分
<3> 服務器端在相應投資端增加Content-Range,格式"bytes x-y/length"。
敲黑板:斷點續傳怎么操作?
<1> 查看服務器是否支持范圍請求并記錄文件大小
<2> 多個線程分別負責不同的range
<3> 下載同時記錄進度,即使因為網絡等原因中斷也沒事,Range請求剩余即可
現在我們通過MIME-TYPE和Encoding-type可以知道body部分的類型,下一步將是對內容進行協商。HTTP中,請求體中使用Accept告訴服務端需要什么類型數據(我能處理哪些類型數據),響應頭中使用Content表明發送了什么類型數據,具體如下圖所示
好了,為了各個國家民族順利友好的溝通和明確的區分。HTTP請求頭中使用"type-subtype",注意此時分隔符是"-"。比如en-GB表示英式英語,zh-CN表示常用的漢語,那對于客戶端而言,它通過Accept-Language來標記自己可以理解的自然語言,對應的服務端使用Content-Language表明實體數據使用的語言類型,如下圖所示。
字符集和編碼
Cookie機制
HTTP是無狀態、無記憶的,Cookie機制的出現讓其有記憶功能,是怎么個實現呢
Cookie
從上圖我們可以知道Cookie是由瀏覽器負責存儲,并不是操作系統負責,我們換個瀏覽器打開同樣的網頁,服務就認不出來了。
Cookie常見的應用一個是身份識別,一個是廣告追蹤,比如我們在訪問網頁視頻或者圖片的時候,廣告商會悄悄給我們Cookie打上標記,方便做關聯分析和行為分析,從而給我推薦一些相關內容。
HTTP代理
之前介紹的都是一問一答的情景,但是在大部分的情況下都會存在多臺服務器進行通信服務。其中比較常見的就是在請求方與應答方中間增加一個中間代理。
代理
代理作為中間位置,相對請求方為服務端,相當于后端服務端為請求方。代理常見的功能為負載均衡。在負載均衡中需要區分正向代理與反向代理,其中也就會涉及調度算法,比如輪詢,一致性哈希等。
正向代理與反向代理
那么問題來了,代理作為隱藏身份,相當于隱藏了真實的客戶端與服務端,那在是不是
好人占多數,壞人也不少。總有些要搞壞事,因為HTTP是明文,所以需要想辦法保護明文,從而出現了https。
安全是什么
安全四要素
機密性
對信息進行保密,只能可信的人可以訪問(讓我想起時間管理者)。
完整性
數據在傳輸過程中內容不被"篡改"。雖然機密性對數據進行保密了,但是有上策也有下策(hack)
身份認證
證明自己的身份是本人,保證其消息發給可信的人
不可否認
君子一言駟馬難追,說話算數,說過的話做過的事要有所保證
HTTPS
HTTP和HTTPS
從上圖我們知道HTTPS無非是在傳輸層和應用層中間加了一層TLS,正是TLS緊跟當代密碼學的步伐,盡全力的保障用戶的安全。老規矩,我們用wireshark看看長什么樣子。
TLS
可以看出在交互的過程中多了不少新東西,了解TLS,TLS由SSL握手協議,SSL修改密碼規范協議,SSL警報協議,SSL記錄協議組成。
TLS組成
SSL握手協議:
相對于三次握手
記錄協議
記錄為TLS發送接收數據的基本單位。它的自協議需要通過記錄協議發出。如果多個紀錄數據則可以一個TCP包一次性發出。
警報協議
類似HTTP狀態碼,通過反饋不同的消息進行不同的策略。
變更密碼規范協議
告訴對方,從此刻開始,后續的數據將使用加密算法進行加密再傳輸。
對稱加密與非對稱加密
對稱加密
對稱加密,顧名思義,加密方與解密方使用同一鑰匙(秘鑰)。具體一些就是,發送方通過使用相應的加密算法和秘鑰,對將要發送的信息進行加密;對于接收方而言,使用解密算法和相同的秘鑰解鎖信息,從而有能力閱讀信息。
對稱加密
非對稱加密
在對稱加密中,發送方與接收方使用相同的秘鑰。那么在非對稱加密中則是發送方與接收方使用的不同的秘鑰。其主要解決的問題是防止在秘鑰協商的過程中發生泄漏。比如在對稱加密中,小藍將需要發送的消息加密,然后告訴你密碼是123balala,ok,對于其他人而言,很容易就能劫持到密碼是123balala。那么在非對稱的情況下,小藍告訴所有人密碼是123balala,對于中間人而言,拿到也沒用,因為沒有私鑰。所以,非對稱密鑰其實主要解決了密鑰分發的難題。如下圖
非對稱加密
其實我們經常都在使用非對稱加密,比如使用多臺服務器搭建大數據平臺hadoop,為了方便多臺機器設置免密登錄,是不是就會涉及到秘鑰分發。再比如搭建docker集群也會使用相關非對稱加密算法。
混合加密
非對稱加密算法,大多數是從數學問題演變而來,運算速度較慢。混合加密所謂取長補短。通信過程中使用RSA等解決密鑰交換問題,然后使用隨機數產生的在對稱算法中的會話密鑰,最后使用加密。對方使用私鑰解密得到的密文取出會話秘鑰,這樣就實現了密鑰交換。
混合加密
通過混淆加密等方式完成了機密性任務,作為Hack只需要偽造發布公鑰或者作為之間人竊聽密文。但是我們知道安全是四要素,還需要保證數據的完整性,身份認證等。
摘要
摘要算法可以理解為一種特殊的"單向"加密算法,無密鑰,不可逆。在平時項目中,應該大家都是用過MD5,SHA-1。但是在TLS中使用SHA-2。
假設小A轉賬5000給小C,小A加上SHA-2摘要。網站計算摘要并對比,如果一致則完整可信。
摘要可信
此時小B想修改小A給的money,這個時候網站計算摘要就會發現不一樣,不可信
摘要不可信
HTTPS請求建立連接過程
HTTP握手過程
注意:
根據wireshak結果,對TLS進一步剖析。TCP三次握手建立連接,作為禮貌,Client先打招呼"Client Hello"。里面包含了Client的版本號、所支持的密碼套件和隨機數,如下圖所示
Client Hello
Server端表示尊重,回復"Server Hello",同時進行版本校對,給出隨機數(Server Random),從Client算法列表中選擇一個密碼套件,在這里選擇的"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"。
cipher Suite
這里的"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"什么意思呢
密碼套件選擇橢圓曲線加RSA、AES、SHA256
雙方通過證書驗證身份。因為本機服務器選用了ECDHE算法,為了實現密鑰交換算法,它會發送證書后把橢圓曲線的公鑰(Server Params)連帶"Server Key Exchange"消息發送出去。
Server Key Exchange
意思是,剛才混合加密套件比較復雜,給你個算法參數,好好記住,別弄丟了。
ServerHelloDone
隨后服務端回復"hello done"告知打招呼完畢
打完招呼完畢后,客戶端對證書進行核實。然后根據密碼套件也生成橢圓曲線的公鑰,用"Client Key Exchange"消息發給服務器
Client Key Exchange
此時客戶端和服務端都有了密鑰交換的兩個參數(Client Params、ServerParams),然后通過 ECDHE 算法算出了一個新的值,叫“Pre-Master”
有了主密鑰和會話密鑰,客戶端發送“Change Cipher Spec”和“Finished”消息,最后將所有消息加上摘要發送給服務器驗證。
服務器同樣發送“Change Cipher Spec”和“Finished”消息,握手結束,開始進行HTTP請求與響應
4 初探域名
我們知道域名的出現讓我們更容易記憶,按照"."分割,越靠近右邊級別越高。域名本質是一個名字空間系統,采用多級域名的方式區分不同的國家,公司等,作為一種身份的標識。
根域名服務器(Root DNS Server):管理頂級域名服務器,返回“com”“net”“cn”等頂級域名服務器的 IP 地址;
頂級域名服務器(Top-level DNS Server):管理各自域名下的權威域名服務器,比如
com 頂級域名服務器可以返回 apple.com 域名服務器的 IP 地址;
權威域名服務器(Authoritative DNS Server):管理自己域名下主機的 IP 地址,比如apple.com 權威域名服務器可以返回 www.apple.com 的 IP 地址**
寫到這里,說它簡單是假的,簡單的東西通常更具有擴展的可能性。根據需求的變更,越來越復雜。
1:靈活且易擴展,他的頭部字段很多都是可定制且可擴展
2:應用廣泛。各個領域都有涉及。"跨平臺,跨語言"
3:無狀態。沒有記憶功能,少功能即少占用資源。另外無狀態更容易搭建集群,通過負載均衡將請求轉發到任意一臺服務器。缺點是無法支持需要連續步驟的"事務"操作。我們知道TCP協議有11種狀態,不同狀態代表通信過程中不同的含義。同樣操作系統中的進程也有執行,就緒,活動阻塞等多種狀態。但是HTTP全程都是"懵逼"無狀態。比如小華請求服務器獲取視頻X,服務器覺得可行就發給小華。小華還想獲取視頻Y,這時服務器不會記錄之前的狀態,也就不知道這兩個請求是否是同一個,所以小華還得告訴服務器自己的身份。
4:明文。優點是能讓開發人員通過wireshark工具更直觀的調試。缺點即裸奔互聯網,沒隱私可言。
5:可靠傳輸。HTTP為應用層協議,基于TCP/IP,而TCP為“可靠”傳輸協議,因此HTTP能在請求應答中"可靠"傳輸數據。
6:應用層協議。應用層協議很多,其中常用的郵件協議SMTP,上傳下載文件ftp,默認端口22/23,SSH遠程登錄(XSHELL)。這些應用層協議都太專一,而HTTP通過各種頭部字段,實體數據的組合,并綜合緩存代理等功能,不得不說是網絡中的冠希哥。
這里說的識別,通過代碼層面(libpcap封裝)實現HTTP的識別,也能進一步體現TCP/IP協議棧的分層特性。先看回憶一下IP頭部格式。
IP頭部
注意頭部中的協議字段,如果此字段值為0x0600則為TCP分組。當知道了是TCP分組后,是不是可以通過TCP頭部中端口(80)就可以判斷為HTTP呢,不能的,很多情況都會使用動態端口的方式進行部署。此時可以通過HTTP中的關鍵字進行判斷。如果為HTTP,再通過頭部字段中的"Content-type",charset等確認文本信息,編碼方式,最后采用解碼算法進行還原。
方法一也是比較直接的方法是直接通過抓包工具,插件配置即可。這里想給大家分享另一種思路和在Linux持續捕包的方法。
使用python的dpkt庫(pip install dpkt即可),dpkt庫方便對每一層協議進行拆解,同時也能進行流的拆分以及特征的提取。下面舉一個通過無頭瀏覽的方式自動化采集流量(ps如果需要較大規模的流量采集則可以考慮使用docker集群的方式)
Read_pcap
SVM
識別結果
希望大家看完本文,下面的這些面試是不是可以秒殺了
RPC既可以基于TCP也可以基于HTTP協議,但是HTTP通常都是基于HTTP
RPC可以基于thrift實現高效二進制傳輸。HTTP大部分通過json實現,無論從字節大小還是序列化耗時都比t'hrift耗時
RPC基本上自帶負載均衡策略,而HTTP需要配置Nginx實現。
*請認真填寫需求信息,我們會在24小時內與您取得聯系。
