关于攻击https网站的信息

网站换https了以后，能有效防止cc攻击吗

HTTPS无法防御cc攻击。HTTPS协议的安全是有范围的，在黑客攻击、拒绝服务攻击和服务器劫持等方面几乎起不到什么作用。

总结来说，HTTPS的改进点在于创造性的使用了非对称加密算法，在不安全的网路上，安全的传输了用来进行非对称加密的密钥，综合利用了非对称加密的安全性和对称加密的快速性。

扩展资料

HTTPS 原理

1、客户端将它所支持的算法列表和一个用作产生密钥的随机数发送给服务器；

2、 服务器从算法列表中选择一种加密算法，并将它和一份包含服务器公用密钥的证书发送给客户端；该证书还包含了用于认证目的的服务器标识，服务器同时还提供了一个用作产生密钥的随机数；

3、 客户端对服务器的证书进行验证，并抽取服务器的公用密钥；然后，再产生一个称作 pre_master_secret 的随机密码串，并使用服务器的公用密钥对其进行加密，并将加密后的信息发送给服务器；

4、 客户端与服务器端根据 pre_master_secret 以及客户端与服务器的随机数值独立计算出加密和 MAC密钥；

5、客户端将所有握手消息的 MAC 值发送给服务器；

6、服务器将所有握手消息的 MAC 值发送给客户端。

HTTPS/TLS是否可以防重放攻击?

tls具有防重放攻击机制。加密，时间戳，每个包要有包序号，每次同向加1，收到重复序号认为是攻击，可以抵御重放攻击。此外借助于HTTPS/TLS其自身机制，保证了消息完整性，并且可以抵御重放攻击。由于加密，对方也无法看到明文内容。

即使无法获取到后台登录信息, 攻击者也可以从 *** 中获取普通用户的隐秘信息, 包括手机号码, 身份证号码, 信用卡号等重要资料, 导致严重的安全事故。进行 *** 嗅探攻击非常简单, 对攻击者的要求很低。使用 *** 发布的任意一款抓包工具, 一个新手就有可能获取到大型网站的用户信息。

HTTP的缺点：

HTTP虽然使用极为广泛, 但是却存在不小的安全缺陷, 主要是其数据的明文传送和消息完整性检测的缺乏, 而这两点恰好是 *** 支付,  *** 交易等新兴应用中安全方面最需要关注的。

关于 HTTP的明文数据传输, 攻击者最常用的攻击手法就是 *** 嗅探, 试图从传输过程当中分析出敏感的数据, 例如管理员对 Web 程序后台的登录过程等等, 从而获取网站管理权限, 进而渗透到整个服务器的权限。

路由器被ssl中间人攻击怎么办

解析最厉害的中间人攻击方式之SSL欺骗

导言

在本文中，我们将研究SSL欺骗，这也是最厉害的中间人攻击方式，因为SSL欺骗可以通过利用人们信赖的服务来发动攻击。首先我们先讨论SSL连接的理论及其安全性问题，然后看看SSL连接如何被利用来发动攻击，最后与大家分享关于SSL欺骗的检测以及防御技巧。

SSL和HTTPS

安 *** 接字层(SSL)或者传输层安全(TLS)旨在通过加密方式为 *** 通信提供安全保障，这种协议通常与其他协议结合使用以确保协议提供服务的安全部署，例如包括 *** TPS、IMAPS和最常见的HTTPS，最终目的在于在不安全 *** 创建安全通道。

在本文中，我们将重点探讨通过HTTP(即HTTPS)对SSL的攻击，因为这是SSL最常用的形式。可能你还没有意识到，你每天都在使用HTTPS。大多数主流电子邮件服务和网上银行程序都是依靠HTTPS来确保用户浏览器和服务器之间的安全通信。如果没有HTTPS技术，任何人使用数据包嗅探器都能窃取用户 *** 中的用户名、密码和其他隐藏信息。

使用HTTPS技术是为了确保服务器、客户和可信任第三方之间数据通信的安全。例如，假设一个用户试图连接到Gmail电子邮箱账户，这就涉及到几个不同的步骤，如图1所示。

图1： HTTPS通信过程

图1显示的过程并不是特别详细，只是描述了下列几个基本过程：

1. 客户端浏览器使用HTTP连接到端口80的

2. 服务器试用HTTP代码302重定向客户端HTTPS版本的这个网站

3. 客户端连接到端口443的网站

4. 服务器向客户端提供包含其电子签名的证书，该证书用于验证网址

5. 客户端获取该证书，并根据信任证书颁发机构列表来验证该证书

6. 加密通信建立

如果证书验证过程失败的话，则意味着无法验证网址的真实度。这样的话，用户将会看到页面显示证书验证错误，或者他们也可以选择冒着危险继续访问网站，因为他们访问的网站可能是欺诈网站。

HTTPS被攻破

这个过程一直被认为是非常安全的，直到几年前，某攻击者成功对这种通信过程进行劫持，这个过程并不涉及攻击SSL本身，而是对非加密通信和加密通信间的“网桥”的攻击。

知名安全研究人员Moxie Marlinspike推测，在大多数情况下，SSL从未直接遭遇威胁问题。SSL连接通常是通过HTTPS发起的，因为用户通过HTTP302响应代码被定位到HTTPS或者他们点击连接将其定位到一个HTTPS站点，例如登录按钮。这就是说，如果攻击者攻击从非安全连接到安全连接的通信，即从HTTP到HTTPS，则实际上攻击的是这个“网桥”，SSL连接还未发生时的中间人攻击。为了有效说明这个概念，Moxie开发了SSLstrip工具，也就是我们下面将要使用的工具。

这个过程非常简单，与我们前面文章所提到的攻击有所类似，如图2所示。

图2：劫持HTTPS通信

图2中描述的过程如下：

1. 客户端与web服务器间的流量被拦截

2. 当遇到HTTPS URS时，sslstrip使用HTTP链接替换它，并保存了这种变化的映射

3. 攻击机模拟客户端向服务器提供证书

4. 从安全网站收到流量提供给客户端

这个过程进展很顺利，服务器认为其仍然在接收SSL流量，服务器无法辨别任何改变。用户可以感觉到唯一不同的是，浏览器中不会标记HTTPS，所以某些用户还是能够看出不对劲。

使用SSLStrip

实现这个过程是使用SSLstrip工具。这个工具只能在Linux运行，大家也可以下载运行Backtrack 4。

安装好SSLstrip后，有几个必须做的事情。首先，你使用的Linux系统必须被配置为IP转发，实现这个配置，需要输入命令echo "1" /proc/sys/net/ipv4/ip_forward，如下图所示。

图3：启用IP转发

完成上述操作后，我们必须强制将所有被拦截的HTTP流量路由到SSLstrip将会监听的端口，这通过修改iptables防火墙配置来实现，使用命令iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 如下图所示。

图4：配置IPTables来正确路由HTTP流量

当然，你需要使用你选择的随机端口来替换，当完成这些配置后，我们就可以运行sslstrip，并将其配置为监听由命令sslstrip -l 指定的端口了。

图5：使用sslstrip

这个过程的最后步骤就是配置ARP欺骗来拦截目标主机的流量，在前面的文章中我们使用的是windows中的Cain和Abel来实现，但是在这篇文章中，我们将使用arpspoof工具，该工具是内置在Backtrack 4，使用命令arpspoof -i -t 。

图6：配置ARP欺骗

使用这个命令会将为目标客户端的IP地址执行这些行动的 *** 接口替换为，而将目标使用的网关路由器的IP地址替换为

完成上述操作后，你就可以主动劫持任何建立的SSL连接。你可以使用数据包器从流量来收集密码、个人身份信息、信用卡号码等。

如何抵御SSL劫持攻击

如上所述，这种方式的SSL劫持根本无法从服务器端检测出来，因为在服务器开来，这只是与客户端的正常通信，它无法辨识是从 *** 来与客户端通信。不过我们还是可以从客户端的角度来检测和抵御这种类型的攻击。

使用HTTPS确保安全连接- 当你执行上诉描述的攻击时，攻击破坏了连接的安全性，这种安全性在浏览器中有所反映。这意味着如果你登录网上银行时，发现只是标准的HTTP连接，那么很有可能正受到攻击。不管你使用何种浏览器，你都要确保你知道如何识别安全连接与不安全连接。

将网上银行保存为主页-攻击者拦截家庭 *** 比拦截工作 *** 的可能性更低，这并不是因为家庭电脑更加安全(实际上，家庭电脑更加不安全)，而是因为家庭 *** 中往往只有一两台电脑，除非家庭成员发动内部攻击。在公司 *** 中，你无法知晓 *** 情况或者分公司 *** 情况，所以潜在攻击源更多。会话劫持更大的目标之一就是网上银行，但是其他任何个人信息都有可能被劫持。

确保内部机器的安全 - 这种类型的攻击大多数都是从 *** 内部发动攻击的，如果你的 *** 设备很安全，那么那些被感染主机被利用发动会话劫持攻击的可能性就很小。

总结

这种类型的中间人攻击形式是最致命的攻击形式，因为这种攻击将我们认为安全的连接变成完全不安全的连接。我们每天访问的网站都不一定安全，如果这些 *** 连接是不安全的，将会使重要个人信息落入他人之手。因此，我们必须具备识别安全连接和不安全连接的能力。

https可以过滤一部分DDoS攻击吗

首先你要了解什么是https，我给你一段解释：

HTTPS，是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL

网站实现Https访问能有效避免流量劫持，但前提是必须用受信任SSL证书。不同于简单的Http *** ，HTTPS 服务需要权威CA机构(如 沃通CA )颁发的SSL证书才算有效。自签证书浏览器不认，而且会给予严重的警告提示。而遇到“此网站安全证书存在问题”的警告时，大多用户不明白是什么情况，就点了继续，导致允许了不发份子的伪证书，不受信任的HTTPS 流量因此遭到劫持。

但是，https并不能防DDOS攻击，DDOS攻击是：

分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。

说白了，DDOS就是流量型的攻击，我再业举一个类比，让你更形象的知道DDOS攻击是什么：

某饭店可以容纳100人同时就餐，某日有个商家恶意竞争，雇佣了200人来这个饭店坐着不吃不喝，导致饭店满满当当无法正常营业。（DDOS攻击成功）

老板当即大怒，派人把不吃不喝影响正常营业的人全都轰了出去，且不再让他们进来捣乱，饭店恢复了正常营业。（添加规则和黑名单进行DDOS防御，防御成功）

主动攻击的商家心存不满，这次请了五千人逐批次来捣乱，导致该饭店再次无法正常营业。（增加DDOS流量，改变攻击方式）

饭店把那些捣乱的人轰出去只后，另一批接踵而来。此时老板将饭店营业规模扩大，该饭店可同时容纳1万人就餐，5000人同时来捣乱饭店营业也不会受到影响。（增加硬防与其抗衡）

怎么防御DDOS攻击

1、增加带宽。不现实，成本太高；

2、使用高防服务器，很好解决。如果没有使用高防服务器，请看第3点；

3、接入加速乐CDN，隐藏你的服务器真实IP，然后使用抗D宝，抵御DDOS攻击。

以上 *** 可以解决你的疑问和DDOS攻击哦！