下午在谈交易类服务的时候,除了证书做数字签名以外,也谈到了重放攻击的问题。
对于重放攻击可以通过序列号的方式来判断。
序列号从颁发角度分成:1.服务调用者自身颁发。2.服务提供者颁发。
序列号生成方式分成两类:1.不重复,随机颁发。2.递增。3.时间戳。
颁发者如果选择是服务提供者,那么就会使得原本一次的会话交互变成两次,增加了复杂度和失败率,因此最好选择服务调用者自身颁发。生成方式如果选择1,那么存储的成本很大(服务调用者颁发的方式,在服务调用者这边必须全量保存,在服务提供者这边如果校验没有被使用过,也会记录下来,最终也是全量保存。服务提供者颁发方式,序列号只存储在服务提供者这边,不过也是全量。)生成方式选择2,那么不论选择哪一种颁发方式,都只需要保存上一次的序列号,但是对于多线程和集群的并发访问控制需要做好保护,防止由于并发访问本身顺序不准确导致服务被拒绝。生成方式选择3,那么任何一种颁发方式都不需要保持序列号,校验的时候制定容忍时间窗大小来判断是否是有效的时间戳。需要注意的是客户端和服务端的时间差异性问题,当时间差大于可容忍的时间窗,那么每次请求都可能被作为无效请求拒绝。
这里我的想法是结合两种方式去做重放攻击的防范,即保证资源使用的可控,也保证系统复杂度不高:采用服务调用者自身颁发序列号,同时生成方式采用时间戳的方式。服务端校验流程如下:
其中服务有效期可以自己选择定义(可以是半小时,一小时等等),选择的参考就是首先客户端这边与服务端最大可容忍的时间差是多大,其次就是自己的存储预估,如果存储越大,那么可以放的更宽一些。这种设计在容忍值内采用的是不重复性的校验,毕竟时间戳方式也是不重复的,这样减少了在短时间内由于并发和并行带来的顺序控制难的问题,其次在容忍值后采用的是递增校验,这样可以减少对于序列号的存储压力,可根据自身存储能力考虑最大的容忍时间。
欢迎讨论...
分享到:
相关推荐
Web安全实践(13)嗅探,arp欺骗,会话劫持与重放攻击整理.pdf
为此,提出一种抗重放攻击的Web 服务认证协议。基于时间戳/消息ID 缓存的抗重放攻击方法,利用简单对象访问协议的请求/响应消息和WS-Security 规范设计双向认证协议,使用Axis2 的Module 机制加以实现。实验结果表明...
web服务器dos攻击案例 通过科来软件,对网络攻击进行数据包级别的分析。非常不错
主要给大家介绍了关于Spring Boot接口设计防篡改、防重放攻击的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Spring Boot具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Web服务器攻击分析报告Web服务器攻击分析报告Web服务器攻击分析报告
WEB服务攻击痕迹检测 web站点默认80为服务端口,关于它的各种安全问题不断的发布出来,这些漏洞中一些甚至允许攻击者获得系统管理员的权限进入站点内部,以下是Zenomorph对一些80端口攻击方式的痕迹的研究,和告诉你...
架设web服务器,进行注入攻击 web服务器 sql注入攻击
Burpsuite重放模块介绍 1 Burpsuite重放模块的介绍 目录 2 使用Burpsuite重放模块实现一个CTF flag的获取 重放模块的介绍 Burp Repeater作为Burp Suite中一款手工验证HTTP消息的测试工具,通常用于多次重放请求响应...
针对Web服务器的八种攻击方式 .php
面向AJAX框架Web服务的攻击和安全防御
高效解决Web服务器遭遇攻击难题.pdf
基于nginx的web服务器CC攻击保护实现
java实现web服务器:(1) 连接:Web浏览器与Web服务器建立连接,打开一个称为socket(套接字)的虚拟文件,此文件的建立标志着连接建立成功。 (2) 请求:Web浏览器通过socket向Web服务器提交请求。HTTP的请求一般是...
在早期的互联网中,web并非主流的互联网应用,相对来说,给予SMTP、POP3、FTP、IRC等协议的用户拥有绝大数的用户,因此黑客们攻击的主要目标就是网络、操作系统以及软件的领域,WEB安全领域的攻击防御与技术均处于...
Linux环境下Web服务器攻击的防范措施研究.pdf
WEB应用安全攻击与防范培训教程,包括各种常见web攻击方式及防范方法。超过百页的PPT教程,最全的WEB攻击与防范PPT教程
web安全措施.你写的WEB API接口如何预防黑客攻击 现在WEB开发都是动静分离 后端编写API接口 那如何防止黑客攻击你的HTTP API接口呢
对Web服务的网络服务描述语言(WSDL)中的一些属性进行设置,实现对攻击的初步过滤;对服务请求的HTTP头部和XML内容进行检查,并与模型数据比较,进一步实现攻击检测。实验结果表明,该系统能够有效地预防多种DDoS...
一旦Web服务器遭到攻击,不仅无法提供正常服务,而且内部信息也会泄露。本来 针对Web服务器主流的攻击手段做了一些介绍以及防范方法。 1 Web服务器简介 Web服务器也称为WWW(WORLD WIDE WEB)服务器,主要功能是提供...