参考:
十载的宣威网站建设经验,针对设计、前端、开发、售后、文案、推广等六对一服务,响应快,48小时及时工作处理。成都全网营销推广的优势是能够根据用户设备显示端的尺寸不同,自动调整宣威建站的显示方式,使网站能够适用不同显示终端,在浏览器中调整网站的宽度,无论在任何一种浏览器上浏览网站,都能展现优雅布局与设计,从而大程度地提升浏览体验。创新互联从事“宣威网站设计”,“宣威网站推广”以来,每个客户项目都认真落实执行。
DNS 欺骗 即域名信息欺骗是最常见的DNS 安全问题。当一个DNS 服务器掉入陷阱,使用了来自一个恶意DNS服务器的错误信 息,那么该DNS 服务器就被欺骗了。DNS 欺骗会使那些易受攻击的DNS 服务器产生许多安全问题,例如:将用户引导到错误的互联网站点,或者发送一个电子 邮件到一个未经授权的邮件服务器。
拒绝服务攻击(DOS)
黑客主要利用一些DNS 软件的 漏洞,如在BIND 9 版本(版本9.2.0 以前的 9 系列)如果有人向运行BIND的设备发送特定的DNS 数据包请求,BIND 就会自动关闭。攻击者只能使BIND 关闭,而无法在服务器上执行任意命令。如 果得不到DNS 服务,那么就会产生一场灾难:由于网址不能解析为IP 地址,用户将无方访问互联网。这样,DNS 产生的问题就好像是互联网本身所产生的问 题,这将导致大量的混乱。
分布式拒绝服务攻击(DDOS)
DDOS 攻击通过使用攻击者控制的几十台或几百台计算机攻击一台主机,使得服务拒绝攻击更难以防范:使服务拒绝攻击更难以通过阻塞单一攻击源主机的数据流,来防范服务拒绝攻击。Syn Flood 是针对DNS 服务器最常见的分布式拒绝服务攻击。
缓冲区漏洞
Bind 软件的 缺省设置是允许主机间进行区域传输(zone transfer)。区域传输主要用于主域名服务器与辅域名服务器之间的数据同步,使辅域名服务器可以从主域名服务器获得新的数据信息。一旦起用区域传输 而不做任何限制,很可能会造成信息泄漏,黑客将可以获得整个授权区域内的所有主机的信息,判断主机功能及安全性,从中发现目标进行攻击。
TSIG SIG0
DNS 的事务签名分为 TSIG (Transaction Signatures) 与 SIG0 (SIGnature)两种。该如何选择呢? 首先,要先判断客户端与服务器间的信任关系为何,若是可信任者,可选择对称式的 TSIG。TSIG 只有一组密码,并无公开/私密金钥之分;若是非完全信任者,可选择非对称式金钥的 SIG0,虽有公开/私密金钥之分,相对的,设定上也较复杂。至于要选用哪种较适合,就由自己来判断。通常区带传输是主域名服务器到辅助域名服务器。通常 在主域名服务器配置文件/etc/named.conf 的dns-ip-list 的访问控制列表(ACL,access control list)会列出一些IP 地址,它们只能为主域进行传输区带信息。
DNSSEC 主要依靠公钥技术对于包含在DNS 中的信息创建密码签名。密码签名通过计算出一个密码hash数来提供DNS 中数据的完整性,并将该hash 数封装进行保护。私/公钥对中的私钥用来封装hash 数,然后可以用公钥把hash 数译出来。如果这个译出的hash 值匹配接收者刚刚计算出来的hash 树,那么表明数据是完整的。不管译出来的hash 数和计算出来的hash 数是否匹配,对于密码签名这种认证方式都是绝对正确的,因为公钥仅仅用于解密合法 的hash 数,所以只有拥有私钥的拥有者可以加密这些信息。
本文在我博客 王权之首の秘密基地 中同步发布
为什么要使用加密DNS(DoH)
由于部分运营商网络的问题,很多宽带自带的DNS存在劫持问题,甚至某些宽带存在劫持53端口,直接强制使用运营商DNS。这就有可能会造成DNS解析结果的异常或者污染,也有可能具有个人隐私泄露的风险。所以,要防止DNS污染,就需要使用加密DNS,对DNS请求的过程全程加密,这样运营商即使获取到了你的数据包,也无法对其解密,更无法对其进行修改。这篇文章将会教你如何将你的Windows设备接入DNS服务商提供的公共加密DNS服务
前置条件
1.系统要求:Windows 10 build19628及以上,建议Windows11
设置步骤
本文以Windows11为例(因为我已升级至Windows11,目前身边没有Windows10设备)
大概方法 :
设置--网络Internet--WLAN/以太网
WLAN--硬件属性--编辑DNS设置--手动--开启IPv4和IPv6--填写dns地址
以太网--DNS服务器分配--手动--开启IPv4和IP v6--填写dns地址
详细步骤
1.在开始菜单中打开设置
2.进入网络和Internet 然后选择你所连接的网络(WLAN or 以太网)
3.点击硬件属性(以太网不需要走这一步)
4.找到DNS服务器分配,然后点击编辑
5.将DNS获取方式从DHCP改为手动
6.输入你想用的DNS服务器(这里推荐cloudflare的1.1.1.1和Google的8.8.8.8,文章末尾还有其他推荐的)
7.添加你所选的DNS服务器到WindowsDNS列表(8.8.8.8和1.1.1.1等权威DNS提供商不需要这一步)
因为Windows默认认证的DNS少的可怜,所以需要手动将DNS服务器加入Windows服务器列表
同时按下Windows 徽标键 + X打开Windows终端(管理员)
然后输入(这里以Open DNS为例)
netsh dns add encryption 208.67.222.222 "" no no netsh dns add encryption 208.67.220.220 “” no no
输入完成后按Enter键
8.将DNS加密设为仅加密
由于国内互联网环境比较特殊,建议先测试所选DNS在大陆加密后能否正常试用,比如说四川电信就无法使用加密了的cloudflare1.1.1.1和Google8.8.8.8,我的解决方法是使用open DNS(服务器地址在下文“其他”中)
其他:
DNS的Wiki:
DoT的Wiki:
我推荐的公共dns:
1.cloudflare的1.1.1.1
For IPv4 : 1.1.1.1 and 1.0.0.1
For IPv6 : 2606:4700:4700::1111 and 2606:4700:4700::1001
官网: 1.1.1.1 — the Internet’s Fastest, Privacy-First DNS Resolver
2.Google DNS:
The Google Public DNS IP addresses (IPv4) are as follows:
8.8.8.8
8.8.4.4
The Google Public DNS IPv6 addresses are as follows:
2001:4860:4860::8888
2001:4860:4860::8844
官网:
3.Open DNS:
For IPv4 :208.67.222.222 and 208.67.220.220
For IPv6 :2620:119:35::35 and 2620:119:53::53
4.腾讯
119.29.29.29
182.254.118.118
Public DNS+——DNSPod推出的域名递归解析服务
5.阿里 (不确定能否加密)
223.5.5.5
223.6.6.6
阿里DNS
6.百度 (不确定能否加密)
180.76.76.76
百度DNS - 帮助中心 - 公共DNS
7.CNNIC (不确定能否加密)
1.2.4.8
210.2.4.8
sDNS
HTTP是超文本传输协议
get、post、 head、put、delete、options
如下图:
在发起一个http请求之前,需要通过tcp的三次握手建立链接(就是客户端和服务端的三次交互)。
HTTP建立链接步骤:
1.客户端 发送syn的同步报文到 server端
2.sever端 返回叫ACK的syn同步报文到 客户端
3.客户端会 回应一个确认报文到 server端
1.客户端 发送http请求到 server端
2.server 回应http响应报文
TCP的响应完成后,进行TCP 的四次挥手。比如客户端主动 发起链接断开:
1.客户端 发起FIN终止报文到 server端
2.server端收到终止报文之后,返回确认报文ACK给 客户端
3.某一时机, server端 发送FIN,ACK报文 给客户端
4.客户端发送 ACK确认报文到服务端
http特点:无连接、无状态
可节省tcp建立链接、释放链接的数量。
利用http的 中间人攻击 漏斗进行的。
1.客户端 向server端发送一个报文,报文包含(TLS版本号、客户端支持的加密算法、随机数C)
3.客户端收到server端的报文后:
4.server端:
6.server端也发送加密的握手消息给客户端,验证安全通道是否正确的完成。
(中间生成的随机数C、S,非对称加密传递的预主私钥都是为了后面得到会话秘钥做准备。
客户端、server端根据C、S、预主秘钥生成会话秘钥。进行传输)
会话秘钥 = 随机数S+随机数C+预主秘钥
对称加密、非对称加密
1.连接建立过程中使用 非对称加密 ,非对称加密是很 耗时 的。
(因为加密和解密的方法不一样)
2.后续通信过程使用对称加密
有发送方、接收方。
1.发送方发送“hello”字符串,发送方通过 公钥 对“hello”进行加密。
2.经过TCP的连接传输到接收方。
3.接收方通过 私钥 进行解密。
(加密用公钥、解密就用私钥。加密用私钥、解密就用公钥)
1.发送方发送“hello”字符串,发送方通过 对称秘钥 对“hello”进行加密。
2.经过TCP的连接传输到接收方。
3.接收方通过 同一个秘钥 进行解密。
缺点:
秘钥需要通过tcp连接进行传递,server才能通过秘钥进行解密。在网络传输中如果有中间人攻击就会被捕获到。
比如说在应用层、传输层、IP层(网络层)传输过程进行解释:
应用层有个报文,可大可小。不管大小都不会进行拆分传给运输层。
应用层会把报文原封不动作为运输层UDP用户数据报的数据部分,拼接为UDP头部。
UDP数据报作为IP数据报的数据部分拼接到IP首部
这个就是多端口复用。
从接收方来说,IP层接收IP数据报数据,拆分成UDP数据报。每个数据报都会有对应的端口。就可以根据端口进行分发。
什么是TCP?
tcp特点、tcp功能
数据传输开始之前,需要建立链接,即三次握手。
数据传输结束时,需要断开链接,即四次挥手
为什么是三次握手?
假如是两次握手:
1.客户端发送syn同步报文给server端时,网络发生了超时。
2.客户端会启用超时重传策略,重新syn发送报文给server。server端就认为又要建立一个连接。
假如是三次握手:
客户端发送syn同步报文给server端,发生超时。
server端发送syn,ACK确认请求给客户端后,会等待客户端发送ACK确认信号。
此时超时了,客户端重启策略发送的是syn信号,不是ACK信号。等不到ACK信号,说明是链接超时了。
四次挥手为什么要客服端、服务端进行两方面的断开呢?
客户端发起终止报文FIN给给server端;
server发送ACK确认报文给客户端。
-- 此时客户端向服务端的链接已经断开了。server端还可以向客户端发送数据,客户端不可以向server端发送数据了。就是半关闭状态。
在一定时机内,server端会发起终止确认的报文,断开server端到客户端方向的链接。
客户端给server端ACK确认报文。
要进行两方面的断开,是因为客户端和server之间建立的TCP通道是全双攻的(一条通道两个端点都可以进行发送和接收)。
TCP是怎么样保证可靠传输的?(怎么保证报文: 无差错、 不丢失、 不重复、 按序到达)
可靠传输在TCP层面是通过【停止等待协议】实现的:
无差错情况下,客户端会按顺序的发送一个报文,得到server端响应后发送下一个报文。
客户端发送分组报文M1,server端给客户端确认。
客户端发送分组报文M2,server端给客户端确认。
客户端发送分组报文M3,server端给客户端确认。
如果因为网络等情况,在一定时间内,客户端没有收到server端的反馈:
客户端再次发送报文;
如果因为网络等情况,在一定时间内,客户端没有收到server端的反馈:
客户端再次发送报文;
如果因为网络等情况,在一定时间内,客户端没有收到server端的反馈:
客户端再次发送报文;
对于TCP,发送方和接收方各有一个缓冲区。发送方会把要发送的内容放在缓冲区,接收方接收到数据后也会放到缓冲区。
对于每次发送多少字节,由TCP连接根据情况决定。有可能把发送方的10个字节会拆分成6个字节、4个字节两次发送,有可能把发送方的5个字节、3个字节合并成8个字节一起发送。
通过【滑动窗口协议】实现的。
怎么理解滑动窗口协议?(第三轮面试)
总结:
【滑动窗口协议】
发送方定义为客户端
接收方定义为server端
简单描述TCP慢启动的特点:
考察的是TCP拥塞控制中:慢开始、拥塞避免。
横轴:交互次数
纵轴:窗口值的大小、拥塞窗口的多少
1.刚开始发送1个报文,如果没有发生拥塞就发送2个报文,仍旧没有拥塞就翻倍,发送4个报文、8个报文、一直到16个报文。这个过程以 指数规律增长 ,叫做 慢开始算法 。
2.当增加 到门限值16 的时候,会采用 拥塞避免的策略 进行发送报文数量的增长。比如17个、18个,是一种 线性 的增长。当发送的报文数为24的时候,可能就会发生 网络拥塞 。
(网络拥塞的界定是很复杂的,简单理解为连续发送的三个报文的ACK确认都没有收到,就产生网络拥塞了)
3.网络拥塞产生后,就要采用 乘法减小 的策略,把发送的报文数量恢复到1,减小给网络层带来的压力。然后重新慢开始.... 同时把拥塞窗口值降低到之前的一半 ,例如之前是24,现在减小为12。
在达到 窗口门限值 之前使用慢开始,到达之后进行拥塞避免加法增大。
是基于慢恢复、拥塞避免实现的。
达到拥塞窗口的上限值之后,回到新的门限值位置开始新的拥塞避免。
你是否了解DNS解析?DNS解析是怎样的过程呢?
DNS解析是:域名到IP地址的映射,DNS解析采用UDP数据报,且明文。
客户端向server端发送请求的时候,需要经历一个域名到IP地址的映射过程:
1.客户端通过DNS协议向DNS服务器请求,进行相应域名的解析。
2.DNS服务器把解析的IP结果返回给客户端。
3.客户端向对应的IP Server发送网络请求。
1.客户端向DNS发起域名请求的时候,先访问本地DNS是否知道我要的IP地址,本地DNS知道就进行返回,不知道就去问根域名DNS。
2.根域名DNS知道就返回给本地DNS,本地DNS返回给客户端。根域名DNS不知道的话就去问顶级DNS.....依次类推。。
1.客户端向DNS发起域名请求的时候,先访问本地DNS是否知道我要的IP地址,本地DNS知道就进行返回,不知道就去问根域名DNS。
2.根域DNS不知道,说顶级DNS可能知道,你去问顶级DNS吧,然后本地DNS又去问顶级DNS。
DNS解析存在哪些常见的问题?****
DNS劫持问题
DNS解析转发问题
因为DNS解析是UDP数据报的,并且是明文的。
所以客户端在给DNS服务器发送请求的时候,会被钓鱼DNS劫持,返回一个错误的IP地址给客户端。导致请求的IP Server也是错误的。
1.客户端询问本地DNS服务器某一个域名的IP地址时,我们用的是中国移动,中国移动的DNS服务器就会进行域名解析。
某些域名服务商为了节省资源,转发给电信的DNS服务器,让电信DNS服务器解析。
2.电信DNS服务器会去权威的DNS服务器进行解析。权威DNS根据不同的服务商返回不同的IP。返回的就会是电信的IP。
这个就会导致用的移动网络,访问的服务器是电信网络的服务器处理请求。涉及到了跨网访问,有请求效率等问题。
DNS解析,其实是使用DNS协议向DNS服务器的53端口进行请求。
采用httpDNS请求,其实是: 使用HTTP协议向DNS服务器的80端口进行请求。 就不产生正常的DNS解析,就不会有DNS劫持了。
客户端向httpDNS server发送http get请求获取IP地址。
1.有客户端、客户端要请求的API server。客户端和API server中间建立一个长连server(可以理解为一个代理服务器)。
2.客户端和长连server中间建立一个长连通道。客户端直接通过长连通道把http请求发给长连server。
3.长连server通过内网专线进行请求。规避了公网DNS劫持的问题。
HTTP特点有:
无连接:需要有连接和断开的一个过程。比如三次握手、四次挥手。
无状态:同一个用户多次访问server端,server端并不知道是同一个用户。
session/cookie就是HTTP协议无状态特点的补偿。
客户端向server端发送请求,server端生成cookie返回给客户端。
客户端把cookie进行保存,每次请求的时候发送给server端。让server端区分用户。
客户端发送的cookie在http请求报文的cookie首部字段中;
服务端设置http响应报文的Set-Cookie首部字段;
cookie 主要用来记录用户状态,区分用户; 状态保存在服务端
session 状态保存在服务端
cookie 状态保存在客户端
session依赖于set-Cookie、Cookie这两个方法。
