特殊的2020年，多个行业线下转线上求生，未来属于云时代似乎成为互联网的共识，而与互联网息息相关的网络安全领域，已经站上澎湃发展的“风口”。今天技术大咖——白月光给大家讲解网络通信中的数据安全~

学习收获：掌握网络安全基础知识，帮助那些想学网络安全又不知道如何开始学习的同学快速入门，包括网络安全行业术语、重要事件、抓包软件使用、「中间人攻击」演练
适用人群：网络安全初学者，零基础想要学习网络安全技术的小伙伴
适用岗位：网络工程师，渗透工程师，网管

一、上期知识串讲

现在把画面切换到我的桌面，我们接着上个星期的内容来聊。我们知道在信息安全领域，可以做的事情很多，需要防范的东西也很多。

上一个星期咱们分享结尾的时候，给大家留下了一个小小的彩蛋，就是问大家，爱丽丝、鲍勃和伊芙他们分别是谁，还记得吧。咱们今天就接着来继续给大家解答计算机网络通信里面相关的概念和技术。

其实我们在学习技术的过程中，有很多东西都需要去深入了解的。比如程序员天天写代码，但作为工程师，我们需要了解整个社区的文化，什么意思呢？比如说，我们得要懂这个行业的一些专有名词，要懂这个行业的一些「黑话」。

就像咱们刚上次提到的这三个人名，爱丽丝、鲍勃和伊芙，如果说我们知道他们是谁，以后再看一些计算机通讯或者密码学的相关论文、文章、博客里面只要出现了这三个人名，就能立即知道他们的身份和作用了。否则你跟别人交流的时候你可能根本就不知道别人在说什么，所以这是属于计算机文化的一部分。

在以后的这种技术分享里，我们还会尽可能的给大家多分享一些关于计算机文化和行业的一些「黑话」，一些工程师社区里的趣事。有些只是当一些“新知”喜闻乐见的了解一下，而有些东西是对大家真正有帮助的。

在通讯行业里面除了爱丽丝鲍勃和伊芙以外，其实还有一些常见的名称也很常使用，比如说像发送者、接收者，当然还有第三方通讯、第四方通讯、第五方通讯。

我们再回到本周的话题，上一次讲的安全，其实更多是关于“safe”的，就是数据传输可不可靠、知不知道这数据错了、或者说能做数据验证看一下是哪一个数据错了，能找到错误并且能给它纠错。

本周我们要讲的关于信息安全方面的内容，就不是“safe”这样的，而是“security”。

二、DDoS攻击

这一种典型的网络攻击方法非常廉价，叫DDOS攻击。DDOS攻击的原理也挺简单，如果说我们10个人、100个人、1000个人、10000个人同时都去访问一个公司的网站，就会给这个公司的网站带宽造成很大的压力，如果网站的带宽扛不住了，导致服务器扛不住了，它就直接瘫痪了。

所以DDOS攻击的不需要任何技术，只要有人号召大家一起访问某个网站，哪怕用普通浏览器同时访问一个网站，也可以瞬间把一个网站搞垮。因此DDOS攻击攻击性价比不高，因为这样的攻击性价比几乎是一比一：我要占你多少带宽，我就要花多少带宽，我给你发数据包，我不停的发你那里就不停的收。

这是一种极不具备性价比的网络攻击的手法，但是这种方式的门槛极低，很容易去发起。发起这种DDOS攻击其实就是相当于是往别人的服务器里不停地发数据包，把带宽给堵塞掉。当我往别人服务器发的时候，由于上行带宽是受限制的，其实我能够给别人造成影响并不大。

有一些公司的网站是在一些虚拟主机上托管的，或者本来购买的服务器带宽就比较小，这是没有影响的。但如果说有一些服务器只买了比较小的2兆或者5兆带宽的话，凭一己之力确确实实是有可能导致它瘫痪掉。这也要看公司的规模，和它在里面投入到底有多大。

所以大家要区分上行带宽和下行带宽的问题，而且DDoS攻击没有性价比的原因是因为“你要打掉谁，你要付出同等的代价”，如果说有一家比较大的公司，购买的服务器带宽比较大而且硬件配置也比较高，那么你想凭一个笔记本要打掉它那几乎是不可能的事情。

三、DDoS的有效防护方式

那DDoS有效的防护方法是什么呢？其实是有的，比如说我们可以把文件通过动静分离的方式，把静态资源单独托管到静态资源服务器上，那这样的话，别人去访问网站的页面下载图片、下载网页文件HTML就不会对动态资源造成影响了。

动静分离是一个有效防止DDoS攻击的一道防线。另外，还可以采用CDN把所有的静态资源分发到网络上，有了CDN之后，不管是多少DDoS流量，打的都是整个CDN的带宽了，跟我服务器资源就没有关系了。

通过购买流量防护、购买防火墙等等服务也可以阻止DDoS攻击。但这种方式如果遇到大量的这种IP回源的状况时，依然是没有办法很有效的防御的。所以我们要知道买这防火墙、买流量到底防的是什么，能防住什么，什么东西防不住。这一点是需要了解清楚。

其实只要HTTP connect、写脚本，或者写个爬虫，本质上也相当于在发动一次DDoS攻击，或者说有一种压力测试软件叫jmeter，也可以在短时间内模拟大量的并发请求造成DDoS攻击。

在这里我们号召大家不要去尝试这类攻击，不要以技术去牟利，更不要以一己之私去损害他人利益，不管是有心还是无心的，都需要遵守相应的法律法规。法律的边界我们一定要说清楚，我们去了解网络安全技术目的不是让大家去入侵，而是希望大家能更好的去防范，这才是我们的目标。

四、中间人攻击

今天讲这些是为了引出我们的主线，就是「中间人攻击」，所谓的中间人攻击，就是我们上一次说到的几个角色：一个叫爱丽丝，一个是是鲍勃，一个是伊芙。

中间人攻击，最容易理解的就是「窃听」了，比如你发的所有数据他都知道了，如果说你登录账号的用户名和密码被别人知道了，别人可以通过一种叫「撞库」攻击的方法去套取你其他网站平台的密码。

这种通过中间人来盗取账号的手法会让用户损失惨重。比如说你给一个女孩子发一个情书表白，然后我们就把你的话改我「我们绝交吧，我一点都不喜欢你，我很讨厌你这个人」，给你捣乱，那这样可不可以呢？这样当然也是可以的。

除了窃听以外，通过中间人来盗取账号还会造成一些更严重的后果，比如说有些明星在微博里面发一些公告，这个时候你如果能篡改这个数据，把这个数据改造成某个明星下个月会到什么地方开一场演唱会，可以来买票等等。甚至说如果你给一个平台付了10块钱，那么通过抓到你支付的数据包之后，我们可以通过重放，就可以反复的去把那个包发五次，这个时候就能把转10块钱变成转50。

所以我们必须要了解他的攻击原理是什么才能去预防。

如果你在咖啡厅、商场等人流量比较密集的地方发现某个人，行径很可疑，带着一个大电脑包，背了一包不知道什么东西，那么你就要当心你的电子设备联网数据了！

今天就来给大家来展示这样一个外景，通过伪造热点实施搞中间人攻击。如果要在公共场合伪造一个热点的话，咱们需要的道具有什么东西呢？

咱们需要一根iPhone数据线、一部iPhone手机、一台笔记本电脑。先把手机插到电脑上，由于咱们需要制造一个让其他人都能够进行连接的热点，所以需要利用手机开启热点。

但是由于需要实施中间人攻击，我们还需要一个网络抓包工具，这个在电脑里面操作会比较方便，手机上几乎是没办法完成这个操作的。所以咱们的做法就是把手机用数据线连接到电脑上，然后再用笔记本电脑连接手机热点。

不管是自己电脑的还是通过共享网络连接进来的，都可以看得清清楚楚，包括发送请求，HTTP头提交的用户信息什么的全都能看得到。而且，除了能够看到以外，咱们还可以把这个包截获，修改了之后再发送，这样就可以顶替别人的身份来发送数据。这种手法就叫做「中间人攻击」。

这种中间人攻击手法是一定要能够截获到别人上网的数据包的，所以，给大家一个很重要的提示：在谋生场所不要轻易连接wifi，尤其是一些免费wifi。如果在外面一定要连人家的wifi上网，也要非常小心，不要轻易提交自己的身份信息，尤其是敏感的银行账户、身份证或其他隐私信息。

另外，我们自己可以加一层上网代理，这样即使上网的内容即使被别人截获了，他也不知道内容是什么。具体怎么设置代理，大家可以自己百度。

五、如何做好安全防护

从安全防护的角度来说，其实有多种、多维度的防护方式，例如：

1、如何防护DDOS攻击，首先我们要知道DDOS攻击的原理。面对DDOS攻击我们首先需要保护到我们的服务器IP地址，让攻击者拿到我们的服务器IP还是存在一定难度的，这样可以加大攻击者的难度。

解决方案例如：将服务器IP挂到CDN上面，这样攻击方想拿到我方IP地址需要绕几道弯；一旦IP被拿到面对DDOS攻击就没有太好的防护办法了

2、如何防护CC攻击，同样的我们首先要知道CC攻击的原理，CC攻击又叫定点攻击，一般表现为主要攻击我们的动态接口（服务器这边做CURD或复杂操作为主的接口），这种攻击也有多种方案来解决。

例如：在请求的时候加在网页携带的cookie验证，如果没有cookie验证那么我们认为就是有人在用脚本请求我们的接口，做出相应的应对，当然脚本也能模拟cookie进行请求，所以这个时候该考虑的就是其他的CC攻击防护方式；例如将暴漏在外的动态接口做频率阀值设计等。

HTTP和HTTPS是怎么一回事呢，具体的概念就不在这里阐述了，可以网上搜下两者的概念；从抓包工具的角度来说这两者的话区别在于：HTTP的请求如果一旦被代理，那么所有的请求和相应的数据全部会呈现在工具中。

例如：你使用咱们的wifi，登录某网站账户密码后，输入的账户、密码全部会暴漏在我的工具中（极大的可能性是明文），但是HTTPS就不一样了，除非我的工具也去做一系列的SSL密钥配置，不然HTTPS的所有请求和响应在工具中全是乱码，无法辨认。

六、如何做好接口防护？

其次接口设计中面向网络安全，我们如何做对应的接口防护呢？

1.就是类似的接口参数携带 token、key、secretKey、signature等方式；

2.服务器与客户端的业务参数对称/非对称加密AES、DES、RC4、HASH、Rabbit等，这样就算传输的是明文，但是传输过程中由于是加密的，中间人也是无法分辨具体传的参数是什么？更没办法去修改里面的参数值等。

最后总结，我们可以知道，伪造一个热点并且去抓包做中间人攻击，相当于我就是这个Eve（伊芙），如果有人连了咱们的wifi并且发送数据，那这个人就是Alice（爱丽丝），远程接收数据的那个人就是Bob（鲍勃），这就是「中间人攻击」的完整过程。

重要声明：

1、昨天直播内容中演示中间人攻击的内容太过详细，为避免误导年轻人，隐去部分操作细节

2、本次网络相关的技术分享以安全防范为唯一且主要目的，请各位小伙伴务必遵守我们国家已施行和即将施行的法律法规与道德边界，勿行损害他人利益之事

【直播回顾】技术大咖揭秘网络通信中的数据安全相关推荐

限时福利：入群锁定大会直播+PPT，听百位 AI 技术大咖、20 大热门主题分享！...
文 / Aholiab 2020 年 7 月 3-4 日,由 CSDN 发起的「百万人学AI」倡议下,AI 开发者万人大会(AI ProCon 2020)将在线上正式与大家见面!届时,来自行业内 70 ...
顶级技术大咖，揭秘实时音视频开发的超级风口
2021年初因为Elon Musk"带货"而走红的音频社交App Clubhouse,又以肉眼可见的速度跌落神坛,下载量从2月的960 万/月跌至4月的92万/月.不过在5月,Cl ...
乘风破浪的技术大咖再次集结 | 腾讯云TVP持续航行中
腾讯云最具价值专家,简称 TVP(Tencent Cloud Valuable Professional),是腾讯云颁发给第三方技术专家们的一项荣誉认证,以此感谢他们为推动云计算技术的发展所作出的贡献 ...
11.25直播预告｜开源与SaaS水火不容？「观测云-可观测之路」第2期技术大咖为您解惑
当前软件开发已达到前所未有的高度,这得益于对创新模块的复用,开源和SaaS在这一过程中都发挥了巨大作用.从此,开发者不再需要每天重复造轮子,而是可以把更多的精力投入到产品创新中去. SaaS和开源在某 ...
直播预告 | 硅步机器人携手Shadow Robot原厂技术大咖深度解析遥操作系统
硅步机器人将携手Shadow Robot专家,于2022年1月20日16:30-17:30给您带来Shadow灵巧手以及Shadow Robot遥操作系统的深度解析,带您一同探索遥操作系统的&qu ...
【云周刊】第146期：史上最大规模人机协同的双11，12位技术大V揭秘背后黑科技...
摘要: 史上最大规模人机协同的双11,12位技术大V揭秘背后黑科技,INTERSPEECH 2017系列 | 语音识别之语言模型技术,机器学习初学者必须知道的十大算法,云数据库SQL Server 2 ...
跟技术大咖涨姿势！前沿CV技术+落地应用练就CV界的最强王者
当新冠肺炎疫情成为2020开年最大"黑天鹅事件",全民"抗疫"的力量汇聚在一起,AI也随之迅速加入"战场". 无论是商场中的AI测温.地铁站 ...
阿里研究员、饿了么CTO等10位技术大咖倾囊相授：全方位解读研发效能提升之道！...
千呼万唤,翘首以待的程序盛宴--第二届研发效能嘉年华如期而至,十位技术大咖现身讲解,狂撒干货:天猫.饿了么.飞猪等创新创业企业带你翱翔高效研发的的海洋.干货满满,等你来听. 第二届研发效能嘉年华是由W ...
快讯 | 4位区块链行业技术大咖在杭州都聊了啥（含讲师完整PPT）
8月25日,由CSDN主办,区块链大本营.柏链道捷.极客帮创投.养码场.云象区块链.Trias.Nervos.EOS原力协办的第11期区块链技术沙龙,在杭州市余杭区湾流国际共享社区达摩院社区如期举办. ...

【直播回顾】技术大咖揭秘网络通信中的数据安全