1、解決DOS攻擊：根據(jù)web日志或者或者網(wǎng)絡(luò)連接數(shù)，監(jiān)控當(dāng)某個IP 并發(fā)連接數(shù)或者短時內(nèi)PV達(dá)到100，即調(diào)用防火墻命令封掉對應(yīng)的IP，監(jiān)控頻 率每隔5分鐘。

[10:54:50  root@centos8 ~]#awk '{ip[$1]++}END{for(i in ip){if(ip[i]>=10)
{system("iptables -A INPUT -s "i" -j REJECT")}}}' nginx.access.log-20200428
[13:06:37  root@centos8 ~]#crontab -l
*/5 * * * *  /usr/bin/awk'{ip[$1]++}END{for(i in ip){if(ip[i]>=10){system("iptables -A INPUT -s "i" -j REJECT")}}}' nginx.access.log-20200428

2、描述密鑰交換的過程

QQ圖片20210420122352.png

1、首先客戶端會生成一對密鑰（ssh-keygen）
2、并將客戶端的公鑰ssh-copy-id拷貝到服務(wù)器端
3、當(dāng)客戶端重新向服務(wù)器端發(fā)送一個連接請求（包括ip、用戶名）
4、服務(wù)器端得到客戶端的請求后，會到authorized_keys中查找，如果有響應(yīng)的IP和用戶，就會隨機(jī)生成一個字符串
5、服務(wù)端將使用客戶端發(fā)送過來的公鑰和生成的隨機(jī)字符串進(jìn)行加密，然后發(fā)送給客戶端
6、客戶端接受到服務(wù)端發(fā)送的消息之后，客戶端會使用自己的私鑰對其進(jìn)行解密，得到隨機(jī)字符串并發(fā)送給服務(wù)器端
7、服務(wù)器端得到客戶端發(fā)送的解密生成的字符串與本機(jī)所隨機(jī)生成的字符串進(jìn)行比較，如果本機(jī)和發(fā)送的字符串一致，則可以實現(xiàn)免密登陸。

3、https的通信過程

QQ圖片20210420124402.png

1、客戶端發(fā)起https請求
       用戶在瀏覽器里輸入一個https的網(wǎng)址，然后連接到服務(wù)器的443端口
2、服務(wù)端的配置
      采用https協(xié)議的服務(wù)器必須要有一套數(shù)字證書，可以自己生成也可向權(quán)威機(jī)構(gòu)申請（區(qū)別：自己頒發(fā)的證書需要客戶端驗證通過，才可以自己訪問，受信任的公司申請的證書不會彈出提示框，證書其實就是一對公鑰和私鑰）
3、服務(wù)器的證書傳到客戶端
      證書其實就是公鑰，并且包含很多的信息，如頒發(fā)證書的機(jī)構(gòu)和過期時間等等
4、客戶端解析認(rèn)證服務(wù)端發(fā)來的證書
        這部分工作是有客戶端的TLS來完成的，首先會驗證公鑰是否有效，比如：頒發(fā)機(jī)構(gòu)，過期時間等等，如果發(fā)現(xiàn)異常，則會彈出一個警告框，提示證書存在問題。如果證書沒有問題，那么就生成一個隨機(jī)值。然后用證書中公鑰對該隨機(jī)值進(jìn)行非對稱加密
5、客戶端將加密的信息傳送給服務(wù)器
        這部分隨機(jī)值是使用證書加密后的隨機(jī)值，目的是為了讓服務(wù)器端獲取這個隨機(jī)值，以后通信服務(wù)器和客戶端就可使用這個隨機(jī)值來進(jìn)行加密和解密了
6、服務(wù)端解密的信息
        服務(wù)端將客戶端發(fā)送的加密信息使用證書的私鑰進(jìn)行解密獲取到客戶端的隨機(jī)值
7、服務(wù)器加密信息并發(fā)送信息
        服務(wù)器將數(shù)據(jù)利用隨機(jī)值進(jìn)行對稱加密，再發(fā)送給客戶端
8、客戶端接受消息并進(jìn)行解密
        客戶端用之前生成的隨機(jī)值解密服務(wù)器傳過來的數(shù)據(jù)，從而獲取到服務(wù)器發(fā)送的數(shù)據(jù)。