代理-CDN-网络安全

代理服务器(Proxy Server)

• 特点
  -- 本身不生产内容
  -- 处于中间位置转发上下游的请求和响应

✅面向下游的客户端: 它是服务器
✅面向上游的服务器: 它是客户端

正向代理, 反向代理

• 正向代理: 代理的对象是客户端
• 反向代理: 代理的对象是服务器

正向代理- 作用

• 隐藏客户端身份
• 绕过防火墙(突破访问限制)
• Internet访问控制
• 数据过滤

image.png

反向代理- 作用

• 隐藏服务器身份
• 安全防护
• 负载均衡

image.png

(PS:负载均衡服务器不进行运算, 只转发请求, 它的压力是很小的, 这时候的负载均衡服务器就是反向代理服务器)

抓包工具的原理

• Fiddler, Charles等抓包工具的原理: 在客户端启动了正向代理服务
  

  image.png

• 需要注意的是
  -- Wireshark的原理是: 通过底层驱动, 拦截网卡上流过的数据

CDN

• CDN(Content Delivery Network 或 Content Distribution Network), 译为: 内容分发网络
  -- 利用最靠近每位用户的服务器
  -- 更快更可靠地将音乐, 图片, 视频等资源文件(一般是静态资源)传递给用户

image.png

CDN-使用CDN前后

image.png

• CDN运营商在全国, 乃至全球的各个大枢纽城市都建立了机房
  -- 部署了大量拥有高存储高带宽的节点, 构建了一个跨运营商, 跨地域的专用网络
• 内容所有者向CDN运营商支付费用, CDN将其内容交付给最终用户

CDN- 使用CDN前

image.png

CDN- 使用CDN后

image.png

image.png

image.png

网络通信中面临的4种安全威胁

• 截获: 窃听通信内容
• 中断: 中断网络通信
• 篡改: 篡改通信内容
• 伪造: 伪造通信内容

image.png

网络层 - ARP欺骗

• ARP欺骗可以造成的效果
  -- 可让攻击者获取局域网上的数据包甚至可篡改数据包
  -- 可让网咯上特定电脑之间无法正常通信(例如网络执法官这样的软件)
  -- 让送至特定IP地址的流量被错误送到攻击者所取代的地方

DoS, DDoS

• DoS攻击(拒绝服务攻击, Denial-of-Service attack)
  -- 使目标电脑的网络或系统资源耗尽, 使服务暂时中断或停止, 导致其正常用户无法访问

• DDoS攻击(分布式拒绝服务攻击, Distributed Denial-of-Service attack)
  -- 黑客使用网络上两个或两个以上被攻陷的电脑作为"僵尸"向特定的目标发动DoS攻击

• DoS攻击可以分为2大类
  -- 带宽消耗型: UDP洪水攻击, ICMP洪水攻击
  -- 资源消耗型: SYN洪水攻击, LAND攻击

应用层- DNS劫持

• DNS劫持, 又称为域名劫持
  -- 攻击者篡改了某个域名的解析结果, 使得指向该域名的IP变成了另一个IP
  -- 导致对相应网址的访问被劫持到另一个不可达的或者假冒的网址

• 为防止DNS劫持, 可以考虑使用更靠谱的DNS服务器, 比如114.114.114.114

• HTTP劫持: 对HTTP数据包进行拦截处理, 比如插入JS代码
  -- 比如你访问某些网站时, 在右下角多了个莫名其妙的弹窗广告

HTTP协议的安全问题

• HTTP协议默认是采取明文传输的, 因此会有很大的安全隐患
  -- 常见的提高安全性的方法是: 对通信内容进行加密, 再进行传输

• 常见的加密方式有:
  -- 不可逆
  ✅ 单向散列函数: MD5, SHA等

-- 可逆
✅ 对称加密: DES, 3DES, AES等
✅ 非对称加密: RSA等

-- 其他
✅ 混合密码系统
✅ 数字签名
✅ 证书