安基网 首页 安全 安全学院 查看内容

信息安全学习4. 重放攻击的概念与防范

2020-9-12 08:52| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 一、 定义重放攻击(Replay Attacks)又称为重播攻击、回放攻击,一般是攻击者截获数据包后,无法解密数据,但可以把数据包和业务间的关系进行猜测,重新发送相同数据包,来达到欺骗系统的目的,主要用于身份认证过程、破坏认证的正确性。重放攻击可以由发起者、或拦截方进行。拦截方进行的重放攻击又称 ...



一、 定义

重放攻击(Replay Attacks)又称为重播攻击、回放攻击,一般是攻击者截获数据包后,无法解密数据,但可以把数据包和业务间的关系进行猜测,重新发送相同数据包,来达到欺骗系统的目的,主要用于身份认证过程、破坏认证的正确性。

重放攻击可以由发起者、或拦截方进行。拦截方进行的重放攻击又称为中间人攻击。

重放攻击基于网络嗅探。很多时候嗅探到的数据是加密过的,但攻击者虽然无法解密,但如果攻击者知道数据的意义,就可以发送这些数据来攻击接收端。

在物联网场景中,攻击者可以利用这种攻击控制用户的设备。

二、类型

根据重放消息的接收方与消息的原定接收方的关系,重放攻击可分为3种:

  • 直接重放,即重放原来的验证端,直接重放的发送方和接收方均不变
  • 反向重放,将原本发给接收方的消息反向重放给发送方
  • 第三方重放,将消息重放给域内的其它验证端。

三、防御方案

1. 加随机数nonce

nonce是仅一次有效的随机字符串,一般可以使用时间戳和客户端其它唯一性参数进行哈希运算。
优点:认证双方不需要时间同步,双方记住使用过的随机数,如果报文中有以前使用过的随机数,认为是重放攻击。
缺点:需要额外保存使用过的随机数,需要保存和查询开销,服务器端存放hash值的库会越来越大,要进行定期清理。定期清理后重放攻击也许会生效。

2. 加时间戳timestamp

在通讯中加入时间戳,时间差大于一定阈值的请求视为攻击。

优点:不需要额外保存信息
缺点:双方需要准确的时间同步,同步越好,受攻击的可能性越小。对于分布式的分布,同步精确的时间并不容易;另外很多小型物联网设备,可能缺少精确的计时时钟。

3. 加流水号

双方在报文中添加一个逐步递增的整数,只要接收到一个不连续的流水号报文(太大或太小),就认定有重放威胁。
优点:不需要时间同步,保存的信息量小
缺点:攻击者如果对报文解密成功,就可以获得流水号,从而伪造数据。

4. 挑战-应答机制

  • 客户端请求服务器
  • 服务器先成一个随机数,发给客户端,每次随机数都有变化
  • 客户端带上这个随机数,访问服务器
  • 服务器验证如果随机数相同,不是重放攻击

5. 一次性口令机制

6. SSL/TLS

对于web或socket通讯,加上SSL/TLS 可以有效防止基于中间人的重放攻击。

  • 每个socket连接需要使用证书校验,新建的socket连接握手后是新的密钥
  • 使用双向认证可以更好地提高安全性
  • SSL/TLS可以防止中间人的重放攻击,但攻击者占有设备时仍可以自己建立联接、不停发起某个请求,业务层面还是需要另外的防重放攻击机制。(比如一个转账请求,攻击者直接在自己手机上截获请求并重发,服务器应该在SSL/TLS外还进行业务层面的限制)。

7. 联合方案

实际应用中常将1、2组合使用,保存某个时间段内的所有随机数,而且时间戳的同步也不需要太精确。
验证流程(PHP代码示例):

//判断stime参数是否有效
if( $now - $stime > 60){
die("请求超时");
}
//判断nonce参数是否在“集合”已存在
if( in_array($nonce,$nonceArray) ){
die("请求仅一次有效");
}
//验证数字签名
if ( $sign != md5($uid.$token.$stime.$nonce) ){
die("数字签名验证失败");
}
//判断是否需要清理nonce集合
if( $now - $nonceArray->lastModifyTime > 60 ){
$nonceArray = null;
}
//记录本次请求的nonce参数
$nonceArray.push($nonce);

//开始处理合法的请求

四、注册登陆过程加强安全

1. 注册

  1. 用户提交的密码在客户端进行一次sha256运算
  2. 运算后的值,在服务器与随机生成的复杂盐值合并,再进行sha256
  3. 存入数据库

2. 登陆

  1. 进入登陆页面时,生成一个随机码,在客户端、服务端保存;
  2. 客户端登陆,将sha256之后的密码与随机码拼接,再次计算sha256,把这个数据和时间戳提交服务端:
    提交的到服务器的数据=sha256(sha256(密码明文)+随机码))
  3. 服务端接收到请求,不仅较验运算后的密码,还要校验随机数、时间戳的有效性。
"

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6870746900249707019/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部