文章目录:

• 1、HTTPS/TLS是否可以防重放攻击?
• 2、HTTPS入门及如何防重放攻击
• 3、Web怎样防止重放攻击
• 4、C#如何防止重放攻击
• 5、重放攻击的防御方案
• 6、防止重放攻击的常用方法

HTTPS/TLS是否可以防重放攻击?

tls具有防重放攻击机制。加密，时间戳，每个包要有包序号，每次同向加1，收到重复序号认为是攻击，可以抵御重放攻击。此外借助于HTTPS/TLS其自身机制，保证了消息完整性，并且可以抵御重放攻击。由于加密，对方也无法看到明文内容。

即使无法获取到后台登录信息, 攻击者也可以从网络中获取普通用户的隐秘信息, 包括手机号码, 身份证号码, 信用卡号等重要资料, 导致严重的安全事故。进行网络嗅探攻击非常简单, 对攻击者的要求很低。使用网络发布的任意一款抓包工具, 一个新手就有可能获取到大型网站的用户信息。

HTTP的缺点：

HTTP虽然使用极为广泛, 但是却存在不小的安全缺陷, 主要是其数据的明文传送和消息完整性检测的缺乏, 而这两点恰好是网络支付, 网络交易等新兴应用中安全方面最需要关注的。

关于 HTTP的明文数据传输, 攻击者最常用的攻击手法就是网络嗅探, 试图从传输过程当中分析出敏感的数据, 例如管理员对 Web 程序后台的登录过程等等, 从而获取网站管理权限, 进而渗透到整个服务器的权限。

HTTPS入门及如何防重放攻击

1、建立会话机制 登录软件防重放攻击，体现在SSL证书部署登录软件防重放攻击，强烈要求实现特征安全配置。

2、验证要素分离登录软件防重放攻击，使用OV或EV证书可以确保安全。

Web怎样防止重放攻击

单独的随机数不能避免重放攻击，随机数一般会和签名加密技术，后台验证技术混合以提高破解和重放难度。

重放攻击（Replay Attacks）又称重播攻击、回放攻击或新鲜性攻击（Freshness Attacks），是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。

从重放攻击的定义上我们可以看到，重放攻击提交给服务器的数据是曾经有效的，如何防止这种数据，对特定信息给与一个特定的随机数，并且这个随机数保存在服务器内，在验证了用户信息前，首先会对随机数进行验证，如果发现提交的随机数和服务器保存的不同则，该条信息无效通过这种方法来防止重放攻击。

常用的防御重放攻击，不会直接暴露随机数，一般随机数会用在MD5，HASH（数字签名）上，比如在对有效值进行MD5加密时添加随机数，如用户名为test，密码为test的MD5加密过程可能为MD5("test","test",随机数)，这样在直接传输时不会暴露出随机值，黑客在提交重放攻击时系统发现MD5签名和系统签名计算后不同则，可被认定为重放攻击。

当然矛和盾是一种存在的，有可能该值刚好又一次的分配给了该用户，可能会重放攻击成功，但这个概率在科学计算上可以被视为0，而且随着随机数的位数的提高，概率会不断降低。

C#如何防止重放攻击

重播攻击，指登录软件防重放攻击的是原样请求的方式再次进行请求。

其实严格情况下，重播并不能当即被绝对防止，一般情况下使用的是指定时间外的重播攻击。

操作办法是，MD5摘要中对时间戳同时进行了摘要，在验证时同时验证时间戳——在指定的时间内可以处理，否则直接抛出例外就行。当然这里有一个前提条件，如果你本机请求时间与服务器时间差别大于验证时间时，无法正确验证。

也就是说假定了两者相同的时间，这样在规定的时间内无法到达的信息都是被认为是重播。除非别有用心的人在指定的时间内拿到你所有请求进行重播。

绝对意义上是否可以防止重播登录软件防重放攻击？可以的，假定我们存在一个redis之类的缓存，存储一些特定时间内的值（超出这个时间则失效），所有的请求都是被记录到该库中（超时的会删除），然后时间戳进行对比，如果在指定时间内的信息则对缓存进行请求若查询到值，则认为是重播。否则正常处理。超时的则直接认为是超时，不再进行处理。

但这种方案成本还是非常高的登录软件防重放攻击！即便是特别注意安全的地方，也未必使用该种方式。当然另一种防止重播机制是握手机制——请求方先请求处理序列，服务器存在这个序列，然后在MD5中针对该序列进行摘要。服务器在第一次请求时，序列会保存到缓存中，请求到达时读缓存，并同时将该序列配对处理。重播时因不存在对应的序列，所以可判定为重播。当然这种成本也是比较高的。

因为成本问题，所以在业务执行时，索性使用驼鸟策略，不再进行重播的任何处理——但用户数据处理有回复机制，只要可以恢复或撤回其中一笔交易即可。绝对保证安全有时并不是十分的需要的。

重放攻击的防御方案

“时戳”──代表当前时刻的数

基本思想──A接收一个消息当且仅当其包含一个对A而言足够接近当前时刻的时戳

原理──重放的时戳将相对远离当前时刻

时钟要求──通信各方的计算机时钟保持同步

处理方式──设置大小适当的时间窗（间隔），越大越能包容网络传输延时，越小越能防重放攻击

适用性──用于非连接性的对话（在连接情形下双方时钟若偶然出现不同步，则正确的信息可能会被误判为重放信息而丢弃，而错误的重放信息可能会当作最新信息而接收） 通信双方通过消息中的序列号来判断消息的新鲜性

要求通信双方必须事先协商一个初始序列号，并协商递增方法 “现时”──与当前事件有关的一次性随机数N（互不重复即可）

基本做法──期望从B获得消息的A 事先发给B一个现时N，并要求B应答的消息中包含N或f(N)，f是A、B预先约定的简单函数

原理──A通过B回复的N或f(N)与自己发出是否一致来判定本次消息是不是重放的

时钟要求──无

适用性──用于连接性的对话

重放攻击是对协议的攻击中危害最大、最常见的一种攻击形式。

防止重放攻击的常用方法

1. 加随机数

该方法优点是认证双方不需要时间同步登录软件防重放攻击，双方记住使用过的随机数，如发现报文中有以前使用过的随机数，就认为是重放攻击。缺点是需要额外保存使用过的随机数，若记录的时间段较长，则保存和查询的开销较大。

2. 加时间戳

该方法优点是不用额外保存其登录软件防重放攻击他信息。缺点是认证双方需要准确的时间同步，同步越好，受攻击的可能性就越小。但当系统很庞大，跨越的区域较广时，要做到精确的时间同步并不是很容易。

3. 加流水号

就是双方在报文中添加一个逐步递增的整数，只要接收到一个不连续的流水号报文(太大或太小)，就认定有重放威胁。该方法优点是不需要时间同步，保存的信息量比随机数方式小。缺点是一旦攻击者对报文解密成功，就可以获得流水号，从而每次将流水号递增欺骗认证端。