什么是SSL连接？

你好！

SSL连接全名SSL数字证书可凭借高强度签名算法，结合服务器端的加密协议，完成 Web 访问客户到服务器间的 https 加密传输。证书颁发机构对证书申请者进行严格、可靠的信息核实验证，使网站可信，防劫持、防篡改、防监听。为网站访问者提供真实、有效、安全的网站内容。

SSL证书起到对访客与网站之间的数据进行加密传输的作用，防止如账号、密码、信用卡等敏感数据在传输过程中被窃取，基本上有账号密码输入的网站都需要SSL证书，SSL证书还能防止传输数据被篡改，一旦传输数据被篡改，可能是被插入广告，插入危险代码，也有可能是网站流量劫持，让用户访问到其他网站。

ftps和sftp这两个协议怎么应用？

都是为ftp连接加密，协议非常相似。一个是借助ssl协议加密，一个时借助ssh加密。

ssl是为http/smtp等加密设计的，ssh是为telnet/ftp等加密、建立传输通道而设计的。

其实ssh建立传输通道就是为了加密和传输，而且这个通道是可以用来远程登录。

如果只说它们的功能，通俗的讲，ssh就像铺管子，ssl就像打包裹，铺管子和打包裹都会使数据安全，都是一个制作密钥的过程，而因为ssh是一个管子所以它很适合ftp的安全传输。其实，还是要从原理上总结一下。

简单的讲：sftp协议是ssh中的一条独立的协议，利用sftp服务器就可以传输数据。

而ftps是ftp-over-ssl的意思，即ftp借助ssl协议加密传输，不但要用ftp服务器还要用ssl协议加密。

（如果是ftp-over-ssh，就是完全不同于sftp的传输方式了，就是利用ftp服务器和ssh协议加密传输数据。）

sftp如何停止下载？

打开手机商城，点击下载管理，然后选择sftp软件，点击中断下载即可

termuxsftp怎么传本地文件？

答解决方法如下

1打开Termius，然后左侧菜单栏选择SFTP，即可看到SFTP界面。是本地目录，右边我们可以选择远程VPS，点击SELECTHOST，然后选择要连接的VPS进行连接即可。

2、连接之后，可以点击最上面的返回上机目录，也可以双击任意目录进入对应的目录。

3、然后我们右击想要上传的文件或者目录，选择Copytotargetdirectory即可进行传输。

如果是右击本地文件，就是从本地上传到VPS；如果是右击VPS的文件，那么就是从VPS下载到本地。

4、如果想要实现在两台VPS之间胡传文件，也很简单，只需要点击左侧的Local，然后选择一个VPS进行连接，之后就可以在两台VPS之间传输文件

什么安卓手机文件管理器最好用啊？

MT管理器采用双窗口操作风格，让你来回移动复制文件更加的便捷。还拥有查看、音乐播放、字体预览、执行脚本、文本对比等功能，还自带压缩解压功能，手机中的ZIP或RAR文件也能轻松解压处理。

参考:

https://blog51ctocom/ssxiaoguai/1576340

https://wwwlinuxprobecom/chapter-13html#134

DNS 欺骗 即域名信息欺骗是最常见的DNS 安全问题。当一个DNS 服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信 息，那么该DNS 服务器就被欺骗了。DNS 欺骗会使那些易受攻击的DNS 服务器产生许多安全问题，例如：将用户引导到错误的互联网站点，或者发送一个电子 邮件到一个未经授权的邮件服务器。

拒绝服务攻击（DOS）

黑客主要利用一些DNS 软件的 漏洞，如在BIND 9 版本（版本920 以前的 9 系列）如果有人向运行BIND的设备发送特定的DNS 数据包请求，BIND 就会自动关闭。攻击者只能使BIND 关闭，而无法在服务器上执行任意命令。如 果得不到DNS 服务，那么就会产生一场灾难：由于网址不能解析为IP 地址，用户将无方访问互联网。这样，DNS 产生的问题就好像是互联网本身所产生的问 题，这将导致大量的混乱。

分布式拒绝服务攻击（DDOS）

DDOS 攻击通过使用攻击者控制的几十台或几百台计算机攻击一台主机，使得服务拒绝攻击更难以防范：使服务拒绝攻击更难以通过阻塞单一攻击源主机的数据流，来防范服务拒绝攻击。Syn Flood 是针对DNS 服务器最常见的分布式拒绝服务攻击。

缓冲区漏洞

Bind 软件的 缺省设置是允许主机间进行区域传输（zone transfer）。区域传输主要用于主域名服务器与辅域名服务器之间的数据同步，使辅域名服务器可以从主域名服务器获得新的数据信息。一旦起用区域传输 而不做任何限制，很可能会造成信息泄漏，黑客将可以获得整个授权区域内的所有主机的信息，判断主机功能及安全性，从中发现目标进行攻击。

TSIG SIG0

DNS 的事务签名分为 TSIG (Transaction Signatures) 与 SIG0 (SIGnature)两种。该如何选择呢 首先，要先判断客户端与服务器间的信任关系为何，若是可信任者，可选择对称式的 TSIG。TSIG 只有一组密码，并无公开/私密金钥之分；若是非完全信任者，可选择非对称式金钥的 SIG0，虽有公开/私密金钥之分，相对的，设定上也较复杂。至于要选用哪种较适合，就由自己来判断。通常区带传输是主域名服务器到辅助域名服务器。通常 在主域名服务器配置文件/etc/namedconf 的dns-ip-list 的访问控制列表（ACL，access control list）会列出一些IP 地址，它们只能为主域进行传输区带信息。

DNSSEC 主要依靠公钥技术对于包含在DNS 中的信息创建密码签名。密码签名通过计算出一个密码hash数来提供DNS 中数据的完整性，并将该hash 数封装进行保护。私/公钥对中的私钥用来封装hash 数，然后可以用公钥把hash 数译出来。如果这个译出的hash 值匹配接收者刚刚计算出来的hash 树，那么表明数据是完整的。不管译出来的hash 数和计算出来的hash 数是否匹配，对于密码签名这种认证方式都是绝对正确的，因为公钥仅仅用于解密合法 的hash 数，所以只有拥有私钥的拥有者可以加密这些信息。

HTTPS在传输数据之前需要客户端（浏览器）与服务端（网站）之间进行一次握手，在握手过程中将确立双方加密传输数据的密码信息。TLS/SSL协议不仅仅是一套加密传输的协议，更是一件经过艺术家精心设计的艺术品，TLS/SSL中使用了非对称加密，对称加密以及HASH算法。握手过程的具体描述如下：

1浏览器将自己支持的一套加密规则发送给网站。

2网站从中选出一组加密算法与HASH算法，并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址，加密公钥，以及证书的颁发机构等信息。

3浏览器获得网站证书之后浏览器要做以下工作：

a) 验证证书的合法性（颁发证书的机构是否合法，证书中包含的网站地址是否与正在访问的地址一致等），如果证书受信任，则浏览器栏里面会显示一个小锁头，否则会给出证书不受信的提示。

b) 如果证书受信任，或者是用户接受了不受信的证书，浏览器会生成一串随机数的密码，并用证书中提供的公钥加密。

c) 使用约定好的HASH算法计算握手消息，并使用生成的随机数对消息进行加密，最后将之前生成的所有信息发送给网站。

4网站接收浏览器发来的数据之后要做以下的操作：

a) 使用自己的私钥将信息解密取出密码，使用密码解密浏览器发来的握手消息，并验证HASH是否与浏览器发来的一致。

b) 使用密码加密一段握手消息，发送给浏览器。

5浏览器解密并计算握手消息的HASH，如果与服务端发来的HASH一致，此时握手过程结束，之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密。

这里浏览器与网站互相发送加密的握手消息并验证，目的是为了保证双方都获得了一致的密码，并且可以正常的加密解密数据，为后续真正数据的传输做一次测试。另外，HTTPS一般使用的加密与HASH算法如下：

非对称加密算法：RSA，DSA/DSS

对称加密算法：AES，RC4，3DES

HASH算法：MD5，SHA1，SHA256

1、生成证书请求文件CSR

用户进行https证书申请的第一步就是要生成CSR证书请求文件，系统会产生2个密钥，一个是公钥就是这个CSR文件，另外一个是私钥，存放在服务器上。要生成CSR文件，站长可以参考WEB SERVER的文档，一般APACHE等，使用OPENSSL命令行来生成KEY+CSR2个文件，Tomcat，JBoss，Resin等使用KEYTOOL来生成JKS和CSR文件，IIS通过向导建立一个挂起的请求和一个CSR文件。

温馨提醒：如果是在沃通申请https证书，其数字证书商店（https://buywosigncom）已经支持CSR文件由系统自动生成，用户无需事先在Web服务器上生成CSR文件。请参考：SSL证书请求文件(CSR)生成指南网页链接

2、将CSR提交给CA机构认证

CA机构一般有2种认证方式：

(1)域名认证，一般通过对管理员邮箱认证的方式，这种方式认证速度快，但是签发的证书中没有企业的名称，只显示网站域名，也就是我们经常说的域名型https证书。

(2)企业文档认证，需要提供企业的营业执照。国外https证书申请CA认证一般一小时之内，紧急时5分钟。

同时认证以上2种方式的证书，叫EV https证书，EV https证书可以使浏览器地址栏变成绿色，所以认证也最严格。EV https证书多应用于金融、电商、证券等对信息安全保护要求较高的领域。

3、获取https证书并安装

在收到CA机构签发的https证书后，将https证书部署到服务器上，一般APACHE文件直接将KEY+CER复制到文件上，然后修改HTTPDCONF文件;TOMCAT等需要将CA签发的证书CER文件导入JKS文件后，复制到服务器，然后修改SERVERXML;IIS需要处理挂起的请求，将CER文件导入。

PC 和服务器之间通信加密

可以通过安装加密软件在 PC端和服务器端这样 PC 和服务器之间的传输会是明文显示，

其他的人得到的资料将会是乱码 。

或者采用认证模式 只有服务器端认证的用户才能等入，或者开启SSH 也是个不错的选择