我一直在创建一个使用 UDP 传输和接收信息的应用程序。我遇到的问题是安全性。现在我正在使用 IP/socketid 来确定哪些数据属于谁。
但是,我一直在阅读有关人们如何简单地欺骗他们的 IP,然后将数据作为特定 IP 发送的信息。所以这似乎是错误的做法(不安全)。那么我还应该如何识别哪些数据属于哪些用户呢?例如,您连接了 10 个用户,每个用户都有特定的数据。服务器需要将用户数据与我们收到的数据相匹配。
我能看到的唯一方法是使用某种客户端/服务器 key 系统并对数据进行加密。我很好奇其他应用程序(或游戏,因为这就是这个应用程序)如何确保它们的数据是真实的。还有一个事实是,加密的处理时间比未加密的要长得多。虽然我不确定它会对性能产生多大影响。
如有任何信息,我们将不胜感激。谢谢。
最佳答案
一种解决方案是使用 TCP,因为它不会因为 three-way-handshake 而在开放的互联网上欺骗源地址。 (More information 关于为什么 TCP 源地址欺骗不可能。)。如果您仍然想使用 UDP,您可以使用模拟的三向握手来开始连接。然后可以将 session ID 添加到每个 UDP 数据包。这将使连接开销增加 2 个数据包,每个数据包增加几位,但是与 tcp 相比,您仍然可以从 UDP 的剩余 session 速度中获益。
但是,使用 TCP 或 UDP 作为 transport layer仍然让您容易受到其他攻击,例如 Sniffing和 Man in The Middle使用 arp spoofing 进行攻击或 dns cache poising .另一个问题是,如果攻击者和玩家都在同一个本地局域网上,例如无线网络或另一个广播网络,那么无论源/目标地址如何,您都可以接收流量,只有这样欺骗三向握手是否成为可能(hmac 帮不上忙!)。最好的解决方案是使用 SSL/TLS 作为解决所有这些问题的传输层。
你不应该重新发明 wheal,但如果你出于某种原因需要加密 UDP,你应该使用像 RC4-drop1024 这样的流密码,或者更好的像 OFB Mode 中的 AES 256 这样的 block 密码.这将比其他加密模式节省带宽,因为它们四舍五入到最大块大小。
编辑: 基于 Marts 对(数据报传输层安全性)DTLS 的评论,我做了一些挖掘,发现有一个 official RFC并且它受 OpenSSL 支持,应该使用 pyOpenSSL 公开图书馆。我建议使用 RC4-SHA 密码套件来减少开销,该套件受 SSL 3.0(最新)支持。然而,DTLS 可能比 TCP 有更多的开销(LAG!)。
关于python - UDP 安全和识别传入数据,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2808092/
关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题?更新问题,以便editingthispost可以用事实和引用来回答它.关闭4年前。Improvethisquestion我想在固定时间创建一系列低音和高音调的哔哔声。例如:在150毫秒时发出高音调的蜂鸣声在151毫秒时发出低音调的蜂鸣声200毫秒时发出低音调的蜂鸣声250毫秒的高音调蜂鸣声有没有办法在Ruby或Python中做到这一点?我真的不在乎输出编码是什么(.wav、.mp3、.ogg等等),但我确实想创建一个输出文件。
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
有时我需要处理键/值数据。我不喜欢使用数组,因为它们在大小上没有限制(很容易不小心添加超过2个项目,而且您最终需要稍后验证大小)。此外,0和1的索引变成了魔数(MagicNumber),并且在传达含义方面做得很差(“当我说0时,我的意思是head...”)。散列也不合适,因为可能会不小心添加额外的条目。我写了下面的类来解决这个问题:classPairattr_accessor:head,:taildefinitialize(h,t)@head,@tail=h,tendend它工作得很好并且解决了问题,但我很想知道:Ruby标准库是否已经带有这样一个类? 最佳
在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?
这个问题在这里已经有了答案:关闭10年前。PossibleDuplicate:Pythonconditionalassignmentoperator对于这样一个简单的问题表示歉意,但是谷歌搜索||=并不是很有帮助;)Python中是否有与Ruby和Perl中的||=语句等效的语句?例如:foo="hey"foo||="what"#assignfooifit'sundefined#fooisstill"hey"bar||="yeah"#baris"yeah"另外,类似这样的东西的通用术语是什么?条件分配是我的第一个猜测,但Wikipediapage跟我想的不太一样。
什么是ruby的rack或python的Java的wsgi?还有一个路由库。 最佳答案 来自Python标准PEP333:Bycontrast,althoughJavahasjustasmanywebapplicationframeworksavailable,Java's"servlet"APImakesitpossibleforapplicationswrittenwithanyJavawebapplicationframeworktoruninanywebserverthatsupportstheservletAPI.ht
我正在尝试使用Curbgem执行以下POST以解析云curl-XPOST\-H"X-Parse-Application-Id:PARSE_APP_ID"\-H"X-Parse-REST-API-Key:PARSE_API_KEY"\-H"Content-Type:image/jpeg"\--data-binary'@myPicture.jpg'\https://api.parse.com/1/files/pic.jpg用这个:curl=Curl::Easy.new("https://api.parse.com/1/files/lion.jpg")curl.multipart_form_
导读语言模型给我们的生产生活带来了极大便利,但同时不少人也利用他们从事作弊工作。如何规避这些难辨真伪的文字所产生的负面影响也成为一大难题。在3月9日智源Live第33期活动「DetectGPT:判断文本是否为机器生成的工具」中,主讲人Eric为我们讲解了DetectGPT工作背后的思路——一种基于概率曲率检测的用于检测模型生成文本的工具,它可以帮助我们更好地分辨文章的来源和可信度,对保护信息真实、防止欺诈等方面具有重要意义。本次报告主要围绕其功能,实现和效果等展开。(文末点击“阅读原文”,查看活动回放。)Ericmitchell斯坦福大学计算机系四年级博士生,由ChelseaFinn和Chri
无论您是想搭建桌面端、WEB端或者移动端APP应用,HOOPSPlatform组件都可以为您提供弹性的3D集成架构,同时,由工业领域3D技术专家组成的HOOPS技术团队也能为您提供技术支持服务。如果您的客户期望有一种在多个平台(桌面/WEB/APP,而且某些客户端是“瘦”客户端)快速、方便地将数据接入到3D应用系统的解决方案,并且当访问数据时,在各个平台上的性能和用户体验保持一致,HOOPSPlatform将帮助您完成。利用HOOPSPlatform,您可以开发在任何环境下的3D基础应用架构。HOOPSPlatform可以帮您打造3D创新型产品,HOOPSSDK包含的技术有:快速且准确的CAD
