重放攻击，好生猛的家伙！

1.小黑的烦恼

大白和小黑是一对好工友，前阵子小黑跳槽到了一家做电商的头部互联网公司，目前还在试用期，整天战战兢兢搬砖，都累瘦了。

前几天小黑因为一个接口安全问题，差点没过试用期，真是不容易呀。

我们来看看是咋回事：

原来小黑写的接口遇到了重放攻击，让我们一起来帮帮小黑吧！

2.什么是重放攻击

2.1 重放攻击的定义

重放攻击(Replay Attacks)又称重播攻击、回放攻击，是指攻击者发送一个服务端已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。

重放攻击可以由发起者，也可以由拦截并重发该数据的敌方进行，攻击者利用网络监听或者其他方式盗取认证凭据，之后再把它重新发给认证服务器。

重放攻击在任何网络通信过程中都可能发生，是计算机世界黑客常用的攻击方式之一。

这个定义我最开始读的时候没太理解，看了几遍才看懂，其实表达了三层意思：

• 重放攻击就是攻击者把服务端收到过的数据包反复请求，由于是已经收到的合法包，如果服务端防范不当就可以顺利通过身份认证。

• 重放攻击的攻击者可以是合法的客户端，比如你的外部合作方搞错了循环了100次发相同的数据，还有一种是客户端和服务端交互时被窃取了，由中间人发起了攻击。

• 重放攻击很普遍，是一种常见的攻击防范，接口安全设计必须要考虑进去。

了解重放攻击概念之后，先看看小黑是如何设计接口的，再看问题在哪里以及解决方案是什么。

2.2小黑的设计方案

小黑设计的接口是为了接入外部数据，接入方比较多，数据推送量也比较大。

小黑是这么设计的：

• 每一个接入方分配唯一账号标记  data_from字段
• 每一个接入方分配唯一接入密钥  32位长的secret_key字段
• 接口中有几个必填字段，按照字典序排列生成字符串seg_str

data_from=abc