使套接字仅接受来自特定客户端的请求

Question

我有一个服务器来处理从客户端到 sql 数据库的请求。服务器接受请求并以 json 格式给出响应。我已经为服务器和客户端编写了代码，一切正常。虽然这仅适用于内部工具，但我担心有些人可能会尝试绕过客户端并将自己的 json 消息发送到服务器，以潜在地操纵 sql 数据库上的数据。

我不是安全专家，所以这是我的问题。确保服务器只接受来自我编写的客户端的请求的正确方法是什么，而不管它运行的机器或 IP 是什么？

我最初的想法是我应该加密服务器和客户端之间的消息，因此如果有人试图欺骗与未经授权的客户端的连接，他们将无法进行适当的加密。我也意识到我应该在服务器端进行身份验证，但这意味着传递凭据，因此无论如何都应该对消息进行加密。如果有更可接受的方式来做到这一点，我很想知道。如果没有，将不胜感激教程的链接。

正如标签所述，这是在 c++ 中的 linux 上。虽然我确信那里可能有一些开源库可以完全满足我的所有需求，但我对于我可以实际使用的库非常有限。

谢谢！

Answer 1

保护网络通信的事实标准是TLS（传输层安全）。它对 TCP 流进行加密和签名，而无需在网络上实际交换私钥。这可以防止 MITM 和重放攻击，并可以通过检查服务器和/或客户端的证书是否由受信任方 (CA) 签名或简单地预先存储其哈希值（指纹）来验证服务器和/或客户端的真实性。或者，TLS 只能用于加密流量，使用纯密码对客户端进行身份验证。

有实现 TLS 的 many 开源库。一种流行的是OpenSSL。

Answer 2

我向您介绍一些较低级别的过滤和保护措施，这些措施将补充其他软件措施（TLS、SSL、...）
由于服务器是本地的，因此只能由本地客户端访问。这允许您通过以下方式应用过滤：

• IP 地址
  当客户端连接时（在您的服务器的accept() 功能上），您有一个结构表明您的客户端的IP address。如果 IP 地址不在授权 IP 地址列表中，您可以拒绝。

• 主机名
  如果激活了 DHCP，您可以使用nslookup 命令获取主机名（机器名称）。您可以拒绝来自不属于您的受信任列表的主机名的连接。

nslookup xxx.yyy.zzz.www  // Give you the hosname of adresse  

• Mac 地址
  使用arp，可以获得客户端网卡的MAC地址（物理）。如果它的 MAC 地址不属于您的信任列表，您可以拒绝它。

arp -a  

备注

• 这需要您明确管理以下信任列表：IP 地址、MAC、主机名...
• 我提醒一下，这些措施只能在本地网络上应用，并且可以作为其他软件安全协议的补充应用