OSI七层体系结构?
1物理层 主要实现连接在计算机的各种传输媒体上传输比特流
2数据链路层 三个基本问题:封装成帧、透明传输、差错控制;主要的研究对象是局域网中的数据传递 ,在通信的实体间建立数据链路连接,CDMA/CD载波监听多点接入/碰撞监测
3网络层 负责为分组交换网上的不同的主机提供通信服务 有 IP协议和配套的 ARP地址转换协议 ICMP国际控制报文协议
IGMP国际组管理系统 路由选择协议:内部网关协议IGP:如: 基于距离向量的RIP协议、 开放最短路径优先的OSPF协议;外部网关协议EGP ,边界网关协议BGP
4运输层 主要负责为两台主机中进程之间的通信提供一个通用的数据传输服务 主要使用TCP传输控制协议和UDP用户数据报协议
5会话层 建立或者接触与其他接点的联系并提供访问验证和会话管理
6表示层 提供数据格式转化的一些服务比如解码编码,数据加密等功能
7应用层 访问网络 服务的接口 通过应用进程间的交互完成特定网络应用 如常见的DNS域名系统 万维网的HTTP协议 电子邮件的SMTP协议等等
2 TCP/IP体系结构 四层
一、物理层相关问题
1通信方式:单工、半双工、全双工
2信道复用:FDM频分复用
TDM时分复用
STDM统计时分复用(异步时分复用)
WDM波分复用 光的频分复用
CDM码分复用 CDMA码分多址
4宽带接入技术 ADSL技术 非对称数字用户线
FTTX技术 光纤技术
二、数据链路层
1封装成帧 透明传输 SOH和EOT 前边都加上一个转义字符ESC
2差错监测 循环冗余检验CRC (传送数据M后加了一个FCS帧检验序列)
3点对点的PPP协议
4 CDMA/CD 载波监听多点接入/碰撞检测
5 MAC层 ieee802.3标准
6 广播域 碰撞域
7交换机 集线器的区别
8交换机的学习功能
三、网络层
1分类的IP地址 <网络号,主机号>
ABC类单播通信 比较常用,网路号为8、16、24
D类多播的地址 E 保留为今后使用
(1)ARP地址解析协议 存放一个IP地址到硬件地址的一个映射表 解决的主要是同一个局域网内部的
RARP逆地址解析协议
(2)IP数据报头部(20字节)
2子网的划分 <网络号 子网号 主机号>
子网掩码和IP地址进行与运算 就可以得到子网的网络地址
增加了灵活性,但是减少了能连在网络上的主机个数
3构成超网 无分类编址 CIDR <网络前缀;主机号> /前缀数
4ICMP 国际控制报文协议 ICMP差错报告报文 ICMP询问报文
重要应用:分组网间探测 PING
5路由选择协议
IGP内部网关协议 RIP基于距离向量路由选择协议 OSPF开放最短路径优先路由选择协议
EGP外部网关协议 BGP边界网关协议
IPv6
1 IPv6的主要变化
(1更大的地址空间 从IPv4的32位增加到128位
(2扩展的地址层次结构
(3灵活的首部格式 IPv6有很多可选的拓展首部
(4改进的选项 允许数据报中包含有选项的控制信息
(5允许协议继续扩充
(6支持即插即用(自动配置)
(7支持资源预分配
(8 IPv6首部改为8字节对齐 原来IPv4是4字节对齐
2 Ipv4到IPv6的过渡方法:双协议栈或使用隧道技术
3 IP多播需要使用网际组管理协议IGMP和多播路由选择协议
4虚拟网络VPN
5地址转换技术NAT
四、运输层 运输层向上面的应用层提供通信服务
1 TCP传输控制协议
(1 TCP 面向连接的运输层协议 点对点通信 可靠交付 全双工通信 面向字节流
(2 TCP的连接作为最基本的抽象 TCP连接的端口叫做套接字或插口
(3 可靠交付原理:停止等待协议
无差错情况 出现差错(超时重传) 确认收到和确认迟到(ARQ自动重传请求)
优点:简单 缺点:信道利用率太低
(4拥塞控制
闭环控制(基于反馈环路的概念)
开环控制(设计时提前考虑周到)
TCP的拥塞控制方法:慢开始、拥塞避免 快重传 快恢复
(5 TCP的三次握手
TCP的四次挥手
2 UDP用户数据报协议
UDP 无连接的 尽最大努力交付 面向报文的 没有拥塞控制 支持一对一 一对多 多对一 和多对多的交互通信 首部开销小(源端口 目的端口 长度 检验和)
四、应用层 通过进程间的交互来完成特定网络应用
1 DNS域名系统
基于UDP 联机分布式数据库系统 端口号53
根域名服务器 顶级域名服务器 权限域名服务器
迭代查询(查询到信息后告诉本地域名,自己查)
递归查询(服务器替主机查询)
2 FTP 文件传送协议 端口号21
基于TCP 两个并行TCP(1个控制进程,1个数据传送进程)
3 TELNET 远程终端协议 端口号23
基于TCP 定义了网络虚拟终端NVT 协商双方平等
4 HTTP 超文本传送协议 80
基于TCP 但是本身HTTP是无连接的
HTTPS 端口号443
HTTPS是身披SSL外壳的HTTP。HTTPS是一种通过计算机网络进行安全通信的传输协议,经由HTTP进行通信,利用SSL/TLS建立全信道,加密数据包。HTTPS使用的主要目的是提供对网站服务器的身份认证,同时保护交换数据的隐私与完整性。PS:TLS是传输层加密协议,前身是SSL协议,
内容加密:采用混合加密技术,中间者无法直接查看明文内容
验证身份:通过证书认证客户端访问的是自己的服务器
保护数据完整性:防止传输的内容被中间人冒充或者篡改
**混合加密:**结合非对称加密和对称加密技术。客户端使用对称加密生成密钥对传输数据进行加密,然后使用非对称加密的公钥再对秘钥进行加密,所以网络上传输的数据是被秘钥加密的密文和用公钥加密后的秘密秘钥,因此即使被黑客截取,由于没有私钥,无法获取到加密明文的秘钥,便无法获取到明文数据。
**数字摘要:**通过单向hash函数对原文进行哈希,将需加密的明文“摘要”成一串固定长度(如128bit)的密文,不同的明文摘要成的密文其结果总是不相同,同样的明文其摘要必定一致,并且即使知道了摘要也不能反推出明文。
**数字签名技术:**数字签名建立在公钥加密体制基础上,是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来,形成了实用的数字签名技术。
5 简单邮件传送协议SMTP 端口号161
建立连接:建立TCP连接 建立后接收方发送就绪 客户端发送HELO命令 服务器接收或拒绝
发送信息 客户端MAIL命令开始 服务方回答OK或者指出错误信息
连接释放 客户端发送QUIT命令 服务器回复221(服务关闭)则结束
6 动态主机配置协议DHCP 即插即用联网机制
基于UDP 端口68
7简单网络管理协议SNMP 基于UDP
管理信息结构SMI功能:被管对象应怎么命名,用来存储被管对象的数据类型 在网络上传送的管理数据应如何编码
SNMP只有两中基本的管理功能 通过探询操作来实现
1读操作 用Get报文来检测各被管对象的状况
2写操作 用Set报文来改变各被管对象的状况
简单网络管理协议SNMP(用于网络设备的管理。网络设备种类多种多样,不同设备厂商提供的管理接口(如命令行接口)各不相同,这使得网络管理变得愈发复杂。为解决这一问题,SNMP应运而生。SNMP作为广泛应用于TCP/IP网络的网络管理标准协议,提供了统一的接口,从而实现了不同种类和厂商的网络设备之间的统一管理。
五 网络安全
1 面临两大类威胁 被动攻击 主动攻击
被动攻击:攻击者从网络上窃听他人的通信内容,成为截获;此时被动攻击只是观察和分析某一个协议数据单元PDU 不干扰信息流
主动攻击:
(1 篡改
(2 恶意程序 计算机病毒 计算机蠕虫 特洛伊木马 逻辑炸弹 后门入侵 流氓软件
(3 拒绝服务Dos 攻击者向互联网上的某个服务器不停地发送大量分组,致使该服务器无法提供正常服务
分布式拒绝服务DDos 从互联网上的其他网站集中攻击一个网站
也称网络带宽攻击或连通性攻击
计算机网络通信安全目标:1、防止析出报文内容和流量分析 2、防止恶意程序 3、监测更改报文流和拒绝服务
对付被动攻击:各种数据加密技术
对付主动攻击:加密技术和适当的鉴别技术相结合
2 两类密码体制:
(1 对称密钥密码体制 加密密钥和解密密钥事使用相同的密码体制 即对称密码体制
如:数字加密标准DES 密钥保密 算法公开
(2 公钥密码体制 使用不同的加密密钥和解密密钥
数字签名 实现 1、报文鉴别 2、报文完整性、3、不可否认
报文鉴别有 密码散列函数 MD5 和SHA-1
3应用层的安全协议
安全套接字SSL协议;运输层安全TLS协议
SSL作用在端系统应用层的HTTP和运输层之间 在TCP 之上建立一个安全通道 为TCP传输的应用层数据提供安全保障
TLS基于SSL设计的 为所有基于TCP的网络应用提供安全数据传输服务。
SSL工作过程
1、协商加密算法 2、服务器鉴别、3会话密钥计算、4、安全数据传输
4 系统安全 第一层防火墙 第二层入侵监测系统IDS
1 防火墙 一种访问控制技术 通过严格控制进出网络边界的分组,禁止不必要的通信,从而减少入侵的发生,尽可能降低这类安全威胁所带来的安全风险。但不可能阻止所有的入侵行为。
一种特殊的路由器 安装在一个网点和网络的其余部分之间,目的是实施访问控制策略。
防护墙技术分为两类
(1、分组过滤路由器 是一种具有分组过滤功能的路由器 根据过滤规则对进出内部网络的分组执行转发或者丢弃(即过滤)过滤规则事基于分组的网络层或者运输层首部的信息例如源/目的地址、源/目的端口、协议类型等 简单高效 且对用户是透明的,但不能对高层数据进行过滤 不能对某个用户某个特定应用进行某个特定的操作,不能支持应用层用户鉴别等(这些可以通过应用网关实现)
(2、应用网关(代理服务器)
例如万维网应用中的代理服务器 可以实现基于应用层数据的过滤和高层用户鉴别 所有进出网络的用户都必须通过应用网关;请求合法就转发报文给原始服务器,不合法就直接丢弃 例如邮件地址或者邮件首部
缺点:每一个应用都需要一个不同的应用网关 处理负担比较重,而且在应用程序不透明时 需要在应用程序客户端配置应用网关地址
2 入侵监测系统IDS
IDS是为了在入侵开始时采取措施,降低危害
IDS对进入网络的分组执行深度分组检查,监测到可疑分组时向网络管理员告警或者执行阻断操作
可以监测多种攻击:包括网络映射、端口扫描、Dos攻击、蠕虫和病毒、系统漏洞攻击等
1IDS分为基于特征的入侵监测和基于异常的入侵监测两种
(1 基于特征的入侵监测系统维护一个所有已知攻击标志性特征的数据库,每个特征是与入侵活动相关联的规则集,只能监测已知攻击,对未知攻击束手无策
(2 基于异常的入侵监测系统 通过观察正常运行的网络流量,学习正常流量的统计特性和规律,当监测到网络中流量的统计规律不符合正常情况时 则认为发生了入侵行为。
2、 常见的网络攻击方式有哪些?
网络攻击分为主动攻击和被动攻击;被动攻击一般时窃听他人信息为目的,成为截获;主动攻击主要有篡改、恶意程序(如病毒、蠕虫、特洛伊木马、逻辑炸弹、后门入侵、流氓软件等)
还有拒绝服务攻击DOS和分布式拒绝服务攻击DDOS,以及常见WEB中的XSS跨站脚本攻击 CSRF跨站请求攻击以及SQL注入等
3、 DOS和DDOS的区别
DOS的原理是