计算机网络相关知识体系

转载

mob604757020b64 2021-09-27 22:24:00

文章标签 数据服务器应用层运输层首部 文章分类 后端开发

OSI七层体系结构？

1物理层主要实现连接在计算机的各种传输媒体上传输比特流

2数据链路层三个基本问题：封装成帧、透明传输、差错控制；主要的研究对象是局域网中的数据传递，在通信的实体间建立数据链路连接，CDMA/CD载波监听多点接入/碰撞监测

3网络层负责为分组交换网上的不同的主机提供通信服务有 IP协议和配套的 ARP地址转换协议 ICMP国际控制报文协议

IGMP国际组管理系统路由选择协议：内部网关协议IGP:如：基于距离向量的RIP协议、开放最短路径优先的OSPF协议；外部网关协议EGP ，边界网关协议BGP

4运输层主要负责为两台主机中进程之间的通信提供一个通用的数据传输服务主要使用TCP传输控制协议和UDP用户数据报协议

5会话层建立或者接触与其他接点的联系并提供访问验证和会话管理

6表示层提供数据格式转化的一些服务比如解码编码，数据加密等功能

7应用层访问网络服务的接口通过应用进程间的交互完成特定网络应用如常见的DNS域名系统万维网的HTTP协议电子邮件的SMTP协议等等

2 TCP/IP体系结构四层

一、物理层相关问题

1通信方式：单工、半双工、全双工

2信道复用：FDM频分复用

TDM时分复用

STDM统计时分复用（异步时分复用）

WDM波分复用光的频分复用

CDM码分复用 CDMA码分多址

4宽带接入技术 ADSL技术非对称数字用户线

FTTX技术光纤技术

二、数据链路层

1封装成帧透明传输 SOH和EOT 前边都加上一个转义字符ESC

2差错监测循环冗余检验CRC （传送数据M后加了一个FCS帧检验序列）

3点对点的PPP协议

4 CDMA/CD 载波监听多点接入/碰撞检测

5 MAC层 ieee802.3标准

6 广播域碰撞域

7交换机集线器的区别

8交换机的学习功能

三、网络层

1分类的IP地址 <网络号，主机号>

ABC类单播通信比较常用，网路号为8、16、24

D类多播的地址 E 保留为今后使用

（1）ARP地址解析协议存放一个IP地址到硬件地址的一个映射表解决的主要是同一个局域网内部的

RARP逆地址解析协议

（2）IP数据报头部（20字节）

计算机网络相关知识体系_首部

2子网的划分 <网络号子网号主机号>

子网掩码和IP地址进行与运算就可以得到子网的网络地址

增加了灵活性，但是减少了能连在网络上的主机个数

3构成超网无分类编址 CIDR <网络前缀；主机号> /前缀数

4ICMP 国际控制报文协议 ICMP差错报告报文 ICMP询问报文

重要应用：分组网间探测 PING

5路由选择协议

IGP内部网关协议 RIP基于距离向量路由选择协议 OSPF开放最短路径优先路由选择协议

EGP外部网关协议 BGP边界网关协议

IPv6

计算机网络相关知识体系_首部_02

1 IPv6的主要变化

（1更大的地址空间从IPv4的32位增加到128位

（2扩展的地址层次结构

（3灵活的首部格式 IPv6有很多可选的拓展首部

（4改进的选项允许数据报中包含有选项的控制信息

（5允许协议继续扩充

（6支持即插即用（自动配置）

（7支持资源预分配

（8 IPv6首部改为8字节对齐原来IPv4是4字节对齐

2 Ipv4到IPv6的过渡方法：双协议栈或使用隧道技术

3 IP多播需要使用网际组管理协议IGMP和多播路由选择协议

4虚拟网络VPN

5地址转换技术NAT

四、运输层运输层向上面的应用层提供通信服务

1 TCP传输控制协议

（1 TCP 面向连接的运输层协议点对点通信可靠交付全双工通信面向字节流

（2 TCP的连接作为最基本的抽象 TCP连接的端口叫做套接字或插口

（3 可靠交付原理：停止等待协议

无差错情况出现差错（超时重传）确认收到和确认迟到(ARQ自动重传请求)

优点：简单缺点：信道利用率太低

（4拥塞控制

闭环控制（基于反馈环路的概念）

开环控制（设计时提前考虑周到）

TCP的拥塞控制方法：慢开始、拥塞避免快重传快恢复

（5 TCP的三次握手

TCP的四次挥手

2 UDP用户数据报协议

UDP 无连接的尽最大努力交付面向报文的没有拥塞控制支持一对一一对多多对一和多对多的交互通信首部开销小（源端口目的端口长度检验和）

四、应用层通过进程间的交互来完成特定网络应用

1 DNS域名系统

基于UDP 联机分布式数据库系统端口号53

根域名服务器顶级域名服务器权限域名服务器

迭代查询（查询到信息后告诉本地域名，自己查）

递归查询（服务器替主机查询）

2 FTP 文件传送协议端口号21

基于TCP 两个并行TCP（1个控制进程，1个数据传送进程）

3 TELNET 远程终端协议端口号23

基于TCP 定义了网络虚拟终端NVT 协商双方平等

4 HTTP 超文本传送协议 80

基于TCP 但是本身HTTP是无连接的

HTTPS 端口号443

HTTPS是身披SSL外壳的HTTP。HTTPS是一种通过计算机网络进行安全通信的传输协议，经由HTTP进行通信，利用SSL/TLS建立全信道，加密数据包。HTTPS使用的主要目的是提供对网站服务器的身份认证，同时保护交换数据的隐私与完整性。PS:TLS是传输层加密协议，前身是SSL协议，

内容加密：采用混合加密技术，中间者无法直接查看明文内容

验证身份：通过证书认证客户端访问的是自己的服务器

保护数据完整性：防止传输的内容被中间人冒充或者篡改

**混合加密：**结合非对称加密和对称加密技术。客户端使用对称加密生成密钥对传输数据进行加密，然后使用非对称加密的公钥再对秘钥进行加密，所以网络上传输的数据是被秘钥加密的密文和用公钥加密后的秘密秘钥，因此即使被黑客截取，由于没有私钥，无法获取到加密明文的秘钥，便无法获取到明文数据。

**数字摘要：**通过单向hash函数对原文进行哈希，将需加密的明文“摘要”成一串固定长度(如128bit)的密文，不同的明文摘要成的密文其结果总是不相同，同样的明文其摘要必定一致，并且即使知道了摘要也不能反推出明文。

**数字签名技术：**数字签名建立在公钥加密体制基础上，是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来，形成了实用的数字签名技术。

5 简单邮件传送协议SMTP 端口号161

建立连接：建立TCP连接建立后接收方发送就绪客户端发送HELO命令服务器接收或拒绝

发送信息客户端MAIL命令开始服务方回答OK或者指出错误信息

连接释放客户端发送QUIT命令服务器回复221（服务关闭）则结束

6 动态主机配置协议DHCP 即插即用联网机制

基于UDP 端口68

7简单网络管理协议SNMP 基于UDP

管理信息结构SMI功能：被管对象应怎么命名，用来存储被管对象的数据类型在网络上传送的管理数据应如何编码

SNMP只有两中基本的管理功能通过探询操作来实现

1读操作用Get报文来检测各被管对象的状况

2写操作用Set报文来改变各被管对象的状况

简单网络管理协议SNMP（用于网络设备的管理。网络设备种类多种多样，不同设备厂商提供的管理接口（如命令行接口）各不相同，这使得网络管理变得愈发复杂。为解决这一问题，SNMP应运而生。SNMP作为广泛应用于TCP/IP网络的网络管理标准协议，提供了统一的接口，从而实现了不同种类和厂商的网络设备之间的统一管理。

五网络安全

1 面临两大类威胁被动攻击主动攻击

被动攻击：攻击者从网络上窃听他人的通信内容，成为截获；此时被动攻击只是观察和分析某一个协议数据单元PDU 不干扰信息流

主动攻击：

（1 篡改

（2 恶意程序计算机病毒计算机蠕虫特洛伊木马逻辑炸弹后门入侵流氓软件

（3 拒绝服务Dos 攻击者向互联网上的某个服务器不停地发送大量分组，致使该服务器无法提供正常服务

分布式拒绝服务DDos 从互联网上的其他网站集中攻击一个网站

也称网络带宽攻击或连通性攻击

计算机网络通信安全目标：1、防止析出报文内容和流量分析 2、防止恶意程序 3、监测更改报文流和拒绝服务

对付被动攻击：各种数据加密技术

对付主动攻击：加密技术和适当的鉴别技术相结合

2 两类密码体制：

（1 对称密钥密码体制加密密钥和解密密钥事使用相同的密码体制即对称密码体制

如：数字加密标准DES 密钥保密算法公开

（2 公钥密码体制使用不同的加密密钥和解密密钥

数字签名实现 1、报文鉴别 2、报文完整性、3、不可否认

报文鉴别有密码散列函数 MD5 和SHA-1

3应用层的安全协议

安全套接字SSL协议；运输层安全TLS协议

SSL作用在端系统应用层的HTTP和运输层之间在TCP 之上建立一个安全通道为TCP传输的应用层数据提供安全保障

TLS基于SSL设计的为所有基于TCP的网络应用提供安全数据传输服务。

SSL工作过程

1、协商加密算法 2、服务器鉴别、3会话密钥计算、4、安全数据传输

4 系统安全第一层防火墙第二层入侵监测系统IDS

1 防火墙一种访问控制技术通过严格控制进出网络边界的分组，禁止不必要的通信，从而减少入侵的发生，尽可能降低这类安全威胁所带来的安全风险。但不可能阻止所有的入侵行为。

一种特殊的路由器安装在一个网点和网络的其余部分之间，目的是实施访问控制策略。

防护墙技术分为两类

（1、分组过滤路由器是一种具有分组过滤功能的路由器根据过滤规则对进出内部网络的分组执行转发或者丢弃（即过滤）过滤规则事基于分组的网络层或者运输层首部的信息例如源/目的地址、源/目的端口、协议类型等简单高效且对用户是透明的，但不能对高层数据进行过滤不能对某个用户某个特定应用进行某个特定的操作，不能支持应用层用户鉴别等（这些可以通过应用网关实现）

（2、应用网关（代理服务器）

例如万维网应用中的代理服务器可以实现基于应用层数据的过滤和高层用户鉴别所有进出网络的用户都必须通过应用网关；请求合法就转发报文给原始服务器，不合法就直接丢弃例如邮件地址或者邮件首部

缺点：每一个应用都需要一个不同的应用网关处理负担比较重，而且在应用程序不透明时需要在应用程序客户端配置应用网关地址

2 入侵监测系统IDS

IDS是为了在入侵开始时采取措施，降低危害

IDS对进入网络的分组执行深度分组检查，监测到可疑分组时向网络管理员告警或者执行阻断操作

可以监测多种攻击：包括网络映射、端口扫描、Dos攻击、蠕虫和病毒、系统漏洞攻击等

1IDS分为基于特征的入侵监测和基于异常的入侵监测两种

（1 基于特征的入侵监测系统维护一个所有已知攻击标志性特征的数据库，每个特征是与入侵活动相关联的规则集，只能监测已知攻击，对未知攻击束手无策

（2 基于异常的入侵监测系统通过观察正常运行的网络流量，学习正常流量的统计特性和规律，当监测到网络中流量的统计规律不符合正常情况时则认为发生了入侵行为。

2、常见的网络攻击方式有哪些？

网络攻击分为主动攻击和被动攻击；被动攻击一般时窃听他人信息为目的，成为截获；主动攻击主要有篡改、恶意程序（如病毒、蠕虫、特洛伊木马、逻辑炸弹、后门入侵、流氓软件等）