計算機網路知識點全面總結(網路安全)
網路攻擊的常見方式,對稱密碼體制和公鑰密碼體制,數字簽名與保密通訊,金鑰分配(KDC,CA)
網路攻擊的常見方式:
從原站截獲資料
篡改從原站截獲的資料
用惡意程式攻擊目的站
多主機訪問目的站導致拒絕服務
對稱密碼體制和公鑰密碼體制
:
對稱金鑰密碼體制:E 和 D 公開,K1 和 K2 保密(K1=K2),加密金鑰和解謎金鑰相同
公鑰密碼體制:E 和 D 公開,K1 公開,K2(保密),每人都有一堆金鑰(公鑰與私鑰),且二者不同
特點:
金鑰對產生器產生出接收者 B 的一對金鑰:加密金鑰 PKb 和解謎金鑰 SKb。傳送者 A 所用的加密金鑰 PKb 就是接收者 B 的公鑰,它向公眾公開。而 B 所用的解密金鑰 SKb 就是接收者 B 的私鑰,對其他人保密
傳送者 A 用 B 的公鑰 PKb 透過 E 運算對明文 X 加密,得出密文 Y,傳送給 B。B 用自己的私鑰 SKb 透過 D 運算進行解密,恢復出明文
雖然公鑰可以用來加密,但卻不能用來解密
數字簽名與保密通訊
:
數字簽名的特點:
接收者能夠核實傳送者對報文的簽名。報文鑑別
接收者確信所收到的資料和傳送者傳送的完全一樣沒有被篡改過。報文的完整性
傳送者事後不能抵賴對報文的簽名。不可否認
秘鑰分配(KDC,CA):
第八章 無線區域網
兩類 WLAN,AdHoc,無線感測器網路,CSMA/CA,802。11 幀(四個地址)
兩類 WLAN:
有固定基礎設施的 WLAN
主機之間的通訊必須透過 AP 的轉發
無固定基礎設施的 WLAN(移動自組織網路 Adhoc)
無 AP,臨時網路,不和其他網路連線;結點需執行路由選擇協議,結點需轉發分組
無線感測器網路 WSN:
低功耗、低寬頻、低儲存容量、物聯網
CSMA/CA:
情景:A 要傳送資料給 B,C 也想傳送資料給 D
A 監聽到通道空閒,等待一個分佈幀間隔 DIFS(128μs)後傳送該幀
B 收到資料幀後,等待一個短幀間隔 SIFS(28μs)後發回一個確認幀
C 監聽到通道忙,選取一個隨機回退值繼續偵聽。如果通道空閒遞減該值,如果通道忙保持該值;當回退值 = 0 時,傳送幀並等待確認
CSMA/CA 可能發生碰撞的兩種情況:
A 和 C 監聽到通道忙,各選取一個隨機回退值繼續偵聽
當兩個回退值同時為 0 時,A 和 C 同時傳送資料
隨機回退值相近
情景 A 要傳送資料給 B,C 也想傳送資料給 D
* 隱蔽站問題 情景: A 要傳送資料給 B,C 也想傳送資料給 B - C 在 A 的傳輸範圍之外,A 和 C 都認為通道空閒,都向 B 傳送資料–將發生碰撞
802。11 幀:
其他
歸納比較:
地址長度(MAC 地址,IPv4 地址,IPv6 地址,埠號)
MAC 地址:6 個位元組。前三個位元組是組織唯一識別符號(24 位)由 IEEE 註冊管理機構 RA 分配,後三個位元組是擴充套件唯一識別符號(24 位元組)由廠家自行指派
IPv4 地址:32 位元,4 個位元組。用來標識主機、路由器的介面
IPv6 地址:128 位,16 位元組。可以用冒號十六進位制記法、零壓縮表示法、CIDR 表示法等表示。有組播地址;單播地址;任播地址三種分類
埠號:16bit,運輸層透過埠號來區別相同計算機所提供的這些不同的服務
首部長度(幀首部,IPv4 首部,IPv6 首部)
幀首部:乙太網幀首部加尾部長度共為 18 位元組
IPv4 首部:首部固定長度為 20 位元組加上選項長度(0~40)
IPv6 首部:基本首部長度為 40 位元組
差錯檢驗(幀校驗 CRC,IPv4,TCP 和 UDP 的校驗檢驗和)
幀校驗 CRC
在傳送端先把陣列按照一定劃分大小劃分為組,假設每組 K 個位元,要傳輸的資料位 M,傳送方要做的就是在資料 M 後面新增用於差錯檢驗的 n 位冗雜碼,然後構成一個幀傳送出去,也就是說此時傳送的資料在原理基礎上增加了 n 為冗雜碼
首先在原資料 M 後面新增 n 個 0 相當於左移 n 位,此時資料長度變為原理的每組 K 個位元加 n 即(k+n)位。然後用該序列除以在計算之前規定的一個長度為(n+1)位的除數 p,根據二進位制的模 2 運算,計算出餘數 R。這個餘數 R 就會作為冗雜碼拼接在原資料後面傳送出去
模 2 演算法:一樣為 0,不同為 1
接收方把收到的每一個幀都除以同樣的除數,然後檢查得到的餘數 R。R=0 即這個幀沒問題,接受;R!=0,則判斷這個幀有錯。
IPv4 校驗檢驗和
先設定 “首部檢驗和” 欄位為 0
將首部每 2 個位元組當做一個數
將所有數相加求和,進位累加 “3029F=02A2”
對求和結果求反得:FD5D
則傳送方傳送的 IP 分組首部的檢驗和為:FD5D
接受方收到的 IP 資料報要進行檢驗
將首部每 2 個位元組當做一個數
將所有數相加求和,進位累加:3FFFC=FFFF
對求和結果求反,得:0000
結論:收到的 IP 分組首部沒有檢測出差錯
UDP 校驗檢驗和
UDP 校驗檢驗和在計算檢驗和時,要在 UDP 使用者資料報之前增加偽首部。把首部,偽首部,資料部分一起都檢驗。
在傳送方,首先是先把全零放入檢驗和欄位,在把偽首部以及 UDP 使用者資料報看成是由許多 16 位字串接起來。若 UDP 使用者資料報的資料部分不是偶數字節,則要填入一個全零位元組(但不傳送)。按二進位制演算法將他們相加,再求反碼即為檢驗和
在接收方,把收到的 UDP 使用者資料報連同偽首部一起,按照二進位制反碼求這些 16 位字的和。當無差錯時其結果應為全 1;否則就表明有差錯
UDP 的偽首部由源 IP 地址,目的 IP 地址,0,協議號 17,UDP 資料報長度組成
TCP 校驗檢驗和
與 UDP 校驗檢驗和十分相像,僅在偽首部的協議號由 17 改為 6,UDP 長度改為 TCP 長度上有區別
路由技術(RIP,OSPF,BGP,MPLS)
RIP
內部閘道器協議,分散式基於距離向量的路由選擇協議。RIP 要求網路中的每一個路由器都要維護從它自己到其他每一個目的網路的距離記錄,使用跳數表示目標地址的路由距離。這種協議的路由器只關心自己周圍的世界,只與自己相鄰的路由器交換資訊,範圍限制在 15 跳以內
OSPF
開放式最短路徑優先,用著名的迪克斯特演算法計算最短路徑樹,使用分散式鏈路狀態協議。會講一個自治系統劃分為若干個小區域,利用洪泛法交換狀態資訊
BGP
邊界閘道器協議 BGP,只能力求尋找一條能夠到達目的網路且比較好的路由,並非要尋找一條最佳路由。採用了路徑向量路由選擇協議。在配置 BGP 時,每一個自治系統的管理員要選擇至少一個路由器作為該自治系統的 BGP 發言人。一般來說,兩個 BGP 發言人都是透過一個共享網路連線到一起的,而 BGP 發言人往往就是 BGP 邊界路由器,但也可以不是 BGP 邊界路由器。一個 BGP 發言人與其他 AS 的 BGP 發言人要交換路由資訊,就要先建立 TCP 連線(埠號 179),然後在此連線上交換 BGP 報文以建立 BGP 會話,利用 BGP 會話交換路由資訊。
MPLS
多協議標記交換 MPLS,利用面向連線技術,使每個分組攜帶一個叫做 “標記” 的小整數,當分組到達交換機時,交換機讀取分組的標記,並用標記值來檢索分組交換表,再進行將標記由入標記兌換成出標記後,將報文發出到下一個 LSR(標記交換路由器)。當到達出口時,MPLS 域的出口結點就把 MPLS 的標記去除,發給正常的主機和路由器
資料交換(電路交換,報文交換,分組交換)
電路交換
由於電路交換在通訊之前要在通訊雙方之間建立一條被雙方獨佔的物理通路(由通訊雙方之間的交換裝置和鏈路鑄逐段連線而成),電話交換的經典應用就是電話通訊網路。電話通訊有三個階段:建立、通話、拆除
報文交換
報文交換是以報文為資料交換的單位,報文攜帶有目標地址、源地址等資訊,在交換節點採用儲存轉發的傳輸方式
分組交換
分組交換仍採用儲存轉發傳輸方式,但將一個長報文先分割為若干個較短的分組,然後把這些分組(攜帶源、目的地址和編號資訊)逐個地傳送出去。是現在計算機較常使用的交換方式
TCP 與 UDP
TCP
傳輸控制協議,是面向連線的協議,也就是說,在收發資料前,必須和對方建立可靠的連線。一個 TCP 連線必須需要經過三次 “對話” 才能建立起來,而結束需要四次“對話”
UDP
UDP 是一個非連線的協議,傳輸資料之前源端和終端不建立連線,當它想傳送時就簡單地去抓取來自應用程式的資料,並儘可能快地把它扔到網路上。在傳送端,UDP 傳送資料的速度僅僅是受應用程式生成資料的速度、計算機的能力和傳輸寬頻的限制;在接收端,UDP 把每個訊息端放在佇列中,應用程式每次從佇列中讀一個訊息端
由於傳輸資料不建立連線,因此也就不需要維護連線狀態,包括收發狀態等,因此一臺服務機可同時向多個客戶機傳輸相同的訊息。
IPv4 與 IPv6
IPv6 的優點:
更大的地址空間
擴充套件的地址層次結構
靈活的首部格式
改進的選項
允許協議的繼續擴充
支援即插即用
支援資源的預分配
8 位元組對齊
IPv4 和 IPv6 的區別:
取消了首部長度欄位,因為它的首部長度是固定的
取消了服務型別欄位,因為優先順序和流標號欄位實現了服務型別欄位的功能
取消了總長度欄位,改用有效載荷長度欄位
取消了標識標誌和片偏移欄位,因為這些功能已包含在分片擴充套件首部中
把 TTL 欄位改稱為跳數限制欄位,但作用是一樣的
取消了協議欄位,改用下一個首部欄位
取消了檢驗和欄位,這樣加快了路由器處理資料報的速度
取消了選項欄位,而是擴充套件首部來實現選項功能
P2P 與 C/S
P2P
p2p 對等連線是指兩臺主機在通訊時並不區分哪一個是服務請求方哪個是服務提供方,只要兩臺主機都運行了對等連線軟體。他們就可以進行平等的、對等連線通訊
C/S
指客戶端伺服器方式,都是指通訊中所涉及的兩個應用程序,客戶是服務請求方,伺服器是服務提供方。
搜尋引擎(全文檢索與分類目錄)
全文檢索
全文檢索搜尋引擎是一種純技術型的檢索工具。它的工作原理是透過搜尋軟體到網際網路上的各網站收集資訊,找到一個網站後可以從這個網站再連線到另一個網站,像蜘蛛爬行一樣。然後按照一定的規則建立一個很大的線上索引資料庫供使用者查詢。使用者在查詢時只要輸入關鍵詞,就從已經建立的索引資料庫裡查詢。
分類目錄檢索
分類目錄搜尋引擎並不採集網站的任何資訊,而是利用各網站向搜尋引擎提交網站資訊時填寫的關鍵詞和網站描述等資訊,經過人工稽核編輯後,如果認為符合網站的登入條件,則輸入到分類目錄的資料庫中,供網上使用者查詢
CSMA/CD 與 CSMA/CA
CSMA/CD
載波監聽多點接入 / 碰撞檢測技術
多點接入,就是說明這是匯流排型網路許多計算機以多點接入的方式連線在一根總線上。協議的本質是載波監聽和碰撞檢測
載波監聽,就是用電子技術檢測總線上有沒有其他計算機也在傳送,就是檢測通道,不管在傳送前,還是在傳送中,每個站都必須不停地檢測通道
碰撞檢測,也就是邊傳送邊監聽,即介面卡邊傳送資料邊檢測通道上的訊號電壓的變化情況,以便判斷自己在傳送資料時其他站是否也在傳送資料。當電壓變化幅度超過限制值,就認為總線上至少有兩個站同時在傳送資料。
CSMA/CA
就是帶有衝突避免的 CSMA/CD,屬於升級版,主要應用在無線網路上
網路攻擊方式(蠕蟲,木馬,邏輯炸彈,後門入侵,流氓軟體,竊聽,拒絕服務攻擊)
蠕蟲、木馬、邏輯炸彈、後門入侵、流氓軟體
都是屬於惡意程式
竊聽
從源站截獲後再發給目的站
拒絕服務攻擊
指攻擊者向網際網路上的某個伺服器不停地傳送大量分組,使該伺服器無法提供正常的服務,甚至完全癱瘓
主要命令
ipconfig 命令(/all,/displaydns,/flushdns,/release,/renew)
ipconfig /all
顯示它已配置且所要使用的附加資訊,並且顯示內置於本地網絡卡中的物理地址
ipconfig /displaydns
顯示本地 DNS 內容
ipconfig /flushdns
清除本地 DNS 快取內容
ipconfig /release
所有介面的租用 IP 地址便重新交付給 DHCP 伺服器
ipconfig /renew
本地計算機便設法與 DHCP 伺服器取得聯絡,並租用一個 IP 地址
ping 命令(-n,-l,-t 等引數)
ping -n count
count 引數指定傳送的 echo 資料包數,預設為 4
ping -l size
定義 echo 資料包大小。預設為 32 位元組
ping -t
想目標主機連續不斷髮送資料包,直到被使用者已 ctrl+C 中斷
traceroute 命令
traceroute
檢視傳送到目標網站的路徑
arp 命令(-a,-d,-s 引數)
arp -a
顯示 ARP 表中所有專案
arp -d
清除 ARP 快取記憶體中所有專案
arp -s
向 ARP 快取記憶體中新增靜態表項
術語:ISP,IXP,Hub,LAN,MAN,WAN,WLAN,VLAN,P2P,C/S,CSMA/CD,CSMA/CA,LiFi,Wifi,ADSL,HFC,FTTH,URL,VPN,IPSec,NAT,ICMP,IGMP,MSS,BGP, 自治系統 AS,HTTPS,MPLS,AP,SSID,AdHoc, 區塊鏈
ISP
網際網路服務提供者 ISP,在許多情況下 ISP 就是一個進行商業活動的公司
IXP
網際網路交換點 IXP 的主要作用就是允許兩個網路直接相連並交換分組,而不需要再透過第三個網路轉發
Hub
多埠轉發器 Hub,在以 Hub 為中心裝置時,即使網路中某跳線路產生了故障,並不影響其他線路的工作。所以 HUB 在區域網中得到了廣泛的應用
LAN
區域網,一般用微型計算機或工作站透過高速通訊線路相連,但地理上則侷限在較小的範圍
MAN
都會網路,作用範圍一般是一個城市,可跨越幾個街區甚至整個城市,其作用距離是 5~50Km
WAN
廣域網,作用範圍通常是幾十到幾千公里,因而有時也稱為遠端網。是網際網路的核心部分,其任務是透過長距離運送主機所傳送的資料
WLAN
無線區域網,是指應用無線通訊技術將計算機互聯起來,構成可以互相通訊和實現資源共享的網路體系。無線區域網本質的特點是不再使用通訊電纜將計算機與網路連線起來,而是透過無線的方式連線,從而使網路的構建和終端的移動更加靈活
VLAN
虛擬區域網,是一組邏輯上的裝置和使用者,這些裝置和使用者並不受物理位置的限制,可以根據功能、部門應用等因素將它們組織起來,相互之間的通訊就好像它們在同一個網段中一樣
P2P
對等連線,是指兩臺主機在通訊時並不區分哪一個是服務請求方哪一個是服務提供方。只要兩臺主機都運行了對等連線軟體,他們就可以平等的、對等連線通訊
C/S
客戶 - 伺服器方式,客戶和伺服器都是指通訊中所涉及的兩個應用程序,客戶是服務請求方,伺服器是服務提供方
CSMA/CD
載波監聽多點接入 / 碰撞檢測技術
多點接入,就是說明這是匯流排型網路許多計算機以多點接入的方式連線在一根總線上。協議的本質是載波監聽和碰撞檢測
載波監聽,就是用電子技術檢測總線上有沒有其他計算機也在傳送,就是檢測通道,不管在傳送前,還是在傳送中,每個站都必須不停地檢測通道
碰撞檢測,也就是邊傳送邊監聽,即介面卡邊傳送資料邊檢測通道上的訊號電壓的變化情況,以便判斷自己在傳送資料時其他站是否也在傳送資料。當電壓變化幅度超過限制值,就認為總線上至少有兩個站同時在傳送資料。
CSMA/CA
帶有衝突避免的載波監聽多路訪問技術
是一種資料傳輸時避免各站點之間資料傳輸衝突的演算法,其特點是傳送包的同時不能檢測到通道上有無衝突,只能儘量避免
LiFi
可見光通訊 LiFi,點一盞 LED 燈就能上網
WiFi
使用 802。11 系列協議的區域網又稱為 WiFi
ADSL
非對稱數字使用者線技術 ADSL,用數字技術對現有的模擬電話使用者線進行改造,使其能夠承受寬頻數字業務。
ADSL 由三個部分組成:數字使用者線接入複用器 DSLAM、使用者線和使用者家中的一些設施。其中 DSLAM 包括許多 ADSL 調變解調器,也稱接入端接單元 ATU。需要成對使用,使用者端的是 ATU-R 和電話分離器連線;電話端局的是 ATU-C
HFC
光纖同軸混合網 HFC 網
是在有限電視網的基礎上開發的一種居民寬頻接入網。機頂盒連線在同軸電纜和使用者的電視機之間,使模擬電視機能夠接受數字電視訊號。還需要增加一個為 HFC 網使用的調變解調器,它又稱為電纜調變解調器。不需要成對使用,而只需安裝在使用者端。
FTTH
FTTX 技術即光線到 x 技術,最常見的是 FTTH 光線到戶技術,也有 FTTC 到路邊、FTTZ 到小區、FTTO 到辦公室、FTTB 到大樓、FTTF 到樓層、FTTD 到桌面等。
URL
統一資源定位符 URL,是用來表示從網際網路上得到的資源位置和訪問這些資源的方法
URL 給資源的位置提供一種抽象的識別方法,並用這種方法給資源定位
<協議>://< 主機 >:< 埠 >/< 路徑 >
VPN
虛擬專用網 VPN, 在公用網路上建立專用網路,進行加密通訊。VPN 閘道器透過對資料包的加密和資料包目標地址的轉換實現遠端訪問
IPSec
是一個協議報,透過對 IP 協議的分組進行加密和認證來保護協議的網路傳輸協議族
NAT
網路地址轉換 NAT,需要在專用網連線到網際網路的路由器上安裝 NAT 軟體。裝有 NAT 軟體的路由器叫做 NAT 路由器,它至少有一個有效的外部全球 IP 地址。
ICMP
網際組控制協議 ICMP
IGMP
網際組管理協議 IGMP,使用 IP 資料報傳遞其報文,但他也向 IP 提供服務。
第一步,當某臺主機加入新的多播組時,該主機應向多播組的多播地址傳送一個 IGMP 報文。
MSS
最大報文段長度 MSS,是每一個 TCP 報文中的資料欄位的最大長度
BGP
外部閘道器協議 BGP,只能力求尋找一條能夠到達目的網路且比較好的路由,並非尋找一條最佳路由,BGP 採用了路徑向量路由選擇協議。
自治系統 AS
是一個有權自主地決定在本系統中應採用何種路由協議的小型單位。
HTTPS
超文字傳送協議 HTTP,HTTPS 是以安全為目的的 HTTP 通道,在 HTTP 的基礎上透過傳輸加密和身份認證保證了傳輸過程的安全性。在 HTTP 的基礎上加入了 SSL,HTTPS 的安全基礎是 SSL,因此加密的詳細內容就需要 SSL。
MPLS
多協議標記交換 MPLS,多協議表示在 MPLS 的上層可以採用多種協議。MPLS 利用面向連線技術,使每個分組攜帶一個叫做標記的小整數。當分組到達交換機時,交換機讀取分組的標記,並用標記值來檢索分組轉換表
AP
接入點,基本服務集內的基站叫做 AP,其作用和網橋類似
SSID
服務集識別符號 SSID,即 WLAN 的名稱,當網路管理員安裝 AP 時,必須為該 AP 分配一個不超過 32 位元組的服務集識別符號 SSID 合一個通道
AdHoc
AdHoc(點對點模式):AdHoc 模式就和以前的直連雙絞線概念一樣,是 P2P 的連線,所以就無法與其它網路溝通了,可以用來元件家庭無線區域網
區塊鏈
本質上來講,它是共享資料庫,儲存於其中的資料或資訊,具有 “不可偽造”,“全程留痕”,“可以追溯”,“公開透明”,“集體維護” 等特徵。
