OSI 国际标准化组织
OSI模型:开放系统互联参考模型
从低到高:物理层,数据链路层,网络层,传输层,会话层,表示层,应用层
1,物理层
物理层位于最底层,为数据链路层实体提供建立,传输,释放所必需的的物理连接,提供透明的比特流传输。
数据单位是比特,即一个二进制位。
定义了网络的机械特性,电气特性,功能特性,和规格特性。
机械特性:接口的外形,大小,引脚线,排列,固定位置。
电气特性:接口电缆上各条线路出现的电压范围。
功能特性:指明某条线路出现的某一电平的电压的意义。
指明各种可能时间出现的顺序。
2,数据链路层
将原始的传输线路变成一条逻辑的传输线路,实现实体间二进制信息块的正确传输,为网络层提供可靠的数据信息。
数据单位是帧,具有控制流量的功能。
链路是相邻两个节点之间的物理线路。
数据链路可以理解为数据的通道,是物理链路加上必要的通信协议组成的逻辑链路。
功能:
链路连接的建立,拆除,分离
帧定界和帧同步
顺序控制
差错检测,恢复
链路标识,流量控制,拥塞控制
局域网中的数据链层可以分为逻辑链路控制(LLC)和介质访问控制(MAC)两个子层
3,网络层
提供路由选择,选择到的目的主机的最优路径并沿该路径传输数据。
路由选择,中继,激活和终止网络连接,链路复用,差错检测和恢复,流量控制,拥塞控制
4,传输层
端到端传输数据,实现数据分段,传输和组装,差错控制,流量控制,拥塞控制
5,会话层
允许不同主机的用户之间建立会话。
会话是指各种服务,包括对话控制,令牌管理,同步功能。
6,表示层
提供一种通用的数据描述格式,以便不同系统之间的及其进行信息转换和相互操作。
主要功能:
数据语法转换
语法表示
数据加密解密
数据押压缩解压
7,应用层
向应用程序提供服务,按向目标应用程序提供的特性分组,成为服务元素。
分为公共服务元素(CASE)和特定服务元素(SASE)。
封装:数据从高层向低层传递中,每层对接受到的原始数据添加报头和报尾。
网络协议:为网络中的数据交换建立一系列规则,标准,约定。
由语法,语义,时序关系组成。
语法:数据与控制信息的结构或形式。
语义:依据需要发出哪种控制信息,依据实际情况完成动作或响应。
时序关系:又称同步,事件实现顺序的详细说明。
PDU:协议数据单元,对等层次之间传递的数据单位。
实体:任何可以接收或者发生信息的硬件或者软件,进程,通常是特定的软件模块。
SDU(服务数据单元):层与层间交换数据的单元。
TCP/IP参考模型
从上到下,应用层,传输层,网际层,网络接口层。
1,应用层
包含所有高层协议,与OSI会话层,表示层,应用层对应。
2,传输层
允许源主机与目标主机对等体之间对话,定义了端到端传输协议,TCP,UDP。
与OSI传输层对应。
3,网际层
负责为经过逻辑互联网络中的数据进行路由选择。
4,网络接口层
最底层,没有明确规定。
TCP/IP是一个协议族群。
网络接口层:ARP,RARP
网际层:ICMP,IGMP,IP
传输层:TCP,UDP
应用层:HTTP,TELNET,FTP,SMTP,POP,DNS,BOOTP,TFTP,SNMP,DHCP
物理层
信号:模拟信号,数字信号。
模拟信号:在一段连续的时间间隔内,代表的信息的特征量可以在任意瞬间呈现为任意数值的信号。
数字信号:用若干个明确定义的离散值表示的时间离散信号。
传输介质:同轴电缆,屏蔽双绞线,非屏蔽双绞线,光纤,无线,蓝牙等。
同轴电缆:中心铜线,塑料绝缘体,网状导电层,电线外皮组成。分为基带同轴电缆,宽带同轴电缆。
基带电缆分:细同轴电缆,粗同轴电缆,
双绞线线序标准:568A,568B。
光纤:传输介质由玻璃纤维或者透明塑料制成,外包一层比玻璃折射率低的材料。
传播模式与芯线,包层折射率,芯线直径,工作波长有关。
无线传输技术:传输介质是无线电波。
1,无线局域网标准:IEEE 802.11,定义了无线的媒体访问控制MAC子层和物理层规范。
分为5个子标准:IEEE 802.11a,IEEE 802.11b,IEEE 802.11g,IEEE 802.11n,IEEE 802.11ac
2,无线个人局域网标准:IEEE 802.15,,适用与短程无线通信。
3,宽带无线接入标准:IEEE 802.16。
4,蓝牙:一种无线技术标准,适用于短距离无线数据交换。
5,3G技术:第三代通信技术,将个人语音通信业务和各种分组交换数据综合在一个统一的网络中的技术,主要技术基础是码多分址(CDMA),三大标准有:TD-SCDMA,WCDMA,CDMA-2000
6,第四代通信技术:技术包括:TD-LTE,FDD-LTE,UMB,LTE,WiMAX等。
网络设备
1,交换机
一种信号准分设备,为自身任意两个端口提供独立电信号通路。
2,路由器
在OSI模型的网络层,进行路由处理和包转发。
3,防火墙
用于控制网络之间的通信。
4,VPN
虚拟专用网络。
数据链路层
主要知识点:点对点协议,常见广播方式
点对点协议
PPP
提供一种点到点链路上封装网络层协议信息的标准方法
PPPOE
可以使以太网的设备通过一个监督的桥接设备连接到远端的接入集中器上。
集中器实现对接入设备的控制和计费
局域网数据链路层结构
IEEE 802 分为两子层:
逻辑链路控制(LLC),与硬件无关,实现流量控制
媒体接入控制(MAC),与硬件相关,提供硬件与LLC的接口
MAC
数据帧的封装卸载,帧的寻址和识别,帧的接收与发送,链路管理,帧的差错控制。
访问方式:CSMA/CD,令牌环,令牌总线
帧由八个字段组成,用途不同,长度不等。
前导字段:形为1010…1010,长度7个字节
帧起始字段:固定格式10101011,长度一个字节,不计算在有效信息字段之内,作为同步信号使用,由网卡自动产生,并附加到帧上
目的地址,源地址字段:可以是6个字节,最高位0,代表普通地址,最高位1,代表组地址,全1位广播地址
类型字段:标识上一层使用的什么协议,也可以表示长度。有两个字节,1-1500表示长度值,1536-65535,表示类型值。
MAC地址
也叫硬件地址,链路地址,48比特组成。
前24位是厂商编号,由IEEE分配给厂家。
后24位是序列号,由厂家烧入网卡的EPROM(一种闪存芯片),表示真真的主机地址,用于接受发送数据,也用于识别主机,全球唯一。
LLC
提供四种服务:
1,不确认的无连接服务,即数据报服务,用于点对点通信,广播,多播(组播) 2,面向连接服务,虚电路服务,适用于传输很长的数据文件 3,带确认的无线连接服务,可靠数据服务,只存在于令牌总线中 4,高速传送服务,专为城域网所用
CSMAC/CD
一种争用型的介质访问控制协议,原理是发生数据前先监听信道是否空闲,若空闲则发送数据,发送时继续监听,若有冲突,立即停止发送,等待一段时间再发送。
在网络负载较小的时候,CSMA/CD协议效率很高,但是负载增大时,发送效率急剧下滑,适合传输非实时数据。
重要概念:
1,多路访问
2,载波监听
3,冲突检测
4,退避算法,截断的二进制指数退避算法
IEEE 802 系列协议
1,IEEE 802.1系列
IEEE 802.1d :生成树协议(STP)
IEEE 802.1P:交换机与优先级相关流量处理协议
IEEE 802.1q:虚拟局域网虚拟桥接局域网协议(VLAN)
IEEE 802.1s:多生成树协议(MSTP)
IEEE 802.1w:快速生成树协议(RSTP)
IEEE 802.1X:基于端口的访问控制协议
2,IEEE 802.2系列
IEEE 802.2逻辑链路控制,提供LAN,MAC子层与高层协议间一致接口
3,IEEE 802.3系列
IEEE 802.3ab
IEEE 802.3u
IEEE 802.3z:定义了帧突发方式,突发限制65535比特
IEEE 802.3ae
4,IEEE 802.4:令牌总线网
5,IEEE 802.5:令牌换线网
6,IEEE 802.6:城域网MAN,定义城域网媒体访问控制子层和物理层规范
7,IEEE 802.7:宽带技术咨询组
8,IEEE 802.8:光纤技术咨询组
9,IEEE 802.9:集成数据与语音服务
10,IEEE 802.10:定义局域网互连安全机制
11,IEEE 802.11:无线局域网标准
12,IEEE 802.12:按需优先定义使用所需优先访问方法的100Mb/s的以太网标准
13,IEEE 802.13:无
14,IEEE 802.14:有线电视标准
15,IEEE 802.15:无线个人局域网(PAN)
16,IEEE 802.16:宽带无线接入标准
传输介质特性
一般使用10Base-T,数字代表速率,单位Mb/s,Base表示基带,Broad表示宽带,T表示双绞线,F表示光纤。
网络层
IP协议与IP地址
IP数据报头
版本—长度为4,值为二进制
头部长度—长度为4
区分服务—长度为8,制定特殊数据处理方式,优先权和Tos
总长度—长度16,首部加数据之和的长度,数据报最大长度为65535
标识符—长度16,同数据分段后,标识符一致
标记字段—长度3,第一位不使用,第二位1表示不能分片,0表示允许分片,第三位为1表示之后还有分片,为0表示是最后一个分片。
分片偏移字段—长度13位,单位8字节,表示所分片的分组,处于原始数据的相对位置
生存时间—长度8位,设置最多可以经过路由器的数,常为16,32,64,128
协议字段—长度8位,指明上层分组所使用的协议
头部校验—长度16位,根据IP头部计算得到的校验和码
源地址,目标地址字段—长度32位
可选字段—长度可变,1-40字节不等
IPv4地址
使用32位的二进制表示,四个字节。
点分十进制表示法
地址分类:
1,A类地址—1.0.0.0-126.255.255.255
10.x.x.x是私有地址—不再互联网使用,只在局域网使用
127.x.x.x是保留地址—用作回环地址,向自己发送流量
2,B类地址—128.0.0.0-191.255.255.255
172.16.0.0-172.31.255.255是私有地址
169.254.x.x是保留地址—如果IP设置自动获取,没有找到相应的DHCP服务,可能得到保留地址中的IP
3,C类地址—192.0.0.0-223.255.255.255
192.168.x.x是私有地址
4,D类地址—224.0.0.0-239.255.255.255
224.0.0.1代表所有主机与路由器
224.0.0.2代表所有组播路由器
224.0.0.5代表OSPF路由器
224.0.0.6代表OSPF指定路由与备用路由
224.0.0.7代表ST路由
224.0.0.8代表ST主机
224.0.0.9代表RIP-2路由
224.0.0.12代表DHCP服务器/中继代理
224.0.0.14代表RSVP封装
224.0.0.18代表虚拟路由器冗余协议
5,E类地址—240.0.0.0-247.255.255.255
特殊IP
有限组播—255.255.255.255—会被发送到相同屋里网络所有主机
直接组播—主机字段全1,如192.1.1.255—会被路由发送到专门的网路主机
网络地址—主机位全0,如192.168.1.0,表示一个子网
换回地址—127.x.x.x向自己发送数据
子网掩码
用于区分网络地址,主机地址,广播地址。是区分网络地址和子网大小的重要指标。 掩码不是IP,/从左到右连续1的总数表示,描述称为建网比特数
1,主机数=可用主机数+2
2,A类默认掩码是255.0.0.0,B类默认是255.255.0.0,C类默认是255.255.255.0
IP地址::={<网络号>,<子网号>,<主机号>}
为了解决IP损耗过大,路由表项增长剧烈:
VLSM(可变长子网掩码)—允许一个组织在同一个网络地址空间中使用多个不同的子网掩码,可理解为把大网分解成为小网
CIDR(无类别域间路由)—路由器通过前缀来描述有多个位是网络位,剩下的则是主机位,提高了IPv4扩展性和效率,可以理解为把小网合并成大网
计算子网步骤:
1,IP转为二进制
2,子网掩码转为二进制
3,IP与子网掩码按位与
4,结果转为十进制
计算广播地址:
1,IP转为二进制
2,子网掩码转为二进制
3,IP地址与子网掩码按位与
4,子网主机地址全设置1(第四部分)
5,结果转为十进制
子网范围:
子网范围=子网地址-广播地址
最大可用主机数:
最大可用主机数=2主机位-2
主机位:
反转子网掩码二进制
ICMP
TCP/IP协议族的子协议,处于网络层,用于IP主机和路由器之间船体控制消息。
控制消息是指网络不通,主机是否可达,路由器是否可用等消息。
报文:
封装在IP数据报内,不能保证经过传输的ICMP报文不产生错误
格式:
8位类型-8位代码-16位校验和
分类:
ICMP差错报告报文,ICMP询问报文
应用:
Ping命令—使用回送应当和回送请求报文
Tranceroute命令—使用时间超时报文和目的不可达报文
ARP和RARP
地址解析协议(ARP)—32位IP解析成48位以太网地址
反向地址解析协议(RARP)—48位以太网地址解析成32位IP地址
ARP报文封装在以太帧中进行发送
原理:
1,发送ARP请求—广播方式发送ARP请求分组:本身IP地址,MAC地址,需要解析的IP地址
2,ARP响应—与请求解析的IP地址一致的主机响应,单播方式,响应分组:响应方IP地址,MAC地址
3,A主机写高速缓存—写入ARP高速缓存:记录IP地址与MAC地址的对应关系,每个对应关系有一定的生存时间,过期删除
ARP病毒
利用ARP协议漏洞,破坏客户主机建立正确的IP地址与MAC地址对应关系,发送虚假MAC给主机,可以盗取账号,阻塞网络,瘫痪网络
方式:
发送大量的虚假ARP报文,没有感染ARP木木也可能导致网络访问不稳定。
ARP欺骗原理
相同IP的主机,攻击者让原先的主机瘫痪,仿冒原主机响应,请求主机更新本地ARP缓存,MAC发送变化,攻击者可以窃取数据。
解决手段
1,接入交换机端口绑定固定MAC地址
2,查看接入交换机端口是否异常(短时间多个MAC地址)
3,安装ARP防火墙
4,发现ARP缓存中MAC不正确时arp -d清除缓存
5,使用arp -s gate-way-mac 设置静态绑定
IPv6
下一代IP协议,长度128位,通常写做8组,每组4个十六进制数
书写规则
1,任何一个16位段中起始的0都不必写出来,如果少于4个十六进制的数字,就认为忽略起始部分的0,末尾不能忽略
2,任何一个由全0组成的一个或多个16位段的单个连续字符串都可以用双冒号“::”表示,::只能使用一次
单播地址
用于表示单台设备地址
与多播地址的区别在于多播地址高8位总是FF
分类:
1,全球单播地址—全球唯一,48位路由选择前缀+16位子网ID+64位接口ID
2,链路本地单播地址—用于启动或尚未获取较大范围地址时,链路节点自动地址配置,起始前10固定是1111111010(FE80::/10)
3,地区本地单播地址—给定区域内的唯一地址,其他区域可以相同,起始前10位固定是1111111011(FE8C::/10)
4,任意播地址—取自单播地址空间,使用好处是路由器总会选择最近的的或代价最小的服务器路由
5,组播地址—由一台设备发送给多台设备,报文包括一个源地址,和多个目标地址
NAT
网络地址转换,将数据报文中的IP地址转换位另一个IP地址,一般是私有地址转为共有地址。
静态NAT—内外网IP地址映射关系是固定的
动态NAT—内外网IP地址映射关系是动态的
NAPT
NAT的一种变形,允许多个内部地址映射到同一个共有地址。
隐藏内部IP配置,节省外部接入IP地址资源
传输层
网络服务分类
1,面向连接服务
2,无线连接服务
TCP
传输控制协议(TCP)
一种可靠的面向连接的字节流服务
报文首部格式
源端口和目的端口—长度16位,取值0-65535
序列号—长度32位,取值[0,232-1]
确认号—长度32位,期望收到对方下一个报文第一个数据字段的序号
报头长度—数据偏移长度,长度4位,单位32位,
保留字段—长度6位,通常为0
标记—紧急(URG),确认(ACK),推送(PSH),复位(RST),同步(SYN),终止(FIN)
窗口大小—长度16位,范围[0,216-1],进行流量控制柜,单位字节,期望一次接收的字节数
校验和—长度16位,对TCPO报文头顶校验计算,验证
紧急指针—长度16位,偏移量
选项—长度可变到40字节,为保证报头长度为32的倍数,而进行填充0
TCP建立连接
三次握手建立连接
1,第一次握手—源主机发送一个标志位位SYN=1的TCP数据段,标明初始序号,源主机进入SYN-SENT状态
2,第二次握手—目标主机接收到SYN后发送确认数据和报文,ACK=1,目标主机进入SYN-RCVD状态,源主机进入ESTABLISHED状态
3,第三次握手—源主机回送一个确认数据段,带有递增的发送序号和确认序号。
TCP释放连接
双方均处于ESTABLISHED状态
第一步—源主机发送释放报文,进入GIN-WAIT状态
第二步—目标主机接收到后,发出确认报文,目标主机进入CLOSE-WAIT状态,源主机停止发送报文,连接进入HALF-CLOSE状态,等待目标主机发出FIN报文
第三步—目标主机确认没有数据,向源主机发送后,发出释放报文,,目标主机进入LAST-ACK状态
第四步—源主机接收到确认报文后,,对此发送确认报文,等待一段时间,确定送达后,进入CLOSED状态,目标主机也进入CLOSED状态
重传时间
可靠性的保证机制是超时重传,核心是重传超时时间的计算
参数如下:
往返时间(RTT)—给对端发送一个数据报,接收对端的ACK,计算包往返的时间:RTT=链路层传播时间+端点协议栈的的处理时间+中间设备处理时间
加权平均往返时间(RTTS)—平滑往返时间,是通过多次RTT的样本计算出的结果:新的RTTS=(1-α)x 旧的RTTS+α x 新的RTT样本,推荐阿尔法值为1/8
重传超时时间(RTO)—基于RTT计算出的一个定时器超时时间,每发送一个TCP报文段,就开启一个重传计时器。公式:RTO=RTTS+4xRTTD,RTTD初始值为1/2xRTT样本值,计算RTTD公式:新的RTTD=(1-β)x 旧的RTTD+β x |RTTS-新的RTT样本|
TCP拥塞控制
防止过多数据注入网络,避免设备过载 机制:
慢开始+拥塞避免—发送方位置一个拥塞窗口的状态变量,大笑取决于网络拥塞程度。一开始就发送较大的数据,让cwnd缓慢增加
快重传快恢复—在接收到失序的报文时,立即发出重复确认,发送方只要收到三个重复确认,就立即重传对方未接受到的报文段。
慢开始只有在TCP建立连接和网络出现超时是才使用
UDP
用户数据报协议
一种不可靠的,无连接的数据报服务,比TCP效率更高
头部结构
源端口号—16位
目标端口号—16位
长度—16位
校验和—16位
协议端口号
端口号用于识别主机进程,取值范围0-65535
常用协议端口
FTP-DATA—FTP数据传输—20
FTP—FTP控制—21
SSH—SSH登陆—22
TELNET—远程登陆—23
SMTP—简单邮件传输协议—25
DNS—域名解析—53
DHCP—DHCP服务器开启,用于监听和接收客户请求—67
DHCP—客户端开启,用于接收DHCP服务器的消息—68
TFTP—简单FTP—69
HTTP—超文本传输—80
POP3—邮局协议—110
IMAP—交互式邮件存取协议—143
SNMP—简单网管协议—161
SNMP(Trap)—SNMP Trap报文—162
应用层
DNS—域名系统,把主机域名解析为IP地址的系统,由解析器和域名服务器构成。
主要基于UDP协议,少数情况使用TCP协议,端口号53
域名系统:
DNS名字空间—明明方法层次树状结构,每个主机都有唯一的层次结构,即为域名,域名结构为:主机…三级域名.顶级域名
域名服务器—按空间层次分为,根域名服务器,顶级域名服务器,权限域名服务器,本地域名服务器;按作用分为主域名服务器,辅域名服务器,缓存域名服务器,转发域名服务器
域名解析
将域名解析为IP地址,方法有递归查询和迭代查询
递归查询—先查询本地,然后查询上一级
迭代查询—先查询本地,失败则直接向根域名服务器发起查询请求
DHCP
动态主机配置协议,基于BOOTP,简化主机IP配置管理
当需要跨域多个网段提供DHCP服务,必须使用DHCP中继代理,即在DHCP客户和服务器之间设立转发消息的主机或路由
服务端DHCP服务使用67端口,客户端DHCP服务使用68端口
windows系统系统DHCP无法找到对应服务器,获取IP时,获取到的IP为169.254.x.x
DHCP工作过程
1,客户端发起IP租用请求
2,服务器提供IP租用服务
3,客户端IP租用选择
4,客户端确认IP租用
5,客户端重新登录
6,更新租约
WWW
万维网,巨大的,可以互联的资源空间
通过URL定位,使用HTTP协议传送,用HTML文档展示
三个标准组成:URL,HTTP,HTML
URL—统一资源定位符
HTTP—超文本传送协议
HTML—超文本标记语言
HTTP请求报文方法:
GET—读取URL标识的信息
HEAD—读取URL标识信息首部
POST—把消息加载到指定的网页
PUT—指明URL创建或修改资源
DELETE—删除URL所指定的资源
OPTION—请求以下参数信息
TRACE—进行换回测试
CONNECT—用于代理服务器
电子信箱,提供信息交换的通信方式,可以文字,图像,声音
常用协议:
1,SMTP(简单邮件传输协议)—邮件发送接收,25端口
2,POP(邮局协议)—目前POP3,当邮件被读取,POP服务器就会删除邮件
3,IMAP(internet 邮件访问协议)—目前IMAP4,替代POP3,提供邮件检索和处理,143端口
邮件安全
攻击方法:
利用邮件服务器操作系统漏洞
利用邮件服务器软件本身漏洞
在传输过程中窃听
PGP
一款邮件加密协议,采用RSA算法和船体加密的杂合算法,数字签名的邮件文摘算法,加密前压缩
FTP
文件传输协议,控制文件的双向传输,客户端端口20,服务器端端口21
两种工作方式:
主动式
被动式
TFTP
简单文件传输协议,基于UDP,支持文件传输,但不支持交互,一般用于路由,交换机,防火墙配置文件,IOS备份和替换
OSI网络管理:
性能管理
配置管理
故障管理
安全管理
计费管理
管理系统组成:
管理站—管理代理和信息库
代理—手机被管理设备各种请求
管理信息库—分布式数据库,提供被管理系统及设备信息
网络管理协议—SNMP,CMIS/CMIP
SNMP
简单网络管理协议,在应用岑进行设备通信管理的协议,基于UDP
一组标准,由SNMP协议,管理信息库(MIB),管理信息结构组成(SMI)
实体发送请求和应答端口默认161,代理发送陷阱报文默认端口162
Telnet
TCP/IP终端仿真协议,一种基于TCP的虚拟终端通信技术,端口23
实现数据传输,远程登陆,远程管理交换机和路由器
SSH
安全外壳协议,创建在应用层和传输层基础上的加密隧道安全协议
特点是加密和认证
三个部分组成:
1,传输层协议—服务器认证,数据机密性,完整性保护,数据压缩,密钥交换
2,用户认证协议—提供会话唯一表示,然后服务器和客户端之间进行认证
3,连接协议—提供交互式登录会话,可以远程执行命令
VoIP
将模拟声音信号数字化,通过数据报在IP数据网络上做实时传输
RIP
路由信息协议
使用距离矢量路由协议
每个路由器都有一个矢量表,列出一直的每个目标的最佳距离及使用路线
基于UDP协议,端口520
RIPv1基于广播
RIPv2基于组播
更新周期30s,180s不回应,标识不可达,240s不回应,删除路由信息
解决矢量路由协议问题措施:
1,水平分割
2,路由中毒
3,反向中毒
4,抑制定时器
5,触发更新
OSPF
开放式最短路径优先
一个内部网关协议
用于单一自治系统
适用消息,中型,较大网络
采用最短路径优先算法
基于IP,协议号89
组播方式发送数据报
AS
自治系统,使用同一个内部路由协议的一组网络,编号1-64511位共有AS,64512-65535为私有AS
IGP
内部网关协议,发现和计算自治域内的路由信息,使用协议有RIP,OSFP,IS-IS,EIGRP,IGRP
EGP
外部网关协议,连接不同自治系统的相邻路由交换路由信息协议,使用BGP协议
链路状态路由协议
路由器会与相邻的路由器共享路由信息
OSFP报文:
1,HELLO
2,数据库描述信息
3,链路状态请求信息
4,链路状态更新信息
5,链路状态应答消息
BGP
边界网关协议,母亲BGP4,一种增强的距离矢量路由协议,基于TCP,端口179
特点:
1,不用周期性发送路由信息
2,路由变化,发送增量路由
3,周期性发送KEEPLIVE报文校验TCP连通性
BGP消息:
1,OPEN报文
2,KEEPLIVE报文
3,UPDATE报文
4,NOTIFICATION报文
工作流程:
1,BGP路由器直接进行TCP三次握手,建立会话
2,交换OPEN信息
3,交换所有BGP路由,直到平衡
4,路由更新
5,KEEPLIVE验证路由器是否可用
6,出现问题,发送NOTIFICATION消息通知错误
IGMP
internet 组管理协议,一个组播协议,运行与主机和组播路由间
安全攻击类型
中断
窃取
篡改
伪造
APT
高级持续性威胁,利用先进的攻击手段和社会工程学方法,对特定目标进行长期持续性渗透和攻击
分五步:
情报收集
防线突破
通道建立
横向渗透
信息收集级外传
暗网
表层网络:任何搜索引擎都能抓取并轻松访问,只战整个网络4%-20%
深网:表层之外的网络,普通搜索引擎无法抓取这类网站
暗网属于深网的一部分,不能被超链接访问,只能通过动态网页技术访问。
网络监听
监听网络状态,数据流,及网络上传输的信息
口令破解
字典攻击
强行攻击
组合攻击
拒绝服务攻击(DOS)
让目标服务器停止提供服务或者资源访问
主要模式:
消耗资源
篡改配置
物理破坏
利用处理程序错误
服务端口攻击
向主机端口发送大量数据,从而是主机不能提供正常服务
常见攻击:
1,SYN Flooding
2,Smurf攻击
3,利用程序的错误
4,电子邮件轰炸
DDOS分布式拒绝服务攻击
很多DOS攻击源一起发起攻击
特点:
1,被攻击主机有大量等待TCP连接
2,大量的TCP,UDP数据分组不是现有服务连接,指向机器任意端口
3,大量无用数据包,源地址是假冒地址
4,网络出现大流量无用数据,造成网络拥塞
5,利用受害主机的服务和协议缺陷,反复发送请求
LDOS(低速率拒绝服务)
不需要维持高频率攻击,耗尽被攻击者的可用资源
漏洞攻击
利用硬件,软件,策略上的缺陷
缓冲溢出
向缓冲区写入超长的预设内容,导致缓冲溢出,覆盖其他程序或数据,让后就算计转而运行该预设内容,打到执行非法操作的目的
系统漏洞
利用软件或操作系统在逻辑上的缺陷或错误
僵尸网络
采用一种或多种手段使大量主机感染僵尸程序,从而在控制者和被感染者间形成一对多的控制网络
防御手段:
蜜罐技术,网络流量研究,IRCserver识别技术
网站安全威胁
1,SQL注入
2,跨站攻击
3,旁注攻击
4,失效的身份认证和会话管理
社会工程学
利用社会科学并结合常识,有效利用,获取机密信息的学科
使用非计算机手段得到敏感信息的方法集合
恶意代码
没有作用却会带来危险的代码
特点:
1,恶意的目的
2,本身是计算机程序
3,通过执行发生作用
病毒,木马,蠕虫,后门,逻辑炸弹,广告软件,间谍软件,恶意共享软件等
蠕虫
一段可以借助程序自行传播的程序或代码
木马
通过伪装吸引用户下载,并未施种者提供被种主机的门户
正向连接木马—在中马者机器上开一个端口,让攻击者去连接
反向连接木马—让被攻击者主动连接到外部的机器,可以轻松突破防火墙
计算机取证
电子证据
以下情况证据不具有合法性:
通过窃录方式获得电子证据
通过非法搜查,扣押获得
通过非核证程序获取
通过非法软件获得
取证步骤:
1,准备工作
2,保护目标计算机系统
3,确定电子证据
4,收集电子证据
5,保全电子证据
常用工具:
X-Ways Forensics—综合取证,分析
X-Ways Trace—追踪分析浏览器上网记录,windows回收站删除记录
X-Ways Capture—获取正在运行的操作系统下硬盘,文件,和RAM数据
FTK—自动文件分类,定位嫌疑文件
FBI—电子邮件关联性分析
Guidance Software—构建独立的硬盘镜像,从屋里层面阻断操作系统向硬盘写入数据
网络蜜罐
一个安全资源,用于探索,攻击和损害,收集入侵数据。
牺牲型蜜罐—一台简单的位特定攻击设计的计算机,为攻击者提供目标,容易被利用攻击其他主机
外观型蜜罐—仿真网络服务,不会导致真的被攻击,可迅速手机入侵者信息
测量型蜜罐—结合以上两者优点,容易访问,但很难绕过
配置方式:
1,诱骗服务
2,弱化系统
3,强化系统
4,用户模式服务
匿名网络
第二代洋葱路由(TOR)的一种实现,专门防范流量过滤,嗅探分析
真的TOR的攻击:
时间攻击
通信流攻击
网络存储
1,DAS(之间附加存储)—设备通过电缆直接连接服务器
2,NAS(网络附属存储)—采用独立服务器,单独位数据存储而开发一种文件存储服务器
3,SAN(存储区域网络)—采用高速光纤通道作为传输介质的网络存储技术
安全设备
防火墙
入侵检测与入侵防护
VPN
网络协议分析攻击
防火墙
用于控制网络之间的通信
常见防火墙技术:
1,包过滤防火墙—针对网络层和传输层,对数据包源地址,目的地址,和协议进行检查
2,代理服务器式防火墙—对第四层到第七层数据进行检查
3,基于状态检测的防火墙—检测每个TCP,UDP会话连接
ACL
访问控制列表,目前使用最多的访问控制实现技术,是路由器接口的指令列表,控制进出的数据包
分类
标准访问控制列表—基于IP地址,取值1-99,分析数据包源地址,决定数据的允许或拒绝
扩展访问控制列表—通用扩展访问控制列表,针对TCP,UDP扩展访问控制,针对ICMP扩展访问控制
— 这里配置各种防火墙需要用到一些命令,后面补充—
防火墙模式:
用户模式—登陆防火墙后
特权模式—用户模式输入enable
全局配置模式—特权模式输入configure terminal
监视模式—重启过程中按住esc
防火墙基本配置:
1,配置防火墙接口—nameif
2,配置接口参数—interface
3,配置接口地址—ip address
4,配置公网地址和定义地址池—global
5,地址转换—nat
6,路由配置—route
7,配置静态地址映射—static
8,侦听—fixup
入侵检测
IDS,从系统运行或处理各种数据中查找出威胁系统安全的因素,并对其做出处理,一般认为是被动防护。
一种安全模型:防护,检测,响应。
分类:
基于主机
基于网络
基于主体
入侵检测步骤:
信息收集
数据分析
入侵防护
IPS,一种识别潜在威胁并迅速做出应对的网络安全防范办法,一般认为是主动防护。
VPN
虚拟专用网络,用于在公用网络上建立专用网络的技术。
一般由三部分组成,客户机,传输介质,服务器
关键技术:隧道技术,加解密技术,密钥管理技术,身份认证技术
主要协议: PPTP—点到点隧道协议,让用户拨号连接到本地ISP,然后通过因特网安全访问内网资源的技术,第二层隧道协议
L2TP—PPTP与L2T的综合,思科公司推出的的一种技术,第二层隧道协议
IPsec—在隧道外再封装,第三层隧道协议
SSL VPN—使用了 SSL 实现VPN,第四层隧道协议
TLS VPN—使用了 TLS 实现VPN,第四层隧道协议
IPsec
internet协议安全性,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议簇
由建立安全分组流密钥交换协议和保护分组流的协议两部分组成
IKE协议—密钥交换协议,一种混合型协议,由ISAKMP框架,OAKLEY密钥交换模式,以及SKEME共享和密钥更新技术组成
AH—认证头,为IP数据报提供完整性检查与数据源认证,并防止重放攻击,常用MD5,SHA1
ESP—封装安全载荷,可以同时提供数据完整性确认以及数据加密,常用DES,3DES,AES加密,MD5,SHA1校验完整性
IPsec两种工作模式:传输模式,隧道模式
MPLS VPN承载平台由P路由器,PE路由器,CE路由器组成
P路由负责依据MPLS标签完成数据包的高速转发
PE路由负责传递数据包MPLS标签生成和去除,还负责发起根据路由建立交换标签的动作
CE路由器直接与电信运营商连接的用户端路由
RADIUS
远程用户拨号认证系统,目前应用最广,的授权,计费和认证协议
SSL TLS
SSL,安全套接字协议,一个安全传输,保证数据完整的安全协议,TLS是SSL的非专有版本
SSL有三个高层协议:
SSL握手协议—在客户端与服务端通过握手获得密钥
SSL修改密文协议—每隔一段时间就修改加解密参数
SSL告警协议—为对等尸体传递SSL相关警告
SSL协议工作流程:
1,浏览器向服务器发送请求信息,包含SSL版本,选择对称密钥算法
2,服务器返回浏览器请求,附加生成主密钥所需的信息,包含确定的SSL版本,和对称密码算法,某个CA中心私钥加密后的服务器证书
3,浏览器对照自己的可信CA表判断服务器证书是否在可信的CA表中,如果不在,则终止,如果在,则使用CA表中对应的公钥解密,得到服务器的公钥
4,;浏览器随机产生一个对称密钥,使用服务器公钥加密发送给服务器
5,浏览器与服务器之间相互发送一个报文,确定使用的对称密钥,再发送一个报文,确定握手完成
6,握手完成,双方使用对称密钥对发送的报文加密
HTTPS S-HTTP
超文本传输协议(HTTPS),以安全为目的的HTTP通道,是HTTP的安全版
安全超文本传输协议(S-HTTP),一种面向安全的信息通信协议,提供通信保密,身份识别,可依赖传输服务,以及数字签名
S/MIMIE
用于支持邮件的加密,提供认证,完整性保护,鉴定及数据加密