声明:此为本人学习计网相关知识时的笔记,在此分享。不得用于任何的牟利用途,如有发现盗版,希望大家告知和举报。
学习内容的来源:韩立刚老师的计算机网络课程,推荐给大家
第一章:计算机网络概述
网络:通过交换机集线器等将小范围内(一般<=100m)的计算机连接起来
互联网(internet):通过路由器将多个网络连接起来
因特网(Internet):全球最大的互联网
因特网组成的边缘部分:
C/S架构:区分客户端和服务器端(如访问网站等)
P2P形式:不区分客户端和服务器端(如磁力下载–可以是下载源也可以从其他端口源下载)
通讯方式/因特网组成的核心部分
电路交换:(如通话等)数据量很大的实时通讯或核心路由器见交换时可使用
分组交换:计算机网络所用的通讯方式,三种交换方式中最省时!
报文交换:指对原数据不分组直接处理后整个传输
局域网:自己购买设备 自己维护 带宽固定(100m,1000m) 一般来说距离100米以内
广域网:花钱买服务,花钱买带宽
广域网和局域网的区别:现在不单单从地域范围内区分广域网和局域网,运用了广域网技术的就是广域网,运用了局域网技术的就是局域网。
计算机网络的性能指标:
速率:某个信道上的传输速率
带宽:数字信道所能传输的最高的数据率(win10查看带宽方法:网络和Internet选项->更改适配器选项->找到目前连接的网络->双击[速度那一栏及带宽])
吞吐量:单位时间内通过某个网络的数据量(单个网卡在单位时间内多个信道的速率的和)
时延:发送时延(数据块长度/带宽),传播时延(信道长度/传播速率),处理时延,排队时延[以上所有时延相加即总时延]
往返时间:[可在cmd上用ping指令粗略地测试–局域网内时延一般小于1ms]
利用率:信道利用率;网络利用率(利用率和时延成正比–可类比马路上面的车)
计算机网络的非性能指标:
费用;质量;标准化;可靠性;可扩展性;可升级性;管理与维护
计算机网络的体系结构:
ISO:国际标准化组织
OSI/RM:互联网上的国际标准[分层的目的:标准化,尽量降低相互之间的依赖]
网络体系结构:计算机网络各层及其协议的集合
OSI七层:
应用层:能和用户交互和产生流量的
表示层:加密 压缩 传输的方式
会话层:服务和客户端建立的会话 [可用于查木马(在开机不产生任何流量时输入cmd命令,若还有建立的会话则可能是木马)-------->netstat -n[b-加上b能显示应用的名称]]
{木马;盗窃信息控制电脑 病毒:破坏系统,类似于明抢}
传输层:可靠传输(传重要文件等) 不可靠传输(QQ聊天,DNS解析,屏幕广播软件等) 流量控制
网络层;选择最佳路径, IP地址编址
数据链路层:数据如何封装 添加物理层地址(mac地址)
物理层:电压标准(几伏代表0,几伏代表1) 接口标准
▲应用层,表示层,会话层~~~开发人员考虑
▲传输层,网络层,数据链路层~~~网络工程师考虑
▲网络排错:从底层到高层逐一排查
第二章:物理层
术语:
数据:运送消息(有用的信息)的实体
信号:数据的电气的或电磁的表现
单向通信(单工通信)–只能由一个方向的通信而没有反方向的交互(如电视广播)
双向交替通信(半双工通信)—通信的双方都可以发送消息,但不能同时发送或接受(如对讲机)
双向同时通信(全双工通信)—通信的双方可以同时发送或接受数据(计算机多为该类型)
基带信号(基本频带信号)—来自信源的信号~~~传播距离一般不远
带通信号—把基带信号经过载波调制后,把信号的频率范围搬移到较高的频段以便在信道中传输~~~~计算机网络一般用该类型信号–该信号传播距离远
▲调制的方法(用于模拟信道传输):调幅,调频,调相
▲计算机可自行设置全双工或半双工通信方式
▲消息–>数据–>信号–>基带信号
编码(用于数字信道传输):
单极/双极不归零码----类似版:单极/双极归零码 -------------但是出现连续的0信号时不能判断数据是传完了还是仍然在传输
曼切斯特编码---->升级版:差分曼切斯特编码(抗干扰能力强于曼切斯特编码)
奈式准则和香农定理
奈式准则:描述码元传输速率的极限–在带宽受限,无外界影响的理想情况下
----2w Baud
------单位Baud表示一个码元所含的比特数
香农定理:描述信息/数据传输速率的极限—在带宽受限,有噪音影响的情况
-------信道的极限信息传输速率C可表示为:C=W log2(1+S/N) b/s
-------▲信噪比为S/N,信噪比化为分贝是(dB) =10log(S/N)(dB).
▲码元传输速率=信息/数据传输速率×单个码元包含的比特数
▲在奈式准则和香农定理都适用的情况下,分别求出数据传输速率的理想上限,取较小的值
传输设备👇
双绞线
- 屏蔽双绞线(STP):外包金属层,抗干扰能力强,适用于长距离传输
- 无屏蔽双绞线(UTP)
同轴电缆
- 50Ω同轴电缆:用于数字传输,由于多用于基带传输也叫做基带同轴电缆
- 75Ω同轴电缆:用于模拟信号传输,即宽带同轴电缆
光纤
集线器:在网络中只起到信号放大和重发作用,目的是扩大网络传输范围;最大传输距离:100m;不具备信号的定向传送能力(及A发送到B,其是对连接的所有主机都发送一份该信息,会导致安全性的降低);集线器是一个很大的冲突域;现在已经基本不用
频(频率)分复用技术(FDM-Frequency Division Multiplexing)
一般场景:打电话时多个用户共用一条干线
波分复用技术(WDM-Wavelength Division Multiplexing)其实属于频分复用技术的一种
时分复用技术(TDM-Time Division Multiplexing)
缺点:一般的时分复用技术会造成资源浪费-即即使某些用户不用网络传输内容了,其仍占用着带宽,会造成需要传输内容的用户的速率下降
----->升级版统计时分复用技术(STDM-Statistic TDM)
码分复用技术(CDM-Code Division Multiplexing)
手机通信使用该技术
将一个bit的信号,通过不同对象的码片进行运算发送,接受是通过码片来解码判断是否为1或0的比特流或者与该接收端无关
缺点:当有n个通信对象时,设每个通信对象的码片长度为m,则需要传输的比特流的长度将会扩大到m倍
宽带连接技术:
ADSL–目前多用;利用现有的电话线接入互联网
HFC(Hybrid Fiber Coax)光纤同轴混合网:在有线电视的同轴线的基础上,加入光纤改造,而得以连接Internet
FTTx技术
-
FTTH(Fiber to Home):光纤铺设到家庭
-
FTTB(Fiber to Building):光纤铺设到大楼,之后转为电信号,用双绞线等设备分配给用户
-
FTTC(Fiber to the Curb)技术/光纤到路边:从路边到用户可使用星形结构双绞线
第三章:数据链路层
数据链路层使用的信道类型:点对点信道,广播信道
链路(link):点到点的物理线路段
数据链路(data link):物理链路+控制数据传输的通信协议[的硬件]
------现在最常用的方法就是使用适配器(网卡)来实现这些 协议的硬件和软件
-------一般的适配器(网卡)都包含了数据链路层和物理层的功能
▲该层的传输单位是帧(frame)
▲一般来说最大数据实体的长度是1500bit
▲若在链路层协议层面上数据传输发生了错误(校验不成功等)则立即丢弃,路由器间不负责要求重传,只有两个端口才有权力要求另一个端口重传错误的数据
数据链路层的要解决的三个基本问题
封装成帧
透明传输–防止误判数据实体的某个片段为帧的开始或结束标志
差错控制–控制误码率(传输错误的比特占总比特的百分比)
CRC-循环冗余检测
▲除数常则可靠性更高–余数的范围更大,能更好的判读
PPP(Point to Point)协议—点到点数据链路的一个常见协议
由三部分组成(从上往下):
- HDLC(高级数据链路控制协议)
- LCP(链路控制协议)-负责身份验证
- NCP(网络控制协议)-针对每一个网络层
以0x7E表示帧的开始和结束
透明传输方法:
- 若为字节:若数据中含0x7E则将其转译为(0x7D,0x5E);若数据中含0x7D则将其转译成(0x7D,0x5D);若出现小于0x20的字符则在该字符前面加入0x7D转译
- 若为比特(实时通信等)传输(比特数不一定是八的倍数),则若二进制的数据含连续的五个1(0x7E=011111110)则在五个1中后填充一个0[零比特填充法]
▲具有记账功能(什么时间上的网,用的什么IP地址,上了多久时间,是否因为欠费而上不了网等)
局域网/LAN的优点
- 具有广播功能
- 提高系统的可靠性,可用性,灵活性
- 便于系统的扩展和演变,各设备的位置可以灵活改变
以太网–一种局域网技术
特点||CSMA/CD协议–广播信道使用的协议:
- 多点接入:许多计算机以多点接入的方式连接在一根总线上
- 载波侦听:若计算机要发信息,会先检测总线上是否有其他计算机在发送数据,若有则暂时先不发数据
- 碰撞检测:二进制指数类型退避算法(当发生碰撞时的处理算法)(其单位一般是争用期的时间)
▲该协议为半双工通信
▲以太网的帧长度最短为64字节,小于64字节的帧视为无效帧------设定为64字节是因为一般的以太网(10Mb/s),在争用期(端到端的往返时间)内可发送64字节的数据,因此取64字节来判断是否发生了碰撞
两个标准:
- DIX Ethernet V2
- IEEE 802.3
以太网的帧格式:
网桥–以太网的辅助工具
功能:能扩展以太网,能划分出多个碰撞域(目前最多的网桥类型是透明网桥)
优点
- 过滤通信量
- 扩大物理范围
- 提高了可靠性
- 可互连不同物理层,不同mac地址和不同速率的局域网
缺点
- 存储转发增加了时延
- 在mac子层没有流量控制功能
- 具有不同mac子层的网桥接在一起时时延更大
- 只适用于用户数目不大多,通信量不大的局域网,否则会造成广播风暴(因传播过多的广播信息二造成网络阻塞)
自学习过程:收到一个数据内容,会查对自身的表格若没有存储源mac地址则将该地址和对应的端口存入表格,若没有目的地mac地址,则会将该数据转发给局域网/以太网内的其他所有计算机。若表格中存有目的地mac地址则只转发到表格中记录的端口对应的计算机的mac地址
交换机–网桥的高级/升级版
描述:不同于网桥将一个个集线器连接(集线器连接多台计算机),交换机直接连接多台计算机;每个端口连接一个计算机并对应的记录其mac地址等信息,因此通过一段时间的自学习(与网桥的自学习类似)之后,基本不会产生碰撞冲突
特点:
- 安全,信息不容易被窃听
- 交换机的显示带宽表明的是每个端口的带宽
- 支持全双工通信
VLAN(虚拟局域网)
VLAN=一个广播域=一个网段(不同的VLAN间不能通信,同一个VLAN内可通信)
交换机之间可通过一根干道链路连接,用于传输多个VLAN间的消息,而不是每个VLAN就用一根线连接(当VLAN的机器不再同一个交换机时)(在干道链路上使用的技术是统计时分复用)
▲access port-用于接计算机的端口; 中继端口/干道端口-干道链路对应的端口
mac地址绑定/某种的链路层上的安全
有时会有某交换机的某个口只能接一台特定的计算机,或某交换机的某个口最多只能接n台(n>=1)计算机-------->此时可通过mac地址绑定,配置交换机来实现
第四章:网络层
数据的可靠性由谁负责
电脑/端系统负责:即路由器传输时数据发生了异常(校验错误或丢失),到目的端口后,由该端口发起让原端口重新发送一次数据的请求,而不是在丢失的时候路由器发起请求------->---->使用该服务
网络系统负责:每次进行一次转发都需要解包进行可靠性校验,开销过大
虚电路和数据包服务/网络层提供的两种服务
虚电路服务:由网络管理员制定线路,计算机间的通讯通过特定的路线进行(不需要填写目的地等其他信息)
--网络系统负责可靠性
—先发的数据不一定先到目的地(因为路由线路固定)
—差错处理和流量控制由网络负责,也可以由用户主机来负责
数据包服务:数据内输入目的地,通讯的路线动态决定,更加灵活---->使用该服务
—端系统负责可靠性
—先发的数据先到目的地
----差错处理和流量控制由用户主机来负责
中间设备/中继系统/中间系统
- 物理层:集线器(hub)
- 数据链路层:网桥和交换机
- 网络层:路由器(router)
- 网络层以上:网关(gateway),一般来说网关设置为本网段的第一个或最后一个地址(虽然原理上来说网关可以设置为本网段的任意地址,但是为了减少冲突,而形成了一种共识)
网络层的协议
ARP协议:用于解析mac地址
IP协议/RIP+OSPF+BGP+…:依赖ARP协议
ICMP协议:用于处理网络故障,依赖IP协议
IGMP协议/组播管理协议:依赖IP协议
五类IP地址
▲快速地区分类型:在十进制表示下看最开始的那位(即第一个点之前的数字):若在0-127则为A类地址,若在128-191则为B类地址,若在192-223则为C类地址。
A类地址:可用地址范围为0-126。默认子网掩码255.0.0.0—就开始8位作为网络地址
▲127设置为本地环回地址,若想访问自己的共享资源而懒得查看IP地址,可在运行内输" \\127.0.0.1"
▲保留的私网地址10.0.0.0,私有地址即在本地局域网内使用,可能多个局域网都用该地址,不像共有地址全球统一
B类地址:默认子网掩码255.255.0.0—开始16位作为网络地址;
▲169.254.0.0网段的地址为windows自配置的在自动分配IP地址的情况下,若无法得到能上网的地址而自己分配的一个地址,该地址不能联网,只能在同网段下的局域网内的计算机间传输数据
▲保留的私网地址172.16.0.0—172.31.0.0
C类地址:默认子网掩码255.255.255.0—开始24位作为网络地址
▲保留的私网地址192.168.0.0—192.168.255.0
子网掩码:作用—>根据与IP地址进行与运算得出网络段的部分,从而判断是否需要经过路由器,网关的转发
▲IP地址的主机部分不能全为0–表示这个网段,也不能全为1–用于广播
子网划分
作用:有时候在一个网段内,IP地址资源利用不充分(如一个c类地址,本来可分配255台计算机,实际上却只使用了100台计算机就造成了IP地址浪费)(如需要两个网段但每个网段的IP地址都利用不充分的情况下),子网掩码用于解决该问题
如何划分:将子网掩码向后移动一位,相当于扩展了网络段的IP地址,这样移动的改为的二进制可为0或1,相当于划分了两个子网。同理将子网掩码向后移动n为相当于划分了2n个子网
▲eg.如将一个c类地址划分为4个子网(192.168.0.X—下描述的是关于X的内容),那么可用的主机地址为[1,62],[65,126],[129,190],[193,254],其中63,127,191为该子网的广播地址,管理员默认习惯使用1,65,129,193作为网关地址
▲在点到点的子网掩码最好是252(此处为c类地址的举例,相当于每个子网可用主机地址有三个,前两个用于点到点通信,第三个用于广播地址使用)
超网
举例:有时候如一个交换机接着另外一个交换机,但是每个交换机的电脑群的网段地址不一样,当需要从交换机A发送信息到交换机B时,按原理来讲通过子网掩码解析后得出源地址和目标地址不为同一网段,需要经过路由器转发,显然多此一举,超网及解决了该类问题
作用:合并多个网段地址
具体操作:对比两个网络段的二进制,取内容相同的长度作为新的子网掩码,如下图:
▲合并n个网段,子网掩码的二进制最多只能减少logn位
ARP协议
作用:将IP地址转换为MAC地址,若本地无备份则通过广播的形式获取信息
▲因为ARP协议的的信息是通过广播得到的(即本网段内的所有计算机都能接受到数据),所以就存在计算机安全方面的问题,如ARP欺骗等
TTL(Time To Live)
▲Windows的一般的TTL是128
ICMP(Internet Control Message Protocol)协议
作用:用于探测网络故障
ICMP报文的类型:差错报告报文(类型:终点不可到达,原点抑制(source quench)–发送速度过快,时间超时,参数问题,改变路由(重定向))和询问报文
静态路由协议和动态路由协议
静态路由协议:由网络管理员配置路由表
动态路由协议:路由器自主学习更新路由表(eg-RIP协议–最早的路由协议,周期性广播/每隔30s广播一次,若有必要则进行更新,最大跳数为16跳,根据跳数的多少选择路由但不考虑带宽等因素)(eg-OSPF协议(Open Shortest Path First)–根据带宽选择最佳路径,触发式更新,有三个表:邻居表[hello包校验],链路状态表,计算路由表[不会产生环路,支持多区域],支持负载均衡,不用UDP而是IP数据报进行传输,支持变长子网划分)
----BGP协议:用于连接各个自治系统的协议(各个自治系统间可能使用不同的路由协议),每个区域有一个BGP发言人/代表 ,支持变长子网,在建立时交换整个路由表之后之交换变化的部分,交换的路由信息不是很多,发言人数不多,路由选择较简单
VPN
用途:可在Internet上连接特定的私有地址网段(10,172,192网段),可以类似地认为将自己的计算机搬到了私有地址;也可以用于各个局域网间的连接(隧道技术,不需要拨号,只要配置好两个局域网之间的路由器即可)
NAT(Network Address Translation)网络地址转换
PAT(Port Address Translation)
第五章:传输层
TCP
HTTP=TCP+80端口
HTTPS=TCP+443端口
FTP=TCP+21端口
Telnet=TCP+23端口
SMTP=TCP+25端口
POP3=TCP+110端口
RDP(远程桌面协议)=TCP+3389端口
共享文件夹=TCP+445端口
SQL=TCP+1433端口
自动重传请求ARQ(Automatic Repeat reQuest):若请求报文在一定时间内(>RTT(往返时间))没有收到确认报文,则默认认为该请求报文丢失并自动重传
连续ARQ技术:ARQ技术的升级版,不同于ARQ技术在发送一个请求报文后需要等待确认报文后再发送第二个请求报文,连续ARQ技术可一次性发送多个请求报文之后再等待各自的确认报文(可连续发送的报文数量有发送窗口指定,该窗口的大小可根据网络的拥塞状况调整)(流水线确认)
- 累积确认:不同于流水线确认模式对每一个数据报的内容进行确认,累积确认对一组数据报的内容进行确认(如收到数据包1,2,3则发送确认报文告知数据包3收到,那么数据包1,2会默认的认为也收到)(若收到数据包1,2,4,则发送确认报文告知数据包2收到,发送方便会从数据包3开始重传)
TCP报文首部:
- 源端口和目的端口
- 序号/Seq:发送的报文数据的开始部分在源传输文件中的位置
- 确认号/ACK:表示目前为止收到的数据
- 数据偏移量:用于表示报文首部的长度,转换成10进制后表示首部长度为x*4个字节,最多为60字节(固定首部20字节+可选项40字节)
- URG(urgent):为1时表示该数据包紧急需要先传输
- ACK(acknowledge):为0时表示确认号无效
- PSH(push):为1时表示着急着收数据,及目标地址收到该数据包后直接先读该数据包而不是按顺序来
- RST(reset):为1时表示TCP会话出现了严重的错误,必须释放并重新建立连接(如异常中断时使用)
- SYN:三次握手同步时使用
- FIN:正常结束会话时使用
- 窗口:表示缓存的最大字节数,若发送了窗口的字节数而没有收到回应则先停止发送
- 校验和
- 紧急指针:当URG为1时,紧急指针起作用,用于指明紧急传输的部分
- 可选部分(<=40字节;>=0字节):如MSS(Maximum segment size)表示支持的数据包的最大长度;SACK(Select Acknowledge):是否支持选择性确认,当选定时若有丢包则只重发丢失的部分而不是剩余部分全部重新发送;等等
▲TCP的SYN攻击/安全方面:根据TCP协议建立会话的协议发动攻击(针对SYN部分),即频繁发送请求建立会话的报文(其中发起地址篡改成不存在的服务器或其他非自身地址的地址),那么被攻击的机器就会发送大量的相应报文(一段时间没回应后甚至可能再次发送),由此占用被攻击机器的大量资源(对windows xp系统及其有效)
▲TCP的land攻击/安全方面:也是根据TCP协议建立会话的机制发动的攻击(针对SYN部分),是目标机器与自身建立会话(而不是像SYN攻击那样伪造一些其他的地址发送请求建立会话),来耗尽其自身资源(对windows xp系统及其有效)
TCP的拥塞控制:指的是一个全局性的过程,涉及到所有的主机,路由器,以及降低网络传输性能有关的所有因素(当对资源需求的总和>可用资源时需要进行拥塞控制)
- 拥塞的原因:路由器处理数据包忙不过来
- 拥塞控制算法(1988年Tahoe版本| 以废弃不用):通过维护拥塞窗口cwnd(congestion window)来进行-------慢开始(当拥塞窗口的大小达到慢开始门限ssthresh之前以指数形式增长)–>加法增加/拥塞避免部分/线性增长–>重新慢开始(重新设置慢开始门限ssthresh为之前加法增加的数值的1/2)
- 拥塞控制算法(Reno版本):快速重传和快恢复
▲路由器也是一种操作系统,有CPU和内存等等
▲发送窗口的取值:Min(rwnd(发送窗口),cwnd(拥塞窗口))
TCP的流量控制:在给定的发送端和接收端之间的点对点之间的控制,其所要做的是抑制发送端的发送数据的速率使得接收端来得及接受
TCP的连接管理
三次握手建立连接:
关闭连接:
UDP
DNS=UDP+53端口 or TCP+53端口(很少)
▲进程可开多个线程,其开的线程共享线程的资源
▲用IP地址区分网络上的计算机,用端口号区分该计算机上的具体某个进程
▲数据报文传输过程中源和目的IP地址不改变,源和目的mac地址在每次路由后就改变一次
第六章:应用层
DNS
作用:负责将域名解析成IP地址
根:.
顶级域名:com(商业性网站),edu(教育性质),net(提供信息), cn(中国的),org(组织),gov(政府)…
二级域名:例如91xueit中的91xueit部分,可申请的部分,只需在该部分付费即可
三级/四级/…域名
配置DNS服务器的目的:在内网/私有地址配置DNS服务器可以节省Internet上的DNS解析所占用的流量,也可以用于限制访问群体(如只允许内网用户访问学校的某个网站)
▲访问网站是要求是要在末尾加.的,如“www.baidu.”,但是一般默认不加最后的点也可以解析成功,而且一般的网站也会设置权限
▲8.8.8.8–谷歌公司的DNS服务器
▲222.222.222.222–电信公司的DNS服务器
DHCP
静态IP地址:如机房里面的机器,服务器等不经常挪动的机器可设置静态IP地址
动态IP地址:此时由DHCP(动态主机配置协议)来分配动态IP地址
▲DHCP服务器的地址必须为静态地址,若在VMware上实验记得关闭其自身的DHCP服务
▲ipconfig /release----释放DHCP获得的动态地址
▲ipconfig /renew----重新获得DHCP地址(可能网关路由等信息有变化)或者刷新信息
▲若请求计算机的DHCP client服务停止了,那么不能动态获得IP地址了
▲默认来说DHCP服务器只能指定本网段的IP地址,但是也支持跨网段分配IP动态地址
▲又名逆向ARP协议,为已知mac地址,求获取IP地址,与ARP协议(IP–>mac)相反,也是通过广播形式获取信息
FTP(File Transfer Protocol)
连接方式:
-
控制连接:端口21,用于发送ftp命令
-
数据连接:标准端口为20,用于上传,下载数据
-
数据连接的建立类型:
- 主动模式:服务器端从20端口主动向客户端发起连接
- 被动模式:服务器在指定范围内的某个端口被动等待客户端发起连接
▲若在ftp服务器端要通过防火墙进行端口控制,那么应使用主动模式,防火墙打开20和21端口
▲与ftp服务器之间传输一个文件就建立一个回话,即在netstat -n表示框中就加一项
▲客户端默认是ftp的被动模式,不过可以设置成主动模式
传输模式:
- 文本模式:ASCII模式,以文本序列传输
- 二进制模式:Binary模式,以二进制序列传输
远程桌面服务RDP(Remote Desktop Protocol)
▲通过mstsc命令建立连接,可通过命令netstat -an来检测是否开启了3389端口
▲与Telnet协议类似,不过该为图形界面的,而Telnet仅为控制命令行
▲若需要用户能远程连接则需要将该用户加入Administrator组或远程桌面组,应该需要有密码的设置
▲连接window server 2003,2008(其他不详)成功并操作时,被控制方看不见控制方的操作内容且可以进行正常的其他的活动,因为window server 是多用户操作系统
▲windows xp,windows 2007 是单用户操作系统,不像windows server一样是多用户操作系统,所以在远程桌面时,另一边是黑屏或者注销状态的
HTTP
IIS(Internet Information Server)
网站的识别:不同的端口, 不同的IP地址, 不同的主机头(域名)
Web代理服务器:
- 使用场景
- 节省内网访问Internet的带宽
- 可以通过代理服务器绕过防火墙/翻墙
- 可以避免一些跟踪
- 不需要DNS,网关也可以通Internet,但是需要与代理的地址ping通
SMTP,POP3,IMAP
▲两边的客户端安装了类似foxmail的软件,通过邮件服务器端(配置了SMTP,POP3/IMAP服务)(客户端到邮件服务器端需要身份认证,而各个邮件服务器间发送可匿名发送)间的中继转发后由目标客户端读取其对应的邮件服务器的内容
▲SMTP为发送邮件服务,IMAP和POP3都为收邮件服务,只是IMAP功能比POP3更加强大
第七章:网络安全
计算机信息安全包括:数据存储安全,应用程序安全,系统安全,网络安全
网路安全面临的四种威胁:截获,中断(Dos,DDos),篡改,伪造
▲截获为被动攻击,中断,篡改和伪造为主动攻击
恶意程序(rogue program)类型:
- 计算机病毒:会“传染”其他程序的程序,“传染”是指通过修改其它程序来把自身或者变种复制进去来完成的
- 计算机蠕虫:以消耗系统资源(CPU,内存等)为主
- 特洛伊木马:需要和外界通讯
- 逻辑炸弹:一种当运行环境满足某特定条件(时间等)时执行其他特殊功能的程序
对称加密:
- 缺点:密钥不适合在网络上传输,易被截获; 每一对通信对象就需要一个密钥/密钥的维护量大
- 优点:效率高
- 加密算法/数据加密标准:DES
- 其保密性取决于密钥的长度
- 若密钥为56位,则破解需要3.5或21分钟
- 若密钥为128位,则破解需要5.4*1018年
非对称加密:
- 特点:加密密钥和解密密钥不同,公钥加密私钥解密或私钥加密公钥解密,公钥和私钥间不能相互推导得出
- 优点:密钥易维护
- 缺点:效率低
▲非对称加密和对称加密可互补:用非对称加密加密对称加密的密钥,用对称加密加密实体文件
数字签名:
-
加密方式为非对称加密
-
特性:
- 防止抵赖
- 能够检查签名之后的内容是否被更改
-
私钥加密的是由原文件经过一个单向散列函数计算后得出的一个摘要A,对方通过公钥解密后得到摘要A’,再对原文件进行一次单向散列函数计算得到散列B,若散列A’=散列B则数据在传输过程中没有被篡改
-
证书颁发机构/CA
- 作用:确保为企业和用户办法数字证书(由CA的私钥加密,含公钥、私钥等信息);用于确认企业和个人的身份;企业和个人需信任证书颁发机构
▲加密使用对方的公钥加密,私钥解密
▲签名使用自方的私钥加密,公钥解密
▲数字签名、数字加密属于应用层安全
SSL
- 位于应用层和传输层
- http(tcp:80)->https(tcp:443)
- 用非对称加密协商用于对称加密的密钥(所以打开https网站时一开始速度不会太快,此时正在协商对称加密的密钥)
▲IMAPs:(tcp:993) POP3s:(tcp:884) SMTPs:(tcp:465)
- SSL提供的三个功能:
- SSL服务器鉴别
- 加密的SSL会话
- SSL客户鉴别
IPSec
- 网络层安全(底层安全协议,对用户透明)
- **安全关联—SA(Security Association)😗*协商对传输的数据包进行签名(AH协议)操作还是签名+加密(ASP协议)还是其他;协商密钥的算法、更新时间等参数
- **鉴别首部—AH(Authentication Header)😗*用于鉴别数据包的原点和数据的完整性,但是不对数据进行加密操作(签名)
- **封装安全有效载荷—ESP(Encapsulation Security Payload)😗*用于鉴别数据包的原点,检查完整性和提供加密(签名+操作)
数据链路层安全
身份验证:PPP,ADSL
防火墙
-
网路级防火墙:检查数据包从哪来到哪去;基于源地址、目标地址、协议、端口号进行控制;但是无法管理数据包的具体内容(可用路由器来做网络防火墙)
-
应用级防火墙:相比于网络防火墙而言更进一步,能够查看数据包的具体内容,(在网络级防火墙之上)基于用户名、时间段、内容进行控制,防病毒进入内网
-
防火墙的结构:
- 三向外围网
- 背靠背防火墙
- 单一网卡
- 边缘防火墙
第八章:互联网上的音频视频
音频视频与普通的数据信息的区别:音频视频在通常情况下相对于普通数据而言占用的带宽高、网络要求稳定、延迟低
在Internet上传输音频视频面临的问题:
- 延迟:发送延迟+传播延迟+排队延迟+处理延迟+…;对于非交互式(在线点播看电影等)的音频视频影响不大,但是对交互式(QQ语音等)的音频视频影响大
- 带宽不稳定:对于某些情况(如在线看视频)而言可以在客户端设置缓存(还能弥补数据包不按发送顺序到达的问题)+播放延迟
目前Internet上提供的音频/视频服务:
- 流式(streaming)存储音频/视频–边下载边播放,能节省客户端的硬盘资源、保护版权(点播,在线观看等)
- 流式实况音频/视频–边录制边发送(直播等)
- 交互式音频/视频–实时交互式通信(QQ电话、QQ视频等)
▲对于流媒体服务器可以通过mms://IP地址或计算机地址(需要能被解析的)/要查看的视频名称 来进行点播等操作
IP电话:
- 传统的电话是电路交换,相当于在双方间建立了一条专线,通讯结束后释放该专线
- IP电话的概述:
- 狭义的IP电话:在IP网络(使用IP协议的分组交换网)上打电话
- 广义的IP电话:除电话通讯外,还指在IP网络上进行交互式多媒体实时通讯(包括语音、影视等),甚至还包括及时通讯IM(Instant Messaging)
- 经验表明,在电话交谈中,端到端的延迟不应该超过250ms
- 服务质量QoS的实现方式/对网络层的改进方法(对不同的数据设置不同的优先级的方法)
- 对不同性质的分组加上标记:不同的标记对应不同的优先级
- 对路由器增加分类:如对某些特定的IP地址设置高优先级
- 对数据流进行通信量的管制(policing):监视并限制某个内容最大的带宽,超过的部分进行丢弃操作
- 在路由器上增加调度(scheduling)机制:给什么内容分配多大的带宽
- 呼叫接纳(call admission):呼叫时声明需要的带宽等资源,若当前资源足够则接纳,否则拒绝
第九章:无线网络
大致分类:
- PAN:个人局域网的无线网络,如蓝牙耳机,ZigBee等
- LAN:无线局域网,标准802.11b,802.11g,a(WIFI)
- MAN:无线城域网
- WAN:移动局域网
无线局域网
无线局域网所需要的设备:无线接入点-AP(Access Point)(可以给设备分配IP地址)
▲无线信号很容易受到建筑物、玻璃等的阻隔(纯空气中的可用距离约为100米)
▲每个无线局域网组成一个基本服务集BSS(Basic Service Set)
▲连接在同一个交换机的AP可以是同一个网段
▲当网络管理员安装AP时,需要为其分配一个不超过32字节的服务器标识符/SSID和一个信道
服务集标识符/SSID:相当于WiFi的名称
个人总结和补充的一些内容
ping指令[分析数据是否能传输 || 也可以用于测试域名是否解析成功] 和 pathping指令[ping的升级版,但是较耗时][具体分析ping时候的路由状态和丢包率分析等] tracert指令[类似于ping’指令,能显示路由信息 ,速度和ping差不多]
router print–查看路由表 router add xxx—手动添加路由表 netstat -r —查看路由表
netstat [-n] ----查看网络状态
mstsc–连接远程桌面
nslookup—查看DNS服务器,之后也可以输入需要解析的域名,会显示根据该DNS服务器解析出的IP地址[之后可使用如set type=X转换显示类型,X=ns时表示NS/nameserver记录,X=mx时表示MX/mail exchanger/邮件交换记录,X=a 时表示Address/默认类型记录]
net user admin a!–更改admin用户的密码为a!
net user admin a! /add–创建新用户名为admin,密码为a!的用户
msconfig----查看系统配置,在服务选项中点击隐藏微软服务后,可粗略检查是否有可疑的木马病毒
mmc—打开微软自带的控制台(该控制台可统一管理一些内容:如IIS,IPSec安全策略等)
严格控制服务器端口可增加其安全性(如web服务器就只开80端口–通过防火墙等[进入时至允许目的端口为80的数据报;出去时只允许源端口为80的数据报])
更多推荐
[个人笔记]计算机网络
发布评论