计算机网络基础

计算机网络概述与网络硬件基础

计算机网络的分类

局域网(LAN)：传输距离有限，传输速度高，以共享网络资源为目的的网络系统。

城域网(MAN)：规模介于局域网和广域网之间的一种较大范围的高速网络，一般覆 盖临近的多个单位和城市。

广域网(WAN)：又称远程网，它是指覆盖范围广、传输速率相对较低、以数据通信 为主要目的的数据通信网。

 

网络的拓扑结构

概念：是指网络中通信线路和节点的几何顺序，用以表示整个网络的 结构外貌，反映各节点之间的结构关系。

常见的网络拓扑结构有总线型、星型、环型、树型和分布式结构等。

总线型

星型

环形

树形结构

分布式

网络互联设备

物理层的设备

1、中继器：

它是在物理层上实现局域网网段互连的，用于扩展局域网网段的长度。

在以太网中最多只能使用4个中继器。

 

2、集线器：

可以看成是一种特殊的多路中继器，其优点是当网络系统中某条线路 节点出现故障时，不会影响网上其他节点的正常工作。

分为无源和有源。无源集线器不对信号作任何处理，只负责将多段介 质连接在一起。有源集线器对传输信号进行再生和放大。

数据链路层设备

1、网桥

用于连接两个局域网网段，对帧进行过滤。

过滤帧：网桥检查帧的源地址和目的地址，如果不在同一网段上，就把帧转发到另一个网段上， 如果在，则不转发。 隔离不同网段：将不同楼层的网络分成不同的网络段，段中间用网桥连接，这样可以缓解网络通 信繁忙的程度，提高通信效率；另外还可以提高网络的可靠性，一个网络段发生故障不会影响另 一个网络段。

2、交换机

按MAC地址（物理地址）进行数据转发，比网桥的转发性能要高，数据延迟要小。

(MAC地址是物理地址，IP地址是逻辑地址)

交换机的工作过程：从某一节点收到帧后，在其内存的MAC地址表（端口号-MAC地址）中进行查找，确认该MAC地址的网卡连接在哪一个节点，然后将帧转发至该节点。如果没有找到该MAC地址，就将数据包广播到所有节点，拥有该MAC的网卡收到广播后做出应答，交换机将该MAC地址添加到MAC地址列表中。

交换机有三种交换技术：端口交换、帧交换和信元交换。

网络层的设备

路由器

用于连接多个逻辑上分开的网络，例如不同的子网。

路由器具有很强的异种网互连能力。例如：即使两个互连的网络最低两层的协议不同，也可通过 支持多协议的路由器进行连接。

路由器最主要的功能是选择路径。在路由器的存储器中维护着一个路径表，记录各个网络的逻辑 地址，用于识别其他网络。

路由器的工作过程：收到某个网络向另一个网络发送的信息包时，打开信息包，并解读信息包中 的数据，获得目的网络的逻辑地址（IP地址），使用复杂的程序决定该由哪条路径发送最合适， 然后重新打包并转发出去。

 

三层交换机

不仅包括所有交换机的功能，还包含了网络层的部分功能。一次路由，多次交换。

工作原理：可以总结为“一次路由，多次交换”。当三层交换机第一次收到一个数据包时必须通 过路由功能寻找转发端口，同时记住目标MAC地址和源MAC地址，以及其他相关信息，当再次收到 目标地址和源地址相同的帧时就直接进行交换了，不再调用路由功能。三层交换机不但具有路由 功能，而且比通常的路由器转发得更快。

既可以工作在网络层也可以在链路层

应用层的设备

网关：主要功能是进行协议转换。

当要连接不同类型而协议差别又较大的网络时，要选用网关设备。它 可以将协议进行转换，并将数据重新分组，以便在两个不同类型的网 络之间进行通信。

网络传输介质

1、双绞线

2、同轴电缆

3、光纤

4、微波

5、红外线和激光

6、卫星通信

 

网络模型与标准

ISO/OSI参考模型

应用层

表示层

会话层

传输层

网络层

数据链路层

物理层

 

TCP/IP协议簇

Internet核心协议

（1）逻辑编址。每一台连入互联网的设备都要分配一个IP地址，一个IP地址包 含网络号，子网络号和主机号，因此可以通过IP地址很方便地找到对应的设备。

（2）路由选择。在TCP/IP协议中包含了专门用于定义路由器如何选择网络路径 的协议，即IP数据包的路由选择。

（3）域名解析。为了方便用户记忆，专门设计了一种更方便的字母式地址结构， 称为域名。将域名映射为IP地址的操作，称为域名解析。

（4）错误检测。TCP/IP协议可以检测数据信息的传输错误，确认已传递的数据信息已被成功接收。

（5）流量控制。监测网络系统中的信息流量，防止出现网络拥塞。

 

网际层协议

1、IP：IP所提供的服务通常被认为是无连接的和不可靠的，它将差错 检测和流量控制之类的服务授权给了其他的各层协议，这正是TCP/IP能 够高效率工作的一个重要保证。

其主要功能包括：

（1）将上层数据（TCP/UDP数据）或同层的其他数据（如ICMP数据）封 装到IP数据报中；

（2）将IP数据报传送到最终目的地；

（3）为了使数据能够在链路层（ISO/OSI模型的网络接口层）上进行传输对数据进行分段；

（4）确定数据报到达其他网络中的目的地的路径。

 

2、ARP和RARP：ARP负责将IP地址转换为物理地址（（IP→MAC））；

RARP负责将物理地址转换为IP地址。

网络中的任何设备（主机、路由器和交换机等）均有唯一的物理地址， 该地址通过网卡给出，每个网卡出厂后都有不同的编号，即用户所购买的网卡有着唯一的物理地址。而IP协议又使用了IP地址，因此，在数据传输过程中，必须对IP地址和物理地址进行相互转换。

3、ICMP（网络控制信息协议）：是一个专门用于发送差错报文的协议。

由于IP是一种尽力传送的协议，传送的数据报有可能丢失、重复、延迟 或乱序，因此IP需要一种避免差错并在发生差错时报告的机制。 • 主要功能有：通告网络故障、通告网络拥堵、协助解决故障。

 

传输层协议

1、TCP

可靠的、面向连接的、全双工的数据传输服务

①“重发技术”

②“三次握手”

1）源主机发送一个数据包，表示想与目的主机进行通信。

2）目的主机发送一个确认进行响应，表示愿意进行通信。

3）源主机再发送一个确认来响应，该确认中可包含真正要发送的数据包。

用于传输数据量较少，可靠性要求高的场合

2、UDP（类似IP协议）

UDP是一种不可靠的、无连接的协议，可以保证应用程序进程间的通信。

UDP的主要作用是将UDP消息展示给应用层，它并不负责重新发送丢失的或出错的数据信息，不对接收到的无序IP数据报重新排序，不消除重复的IP数据报，不对已收到数据进行确认，也不负责建立或终止连接。

 

 

Internet基础知识

 

域名

 

1、域名的格式：

 

计算机主机名.本地名.组名.最高层域名

 

2、URL的格式：

 

协议://主机.域名[:端口号]/路径/文件名

 

https是一种通过计算机网络进行安全通信的传输协议，经由http进行通信，利用SSL/TLS建立全 信道，加密数据包。https使用的主要目的是提供对网站服务器的身份认证，同时保护交换数据的隐私与完整性。

 

IP地址

 

IP地址的格式：一个IP地址占4字节(32位)，转成十进制后，为4个十进制数字，中间用“.”隔 开。每个十进制数字的取值范围为0~255

 

 

子网掩码

 

子网掩码：用于区分网络号和主机号。

 

子网掩码是结合IP地址来看的，单独的子网掩码没有意义，它是用来识别具体的IP地址中哪些是 网络号，哪些是主机号。

 

子网掩码中，网络号用1表示，主机号用0表示。例如，C类IP地址的子网掩码默认为 255.255.255.0，即：11111111 11111111 11111111 00000000

 

（1）求网络号的方法：子网掩码与IP地址都转换成二进制，然后做“逻辑与”运算。

 

（1）求网络号的方法：子网掩码与IP地址都转换成二进制，然后做“逻辑与”运算。

 

可变长子网掩码

 

避免IP地址的浪费

 

255.255.255.192

 

VLSM还可以用一种更直观的表示方式：210.42.96.138/26（左边有26个连续的1）

 

子网划分

 

210.42.96.*/24

 

254个主机地址

 

主机号的8位，前3位做子网号，后5位为主机号

 

也可以借用网络号作为子网号

 

IPV6

 

32位IPV4无法满足所有的设备

 

IPV6的地址为128位，共16个字节。

 

采用冒号十六进制记法，16位为一组

 

0压缩：0省略留头尾的冒号

 

和IPV4结合使用

 

 

 

Internet服务

 

• 使用各类Internet服务时，可以使用端口号进行区分，TCP和UDP协议的端口号为 16位，支持0~65535的端口号。

 

其中0~1023为公共端口，1024~65535需要注册登记。

 

1、域名服务（DNS）：

 

2、远程登陆服务（Telnet）

 

3、电子邮件服务

 

4、万维网服务（WWW）

 

5、文件传输服务（FTP）。

 

 

 

信息安全与网络安全

 

常见的网络攻击技术

 

（1）篡改消息：是指一个合法消息的某些部分被修改、删除、延迟、重新排序等。 如修改传输消息中的数据，将“允许甲执行操作”改为“允许乙执行操作”。

 

（2）伪造（伪装、假冒）：是指某个实体假扮成其他实体，从而以欺骗的方式获 取一些合法用户的权利和特权。

 

（3）重放：是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的， 主要用于身份认证过程，破坏认证的正确性。

 

（4）拒绝服务(DOS)：是指攻击者不断地对网络服务系统进行干扰，改变其正常的 作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使 合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

 

（5）窃听（截取）：是指攻击者在未经用户同意和认可的情况下获得了信息或相 关的数据。

 

（6）流量分析（通信量分析）：是指攻击者虽然从截获的消息中无法得到消息的真实内容， 但攻击者还是能通过观察这些数据报的模式，分析确定出通信双方的位置、通信的次数及 消息的长度，获知相关的敏感信息。

 

（7）字典攻击：一种破解用户密码或密钥的一种攻击方式。事先将所有可能的密码口令形 成一个列表（字典），在破解密码或密钥时，逐一将字典中的密码口令（或组合）尝试进 行匹配。 （8）社会工程学攻击：是指通过与他人进行合法的交流，来使其心理受到影响，做出某些 动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和 入侵计算机系统的行为。

 

（9）SQL注入攻击：把SQL命令插入Web表单的输入域或页面的请求查找字符串，欺骗服务 器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态 SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击

 

（10）会话劫持：是指攻击者在初始授权之后建立一个连接，在会话劫持以后，攻 击者具有合法用户的特权权限。例如，一个合法用户登录一台主机，当工作完成后， 没有切断主机。然后，攻击者乘机接管，因为主机并不知道合法用户的连接已经断 开，于是，攻击者能够使用合法用户的所有权限。典型的实例是“TCP会话劫持”。

 

（11）漏洞扫描：是一种自动检测远程或本地主机安全漏洞的软件，通过漏洞扫描 器可以自动发现系统的安全漏洞。

 

（12）缓冲区溢出：攻击者利用缓冲区溢出漏洞，将特意构造的攻击代码植入有缓冲区漏洞的程序之中，改变漏洞程序的执行过程，就可以得到被攻击主机的控制权。

 

主动攻击与被动攻击

 

1、主动攻击：

主动攻击会导致某些数据流被篡改或者产生虚假的数据流。如：篡改 消息、伪造消息、重放和拒绝服务。

 

2、被动攻击

与主动攻击不同的是，被动攻击中攻击者并不对数据信息做任何修改， 也不产生虚假的数据流。如窃听、流量分析等攻击方式。

 

安全的分类

 

1、物理安全：物理安全是保护计算机网络设备、设施以及其他媒体免 遭地震、水灾、火灾等环境事故及人为操作失误及各种计算机犯罪行为 导致的破坏。主要是场地安全与机房安全。

 

2、网络安全：与网络相关的安全。

 

3、系统安全：主要指操作系统的安全。

 

4、应用安全：与应用系统相关的安全。

 

防火墙技术

防火墙阻挡对网络的非法访问和不安全数据的传递，使得本地系统和网络免于受 到许多网络安全威胁。防火墙主要用于逻辑隔离外部网络与受保护的内部网络。

防火墙技术经历了包过滤、应用代理网关和状态检测技术三个发展阶段。

 

1、包过滤防火墙：

它处于网络层和数据链路层，一般有一个包检查块（包过滤器），通过该检查模 块，对每一个传入和传出网络的IP包打开进行检查，例如源地址、目的地址、协议和端口等，对于不符合包过滤规则的包进行记录，发出报警并丢弃该包。

优点：

（1）过滤型的防火墙通常直接转发报文，它对用户完全透明，速度较快。

（2）包过滤通常被包含在路由器数据包中，所以不需要额外的系统来处理。

缺点：

（1）它可以控制站点与网络之间的相互访问，但不能控制传输数据的内容， 因为内容是应用层数据。

（2）访问控制粒度太粗糙，不能防范黑客攻击，不能处理新的安全威胁

 

2、应用代理网关防火墙

 

能彻底隔断内网与外网的直接通信，内网用户对外网的访问变成了防 火墙对外网的访问，然后再由防火墙转发给内网用户。

 

所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服 务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全 策略要求。

优点：可以检查应用层、传输层和网络层的协议特征，对数据包的检 测能力比较强。

缺点：难以配置，处理速度非常慢。

 

3、状态检测技术防火墙

它结合了代理防火墙的安全性和包过滤防火墙的高速等优点，在不损 失安全性的基础上，提高了代理防火墙的性能。

状态监测不仅仅根据规则表来检查每一个进出的包，更考虑了数据包 是否符合会话所处的状态，因此提供了完整的对传输层的控制能力， 同时也改进了流量处理速度。

因为它采用了一系列优化技术，使防火墙性能大幅度提升，能应用在 各类网络环境中，尤其是在一些规则复杂的大型网络上。

 

入侵检测与防御

入侵检测与防御技术主要有两种：

1、入侵检测系统(IDS)：注重的是网络安全状况的监管，通过监视网络 或系统资源，寻找违反安全策略的行为或遭到入侵攻击的迹象，并发出 报警。因此绝大多数IDS系统都是被动的。

2、入侵防御系统(IPS)：是在入侵检测系统的基础上发展起来的，不仅 能够检测到网络中的攻击行为，同时可以主动地对攻击行为发出响应， 对入侵活动和攻击性网络流量进行拦截，避免造成损失。