windows_learn 003 NDPI

windows_learn 003 NDPI

内容總覽

NetBios

DNS

PKI

IPsec

NetBios

Windows下用來将計算機名與IP之間做解析的一個服務

NetBios名稱

計算機名

域名

工作組名

。。。

NetBios名稱檢視

nbtstat -n

NetBios status

(netbios 名稱不區分大小寫)

00代表工作站服務

20代表伺服器服務

nbtstat -c 檢視所緩存的netbios 緩沖區資料

NetBios節點類型

B節點（B-node)   廣播方式來查詢其它計算機名的IP

P節點（P-node)   直接向WINS伺服器查詢其它計算機名的IP

M節點（M-node）  mixed模式 先B 後P  即先廣播查詢如未找到再使用WINS伺服器查詢

H節點（H-node）  Hybrid模式 先P 後B  和上一條正好相反

windows Server 2008 r2, Server 2008, windows 7, vista 采用的是Mixed模式 節點類型

NetBios名稱解析的完整順序為：

1.檢查所查詢的計算機名是否為自己的計算機名稱

2.檢查NetBios名稱緩存區

3.發出廣播消息

4.向WINS伺服器查詢

5.檢查LMHOSTS檔案

6.檢查LMHOSTS檔案或向DNS伺服器查詢

lmhosts檔案

此檔案是用來将跨網段的名稱解析為IP寫入此檔案中，此時當此計算機要查詢該名稱時

直接會查找到此檔案，由此便可找到其對應的IP   （用來解決廣播無法跨網段的問題）

WINS工作原理

名稱注冊(name registration)

更新注冊的名稱(name renewal)

名稱查詢(name query)

釋放(name release)

DNS

DNS查詢模式

遞歸查詢 (recursive query)

疊代查詢 (iterative query)

反向查詢(reverse lookup) in-addr.arpa

提供反向解析，即IP-->計算機名

緩存檔案

緩存檔案記憶體儲着根區域的IP

DNS區域的類型

主要區域(primary zone)

輔助區域(secondary zone)

存根區域(stub zone)

DNS資源記錄 Resource Record RR

A 或 AAAA (IPv4 為A  IPv6為AAAA)

主機名稱資源記錄 (CNAME)

郵件服務記錄 MX Pri

SOA記錄  (Start Of Authority)

重新整理間隔

重試間隔

過期時間

最小（預設）TTL (time to live)

PKI (public key infrastructure)

encryption (加密)

authentication (認證)

integrity (完整性)

IPsec (Internet Protocol Security)

authentication

integrity

encryption

工作原理：

兩台計算機之間要開始将資料安全地發送出去之前，它們之間必須先協商(negotiate)

以便雙方同意如何交換與保護所發送的資料，此協商結果被稱為SA 

(Security Association), 它就好像是雙方所簽訂的合約書。SA内包含着雙方所協商

出來的安全協定與SPI(security parameter index)等資料。所采用的協商方法是

标準的IKE(internet key exchange)

SPI (security parameter index)

IKE (internet key exchange)