網絡攻擊的常見方式,對稱密碼體制和公鑰密碼體制,數字簽名與保密通信,密鑰配置設定(KDC,CA)
網絡攻擊的常見方式:
- 從原站截獲資料
- 篡改從原站截獲的資料
- 用惡意程式攻擊目的站
-
多主機通路目的站導緻拒絕服務
對稱密碼體制和公鑰密碼體制:
- 對稱密鑰密碼體制:E 和 D 公開,K1 和 K2 保密(K1=K2),加密密鑰和解謎密鑰相同
-
公鑰密碼體制:E 和 D 公開,K1 公開,K2(保密),每人都有一堆密鑰(公鑰與私鑰),且二者不同
特點:
- 密鑰對産生器産生出接收者 B 的一對密鑰:加密密鑰 PKb 和解謎密鑰 SKb。發送者 A 所用的加密密鑰 PKb 就是接收者 B 的公鑰,它向公衆公開。而 B 所用的解密密鑰 SKb 就是接收者 B 的私鑰,對其他人保密
- 發送者 A 用 B 的公鑰 PKb 通過 E 運算對明文 X 加密,得出密文 Y,發送給 B。B 用自己的私鑰 SKb 通過 D 運算進行解密,恢複出明文
- 雖然公鑰可以用來加密,但卻不能用來解密
數字簽名與保密通信:
- 數字簽名的特點:
- 接收者能夠核實發送者對封包的簽名。封包鑒别
- 接收者确信所收到的資料和發送者發送的完全一樣沒有被篡改過。封包的完整性
- 發送者事後不能抵賴對封包的簽名。不可否認
秘鑰配置設定(KDC,CA):
第八章 無線區域網路
兩類 WLAN,AdHoc,無線傳感器網絡,CSMA/CA,802.11 幀(四個位址)
兩類 WLAN:
-
有固定基礎設施的 WLAN
主機之間的通信必須通過 AP 的轉發
-
無固定基礎設施的 WLAN(移動自組織網絡 Adhoc)
無 AP,臨時網絡,不和其他網絡連接配接;結點需運作路由選擇協定,結點需轉發分組
無線傳感器網絡 WSN:
低功耗、低寬帶、低存儲容量、物聯網
CSMA/CA:
情景:A 要發送資料給 B,C 也想發送資料給 D
- A 監聽到信道空閑,等待一個分布幀間隔 DIFS(128μs)後發送該幀
- B 收到資料幀後,等待一個短幀間隔 SIFS(28μs)後發回一個确認幀
- C 監聽到信道忙,選取一個随機回退值繼續偵聽。如果信道空閑遞減該值,如果信道忙保持該值;當回退值 = 0 時,發送幀并等待确認
- CSMA/CA 可能發生碰撞的兩種情況:
- A 和 C 監聽到信道忙,各選取一個随機回退值繼續偵聽
- 當兩個回退值同時為 0 時,A 和 C 同時發送資料
-
随機回退值相近
情景 A 要發送資料給 B,C 也想發送資料給 D
* 隐蔽站問題
情景: A 要發送資料給 B,C 也想發送資料給 B
- C 在 A 的傳輸範圍之外,A 和 C 都認為信道空閑,都向 B 發送資料–将發生碰撞
802.11 幀:
其他
- 歸納比較:
位址長度(MAC 位址,IPv4 位址,IPv6 位址,端口号)
- MAC 位址:6 個位元組。前三個位元組是組織唯一辨別符(24 位)由 IEEE 注冊管理機構 RA 配置設定,後三個位元組是擴充唯一辨別符(24 位元組)由廠家自行指派
- IPv4 位址:32 比特,4 個位元組。用來辨別主機、路由器的接口
- IPv6 位址:128 位,16 位元組。可以用冒号十六進制記法、零壓縮表示法、CIDR 表示法等表示。有多點傳播位址;單點傳播位址;任播位址三種分類
- 端口号:16bit,運輸層通過端口号來差別相同計算機所提供的這些不同的服務
首部長度(幀首部,IPv4 首部,IPv6 首部)
- 幀首部:以太網幀首部加尾部長度共為 18 位元組
- IPv4 首部:首部固定長度為 20 位元組加上選項長度(0~40)
- IPv6 首部:基本首部長度為 40 位元組
差錯檢驗(幀校驗 CRC,IPv4,TCP 和 UDP 的校驗檢驗和)
- 幀校驗 CRC
- 在發送端先把數組按照一定劃分大小劃分為組,假設每組 K 個比特,要傳輸的資料位 M,發送方要做的就是在資料 M 後面添加用于差錯檢驗的 n 位冗雜碼,然後構成一個幀發送出去,也就是說此時發送的資料在原理基礎上增加了 n 為冗雜碼
- 首先在原資料 M 後面添加 n 個 0 相當于左移 n 位,此時資料長度變為原理的每組 K 個比特加 n 即(k+n)位。然後用該序列除以在計算之前規定的一個長度為(n+1)位的除數 p,根據二進制的模 2 運算,計算出餘數 R。這個餘數 R 就會作為冗雜碼拼接在原資料後面發送出去
- 模 2 算法:一樣為 0,不同為 1
- 接收方把收到的每一個幀都除以同樣的除數,然後檢查得到的餘數 R。R=0 即這個幀沒問題,接受;R!=0,則判斷這個幀有錯。
- IPv4 校驗檢驗和
- 先設定 “首部檢驗和” 字段為 0
- 将首部每 2 個位元組當做一個數
- 将所有數相加求和,進位累加 “3029F=02A2”
- 對求和結果求反得:FD5D
- 則發送方發送的 IP 分組首部的檢驗和為:FD5D
- 接受方收到的 IP 資料報要進行檢驗
- 将首部每 2 個位元組當做一個數
- 将所有數相加求和,進位累加:3FFFC=FFFF
- 對求和結果求反,得:0000
- 結論:收到的 IP 分組首部沒有檢測出差錯
- UDP 校驗檢驗和
- UDP 校驗檢驗和在計算檢驗和時,要在 UDP 使用者資料報之前增加僞首部。把首部,僞首部,資料部分一起都檢驗。
- 在發送方,首先是先把全零放入檢驗和字段,在把僞首部以及 UDP 使用者資料報看成是由許多 16 位字串接起來。若 UDP 使用者資料報的資料部分不是偶數位元組,則要填入一個全零位元組(但不發送)。按二進制算法将他們相加,再求反碼即為檢驗和
- 在接收方,把收到的 UDP 使用者資料報連同僞首部一起,按照二進制反碼求這些 16 位字的和。當無差錯時其結果應為全 1;否則就表明有差錯
- UDP 的僞首部由源 IP 位址,目的 IP 位址,0,協定号 17,UDP 資料報長度組成
- TCP 校驗檢驗和
- 與 UDP 校驗檢驗和十分相像,僅在僞首部的協定号由 17 改為 6,UDP 長度改為 TCP 長度上有差別
路由技術(RIP,OSPF,BGP,MPLS)
-
RIP
内部網關協定,分布式基于距離向量的路由選擇協定。RIP 要求網絡中的每一個路由器都要維護從它自己到其他每一個目的網絡的距離記錄,使用跳數表示目标位址的路由距離。這種協定的路由器隻關心自己周圍的世界,隻與自己相鄰的路由器交換資訊,範圍限制在 15 跳以内
-
OSPF
開放式最短路徑優先,用著名的迪克斯特算法計算最短路徑樹,使用分布式鍊路狀态協定。會講一個自治系統劃分為若幹個小區域,利用洪泛法交換狀态資訊
-
BGP
邊界網關協定 BGP,隻能力求尋找一條能夠到達目的網絡且比較好的路由,并非要尋找一條最佳路由。采用了路徑向量路由選擇協定。在配置 BGP 時,每一個自治系統的管理者要選擇至少一個路由器作為該自治系統的 BGP 發言人。一般來說,兩個 BGP 發言人都是通過一個共享網絡連接配接到一起的,而 BGP 發言人往往就是 BGP 邊界路由器,但也可以不是 BGP 邊界路由器。一個 BGP 發言人與其他 AS 的 BGP 發言人要交換路由資訊,就要先建立 TCP 連接配接(端口号 179),然後在此連接配接上交換 BGP 封包以建立 BGP 會話,利用 BGP 會話交換路由資訊。
-
MPLS
多協定标記交換 MPLS,利用面向連接配接技術,使每個分組攜帶一個叫做 “标記” 的小整數,當分組到達交換機時,交換機讀取分組的标記,并用标記值來檢索分組交換表,再進行将标記由入标記兌換成出标記後,将封包發出到下一個 LSR(标記交換路由器)。當到達出口時,MPLS 域的出口結點就把 MPLS 的标記去除,發給正常的主機和路由器
資料交換(電路交換,封包交換,分組交換)
-
電路交換
由于電路交換在通信之前要在通信雙方之間建立一條被雙方獨占的實體通路(由通信雙方之間的交換裝置和鍊路鑄逐段連接配接而成),電話交換的經典應用就是電話通訊網絡。電話通信有三個階段:建立、通話、拆除
-
封包交換
封包交換是以封包為資料交換的機關,封包攜帶有目标位址、源位址等資訊,在交換節點采用存儲轉發的傳輸方式
-
分組交換
分組交換仍采用存儲轉發傳輸方式,但将一個長封包先分割為若幹個較短的分組,然後把這些分組(攜帶源、目的位址和編号資訊)逐個地發送出去。是現在計算機較常使用的交換方式
TCP 與 UDP
-
TCP
傳輸控制協定,是面向連接配接的協定,也就是說,在收發資料前,必須和對方建立可靠的連接配接。一個 TCP 連接配接必須需要經過三次 “對話” 才能建立起來,而結束需要四次“對話”
-
UDP
UDP 是一個非連接配接的協定,傳輸資料之前源端和終端不建立連接配接,當它想傳送時就簡單地去抓取來自應用程式的資料,并盡可能快地把它扔到網絡上。在發送端,UDP 傳送資料的速度僅僅是受應用程式生成資料的速度、計算機的能力和傳輸寬帶的限制;在接收端,UDP 把每個消息端放在隊列中,應用程式每次從隊列中讀一個消息端
由于傳輸資料不建立連接配接,是以也就不需要維護連接配接狀态,包括收發狀态等,是以一台服務機可同時向多個客戶機傳輸相同的消息。
IPv4 與 IPv6
IPv6 的優點:
- 更大的位址空間
- 擴充的位址層次結構
- 靈活的首部格式
- 改進的選項
- 允許協定的繼續擴充
- 支援即插即用
- 支援資源的預配置設定
- 8 位元組對齊
IPv4 和 IPv6 的差別:
- 取消了首部長度字段,因為它的首部長度是固定的
- 取消了服務類型字段,因為優先級和流标号字段實作了服務類型字段的功能
- 取消了總長度字段,改用有效載荷長度字段
- 取消了辨別标志和片偏移字段,因為這些功能已包含在分片擴充首部中
- 把 TTL 字段改稱為跳數限制字段,但作用是一樣的
- 取消了協定字段,改用下一個首部字段
- 取消了檢驗和字段,這樣加快了路由器處理資料報的速度
- 取消了選項字段,而是擴充首部來實作選項功能
P2P 與 C/S
-
P2P
p2p 對等連接配接是指兩台主機在通信時并不區分哪一個是服務請求方哪個是服務提供方,隻要兩台主機都運作了對等連接配接軟體。他們就可以進行平等的、對等連接配接通信
-
C/S
指用戶端伺服器方式,都是指通信中所涉及的兩個應用程序,客戶是服務請求方,伺服器是服務提供方。
搜尋引擎(全文檢索與分類目錄)
-
全文檢索
全文檢索搜尋引擎是一種純技術型的檢索工具。它的工作原理是通過搜尋軟體到網際網路上的各網站收集資訊,找到一個網站後可以從這個網站再連接配接到另一個網站,像蜘蛛爬行一樣。然後按照一定的規則建立一個很大的線上索引資料庫供使用者查詢。使用者在查詢時隻要輸入關鍵詞,就從已經建立的索引資料庫裡查詢。
-
分類目錄檢索
分類目錄搜尋引擎并不采集網站的任何資訊,而是利用各網站向搜尋引擎送出網站資訊時填寫的關鍵詞和網站描述等資訊,經過人工稽核編輯後,如果認為符合網站的登入條件,則輸入到分類目錄的資料庫中,供網上使用者查詢
CSMA/CD 與 CSMA/CA
-
CSMA/CD
載波監聽多點接入 / 碰撞檢測技術
多點接入,就是說明這是總線型網絡許多計算機以多點接入的方式連接配接在一根總線上。協定的本質是載波監聽和碰撞檢測
載波監聽,就是用電子技術檢測總線上有沒有其他計算機也在發送,就是檢測信道,不管在發送前,還是在發送中,每個站都必須不停地檢測信道
碰撞檢測,也就是邊發送邊監聽,即擴充卡邊發送資料邊檢測信道上的信号電壓的變化情況,以便判斷自己在發送資料時其他站是否也在發送資料。當電壓變化幅度超過限制值,就認為總線上至少有兩個站同時在發送資料。
-
CSMA/CA
就是帶有沖突避免的 CSMA/CD,屬于更新版,主要應用在無線網絡上
網絡攻擊方式(蠕蟲,木馬,邏輯炸彈,後門入侵,流氓軟體,竊聽,拒絕服務攻擊)
-
蠕蟲、木馬、邏輯炸彈、後門入侵、流氓軟體
都是屬于惡意程式
-
竊聽
從源站截獲後再發給目的站
-
拒絕服務攻擊
指攻擊者向網際網路上的某個伺服器不停地發送大量分組,使該伺服器無法提供正常的服務,甚至完全癱瘓
- 主要指令
ipconfig 指令(/all,/displaydns,/flushdns,/release,/renew)
-
ipconfig /all
顯示它已配置且所要使用的附加資訊,并且顯示内置于本地網卡中的實體位址
-
ipconfig /displaydns
顯示本地 DNS 内容
-
ipconfig /flushdns
清除本地 DNS 緩存内容
-
ipconfig /release
所有接口的租用 IP 位址便重新傳遞給 DHCP 伺服器
-
ipconfig /renew
本地計算機便設法與 DHCP 伺服器取得聯系,并租用一個 IP 位址
ping 指令(-n,-l,-t 等參數)
-
ping -n count
count 參數指定發送的 echo 資料包數,預設為 4
-
ping -l size
定義 echo 資料包大小。預設為 32 位元組
-
ping -t
想目标主機連續不斷發送資料包,直到被使用者已 ctrl+C 中斷
traceroute 指令
-
traceroute
檢視發送到目标網站的路徑
arp 指令(-a,-d,-s 參數)
-
arp -a
顯示 ARP 表中所有項目
-
arp -d
清除 ARP 高速緩存中所有項目
-
arp -s
向 ARP 高速緩存中添加靜态表項
- 術語:ISP,IXP,Hub,LAN,MAN,WAN,WLAN,VLAN,P2P,C/S,CSMA/CD,CSMA/CA,LiFi,Wifi,ADSL,HFC,FTTH,URL,VPN,IPSec,NAT,ICMP,IGMP,MSS,BGP, 自治系統 AS,HTTPS,MPLS,AP,SSID,AdHoc, 區塊鍊
-
ISP
網際網路服務提供者 ISP,在許多情況下 ISP 就是一個進行商業活動的公司
-
IXP
網際網路交換點 IXP 的主要作用就是允許兩個網絡直接相連并交換分組,而不需要再通過第三個網絡轉發
-
Hub
多端口轉發器 Hub,在以 Hub 為中心裝置時,即使網絡中某跳線路産生了故障,并不影響其他線路的工作。是以 HUB 在區域網路中得到了廣泛的應用
-
LAN
區域網路,一般用微型計算機或工作站通過高速通信線路相連,但地理上則局限在較小的範圍
-
MAN
城域網,作用範圍一般是一個城市,可跨越幾個街區甚至整個城市,其作用距離是 5~50Km
-
WAN
廣域網,作用範圍通常是幾十到幾千公裡,因而有時也稱為遠端網。是網際網路的核心部分,其任務是通過長距離運送主機所發送的資料
-
WLAN
無線區域網路,是指應用無線通信技術将計算機互聯起來,構成可以互相通信和實作資源共享的網絡體系。無線區域網路本質的特點是不再使用通信電纜将計算機與網絡連接配接起來,而是通過無線的方式連接配接,進而使網絡的建構和終端的移動更加靈活
-
VLAN
虛拟區域網路,是一組邏輯上的裝置和使用者,這些裝置和使用者并不受實體位置的限制,可以根據功能、部門應用等因素将它們組織起來,互相之間的通信就好像它們在同一個網段中一樣
-
P2P
對等連接配接,是指兩台主機在通信時并不區分哪一個是服務請求方哪一個是服務提供方。隻要兩台主機都運作了對等連接配接軟體,他們就可以平等的、對等連接配接通信
-
C/S
客戶 - 伺服器方式,客戶和伺服器都是指通信中所涉及的兩個應用程序,客戶是服務請求方,伺服器是服務提供方
-
CSMA/CD
載波監聽多點接入 / 碰撞檢測技術
多點接入,就是說明這是總線型網絡許多計算機以多點接入的方式連接配接在一根總線上。協定的本質是載波監聽和碰撞檢測
載波監聽,就是用電子技術檢測總線上有沒有其他計算機也在發送,就是檢測信道,不管在發送前,還是在發送中,每個站都必須不停地檢測信道
碰撞檢測,也就是邊發送邊監聽,即擴充卡邊發送資料邊檢測信道上的信号電壓的變化情況,以便判斷自己在發送資料時其他站是否也在發送資料。當電壓變化幅度超過限制值,就認為總線上至少有兩個站同時在發送資料。
-
CSMA/CA
帶有沖突避免的載波監聽多路通路技術
是一種資料傳輸時避免各站點之間資料傳輸沖突的算法,其特點是發送包的同時不能檢測到信道上有無沖突,隻能盡量避免
-
LiFi
可見光通訊 LiFi,點一盞 LED 燈就能上網
-
WiFi
使用 802.11 系列協定的區域網路又稱為 WiFi
-
ADSL
非對稱數字使用者線技術 ADSL,用數字技術對現有的模拟電話使用者線進行改造,使其能夠承受寬帶數字業務。
ADSL 由三個部分組成:數字使用者線接入複用器 DSLAM、使用者線和使用者家中的一些設施。其中 DSLAM 包括許多 ADSL 數據機,也稱接入端接單元 ATU。需要成對使用,使用者端的是 ATU-R 和電話分離器連接配接;電話端局的是 ATU-C
-
HFC
光纖同軸混合網 HFC 網
是在有限電視網的基礎上開發的一種居民寬帶接入網。機頂盒連接配接在同軸電纜和使用者的電視機之間,使模拟電視機能夠接受數字電視信号。還需要增加一個為 HFC 網使用的數據機,它又稱為電纜數據機。不需要成對使用,而隻需安裝在使用者端。
-
FTTH
FTTX 技術即光線到 x 技術,最常見的是 FTTH 光線到戶技術,也有 FTTC 到路邊、FTTZ 到小區、FTTO 到辦公室、FTTB 到大樓、FTTF 到樓層、FTTD 到桌面等。
-
URL
統一資源定位符 URL,是用來表示從網際網路上得到的資源位置和通路這些資源的方法
URL 給資源的位置提供一種抽象的識别方法,并用這種方法給資源定位
<協定>://< 主機 >:< 端口 >/< 路徑 >
-
VPN
虛拟專用網 VPN, 在公用網絡上建立專用網絡,進行加密通訊。VPN 網關通過對資料包的加密和資料包目标位址的轉換實作遠端通路
-
IPSec
是一個協定報,通過對 IP 協定的分組進行加密和認證來保護協定的網絡傳輸協定族
-
NAT
網絡位址轉換 NAT,需要在專用網連接配接到網際網路的路由器上安裝 NAT 軟體。裝有 NAT 軟體的路由器叫做 NAT 路由器,它至少有一個有效的外部全球 IP 位址。
-
ICMP
網際組控制協定 ICMP
-
IGMP
網際組管理協定 IGMP,使用 IP 資料報傳遞其封包,但他也向 IP 提供服務。
第一步,當某台主機加入新的多點傳播組時,該主機應向多點傳播組的多點傳播位址發送一個 IGMP 封包。
-
MSS
最大封包段長度 MSS,是每一個 TCP 封包中的資料字段的最大長度
-
BGP
外部網關協定 BGP,隻能力求尋找一條能夠到達目的網絡且比較好的路由,并非尋找一條最佳路由,BGP 采用了路徑向量路由選擇協定。
-
自治系統 AS
是一個有權自主地決定在本系統中應采用何種路由協定的小型機關。
-
HTTPS
超文本傳送協定 HTTP,HTTPS 是以安全為目的的 HTTP 通道,在 HTTP 的基礎上通過傳輸加密和身份認證保證了傳輸過程的安全性。在 HTTP 的基礎上加入了 SSL,HTTPS 的安全基礎是 SSL,是以加密的詳細内容就需要 SSL。
-
MPLS
多協定标記交換 MPLS,多協定表示在 MPLS 的上層可以采用多種協定。MPLS 利用面向連接配接技術,使每個分組攜帶一個叫做标記的小整數。當分組到達交換機時,交換機讀取分組的标記,并用标記值來檢索分組轉換表
-
AP
接入點,基本服務集内的基站叫做 AP,其作用和網橋類似
-
SSID
服務集辨別符 SSID,即 WLAN 的名稱,當網絡管理者安裝 AP 時,必須為該 AP 配置設定一個不超過 32 位元組的服務集辨別符 SSID 合一個信道
-
AdHoc
AdHoc(點對點模式):AdHoc 模式就和以前的直連雙絞線概念一樣,是 P2P 的連接配接,是以就無法與其它網絡溝通了,可以用來元件家庭無線區域網路
-
區塊鍊
本質上來講,它是共享資料庫,存儲于其中的資料或資訊,具有 “不可僞造”,“全程留痕”,“可以追溯”,“公開透明”,“集體維護” 等特征。