目录
5. 网络基础知识
5.1 本章考点
5.2 计算机网络概述(了解一下)
计算机网络的定义:利用通信设备和线路将地理位置分散的、功能独立的自主计算机系统或由计算机控制的外部设备连接起来,在网络操作系统的控制下,按照约定的通信协议进行信息交换,实现资源共享的系统。
计算机网络发展的4个阶段:具有通信功能的单机系统→具通信功能的多机系统→以共享资源为目的的计算机网络→以局域网及因特网为支撑环境的分布式计算机系统。
5.2.1 计算机网络功能
计算机网络的功能:数据通信、资源共享、负载均衡、高可靠性。
计算机网络按照数据通信和数据处理的功能可分为两层:内层通信子网和外层资源子网。
- 通信子网的节点计算机和高速通信线路组成独立的数据系统,承担全网的数据传输、交换、加工和变换等通信处理工作;
- 通信子网对应OSI中的低三层:物理层、数据链路层、网络层,专门解决数据传输和通信控制问题;
- 资源子网保罗计算机、终端、通信子网接口设备、外部设备及各种软件资源等,负责全网的数据处理和向网络用户提供网络资源及网络服务;
- 资源子网对应OSI中的高三层:会话层、表示层、应用层,主攻数据处理。
5.2.2 计算机网络分类
计算机网络按通信距离分为广域网、局域网和城域网;按网络拓扑结构分为星型网、树形网、环形网和总线网,各类网络的特征参数如下:
常用的网络拓扑结构:
广域网多用分布式或树形结构,局域网常使用总线型、环型、星型或树形结构。
5.3 网络设备(★★★)
下图和下表重要,记一下:
5.3.1 网络设备
5.3.1.1 物理层的互联设备
中继器:它是在物理层上实现局域网网段互连的,用于扩展局域网网段的长度,在以太网中最多只能使用4个中继器。
集线器:可以看成是一种特殊的多路中继器,也具有信号放大功能。
5.3.1.2 数据链路层的互连设备
1.网桥
网桥:用于连接两个局域网网段,工作与数据链路层。网桥要分析帧地址字段以决定是否把收到的帧转发到另一个网络段上,网桥工作与MAC子层。
网桥检查帧的源地址和目标地址,如果两者在同一个网络段上,就把帧转发到另一个网络段上,在同一网段则无需转发。
把分布在两层楼上的网络分成每层一个网络段,段中间用网桥相连,这样的配置可以最大限度的缓解网络通信繁忙的程度,提高通信效率;同时,由于网桥的隔离作用,一个网络段上的鼓掌不会影响到另一个网络段,从而提高网络的可靠性。
2.交换机
交换机:交换机按每一个包中的MAC地址相对简单的决策信息转发,交换机转发数据的延迟很小,操作接近单个局域网的性能,远远超过了普通桥接的转发性能。
交换机的工作过程:当交换机从某一节点收到一个以太网帧后,立即在其内存的MAC地址表(端口号→MAC地址)进行查找,确认目的MAC网卡连接在哪个节点,再将该帧转发至该节点。若该地指标中没有找到对应的MAC地址,交换机将数据包广播到所有节点,拥有该MAC地址的网卡接收到该广播帧后作出应答,交换机将其节点的MAC地址添加到MAC地址表中。
交换机3种交换技术:端口交换、帧交换、信元交换。
5.3.1.3 网络层的互联设备
1.路由器
路由器属于网络层互联设备,用于连接多个逻辑上分开的网络。逻辑网络是指一个单独的网络或一个子网,当数据曹昂一个子网传输到另一个子网时,可通过路由器来完成。
路由器具有很强的异种网互联能力,互联的网络最低两层协议可以互不相同,通过驱动软件接口道第三层上而得到统一(多协议路由器)。
路由器的最主要的功能是选择路径,网络层地址信息叫做网络逻辑地址,数据链路层的地址信息叫做物理地址。路由器存储器中维护着一个路径表,记录各个网络的逻辑地址,用于识别其他网络。
路由器工作过程:当路由器收到从一个网络向另一个网络发送的信息报时,将解读信息包中的数据获取目标网络的逻辑地址(IP地址),使用复杂的程序决定决定最优发送路径,然后重新打包并转发出去。
2.三层交换机
三层交换机就是具有部分路由器功能的交换机,三层交换机的最重要目的是加快大型局域网内部的数据交换,所具有的路由功能也是为这目的服务的,能够做到一次路由,多次转发。当第三层交换机第一次收到一个数据包时必须通过路由功能寻找转发端口,同时记住目标和源MAC地址,以及其他相关信息,之后再次收到目标地址和源地址相同的帧时就直接进行交换,不在调用路由功能。
三层交换技术就是二层交换技术+三层转发技术。传统交换技术是在OSI网络标准模型第二层——数据链路层进行操作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发,既可实现网络路由功能,又可根据不同网络状况做到最优网络性能。
5.3.1.4 应用层互联设备
网关:是应用层的互连设备,主要功能协议转换。
连接不同类型二协议差异有较大的网络时,选用网关设备进行协议转换,将数据重新分组,一边在两个不同类型的网络系统之间进行通信,由于协议转换的复杂性,一般网关只进行一对一转换。
5.3.2 网络传输介质
传输介质是信号传输的媒体,常用的介质分为有线介质和无线介质,有线介质有双绞线、同轴电缆和光纤等;无线介质有微波、红外线和激光等。
卫星通信是微波通信的特殊形式,优点是容量大距离远,缺点传播延迟时间长。
5.4 ISO/OSI网络体系结构(★★★)
ISO/OSI参考模型从低层至高层分别为:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
OSI参考模型各层功能简述:
5.5 网络的协议与标准
5.5.1 局域网/广域网协议(了解一下)
1.局域网协议
局域网基本组成:网络服务器、网络工作站、网络适配器和传输介质。
决定局域网特性的主要技术有3方面:用以传输数据的传输介质、用以连接各种设备的拓扑结构、用以共享资源的介质访问控制方法。不同的局域网协议最主要的区别是介质访问控制方法。
以太网主要的3种类型:IEEE802.3定义的标准局域网,速度10Mb/s,传输介质为细同轴电缆;IEEE802.3u定义的快速以太网,速度100Mb/s,传输介质为双绞线;IEEE802.3z定义的千兆以太网,速度1000Mb/s,传输介质为光纤或双绞线。
2.广域网协议
点对点协议(PPP)、数字用户线、数字专线、X.25协议
5.5.2 TCP/IP协议簇
TCP/IP协议是Internet的核心协议,是迄今为止发展最为成熟的互联网络协议系统,主要特征:
- 逻辑编址:每台连入互联网的计算机分配一个逻辑地址(IP),一个IP地址包括网络ID号、子网络ID号、主机ID号,因此可以通过分配的IP地址快速找对对应的计算机。
- 路由选择:在TCP/IP中包含了专门用于定义路由器如何选择网路路径的协议,即IP数据包的路由选择。
- 域名解析:为了方便用户记忆和使用专门设置的字母式地址结构,称为DNS或者域名,将域名映射为IP地址成为域名解析。
- 错误检测与流量控制:TCP/IP具有分组交换确保数据信息在网络上可靠传递的特性,包括监测数据信息的传输错误,确认已传递的数据信息已被成功地接收,监测网络系统的信息流量,防止网络拥塞现象。
TCP/IP分层模型:(★★★)
5.5.2.1 网际层协议
1.IP
IP所提法的服务通常被认为是无连接的不可靠的,所以把差错检测和流量控制之类的服务授权给了其他各层协议,以保证TCP/IP高效工作。所谓的无连接传输是指没有确定目标系统在已做好接收数据准备之前就发送数据;不可靠的服务是指系统不对成功接收的分组进行确认,IP只是尽可能地使数据传输成功。
IP主要功能:
(1)将上层数据(如TCP、UDP数据)或同层其他数据(如ICMP数据)封装到IP数据报中;
(2)将IP数据报传送到最终目的地;
(3)对数据进行分段以使数据能够在链路层上进行传输;
(4)确定数据报到达其他网络目的地的路径。
5.5.2.2 传输层协议
1.TCP
(1)TCP为应用程序提供一个可靠的、面向连接的、全双工的数据传输服务。
(2)TCP通过重发技术实现数据传输可靠性:在TCP传输过程中,发送方启动一个定时器,然后将数据包发出,接收方收到这个信息就返回“确认”信息给发送方,如果发送方在定时器到点之前仍未收到这个确认信息,就重新发送该数据包。
(3)利用TCP建立和关闭连接需要通过3次握手:
- 源主机发送一个TCP数据包(同步标志位为1),表示想与目标机进行通信;
- 目标机发送确认(ACK位置1)进行响应表示愿意进行通信;
- 源主机以确认来响应目标机的TCP包,该确认包括想要接收的下一序列号(该帧可包含发送的数据)。
(4)TCP协议一般用于传输数据量较少但对可靠性要求高的场合。
2.UDP
UDP是一种不可靠的、无连接的协议,可以保证应用程序进程间的通信。
TCP有助于提高可靠性,UDP有助于提高传输的高速率性。
UDP协议主要作用就是将UDP消息展示给应用层,它并不负责重新发送丢失的或出错的数据消息,不对接收到的无序IP数据包重新排序,不消除重复的IP数据报,不对已收到的数据报进行确认,也不负责建立或终止连接。
3.TCP、UDP对比
TCP提供可靠的数据传输服务,但消耗更多的时间和通信量;传输速率低,适用于传输的数据量不多,对传输速度要求不高,但对可靠性要求较高的场景。
UDP可以实现高速率传输,适用于传输数据量大,对传输速率高,但对可靠性要求不高或者已知网络是可靠的情况下的场景。
5.6 Internet基础知识(★★★)
5.6.1 域名
域名通常使用户所在的主机名字或地址。
1.域名格式:计算机主机名.本地名.组名.最高层域名
比如:
www.12306.cn,cn表示地理性顶级域名“中国”;
www.baidu.com,com表示类别顶级域名“工商企业性质的网站”;
www.263.net,net表示组织性顶级域名“网络技术组织机构”;
2.URL格式:协议://主机.域名[:端口号]][/路径][/文件名]
https://redisbook.readthedocs.io/en/latest/feature/scripting.html
http://www.12306.cn
- HTTP是Hyper Text Transfer Protocol,超文本传输协议,面向网页,可以访问www全部资源;
- FTP是File Transfer Protocol,文件传输协议,是面向文件的,一般只适用于局域网内部文件共享;
- HTTPS是一种通过计算机网络进行安全通信的传输协议,经由HTTP进行通信,利用SSL/TLS建立全信道,加密数据包;HTTPS使用的主要目的是提供对网站服务器的身份认证,同时保护交换数据的隐私与完整性。
5.6.2 IP地址(★★★)
每个IP地址都是由4个小于256的数字组成,数字之间用“.”分隔,Internet的IP地址有32位,4个字节,有两种表示格式:二进制格式和十进制格式,如下IP两种表示法结果是相同的:
129.102.4.11=====10000001 01100110 00000100 00001011
IP地址可以分为5类:A、B、C、D、E,在IP地址中,全0代表是网络,全1代表是广播。(以下2图表非常重要,第2图来自紫依课程记!)
5.6.3 子网掩码(★★★)
子网掩码需结合IP地址来看,脱离了IP地址就毫无意义,它是用来识别具体的IP地址中哪些是网络号部分哪些是主机号部分。
子网掩码的格式与IP地址相同,对应网络号部分用1表示,对应主机号部分用0表示。比如C类地址前面3字节(24位)为网络号,第4字节(8位)为主机号,默认子网掩码为255.255.255.0,二进制形式:11111111 11111111 11111111 00000000。
1.求解网络号:子网掩码和IP地址转换为二进制,再做“逻辑与”运算(串联原理)。
例如:求C类地址210.42.96.138的网络号
(1)IP地址二进制转换:11010010 00101010 01010110 10001010
(2)子网掩码二进制转换:11111111 11111111 11111111 00000000
(3)逻辑与运算:11010010 00101010 01010110 00000000(红色部分网络号)
2.求解主机号:子网掩码按位取反,再与IP地址做“逻辑与”运算。
例如:求C类地址210.42.96.138的主机号
(1)子网掩码按位取反:00000000 00000000 00000000 11111111
(2)IP地址二进制转换:11010010 00101010 01010110 10001010
(3)逻辑与运算:00000000 000000000 00000000 10001010(红色部分主机号)
3.可变长子网掩码
VLSM(Variable Length Subnet Mask,可变长度子网掩码)应用不同大小的子网掩码来对IP地址空间进行子网划分,VLSM的作用就是在类的IP地址的基础上,从它们的主机号部分借出相应的位数来做网络号,也就是增加网络号的位数,具体的方法就是在IP地址的后面加上“/网络号及子网络号编址位数”,例如193.168.125.0/27,前27位表示网络号。
(1)IP地址:210.42.96.138 →11010010 00101010 01100000 10001010
(2)子网掩码:255.255.255.192 →11111111 11111111 11111111 11000000,可见该子网掩码左边连续为1位网络地址,右边连续为0位主机地址。
(3)逻辑与运算网络号:11010010 00101010 01100000 10001010(红色部分为网络号,绿色部分为主机号)
可变长子网掩码表示:210.42.96.138/26,/26表示该子网掩码有26个1,借主机号2位给网络号。
例题:子网划分C类IP:210.42.96.*/24,需要划分成8个子网。
(1)对应二进制11010010 00101010 01100000 ********(红色部分为网络号,*部分为主机号)
(2)划分8个子网需要借3位主机号 ( 256 − 256 / 8 = 224 = 2 7 + 2 6 + 2 5 ) (256-256/8=224=2^7+2^6+2^5) (256−256/8=224=27+26+25),也就是11010010 00101010 01100000 ***00000(绿色3个*为借位网络号—子网号),对应C类子网划分总结表:
(3)子网号:000,001,010,011,100,101,110,111,对应每个子网最多主机数 2 5 − 2 = 30 2^5-2=30 25−2=30个。
同理,也可以通过借位网络号来增加主机数。
5.6.4 IPV6
现在的IP协议版本号为4,即IPV4,4个字节,32位,字节间用“.”连接,最多的IP地址为 2 32 ≈ 40 2^{32}≈40 232≈40亿个。
IPV6地址空间为128位,16字节,使用8个十六进制数中间加小数点“:”表示,理论上最多的IP地址有 2 128 2^{128} 2128个。
例如:686E:8C64:FFFF:FFFF:0:1180:96A:FFFF
允许0压缩,即连续的0可以用一个冒号代替。
例如:FF05:0:0:0:0:0:0:B3→FF05::B3。
IPV6可以和IPV4结合使用,如:0:0:0:0:0:0:128.10.1.1→::128.10.1.1
5.7 Internet服务
使用各类Internet服务时,可以使用端口号进行区分,TCP和UDP协议的端口号为16位,支持0~65535的端口号,其中0~1023为公共端口,1024~65535需要注册登记。
5.7.1 域名服务
Internet中的域名地址与IP地址是等价的,它们之间是通过域名服务来完成映射变换的。
- 域名系统采用的是客户端/服务器模式,整个系统由解析器和域名服务器组成;
- 解析器负责查询域名服务器,返回信息等工作;
- 域名服务器是服务器方,保存着一部分域名空间的全部信息,分为主服务器、缓存服务器和转发服务器;
- 进行域名解析时,首先是检查本地缓存,然后本地域名服务器,再是依次从下往上向各层服务器发出查询地址的请求。
远程登录服务、电子邮件服务、万维网服务、文件传输服务。
5.8.信息安全与网络安全
信息安全要素:机密性、完整性、可用性、可控性和可审查性。
5.8.1.网络攻击的分类
1.主动攻击
主动攻击会导致某些数据流被篡改或者产生虚假的数据流,这类攻击可分为篡改消息、伪造消息、重放和拒绝服务。
(1)篡改消息:是指一个合法消息的某些部分被修改、删除、延迟、重新排序等,如修改传输消息中的数据,将:“允许甲执行操作”改为“允许乙执行操作”。
(2)伪造(伪装、假冒):是指某个实体假扮成其他实体,从而以欺骗的方式获取一些合法用户的权利和特权。
(3)重放:是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。
(4)拒绝服务(DOS):是指攻击者不断地对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
2.被动攻击
与主动攻击不同的是,被动攻击中攻击者并不对数据信息做任何修改,也不产生虚假的数据流,通常包括窃听、流量分析等攻击方式。
(1)窃听(截取):是指攻击者在未经用户同意和认可的情况下获得了信息或有关的数据。
(2)流量分析(通信量分析):是指攻击者虽然从截获的消息中无法得到消息的真实内容,但攻击者还是能通过观察这些数据报的模式,分析确定出通信双方的位置、通信的次数及消息的长度,获知相关的敏感信息。
5.8.2 网络安全概述
5.8.2.1 安全的分类
- 物理安全:物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故及人为操作失误及各种计算机犯罪行为导致的破坏,主要是场地安全与机房安全。
- 网络安全:主要是非授权访问、信息泄露或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒。
- 系统安全:主要指操作系统的安全。
- 应用安全:与应用系统相关的安全。
5.8.2.2 防火墙技术
防火墙的作用是防止不希望的、未经授权的进出被保护的内部网络,通过边界控制强化内部网络的安全策略。它阻挡对网络的非法访问和不安全数据的传递,使得本地系统和网络免于受到许多网络安全的威胁,防火墙主要是用于逻辑隔离外部网络与受保护的内部网络。
1.包过滤防火墙
包过滤防火墙处于网络层和数据联络层之间,一般有一个包检查块(包过滤器),数据包过滤可以根据数据报头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问,但无法控制传输数据的内容,因为内容是应用层数据。
优点:
(1)过滤型防火墙通常直接转发报文,它对用户完全透明,速度较快;
(2)对每条传入或传出网络的IP包打开并进行检查,例如源地址、目标地址、协议和端口等,对于不符合包过滤规则的包进行识别记录,发出警报并丢弃该包
(3)包过滤通常被包含在路由器数据报中,所以不需要额外的系统来处理这个特征。
缺点:
(1)不能防范黑客攻击,因为网管部可能区分出可信网络与不可信网络的界限;
(2)不支持应用层协议,因为它不识别数据包中的应用层协议,访问控制粒度太粗糙,不能处理新的安全威胁。
2.应用代理网关防火墙
应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。
所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的写一会化过程必须符合代理的安全策略要求。
应用代理网关的有点事可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。
缺点是难以配置,处理速度非常慢。
3.状态检测技术防火墙
状态检测技术防火墙结合了代理防火墙的安全性和包过滤防火墙的高速等优点,在不损失安全性的基础上提高了代理防火墙的性能。
状态检测防火墙对每个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力,同时也改进了流量处理速度。因为他采用了一系列优化技术,是防火墙性能大幅提升,能应用在各类网络环境中,尤其是在一些规则复杂的大型网络上。
5.8.2.3 入侵检测和防御
入侵检测系统(IDS):防火墙之后的第二道安全屏障,注重网络安全状况的监管,通过监视网络或系统资源,寻找违反安全策略的行为或遭到入侵攻击的迹象,并发出警报,因此绝大多数IDS洗头都是被动的。
主要功能:对用户和系统行为的检测与分析、系统安全漏洞的检查和扫描、重要文件的完整性评估、已知攻击行为的识别、异常行为模式的统计分析、操作系统的审计跟踪,以及违反安全策略的用户行为的检测等。
入侵防护系统(IPS):实在入侵检测系统的基础上发展起来的,不仅能够检测到网络中的攻击行为,同时可以主动地对攻击行为发出响应,对入侵活动和攻击性网络流量进行拦截,避免造成损失。
说明:
1.疏忽、遗漏、错误之处,欢迎留言批评指正。
2.至此第5章书本教程知识点总结结束,后续会继续完善补充本章的历年真题,转载请注明出处,整理不易,谢谢!