认识系统进程
进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在当代面向线程设计的计算机结构中,进程是线程的容器。程序是指令、数据及其组织形式的描述,进程是程序的实体。
一个计算机系统进程包括(或者说“拥有”)下列数据:
那个程序的可运行机器码的一个在存储器的映像。 分配到的存储器(通常包括虚拟内存的一个区域)。存储器的内容包括可运行代码、特定于进程的数据(输入、输出)、调用堆栈、堆栈(用于保存运行时运数中途产生的数据)。 分配给该进程的资源的操作系统描述符,诸如文件描述符(Unix术语)或文件句柄(Windows)、数据源和数据终端。 安全特性,诸如进程拥有者和进程的权限集(可以容许的操作)。 处理器状态(内文),诸如寄存器内容、物理存储器寻址等。当进程正在运行时,状态通常储存在寄存器,其他情况在存储器。
端口的分类
1.按端口号分布划分
(1)公认端口
公认端口包括端口号范围是0~1023。它们紧密绑定于一些服务。通常,这些端口的通信明确表明了某种服务的协议,比如80端口分配给HTTP服务,21端口分配给FTP服务等。
(2)注册端口
注册端口端口号为1024~49151。它们松散地绑定于一些服务。也就是说,有许多服务绑定于这些端口,这些端口同样用于许多其他目的,比如许多系统处理动态端口从1024左右开始。
(3)动态或私有端口
动态或私有端口的端口号为49152~65535。理论上,不应为服务分配这些端口。但是一些木马和病毒就比较喜欢这样的端口,因为这些端口不易引起人们的注意,从而很容易屏蔽。
2.按协议类型划分
使用TCP协议的常见端口主要有如下几种。
(1)FTP协议端口
FTP即文件传输协议,使用21端口。某计算机开了FTP服务,便启动了文件传输服务,下载文件和上传主页都要用到FTP服务。
(2)Telnet协议端口
该端口是一种用于远程登录的端口,用户可通过自己的身份远程连接到计算机上,通过这种端口可提供一种基于DOS模式的通信服务。如支持纯字符界面BBS的服务器会将23端口打开,以对外提供服务。
(3)SMTP协议端口
现在很多邮件服务器都使用这个简单邮件传送协议来发送邮件。如常见的免费邮件服务使用的就是此邮件服务端口,所以在电子邮件设置中经常会看到SMTP端口设置栏,服务器开放的是25号端口。
(4)POP3协议端口
POP3协议用于接收邮件,通常使用110端口。只要有使用POP3协议的程序(如Outlook等),就可以直接使用邮件程序收到邮件(如126邮箱用户就没有必要先进入126网站,再进入自己的邮箱来收信了。)
使用UDP协议的常见端口主要有如下几种。
(1)HTTP协议端口
HTTP是用户使用的最多的协议,即"超文本传输协议"。当上网浏览网页时,就要在提供网页资源的计算机上打开80号端口以提供服务。WWW服务和Web服务器等使用的就是这个端口。
(2)DNS协议端口
DNS用于域名解析服务,这种服务在Windows NT系统中用得最多。Internet上的每一台计算机都有一个网络地址与之对应,这个地址就是IP地址,它以纯数字形式表示。但由于这种表示方法不便于记忆,于是就出现了域名,访问计算机时只需要知道域名即可。域名和IP地址之间的变换由DNS服务器来完成(DNS用的是53号端口)。
(3)SNMP协议端口
SNMP即简单网络管理协议,用来管理网络设备,使用161号端口。
(4)QQ协议端口
QQ程序即提供服务又接收服务,使用无连接协议,即UDP协议。QQ服务器使用8000号端口侦听是否有信息到来,客户端使用4000号端口向外发送信息。
查看端口
netstat -a -n
常见的网络协议
IP协议
IP(Internet Protocol)协议,又称网际协议,它负责Internet上网络之间的通信,并规定了将数据从一个网络传输到另一个网络应遵循的规则,是TCP/IP协议的核心。因特网看起来好像是真实存在的,但实际上它是一种并不存在的虚拟网络,只不过是利用IP协议把全世界所有愿意接入因特网的计算机局域网连接起来,使得它们彼此之间都能够通信。正如人类进行有效交流需要使用同一种语言一样,计算机之间的通信也要使用同一种“语言”,而IP协议正是这种语言。
IP协议具有能适应多样化网络硬件的灵活性,任何一个网络只要可以从一个地点向另一个地点传送二进制数据,就可以使用IP协议加入因特网。但是连接在因特网上的每台计算机如果想进行交流和通信,还必须遵守IP协议。
IP协议是点到点的,协议简单,但不能保证传输的可靠性,它采用无连接数据报机制,对数据是“尽力传递”,不验证正确与否,也不保证分组顺序,不发确认。所以IP协议提供的是主机间不可靠的、无连接数据报传送。
ARP (地址解析协议)
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,局域网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。
arp -a //查看ARP缓存表
ICMP
ICMP(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
ICMP使用IP的基本支持,就像它是一个更高级别的协议,但是,ICMP实际上是IP的一个组成部分,必须由每个IP模块实现。
