网络空间安全——网络安全与密码参考书目《网络安全》学习笔记（二）

《网络安全》徐国爱

序

• 书中已经熟知的概念不再记录，只建立一个框架。
• 删除线标记的是未弄懂的概念

第一部分 互联网系统简要介绍及网络系统安全性分析（接上一篇）

• 传输层详细讲解：传输层在网络分层结构中起着承上启下的作用。无论下三层通信子网的服务界面和服务质量如何, 我们总可以用传输层对它加以屏蔽, 从而向上提供一个标准的、相当完善的服务界面, 为编写通用、高效的网络应用程序提供可能。TCP/ I P 的传输层有 TCP 和 UDP 两类。其中, TCP 是面向连接的, 提供可靠流服务;UDP 是无连接的, 提供数据报服务。

• TCP（Transmission Control Protocol 传输控制协议）：基于字节流的传输模式，是面向连接的、可靠的传输协议，在互联网历史上被认为最成功的二个协议之一，另一个是IP协议。格式如下图所示：

• 源端口和目的端口：标识接收端和发送端的应用进程。这两个值加上IP 首部中的源IP 地址和目的I P 地址惟一地确定一个 TCP 连接；序号：所发送的数据的第一字节的在完整数据流中的序号, 用以标识从 TCP 发端向 TCP 收端发送的数据字节流；确认号：是期望收到对方的下一个报文段的数据的第一个字节的序号，只有在标识位中的ACK 比特设置为1 时, 此序号才有效。TCP头长度：以4字节为单位，最小是20字节；PSH（急迫位）：收到PSH置 1 的TCP报文段，就尽快地交付给接收应用进程，而不再等到整个缓存都填满；RST（重建位）：当 RST=1 时，表明 TCP 连接中出现严重差错（如由于主机崩溃或其他原因），必须释放连接，然后再重新建立连接；同步位( SYN) : SYN = 1 ,ACK = 0 表示连接请求消息, SYN = 1 ,ACK = 1 表示同意建立连接消息;确认位( ACK) : 表示确认序号字段有意义;窗口大小: 滑动窗口协议中的窗口大小。

• 三次握手机制：为了解决数据包丢失问题，在“客户端请求-服务器确认-客户端收到确认链接建立”的基础上，增添了客户端的定时重传机制。在此基础上，为了解决延迟重复问题（在客户端定时重传时间内确认包未到达，但过了这个时间之后，确认包又到达了，但是客户端已经发出了重传的请求），增添了三次握手机制。当 客户端判断出服务器端发来的确认包是过时的时, 将发送一个拒绝报文:REJ( 确认= Y) , 表示对来自 B 机的 CC( 初始序号= Y, 确认= X1) 的拒绝。这样, 便不会在旧的重复连接请求上建立错误连接了。具体过程如下图：
  

• 滑动窗口协议：一个重要用途是流量控制，是在简单停止等待协议和无确认数据报传输中的折中。在发送端，窗口内对应序号的帧可以不必等待上一个序号确认完即可发送，但当前面的序号的帧得到确认才可以往后滑动。在接收端，只有窗口内对应序号的帧才可以接收。

• 确认与重传机制：为了解决的就是上述“三次握手机制”中已经提到延迟重复问题，但比较不好确定的是超时的时间。发出数据到收到确认所需的往返时间( RTT ,Round Trip Ti me) 呈动态变化, 很难把握。为适应上述情况,TCP 采用一种适应性
  重传算法。大致思想是:TCP 监视每一条连接的性能, 由此推算出合适的时间片, 当连接性能发生变化时,TCP 随即改变时间片值。动态时间片确定如下图：

• UDP（用户数据报协议 User Datagram Protocol），是一个无连接的、提供不可靠服务（数据丢失不能被感知到，不知道发出的数据是否无误到达）的协议。UDP 往往面向只需少量报文交互的应用，效率较高。报文格式如下：

• 应用层详细讲解：应用层是 TCP/ IP 模型中的最高层, 主要功能是提供 TCP/ IP 应用协议以及应用程序编程接口( API) 。每个应用层协议都是为了解决某一类应用问题，而问题的解决又往往是通过位于不同主机中的多个应用进程之间的通信和协同工作来完成的。应用层的具体内容就是规定应用进程在通信时所遵循的协议。

• 统一资源定位符（URL,uniform resource locator）：统一资源定位符 URL 是对可以从因特网上得到的资源的位置和访问方法的一种简洁的表示。一般形式是<URL的访问方式>://<主机>:<端口>/<路径>，其中访问方式ftp是文件传送协议，http 是超文本传送协议，https是加密的http。<主机>表示主机的域名。

• DNS（域名系统，Domain Name System），域名系统的命名机制叫作域名，这是一种层次型命名机制。在Internet 上, 为便于记忆, 大量使用主机名而不是I P 地址, 它们之间的转换需要使用DNS 域名服务。

• 域名解析：总的来说, 域名解析采用自顶向下的算法, 从根服务器开始直到叶服务器, 在其间的某个节点上一定能找到所需的名字—地址映射。由于父子节点的上下管辖关系, 名字解析的过程只需走过一条从树中某节点开始到另一节点的自顶向下的单向路径, 不需要遍历整棵树。域名解析的方式有两种: 第一种叫递归解析(recursive resolution) , 要求名字服务器系统一次性完成全部名字—地址变换; 第二种叫反复解析(iterative resolution) , 每次请求一个服务器, 不行就再请求别的服务器。二者区别在于, 前者将复杂性和负担缴纳给服务器软件, 后者交给解析器软件。显然, 递归解析方式在名字请求频繁时性能不好, 而反复解析方式在名字请求不多时性能不好。算法流程图如下

• 逆向域名解析：域名系统提供一种特殊形式的逆向解析, 为此专门构造一个特别域
  及特别报文, 称为“指针询问”。在指针询问中, 欲解析的IP 地址以一种像域名一样的可显示形式表达, 后缀为逆向解析域域名“in-addr .arpa”。I P 地址为aaa .bbb .ccc .ddd，其指针询问表达方式为:ddd .ccc .bbb .aaa .in-addr .arpa。正如IP 地址的逆向解析一样, 域名逆向解析对无盘主机也尤其有用, 配合起来, 无盘节点便可通过自己的物理地址求出自己的IP 地址, 进而求出更高级的域名。

• FTP（文件传送协议）：FTP 协议的复杂性表现在该协议把文件传输（20端口）与命令/ 控制信息（21端口）的交换分解为不同的任务来实现。FTP 结构体系的工作原理如下图：

• 电子邮件（e-mail）：电子邮件系统使用了spooling 缓冲技术，其工作原理如下图所示：

• HTTP（HyperText Transfer Protoco）：Web 服务是Internet 上运行最为广泛的服务之一, HTTP 为 Web 服务的支撑协议。HTTP 协议是一种请求及应答协议, 以下是两个基本 HTTP 协议的交互过程：①(1) HTTP 客户端向服务器发送一个请求消息: 该请求消息中包括一个方法请求( 这里的方法是指一个 HTTP 协议命令) , 一个 URL , 以及一个当前 HTTP 的版本号( 通常是1 .1) 。除此之外, 请求中还带有一个类似多用途网际邮件扩充( MI ME)格式的消息, 该消息包括一些与客户端和该请求相关的信息( 例如, 浏览器名称及版本, 或该请求使用的参数等客户端信息) 。②HTTP 服务器对客户端返回状态行信息, 其中包括使用的 HTTP 版本号和对该请求的应答代码( 例如, 应答码404 : 文件不存在) 。除此之外, 该服务器还向其客户端发送一个 MI ME 格式的消息, 该消息中带有服务器的有关信息、实体信息及被请求的实际内容等。HTTP 的技术规范中并没有指定任何特殊传输协议（如TCP协议）为其专用协议, HTTP 惟一的要求是希望传输协议要有较高的可靠性。

• HTML：HTTP 可用来传输任何类型的数据, 但一种标记语言, 即超文本标记语言( HT ML ,Hyper Text Mark Language)已经被指定为 Web 内容的首选数据类型。标记语言可以提供一种用来将文档的某一部分标识为具有特殊功能的机制。比如，可以用来链接其他文件或文档的链接标记。

• HTTP 的方法：也叫作 HTTP 应用协议命令。客户端通常使用方法 GET 来请求访问服务器上的数据, 如果需要的话, 客户端也可以使用方法POST 向其服务器提交数据。客户端向服务器提交的数据主要来自于最终用户在 Web 页面表格（form标签）中填充的内容。