信息安全实训Day5

今天是信息安全实训的第五天，今天开始了应用层的学习，学习应用层也意味着从前几天的网络安全部分，进入到了web安全、应用安全的领域了，然后今天学习了两个实验：http cookies劫持攻击实验和DNS劫持实验，下面是我总结的重点内容：
1、应用层中的应用软件服务模式：客户/服务器（C/S）{稳定性好，功能性强，体验感好但是兼容性差，成本高}、浏览器/服务器（B/S）、P2P（对等体系结构）。
2、HTTP协议：超文本传输协议，是互联网上最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。
3、HTTP体系要解决的三个重要问题：
（1）、存放在不同主机中的数据，如何按照既定规则和样式，展现出来：JS、CSS
（2）、如何准确的给这些资源进行定位：URI
（3）、具体用什么方法来实现：HTML
4、请求的常见两种方法：GET（从服务器获取数据）、POST（向服务器发送数据）
5、HTTP特征：无状态（协议对客户端没有状态存储，对事物处理没有记忆能力，比如访问一个网站需要反复进行登录操作）、无连接、基于请求和响应、简单快速灵活、通信使用明文，请求和响应不会对通信方进行确认，无法保护数据的完整性。
6、HTTP协议使用URI定位互联网上的资源，正是因为URI的特定功能，在互联网上任意位置的资源都能访问到。
7、无状态的解决办法：应用cookies。cookies：类型为小型文本文件，某些网站为了辨别用户身份储存的用户信息。
8、HTTP请求报文结构：请求行,请求头()请求体()
9、一个HTTP请求一般由四个部分组成：HTTP请求的方法或动作（比如是GET请求还是POST请求）、正在请求的URL（就是请求的地址）、请求头（包含一些客户端环境信息，身份验证信息等）、请求体（请求正文，请求正文中可以包含客户提交的查询字符信息，表单信息等）。
10、一个HTTP响应一般由三部分组成：一个数字和文字组成的状态码（用来显示请求是成功还是失败）、响应头、响应体。
11、DNS协议和HTTP协议配合过程：
（1）根据域名，进行DNS域名解析
（2）拿到解析的IP地址，建立TCP连接
（3）向IP地址发送HTTP请求
（4）服务器处理请求
（5）返回响应结果
（6）关闭TCP连接
（7）浏览器解析HTML
（8）浏览器布局渲染
12、DNS的安全威胁：DNS劫持、DNS污染