SANGFOR SCSA——协议基础

ICMP分析
ICMP是（Internet Control Message Protocol）Internet控制报文协议。 ICMP协议是一种面向无连接的协议，它是TCP/IP协议族的一 个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指 网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递和网络安全具有极其重要的意义。
ICMP属于应用层协议，直接封装在IP头部，分为ICMP首部和ICMP数据。
ICMP的应用：ping，tracert等，
ICMP的报文类型，主要依靠类型和代码字段决定，比如类型字段是5，代码字段是0就是对网络重定向，1对主机重定向。
DNS协议分析
端口号 （如：DNS TCP/UDP 端口 53)，DNS协议定义了一套自动化服务，该服务将资源名称和所需的数字网 络地址匹配. 是一种C/S模型。
DNS服务和协议：
DNS使用域名守护程序（named）主要提供了域名解析的服务；
DNS服务器存储了不同类型的资源记录，用来解析域名，这些记录包括名字，地址，类型 。
域名系统采用分级系统创建域名数据库，提供域名解析服务，层级关 系模型：倒置的树。最高的根域名服务器维护最高级别域名服务器记 录，后者维护下一级域名服务器的记录，比如三级域，二级域，顶级域。

DNS解析方法：递归，迭代。区别：客户端发出的查询都是递归查询，DNS服务器向外发出的查询一般都 是迭代查询 。
HTTP协议分析
超文本包含有超链接(Link)和各种多媒体元素标记(Markup)的文本。这些超文本文件彼此链接，形成网状(Web)，因此又被称为网页(Web Page)。这些链接使 用URL表示。最常见的超文本格式是超文本标记语言HTML。
URL即统一资源定位符(Uniform Resource Locator)，用来唯一地标识万维网 中的某一个文档。URL由协议、主机和端口(默认为80)以及文件名三部分构成。
HTTP是一种按照URL指示，将超文本文档从一台主机(Web服务器)传输到另一台 主机(浏览器)的应用层协议，以实现超链接的功能。
HTTP工作原理：请求/响应交互模型（先向DNS获取对应的IP地址，与服务器建立TCP连接，发送GET请求文档，服务端做出响应，发送文档，最后释放TCP连接）
HTTP响应报文的状态码（status-code）：
1xx 通知信息 100=服务器正在处理客户请求
2xx 成功 200=请求成功(OK)
3xx 重定向 301=页面改变了位置
4xx 客户错误 403=禁止的页面；404=页面未找到
5xx 服务器错误 500=服务器内部错误；503=以后再试
HTTP的关键字段：
User-Agent: 浏览器标识 (操作系统标识; 加密等级标识; 浏览器语言) 渲染引擎 标识 版本信息
server：响应头包含处理请求的原始服务器的软件信息
referer：浏览器向 WEB 服务器表明自己是从哪个 网页/URL 获得/点击当前请求中的网/URL。 Location：WEB 服务器告诉浏览器，试图访问的对象已经被移到别的位置了 ，到该头部指定的位置去取（重定向）
SSL协议分析
SSL协议可用于保护正常运行于TCP之上的任何应用协议，比如HTTP，SSL协议在应用层协议之前就已经完成加密算法、通信密钥的协商以及服务器的认证工作。在此之后应用层协议所传送的数据都会被加密 ，从而保证通信的安全性。
SSL解决的问题：
客户端对服务器的身份验证：依靠CA证书；
服务端对客户端的身份认证：通过公钥和证书进行认证；
建立服务器与客户之间安全的数据通道 ：SSL要求客户与服务器之间的所有发送的数据都被发送端加密、接 收端解密，同时还检查数据的完整性 。
另外SSL建立与传输层与应用层之间，对于应用层比如HTTP而言是透明的。
SSL协议工作原理：
SSL协议是一个分层的协议，共有两层组成。处于SSL协议的底层 的是SSL记录层协议(SSL Record Protocol)，它位于可靠的传输层协议( 如TCP)之上，用于封装高层协议的数据。其中SSL握手协议(SSL Handshake Protocol)允许服务方和客户方互相认证，并在应用层协议 传送数据之前协商出一个加密算法和会话密钥。
主要工作流程：
1、网络连接建立，SSL客户端发送消息，消息中包含SSL版本号、密 码设置、可实现的算法列表、随机数以及服务器使用SSL协议通信 所需的其它信息；
2、SSL服务器端回应消息，确定SSL版本号、加密算法和压缩算法；
3、SSL服务器发出服务器数字证书；
4、SSL客户端的身份认证是可选的；
5、客户端生成预主密钥pre_master_secret，用服务器的公钥加密后 返回服务器，服务器利用自己的私钥解密后得到会话密钥（也就是非对称密钥的应用）
SMTP协议
一封电子邮件的发送需要经过用户代理、客户端邮件服 务器和服务端邮件服务器等三个程序的参与，并使用邮件传输协议 （SMTP,POP3或IMAP）来发送和获取邮件。
电子邮件从 A 发送到客户服务器是使用 HTTP 协议。两个邮件服务器之间的传送使用 SMTP。邮件从服务端邮件服务器传 送到 B 是使用 HTTP 协议。
SMTP 使用客户/服务器方式，负责发送邮件的 SMTP 进程是 SMTP 客户，而负责接收邮件的 SMTP进程是 SMTP 服务器，当两个进程建 立了TCP连接后，电子邮件就能通过该标准准确无误地传输。
POP是一种邮件接收协议，其作用是：当用户计算机与支持POP 协议的电子邮件服务器连接时，把存储在该服务器的电子邮箱中的邮 件准确无误地下载到用户的计算机中。POP3属于离线式协议，即不 能对邮件进行在线操作，必须下载到本地才能进行处理。POP协议已 发展到第三版，称作POP3。