计算机网络&网络安全

第一章：计算机网络体系结构（组成，功能，分类，性能）

1、计算机网络组成（核心就是通信设备和协议）

组成部分角度：完整的计算机网络组成：硬件、软件、协议；

工作方式角度：边缘部分（主机），核心部分（网络设备）

功能组成角度：通信子网（通信设备、协议、传输介质，低三层），资源子网（软硬件资源、数据资源，高三层）。

2、计算机网络功能：数据通信和资源共享

3、计算机网络分类：

（1）分布范围角度：

广域网：几十千米到几千千米；

城域网：5-50km

局域网：几十米到几千米

个人区域网：10m

（2）拓扑结构（取决于****通信子网****）角度：星形，总线形，环形，网状

a. 局域网采用的拓扑：星形（介质为双绞线），总线（介质为电缆），环形

b. 广域网采用的网络拓扑：网状

（3）交换技术角度：电路交换，报文交换，分组交换

a. 电路交换：不采用存储转发（经中间结点不耗时）。有建立连接-通信-释放连接三个阶段。整个通信过程双方始终占有信道，不会有冲突；一旦通信链路某一环节出问题，整个通信中断，不能自动恢复；一旦建立连接，传输带宽就不变。例：打有线电话。

b. 报文交换：存储转发。整个报文存下来再转发，时延较大。例：电报

c. 分组交换：存储转发。动态分配带宽，对通信链路逐段占有。通信链路某一个结点故障，可自适应改变链路。缺点：分组路由转发需排队，增加时延；分组需加头部，增加开销；分组交付不可靠，出现失序、重复、丢失等。分组交换可分为数据报和虚电路：

数据报：不要连接、每个分组都有完整目的地址、每个分组独立进行路由和转发、不保证有序、不保证可靠、出现故障可通过其他路径正常传输

虚电路：有连接、只有建立阶段要完整目的地址、同一虚电路分组由同一路由转发、保证有序、可靠性由网络保证、经过故障结点的虚电路不能正常工作。

4、计算机网络性能

（1）总时延=发送时延（传输时延）+传播时延+处理时延+排队时延；

（2）分组交换时延=所有分组传输时延+所有分组发送时延+1个分组经路由器发送时延

（3）RTT：发送端发送时延+传播时延+接收端发送时延+传播时延+中间结点（处理时延，排队时延，转发时延）

（4）吞吐量：单位时间内通过某个网络的数据量

（5）信道利用率：某一信道有数据通过的时间占比，如：24小时中有12小时有数据通过，则为50%

（6）时延带宽积=传播时延x带宽，表示第一个比特到达接收端时，所发送的比特数

5、计算机网络协议、接口、服务

（1）协议：水平结构。控制对等实体间的通信规则。组成部分：

① 语法：规定传输数据格式；

② 语义：规定需要发出何种控制信息、完成何种动作及作出何种应答；

③ 同步：规定时序关系。

（2）接口：同一结点相邻两层实体通过服务访问点SAP进行交互。物理层SAP是网卡接口，数据链路层SAP是MAC地址，网络层SAP是IP地址，传输层SAP是端口号，应用层SAP是用户界面。

（3）服务：垂直结构。下层为上层提供服务。无连接服务一定不可靠。

6、计算机网络分层（OSI）

（1）物理层：透明传输比特流。定义数据终端设备和数据通信设备连接方法。

（2）数据链路层：将网络层传来的IP数据报组装成帧，功能有：成帧、差错控制（有错就丢弃）、流量控制、传输管理；SDLC、HDLC、PPP、STP、帧中继

（3）网络层：将分组从源端传到目的端。功能有：路由选择、流量控制、拥塞控制、差错控制（能纠错则纠错，不能就丢弃）、网际互连。IP、IPX、ICMP、IGMP、ARP、RARP、OSPF；

（4）传输层：提供端到端的传输服务。功能有：流量控制、差错控制、服务控制、数据传输管理。TCP、UDP。

（5）会话层：允许不同主机上的各个进程进行会话，通过****校验点实现数据同步通信****；

（6）表示层：处理两个通信系统中交换信息的表示方式，提供数据压缩、加解密功能；

（7）应用层：用户与网络的界面。FTP、SMTP、HTTP、Telnet、DNS。

7、OSI和TCP/IP区别的地方

（1）在网络层：OSI无或面向连接，TCP/IP无连接；

（2）在传输层：OSI面向连接，TCP/IP无或面向连接。

8、易错整理

1、 物理层：处理信号通过介质传输；

数据链路层：保证数据正确的顺序和完整性；

网络层：控制报文通过网络的路由选择；

传输层：处理关于可靠性、流量控制和错误校正等问题

应用层：提供用户和网络的接口

2、网络分层的目的不包含定义功能执行的方法。

3、虚电路：（1）与电路交换有本质区别；（2）既有临时的，也有永久的；（3）两站点虚电路可以有多条；（4）不需要为每一条虚电路预分配带宽；

第二章：物理层

1、通信方式

（1）单工：只有一个方向通信，如电视，需1条信道；

（2）半双工：通信双方可接收或发送，但不能同时进行，需2条信道；

（3）全双工：通信双方可同时发送和接收，需2条信道；

2、信道极限传输速率

（1）理想低通（没有噪声、带宽有限）：*奈氏速率*=2Wlog2V，单位b/s。W为带宽，V为多少种状态；

a.传输速率有上限；

b.带宽越宽，一个码元对应的二进制位越多，传输速率越大；

（2）带宽受限、有噪声：*香农速率*=Wlog2(1+S/N)，单位b/s。W为带宽，S/N为信噪比，通常化单位为dB，即信噪比=10lg(S/N)。

a.带宽越宽，信噪比越大，传输速率越大；给出带宽和信噪比，传输速率是确定的。

b.这是极限传输速率，实际速率要少不少。

（3）波特率和数据传输速率的关系：数据传输速率=波特率 X log2V = 波特率x每符号所含比特数

例：a.码元1101，每符号所含比特数为4，状态V=16，波特率=4Baud/s，传输速率=16bit/s，则传输速率=4倍波特率

b.以太网（曼彻斯特编码）：每符号所含比特数2，但表示1bit数据，则波特率=2Baud/s，传输速率=1bit/s，则传输速率=1/2波特率

3、信号转变

（1）****编码：****转变为数字信号

a. 非归零制：1为高，0为低；****不含****时钟同步信息。

b. 归零制：1为高，0为低；中间跳变归零，表示同步。

c. 反向非归零：翻转表示0，不变表示1；有同步机制。

b曼彻斯特：中间向上跳变为1，中间向下跳变为0；以太网使用。将时钟与数据取值都包含在信号中。

c差分曼彻斯特：前半码元与上后半码元****相同为1*，*相反为0****；局域网使用。将时钟与数据取值都包含在信号中。

（2）****调制：****转变为模拟信号。ASK，FSK，PSK，QAM

（3）模拟数据编码变数字信号：采样定理：采样频率大于****最大频率的2倍，若题目给出采样频率，对应的就是2W****；脉码调制PCM步骤：采样、量化、编码；

（4）模拟数据变为模拟信号：频分复用

4、传输介质

（1）双绞线：有屏蔽层则是STP，无屏蔽层则是UTP。模拟信号和数字信号都可用；局域网使用

（2）同轴电缆：贵，用于较高速率数据传输；有线电视使用。使用于半双工。

（3）光纤：利用光全反射，不受电磁干扰和噪声影响。近距离用****多模光纤*，光源为发光二极管；远距离用*单模光纤****，光源为激光二极管。

（4）无线传输：电波、微波、卫星（3颗覆盖全球）

5、物理层接口特性

（1）机械特性：连接规格、引线数目、引脚数量；

（2）电气特性：电压高低、传输速率、距离限制；

（3）功能特性：电平的意义；

（4）规程特性：各物理线路工作规程和时序关系。

eg.定义了一个引脚（机械特性），赋予电平1（电气特性），表示打开电源（功能特性）

6、物理层设备

（1）放大器：放大模拟信号；

（2）中继器：整形再生数字信号。一输入一输出，无存储转发功能，两端网段必须用****同一个协议****，满足5-4-3规则（5段通信、最多4个中继器、最多3个主机）

（3）集线器：相当于多端口中继器，一个口输入数据则多个口输出数据，半双工，不能分割冲突域，同时通信时****共同占用****网络带宽。集线器收到数据后，从除输入端口外的所有端口转发出去。

7、易错整理

1、两个网段在物理层进行互联时要求：数据传输速率相同，数据链路层协议可以不同；

2、物理层设备不是存储转发设备，设备两端应当是同一速率、同一协议。

第三章：数据链路层

1、数据链路层功能

（1）为网络层提供服务：无确认的无连接服务（适合高实时性），有确认的无连接服务（适用于错误率较高），有确认有连接的服务（可靠性高）

（2）链路管理

（3）组装成帧；

（4）差错控制；

（5）流量控制；

2、组帧

（1）目的：出错了只重传错误的帧

（2）功能：帧定界，帧同步，透明传输

（3）组帧方法：

Ø 字符计数法：在帧头部使用****一个数字****表示该帧内（含头部）的字符数，无结束位；

Ø 字符填充的首尾标志法：使用特定字符来标示帧的开始和结尾，数据部分有与首尾标志相同的字符，则在其前加转义字符ESC；

Ø *比特填充的首尾标志法*：用01111110来表示开始和结尾，发送方数据中有5个连续的1时，在其后加0；接收方数据中有连续5个1时，去0；

Ø *违规编码法*：曼彻斯特1个脉冲为01或10对，违规编码用****11或00****表示开始和结尾。局域网IEEE802就使用该法。

3、差错控制

（1）差错检测编码（使用冗余编码技术）：

Ø 奇偶校验码：有n-1位数据和1位校验码。n位码字中，****1的个数*为奇数，则为奇校验；*1的个数****为偶数，则为偶校验。只能发现奇数位（1.3.5）错，不能发现偶数位错。

Ø 循环冗余码：约定多项式，*校验码的个数应为多项式最高阶*。将多项式改写为二进制a，用传输数据二进制（b后拼接最高阶个0）除以a，得余数二进制c。发送方发送b|c；接收方除以a，若余数为0，则无差错。

（2）纠错编码

Ø 海明编码：能发现****双*比特错，但只能纠正*单****比特错；

Ø m个信息插入r个校验位组成m+r位码字，满足关系2r≥m+r+1；

Ø 纠错d位，需要码距为2d+1；检错d位，需要码距为d+1；

4、流量控制：接收方控制发送方

（1）可靠传输：数据链路层的可靠传输使用****确认和超时重传*机制。确认是一种接收方让发送方知道哪些数据已经被正确接收的控制帧；超时重传指发送方在一定时间内没收到确认帧，重新发送。自动重传请求是接收方请求发送方重发出错了的帧的机制，分为：*停止等待，后退N帧和选择性重传****。

在数据链路层，流量控制和可靠传输交织在一起。

（2）停止等待（一对一）：发送方和接收方窗口大小都为1。收到确认帧后发送下个数据帧。

（3）滑动窗口

a.特性：

Ø 只有发送窗口收到接收窗口的确认帧时，发送窗口才向前滑动，换言之，只有接收窗口滑动，发送窗口才向前滑动。

Ø 接收窗口为1时（如停等、GBN），可保证有序接收；

Ø 数据链路层滑动窗口大小在传输过程中是****固定****的。

b.后退N帧GBN（多对一）：发送窗口大小：1≤W≤2n-1（用n比特对帧编号），接收窗口大小为1,*只按序接收*。采用累计确认，对某一数据帧的确认就表明该数据前的所有数据帧****均已收到****。若出错，则重传收到确认帧后的所有帧（不管是否正确接收到）。

****c.选择重传****SR（多对多）：发送窗口+接收窗口≤2n，一般取：发送窗口=接收窗口大小=2n-1。哪个帧错，则重传哪个帧；接收的帧无序，因此也没有累计确认，而是对每个帧都确认。

（4）一些计算指标

Ø 设整个发送周期为T，若是发送窗口大小为1，则能发多少帧=T/一帧发送时间；若是发送窗口为n，则最多发送n帧（因为没收到确认帧，发送窗口是不能移动的）。

Ø 信道利用率=发送数据时间/整个发送周期时间。发送数据时间=窗口大小x帧大小/传输速率；

5、介质访问控制

介质访问控制层MAC决定信道的分配。

（1）静态划分信道方法（不发生碰撞）

频分多路复用FDM：划分出多个基本****相同带宽****的子信道；适用于模拟信号；

时分多路复用TDM：按时间分成****时间片****，轮流分给多个信号；适用于数字信号

波分多路复用WDM：利用光的****波长不同****，在光纤中传输多种不同波长的信号；

码分多路复用CDM：将信号****合并传输（线性相加）****，再在终点分离（各信号点乘合并后的信号，若为1，则传送的1；若为-1，则传送的0）；多个信号之间向量正交。

（2）动态分配信道方法

*（Ⅰ）随机访问介质访问控制*（发生碰撞）：

①　ALOHA协议：分为纯ALOHA和时隙ALOHA。纯ALOHA指不用检测信道就发送数据；时隙ALOHA指必须在每个时隙开始时才能发送数据。

②　CSMA协议（侦听信号）：分为1-坚持，非坚持和p-坚持。

*信道状态*	*1-坚持*	*非坚持*	*p-坚持*
忙	一直监听信道	不监听了，等随机时间后再监听	等下个时隙再监听
闲	发送	发送	p概率发送，1-p概率推迟到下个时隙

③　CSMA/CD协议（*载波侦听多路访问/碰撞检测*）：先听后发，边听边发，冲突停发，随机重发。主要用于有线局域网（以太网），总线型网络或半双工环境。

若检测到信道空闲，并在9.6微秒（帧间最小间隔）内保持空闲，就发送该帧。

传输中，若适配器检测到其他能量，则立即停发，取而代之的是一个****48比特****拥塞信号。

发送方最多在****2倍的传播延时****（即冲突窗口或争用期2τ）后就知道有没有拥塞。

为了能检测到碰撞，需规定最小帧长。*最小帧长 = 2τx数据传输率*。2τ为2倍的传播延时。

检测到碰撞后，停发需恢复。重传次数****不超过10*，当重传次数大于10时，就不再增大。*重传16次仍然不成功，则抛弃该帧，向高层报告出错*。重传的退避时间为：*2τr****，r为自然数集[1,2,3…2k-1]中随机抽一个，k为重传的次数。

④　CSMA/CA协议（*载波侦听多路访问/碰撞避免*，并非完全避免碰撞，采用****确认机制****）：发送数据前先广播告知其他结点，让其他结点在某段时间内不要发送数据。主要用于无线局域网802.11abgn。

检测到信道空闲，并非马上发送数据，要等待DIFS时间才发送。DIFS是最长的帧间间

隔；SIFS是最短的帧间间隔，控制帧和数据确认帧使用。

实现碰撞避免的机制：*预约信道、ACK帧、RTS（请求发送）/CTS（允许发送）帧*（主

要解决隐蔽站问题）。

*（Ⅱ）令牌环传递协议*（发生碰撞）：

有令牌则能发送数据，数据发送至环内所有结点，直到数据到始发结点时，销毁该帧。

网络拓扑****逻辑上是环，物理上不必是环****。并非一直持有令牌直到数据发完。

6、局域网

局域网对应OSI的物理层和数据链路层，数据链路层被拆分成MAC和LLC两个子层，MAC层主要提供组装和拆卸帧、差错检测和透明传输功能，LLC给帧加序号并向网络层提供服务。局域网三大组成部分：拓扑结构，传输介质，介质访问控制方式。拓扑结构有星型、环形和总线型；传输介质有双绞线、同轴电缆和光纤；介质访问控制方式主要有CSMA/CD（总线）和令牌（环形）。局域网分为三类：以太网、无线局域网和虚拟局域网。

（1）802.3以太网：总线、无连接无确认

a.以太网传输介质：传输速率为10Mb/s

①　同轴电缆：分为****粗缆*10BASE5和*细缆****10BASE2。拓扑结构为总线型。最大段长分别为500m和185m，最多结点数分别为100和30。

②　双绞线：****非屏蔽双绞线****10BASE-T，星形，最大段长100m，最多结点数为2。

③　光纤：10BASE-FL，点对点，最大段长2000m，最多结点2。

b.网卡

存放MAC地址，提供MAC功能，工作在物理层和数据链路层。

c.MAC帧

48位，前24位为厂商代码，后24位为厂商分配的序列号。

组成：8B前导码（7B同步+1B帧开始界定符） + 6B目的地址 + 6B源地址 + 2B 类型 + 46~1500B数据 + 4B校验码（采用CRC，除前导码外，都要校验） = 64~1518B

d.高速以太网（大于100Mb/s）

名称	传输速率	工作方式	传输介质
100BASE-T	100Mb/s	全双工和半双工	双绞线
吉比特以太网	1Gb/s	全双工和半双工	双绞线、光纤
10吉比特以太网	10Gb/s	全双工	光纤传输

d.其它易错

Ø 以太网逻辑拓扑是总线形，物理拓扑是星形；

Ø 相同的MAC不能通信

Ø 一个结点发送数据，局域网内所有结点都能收到，包括自己。

（2）无线局域网IEEE802.11

①　分类：根据有无AP分为有固定基础设施局域网和无固定基础设施局域网。

②　MAC帧：30B首部+2312B数据+4B校验。首部地址1为下一站MAC，地址2为发送站MAC，地址3为最终目标地址MAC。

（3）虚拟局域网802.3ac

在以太网帧中插的4B VLAN标签，能标识虚拟局域网号。能分离广播域。

7、广域网

广域网由一些结点交换机和连接这些交换机的链路组成，不用作连接不同类型的网络。广域网层次：物理层，数据链路层，网络层。

（1）PPP协议：

组成：

****链路****控制协议LCP，用于建立、配置、测试和管理数据链路；

****网络****控制协议NCP，允许同时采用多种网络协议；

将IP数据封装到串行链路的****方法****，IP数据报在PPP帧中就是信息部分。

（2）HDLC协议（零比特填充实现透明传输）：

①　类型：主站、从站和主从复合站，主站控制链路，发出****命令帧*；从站受控于主站，发出*响应帧****。

②　数据操作方式：正常响应方式、异步平衡方式和异步响应方式。正常响应指主站向从站发信息，从站经主站许可后可进行响应；异步平衡双方都可发信息；异步响应指从站未受到主站允许也可发信息。

③　HDLC帧分类：信息帧，监督帧，无编号帧

	*PPP协议*	*HDLC*
*单位*	字节	比特
*工作方式*	全双工	全双工
*可靠性*	差错检测，但不纠错，不可靠	使用了编号和确认机制，可靠

8、数据链路层设备（可隔离冲突域）

（1）网桥：隔离出网段，通常连接在不同网段间

①　特点：寻址和路径选择，存储转发帧，两网段协议不同时转换协议，足够大缓冲空间

②　分类：透明网桥（使用生成树算法解决环路，选择的不是最佳路径），源路由网桥（选择的是最佳路径。）

（2）交换机

实质是多端口网桥。利用以太网交换机实现虚拟局域网VLAN，可隔离冲突域和广播域，其本身是不能分割广播域的。

特点：全双工，转发表通过自学算法（无MAC就广播获得，有了就转发）逐步建立，独占传输媒体的带宽。

第三章：网络层

1、网络层功能

（1）连接异构网络，分离广播域；

（2）路由和转发；

（3）*拥塞控制*。开环控制：事先预防；闭环控制：发送分组时监视。

2、IPV4首部

（1）首部长度：*固定20B*，40B可变；首部长度单位为****4B*，总长度单位为*1B*，片偏移单位为*8B****；

（2）标识：每个数据报占用1个标识；

（3）标志：MF=1表示还有分片，MF=0表示最后一个分片，DF=0才允许分片（每个分片DF=0）；

（4）片偏移：确定分片相比原数据报第一个字节的哪个位置，单位为8B；

（5）****首部****校验和：只校验首部，不校验数据；

（6）协议：指分组应传输给运输层哪个协议。5表示TCP，17为UDP；

（7）TTL：保证分组不会永远网络中，每经过一个路由器TTL减1

3、IPV4地址：<网络号，主机号>

（1）32位，分A、B、C、D、E类。网络位数分别为7、14、21、21。D类为多播地址，E类保留到今后使用。

（2）网络字段不能全为0，全0表示“本网络”；

（3）主机号全0表示本网络，主机号全1表示广播地址；指派时不能全1或全0；

（4）127.0.0.1表示环回地址；

（5）0.0.0.0表示本网络上的本主机，255.255.255.255表示整个互联网的广播地址；

4、子网划分：<网络号，<子网号，主机号>>

IP地址与子网掩码相与得子网网络地址。子网号不能全1或全0。

5、CIDR：<网络前缀，主机号>

（1）IP地址与掩码相与得网络前缀；子网号可以全1或全0。

（2）路由聚合构成超网；

（3）最长前缀匹配：路由表匹配结果有多个时，选择最长的前缀转发出去。

（4）默认路由：0.0.0.0/0，通常表示互联网

6、NAT、ARP、DHCP、ICMP

（1）NAT：私有地址转换为公有地址，{本地IP：端口}—>{全球IP：端口}。工作在网络层和传输层。

私有地址：1个A类网段：10.0.0.0-10.255.255.255；

16个B类网段：172.16.0.0-172.31.255.255；

256个C类网段：192.168.0.0-192.168.255.255

NAT缺点：一是通信只能由专用网内的主机发起；二是最多只有一个主机可以接入互联网。

（2）ARP：IP地址映射到MAC，工作在网络层；

同一局域网：得到主机MAC；不同局域网：先得到路由器MAC。

（3）DHCP：动态分配IP地址，使用C/S方式，基于UDP，工作在****应用层****。

（4）ICMP：

①　*差错报告*：终点不可达，源抑制，超时，参数问题，改变路由。对于差错报文、组播、第一个分片后的分片、特殊地址（127.0.0.0或0.0.0.0）不发送差错报告。

②　*询问报告*：回送、时间戳、掩码地址、路由器询问和通知。常见应用：ping（使用了****询问报告-回送请求和回答报文*。工作在*应用层*），tracert（使用了*差错报告-时间超过报文*，工作在*网络层****）。

7、IPV6

（1）不分片、*无校验和*；

（2）首部长是8B倍数，首部长度不可变；

（3）提供身份校验和保密功能；

（4）IPV4到IPV6过渡方法：双协议栈、隧道技术

8、路由协议

（1）内部网关协议：RIP、OSPF

Ø RIP：UDP（开销小），应用层应用。路径选跳数****最少的*，和本结点*相邻的路由器*交换本路由器知道的*全部****信息。30秒广播一次更新路由信息，最大15跳（15个路由器）。

路由信息会改变的情况：一是下一跳相同；二是下一跳不同且距离更小

Ø OSPF：IP（开销小），网络层应用。路径选代价****最低的*，和自治系统所有路由器发送 *与本路由器相邻的* 所有路由器*链路状态****。链路状态变化时更新路由信息。将AS分为分为区域，主干区域即边界路由，既执行OSPF又执行BGP。

（2）外部网关协议：

Ø BGP：TCP（可靠以减少重传带宽消耗），应用层应用。保证不兜圈子，选****较好但非最佳****的路径，交换信息是“可达性”：首次是整个路由表，后续是只更新有变化的部分。

9、组播

一台主机发送的报文转发到多个主机。

组播地址：224.0.0.0-239.255.255.255。

尽最大努力交付，不可靠；

只能用于目的地址，不能用于源地址。

对组播地址不产生ICMP差错报文，因此ping无反应；

并非所有D类地址都可以作为组播地址。

只有IP后23位与组播地址有一一对应关系，且第24位为0；

IGMP：告诉组播路由器有无主机参加或退出分组

10、路由器

实现路由和转发功能。用来连接异构网络，隔离冲突域和广播域。

转发是按照****网络号而不是IP地址****进行的。

MAC地址经过路由器会变化

经过使用NAT路由器源IP或目的IP会变化，经过普通路由器源IP和目的IP不变

第四章：传输层

1、端口

FTP：21（控制连接）、20（数据端口）。TELNET：23。SMTP：25。DNS：53。TFTP：69。SNMP：161

2、UDP

(1) *首部8B*：2B源端口、2B目的端口、2B总长度、2B校验和。

(2) 功能：*端到端传输*、*复用和分用*、*差错检测*（包括首部和数据部分）

3、TCP

（1）首部：最短20B，单位4B

（2）三次握手：

SYN=1，seq=x；

SYN=1，ACK=1，ack=x+1，seq=y；

ACK=1，ack=y+1，seq=x+1

（3）四次挥手：

主-服：FIN=1，seq=x；主进入FIN-Wait1

服-主：ACK=1，seq=y，ack=x+1；主进入FIN-Wait2，服进入CLOSE-Wait

服-主：FIN=1，ACK=1，seq=z，ack=x+1；主进入TIME-Wait（2MSL），服进入LAST-ACK

主-服：ACK=1，seq=x+1，ack=z+1；CLOSED

（3）可靠传输机制：*校验、序号、确认和重传*。

（4）流量控制：滑动窗口可以****动态变化****。

（5）拥塞控制：

①　慢开始：1,2,4…ssthresh（慢开始门限）

②　拥塞避免：ssthresh，ssthresh+1，ssthresh+2…cwnd

③　快重传：发送方收到****三个连续ACK****，直接重传

④　快恢复：从新的慢开始门限（拥塞窗口的1/2）线性增大。

*ssthresh永远是发生拥塞时的一半

*慢开始永远从1开始，快恢复从更新后的ssthresh开始

第五章：应用层

1、域名系统（DNS）：主机名到IP地址的映射

（1）解析方式：

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2yWL0um6-1681024990441)(file:///C:\Users\ASUS\AppData\Local\Temp\ksohtml3832\wps1.png)]

（2）过程：

①　主机向本地域名服务器发出DNS请求报文；本地域名服务器查看本地缓存，若无，则向根域名服务器发起请求；

②　根域名服务器收到请求后，判断该域属于.com，则将对应顶级域名服务器IP地址返回给本地域名服务器；

③　本地域名服务器向顶级域名服务器发起请求，顶级域名服务器收到请求后，判断该域属于abc.com，则将对应授权域名服务器IP地址返回给本地域名服务器；

④　授权域名服务器收到请求后，将查询结果返回给本地域名服务器，并保存。

*注：授权域名服务器总能找到IP和域名映射*

2、文件传输协议FTP：

控制连接21号端口，数据连接20号端口。数据连接时，客户端****随机打开一个端口****与服务器20号端口连接。

3、邮箱传输协议SMTP（25）、POP（110）、IMAP：

(1) SMTP用途：UA到邮件发送服务器，邮件发送服务器到邮件接收服务器。

(2) POP和IMAP用途：邮件服务器到用户

(3) POP3协议是用明文传输密码的。

4、万维网：

（1）组成结构：URL、HTML、HTTP

（2）HTTP：

①　HTTP1.0：*非持久连接*，每个网页元素都要建立一个TCP连接，每个元素总耗时2RTT，一个用于建立连接，一个用于获取网页元素。

②　HTTP1.1：*持久连接*。*非流水*：建立一次TCP连接，之后每个网页元素都要一个连接。*流水*：建立一次TCP连接，之后所有元素通过一个连接发送。

③　HEAD方法：用于调试，不需要返回请求对象。

第六章：网络安全

一、网络安全需求：

​ 保证某一资源的****机密性、完整性、可用性或合法使用****，如果出了问题，还要保证抵赖性和可审计性。

二、基于安全需求，有哪些威胁？

1、基本威胁

（1）破坏机密性-信息泄露

（2）破坏完整性-完整性破坏

（3）破坏可用性-拒绝服务

（4）破坏合法使用-非法使用

2、主要的可实现的威胁

（1）渗入到系统（混进去）：假冒，旁路控制，授权侵犯

（2）植入到系统（搞破坏）：特洛伊木马，陷门

三、针对网络安全的脆弱（威胁），进行哪些攻击？

1、*主动攻击*：主要是篡改、伪造数据流

（1）分类：消息篡改，伪装攻击，拒绝服务，重放攻击

（2）特点：易被检测，难被阻止

2、*被动攻击*：主要是监听（监测、窃听）数据流

（1）分类：窃听攻击，流量分析

（2）特点：难被检测，易被阻止

3、常见的攻击形式

（1）信息泄露

（2）拒绝服务

（3）攻击缺陷-程序缺陷和协议缺陷

（4）口令窃取

（5）欺骗攻击

（6）指数攻击-病毒和蠕虫

（7）认证失效

四、OSI制定了哪些标准？

1、安全服务：认证，访问控制，机密性，完整性，不可否认性

2、安全机制：公证，访问控制，加密，完整性，数字签名，认证交换，流量填充，路由控制

3、*安全服务提供安全机制：*

(1) 认证服务：加密、数字签名、鉴别交换

(2) 访问控制服务：访问控制；

(3) 数据机密性服务：加密、路由控制、业务填充

(4) 数据完整性服务：加密、数据完整性、数字签名

(5) 不可否认（抗抵赖）服务：数字签名、数据完整性、公证

4、OSI认为OSI七层协议中，哪些层适合提供安全服务？

(1) 除第五层（会话层）外，都能提供。最合适的是物理层、网络层、传输层及应用层，其中，应用层能提供所有服务。

(2) 物理层提供：机密性服务

(3) 网络层提供：认证，访问控制，机密性，完整性

(4) 传输层提供：认证，访问控制，机密性，完整性

五、采用了哪些技术？

1、密码技术

（1）对称密码算法：常见的DES（56bit密钥，64bit分组），3DES，

Ø AES：Rijndael算法，原型为Square算法，设计策略是宽轨迹策略，分组长128/192/256bit，工作模式CTR

Ø IDEA：用于邮箱加密，工作模式ECB

Ø RC-5，Twofish，CAST-256，MARS

（2）非对称密码算法：公钥用作加密或签名验证；私钥用作解密或签名（先签名后加密传输）。常见的RSA，ECC，ElGamal，Rabin

（3）序列密码：对称密码。优点：加解密速度快，逐比特加解密；缺点：密钥分发，n个人通信需要分配n(n-1)/2个密钥

（4）分组密码：优点：良好扩散性，对修改免疫；缺点：加密速度慢，错误扩散可能是全部信息。

（5）国产密码：SM1对称密码算法，SM2椭圆曲线算法，SM3杂凑函数算法，SM4对称加密用于无线通信。祖冲之序列密码用于4G通信标准。

2、访问控制

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8aoTYSLR-1681024990443)(file:///C:\Users\ASUS\AppData\Local\Temp\ksohtml7156\wps1.jpg)]

（1）分类

Ø 自主访问控制：

访问控制矩阵：每一行对应一个主体（用户），每一列对应一个客体（资源），每一个元素即一组权限（用户使用资源的权限）。

实现机制：访问控制矩阵

实现方法：访问控制矩阵和访问能力表

身份	类型	认可的允许	拒绝的允许	时间限制
D.Fang	个人	读，修改
组员	组
审计	角色		修改	8：00-10:00

Ø 强制访问控制

给主体和客体都打上标签，用标签来控制访问。

模型：

ü BLP（*保密性*模型）：多级安全模型，*下读上写（“写”代表数据流向）*，应用于防火墙，使用单方向访问控制隔离内外部网络，安全级别：内网机密，外网公开

ü Biba（*完整性*模型，Cark-Wilson也属于完整型模型）：*上读下写（“写”代表数据流向）*，保证完整性，应用于Web服务器，安全级别：用户公开，web资源机密

ü Lattice模型：主体安全级别高于客体才能访问，下读下写

ü Chinese Wall：混合策略模型

Ø 基于角色访问控制：将主体按角色分类，再去访问客体

3、鉴别

用来确认某一实体所声称的身份

（1）非密码鉴别机制

Ø 口令机制：通常为6-8位字符串，如验证码。仅在通信连接时鉴别，通信过程中不再鉴别

Ø 基于生物特征鉴别机制

Ø 个人鉴别令牌

（2）密码鉴别机制

Ø 对称密码算法机制（质询-应答）

Ø 公开密码算法机制

单向鉴别：仅鉴别一个实体；双向鉴别：两个通信实体相互鉴别

Ø 密码校验函数机制

（3）零知识证明的密码（基于两类难题）

希望在声称者向验证者证明他身份时，没有泄露任何信息。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-n7MBkstc-1681024990444)(file:///C:\Users\ASUS\AppData\Local\Temp\ksohtml7156\wps2.jpg)]

4、抗抵赖：不允许当事双方抵赖。

（1）实现方法

Ø 令牌

Ø 数字签名

Ø 公证

Ø 可信第三方（TTP）

Ø 时间戳

（2）抗抵赖面临的威胁

密钥泄露，证据泄露，伪造证据

（3）数据完整性保证双方通信数据不被****第三方替换和篡改****，但不能保证双方自身的欺骗和抵赖。

5、完整性

保护数据免遭篡改

（1）实现方法

Ø 通过密码学提供完整性保护

Ø 通过上下文提供完整性保护（分为数据重复和预共识上下文）

Ø 通过探测和确认提供完整性保护（正馈等幂运算提供）

Ø 通过阻止提供完整性保护（访问控制提供）

6、防火墙

一种高级访问控制设备。处于不同安全域之间，通过相关安全策略来控制（允许、拒绝、监视、记录）进出网络访问的行为。

（1）部署方式：路由部署，透明部署，混合部署

（2）应用：构建DMZ，构建屏蔽主机，构建VPN

（3）企业应用：三端口防火墙（两过滤一网关）：内网、路由器+外网、交换机下部署DMZ

（4）基本类型：包过滤（网络层），应用网关（应用层），电路网关（传输层）

（5）提供的访问控制：连接控制，协议控制，数据控制

（6）防火墙功能：过滤进出网络数据；管理进出网络行为；封堵某些禁止业务；记录通过防火墙数据；对网络攻击检测和告警

（7）WAF（web应用防火墙）：防web攻击（如sql注入）。实现原理、方法：代理服务，特征识别，算法识别，模式分配

7、入侵检测

在不影响网络性能情况下进行网络监测。

（1）分类：

Ø 基于网络的入侵检测系统：数据来源于网络上的数据流。优点：检测速度快，隐蔽性好不易被攻击，对主机资源消耗少。缺点：某些不经过网络的数据无法识别，误报率高

Ø 基于主机的入侵检测系统：数据来源于主机。优点是：误报少。缺点是：实时性差。

Ø 分布式入侵检测系统：二者结合。优点是结合二者优点。缺点是管理复杂。

（2）模型

Ø 通用入侵检测模型（Denning）：基于规则的模式匹配系统

Ø 层次化入侵检测模型（IDM）：收集到的数据进行加工关联

Ø 管理式入侵检测模型（SNMP-IDSM）

8、vpn

物理上分隔两地的网络，通过公用网络连接而构成逻辑上的虚拟子网。精髓在于对数据包进行重新封装。

（1）分类

Ø 远程访问VPN。由客户机提出连接请求，服务器响应。如SSL VPN

Ø 网关-网关VPN。由网关提出连接请求，网关响应。如IPSec VPN

（2）IPSec VPN

类似包过滤防火墙。工作模式有传输模式和隧道模式。

传输模式：IPSec数据包只对IP数据报数据部分加密或认证，IPSec头部AH插入到原IP头部和TCP/UDP头部之间

隧道模式：IPSec对整个数据包进行加密或认证。需要产生一个新IP头，之后是IPSec头部，然后是原IP头。

六、其他

（1）内网隔离方式：物理隔离，网闸（通过协议转换手段，以信息摆渡方式实现数据交换）

（2）外网隔离方式：防火墙

（3）保护、检测、响应、恢复（PDRR）是确保信息系统安全和网络安全的****基本策略****

（4）网络空间安全基本架构

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-n5za7nB2-1681024990445)(file:///C:\Users\ASUS\AppData\Local\Temp\ksohtml7156\wps3.jpg)]

（5）网络空间安全四层次：设备层，系统层，数据层，应用层

（6）网络空间六论：相对论，进化论，实践论，认识论，矛盾论，方法论

（7）信息系统安全保障的要素：技术，工程，管理，人员

（8）对待网络风险处置的四种方法：减低风险，转移风险，规避风险，接受风险

（9）统一威胁管理UTM实现方法：叠加式，一体化

七、法律文件

（1）《反电信网络诈骗法》：2022年12月1日实施

Ø 打击治理的主要是电信、金融和互联网

Ø 包括境外

Ø 若获利，则1-10倍罚款；若未获利，罚款50w以内。严重者拘留15日

Ø 有案底限制离境

Ø 提供设备、帮助同罪

（2）网络安全法：2017年6月1日实施，解决了我国网络安全基本法的问题，从此我国网络安全工作有了基础性的法律框架。

（3）密码法：2020年1月1日实施

什么是密码，谁来管密码，怎么管密码，怎么用密码