计算机网络基础知识

计算机网络知识

0  OSI七层参考模型

物理层：比特，传输比特流。

  数据链路层：帧，成帧，流量控制，差错控制，传输管理(没拥塞)

网络层：数据报，路由选择，流量控制，拥塞控制，差错控制，网际互联。网络层数据报分片：封装成帧不能超过下面链路层最大传输单元。

  传输层：报文/数据段(TCP)，或者用户数据报(UDP),流量控制，差错控制，拥塞控制，传输管理和服务质量。

  会话层：进程间会话，建立同步。

  表示层：数据压缩，加密解密。

  应用层：用户与网络界面，文件传送FTP，电子邮件SMTP，万维网HTTP

附：四层协议(TCP/IP )：应用层，传输层，网际层，网络接口层。

五层协议：应用层，传输层，网络层，数据链路层，物理层。

1  TCP（Transmission Control Protocol，传输控制协议）是面向连接的协议，在收发数据前，必须和对方建立可靠的连接。

1. 三次握手建立TCP连接：

1. 第一次握手：主机A向主机B 请求建立连接,主机A通过向主机B 发送一个含有同步位(SYN=1)的报文/数据段给主机B，选择初始序号seq = x。SYN请求报文不能携带数据，但要消耗一个序号。
2. 第二次握手：主机B 收到请求后，用一个带有确认标志位（ACK=1）和同步标志位（SYN=1）的数据段响应主机A。确认号ack = x+1,自己选择一个初始序号seq=y。确认报文不能携带数据，但消耗一个序号。
3. 第三次握手：主机A收到这个数据段后，再发送一个确认应答(ACK位=1)，ack=y+1, 序号seq=x+1，该报文可携带数据。

1. TCP断开连接要进行4次握手

1. 第一次：当主机A完成数据传输后,将终止位FIN置1，提出停止TCP连接的请求，序号seq=u(为已传送最后数据序号+1),FIN报文不携带数据,但消耗序号。
2. 第二次：主机B收到FIN后对其作出响应，确认这一方向上的TCP连接将关闭,将ACK置1；确认号ack=u+1,序号seq=v(已传送最后数据+1)，
3. 第三次： 由B端无数据需传输后提出连接释放报文，将FIN置1 ，依然ack=u+1，

序号seq=w,

1. 第四次： 主机A对主机B的请求进行确认，将ACK置1，seq=u+1,ack=w+1

附：TIME_WAIT至少需要持续2MSL时长，这2个MSL中的第一个MSL是为了等自己发出去的最后一个ACK从网络中消失，而第二MSL是为了等在对端收到ACK之前的一刹那可能重传的FIN报文从网络中消失。

1. TCP保证可靠性

1. TCP检验和,将整个报文段分为多个16位的段，然后将所有段进行反码相加，将结果存放在检验和字段中，接收方用相同的方法进行计算。
2. 序列号与确认号,保证按序到达，去除重复数据，可以判断是否少接收数据，延迟确认可降低网络流量。
3. 超时重传和（冗余ACK(发3个1号的ACK，期望2号)，快速重传
4. 附：自动重传请求分为停止等待,后退N帧(累计确认，正确帧后都重传),选择重传，TCP是GBN和SR的结合体，遗传了GBN的累积确认、单一计时器；遗传了SR的双窗口模型、选择重传特性、数据缓存）

1. TCP 拥塞控制：(拥塞窗口cwnd)(发送窗口由接收窗口和拥塞窗口确定)

1. 慢开始：cwnd=1，RTT内加倍(每个报文段确认是加1，RTT内加倍)
2. 拥塞避免:门限后RTT内cwnd+1。拥塞时慢开始门限为当前cwnd一半，cwnd=1
3. 快重传：三个冗余ACK时，直接重传，不必等计时器。
4. 快恢复：慢开始门限为cwnd一半，cwnd=慢开始门限改变后的值。

5)

      

 

2 UDP

1）TCP 和UDP区别：

TCP：面向连接的；面向字节流（TCP接收的是一堆数据）；保证数据的正确性；保证数据的顺序（解决乱序的问题）

UDP：面向无连接的；面向报文（UDP就是客户发送多少就接收多少）；可能丢包；不能保证数据的顺序，ping命令的原理就是向对方主机发送UDP数据包

1.  UDP适用的场景：需要资源少，网络情况稳定的内网；不需要一对一连接，可以广播的应用；需要处理速度快，可以容忍丢包的情况

TCP适用互联网和企业网上客户端应用。

3  1) HTTPS协议在HTTP的基础上增加了数据加密。在数据传输之前ssl/tls加密，然后再发送到服务器。需要CA申请证书、端口也不一样。步骤：

(1)客户使用https的URL访问Web服务器，要求与Web服务器建立SSL连接。

(2)Web服务器收到客户端请求后，会将网站的证书信息(含公钥)传送给客户端。

(3)客户端的浏览器与Web服务器开始协商SSL/TLS连接的信息加密等级。

(4)浏览器据安全等级建立会话密钥，利用网站的公钥将会话密钥加密，传网站。

(5)Web服务器利用自己的私钥解密出会话密钥。

(6)Web服务器利用会话密钥加密与客户端之间的通信。

附：SSL位于应用层和传输层之间。采用非对称加密。处理的对象是数据流，加密算法是RC4

2）对称加密和非对称加密

对称加密在编码时使用的密钥e和解码时一样d(e=d)，我们就将其统称为密钥k。

发送端和接收端首先要共享相同的密钥k(即通信前双方都需要知道对应的密钥)才能进行通信。一般加密和解密的算法是公开的，需要保持隐秘的是密钥k，流行的对称加密算法有：DES，Triple-DES，RC2和RC4

对称加密的不足：

a发送方和接收方首先需要共享相同的密钥，即存在密钥k的分发问题，如何安全的把共享密钥在双方进行分享，一种方法是提前双方约定好，不通过具体的通信进行协商，避免被监听和截获。另外一种方式，将是下面我们介绍的通过非对称加密信道进行对称密码的分发和共享，即混合加密系统。

b密钥管理的复杂度问题。由于对称加密的密钥是一对一的使用方式，若一方要跟n方通信，则需要维护n对密钥。

对称加密的好处：

加密和解密的速度要比非对称加密快很多，因此常用非对称加密建立的安全信道进行共享密钥的分享，完成后，具体的加解密则使用对称加密。即混合加密系统。

另外一个点需要重点说明的是，密钥k的长度对解密破解的难度有很重大的影响，k的长度越长，对应的密码空间就越大，遭到暴力破解或者词典破解的难度就更大，就更加安全。

非对称加密

非对称加密技术是指加密的密钥e和解密的密钥d是不同的（e!=d），并且加密的密钥e是公开的，叫做公钥，而解密的密钥d是保密的，叫私钥。

非对称加解密的过程如下：

加密一方找到接收方的公钥e(如何找到呢？大部分的公钥查找工作实际上都是通过数字证书来实现的)，然后用公钥e对明文p进行加密后得到密文c，并将得到的密文发送给接收方，接收方收到密文后，用自己保留的私钥d进行解密，得到明文p，需要注意的是：用公钥加密的密文，只有拥有私钥的一方才能解密，这样就可以解决加密的各方可以统一使用一个公钥即可。

常用的非对称加密算法有：RSA

非对称加密的优点是：

1. 不存在密钥分发的问题，解码方可以自己生成密钥对，一个做私钥存起来，另外一个作为公钥进行发布。
2. 解决了密钥管理的复杂度问题，多个加密方都可以使用一个已知的公钥进行加密，但只有拥有私钥的一方才能解密。

非对称加密不足的地方是加解密的速度没有对称加密快。

3) HTTP报文结构：请求报文的格式：请求行、首部、实体主体：

<method> <request-URL> <version>//方法(get/post...)和请求URL和HTTP版本

<headers>//首部 首部最后由一个空行（CRLF）结束

<entity-body>//实体主体

响应报文的格式：响应行、首部、实体主体：

<version><status><reason-phrase>//版本和数字状态码(请求时的情况)和原因

<headers>

<entity-body>

响应报文状态码类型：200~299是成功状态码

300~399: 重定向状态码，要么告知客户端使用替代位置来访问他们所感兴趣的资源，要么就提供一个替代的响应而不是资源内容。

400~499 客户端错误状态码

500~599 服务器错误状态码

4)  http请求方法的区别：            是否分类

GET	从服务器获取一份文档、URL超链接输入、不安全、有大小限制	否
HEAD	只从服务器获取文档的首部	否
POST	向服务器发送需要处理的数据、安全、无大小限制	是
PUT	将请求的主体部分存储在服务器上	是
TRACE	对可能经过代理服务器传送到服务器上去的报文进行追踪	否
OPTIONS	决定可以在服务器上执行哪些方法	否
DELETE	从服务器上删除一份文档	否

4 第三层网络层其他协议：

1. ARP为地址转换协议根据IP地址找到主机的物理地址
2. 反向地址转换协议RAPP 根据物理地址找IP地址
3. ICMP协议是控制报文协议，是一个网络层无连接协议。功能是确认IP包是否成功到达目标地址以及通知在发送过程中IP包被丢弃的原因。它和IP协议处于同一层，但是ICMP协议底层用的是IP协议。 ping命令基于ICMP。
4. NAT私有地址转换公有地址。

5 会话层至应用层其他协议：

1. 文件传输协议FTP是网际提供的用于访问远程机器的一个协议,它使用户可以在本地机与远程机之间进行有关文件的操作。 FTP工作时建立两条TCP连接,一条用于传送文件,另一条用于传送控制。FTP采用客户/服务器模式
2. 域名服务DNS是一个域名服务的协议,提供域名到IP地址的转换。有递归查询和迭代查询(本地域名服务器分别向根域名、向顶级域名、授权域名)
3. 简单邮件传送协议SMTP(推)是一个简单的基于文本的协议,用于可靠、有效的数据传输。只传ASCLL码。
4. POP3(拉)，邮件客户端从邮件服务器上面拉取数据用，基于tcp协议，默认端口是110
5. 远程终端访问IELNET, 其连接是一个TCP连接,用于传送具有TELNET控制信息的数据

5数字签名(公钥数字签名):每个人都有一对“钥匙”（数字身份），一个只有他本人知道（密钥），另一个公开的（公钥）。签名时用密钥，验证签名时用公钥

6 网络安全技术：

1. 数据加密技术：数据加密技术就是对信息进行重新编码，从而达到隐藏信息内容，使非法用户无法获取信息真实内容的一种技术手段。现代加密算法不仅可以实现信息加密，还可以实现数字签名和身份认证等功能，因此，数据加密技术是网络信息安全的核心技术。
2. 数字签名技术：数字签名是在电子文件上签名的技术，以解决伪造、抵赖、冒充和篡改等安全问题。数字签名一般采用非对称加密技术，签名者用自己的私钥对明文进行加密，将其作为签名；接收方使用签名者的公钥对签名进行解密，若结果与明文一致，则证明对方身份是真实的。
3. 防火墙技术：防火墙是在两个网络之间执行访问控制策略的一个或一组系统，它包括硬件和软件。防火墙对经过的每一个数据包进行检测，判断数据包是否与事先设置的过滤规则匹配，并按控制机制作出相应的动作，从而保护网络的安全。防火墙是企业网与 Internet 连接的第一道屏障。
4. 入侵检测技术：网络入侵检测技术是一种动态的攻击检测技术，能够在网络系统运行过程中发现入侵者的攻击行为和踪迹。一旦发现网络被攻击，立刻根据用户所定义的动作做出反应，如报警、记录、切断或拦截等。入侵检测系统被认为是防火墙之后的第二道安全防线，与防火墙相辅相成，
5. 安全漏洞扫描技术：用于对网络系统进行安全检查，寻找和发现其中可被攻击者利用的安全漏洞和隐患。安全漏洞扫描技术通常采用被动式和主动式两种策略。被动式策略是基于主机的检测，主动式策略是基于网络的检测。
6. 网络嗅探技术：利用计算机的网络端口截获网络中数据报文的一种技术。它工作在网络的底层，可以对网络传输数据进行记录。

1. 访问控制技术：访问控制通常采用设置口令和入网限制，采取 CA 认证和数字签名等技术对用户身份进行验证和确认，设置不同软件及数据资源的属性和访问权限，进行网络监控、网络审计和跟踪，使用防火墙系统、入侵检测和防护系统等方法实现。

1. 病毒防范技术：病毒防范是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒的入侵，并采取有效的手段阻止病毒的传播和破坏，恢复受影响的计算机系统和数据。一个安全的网络系统，必须具备强大的病毒防范和查杀能力。