网安笔记（二）

十三、OSI七层模型
OSI七层模型是一种将计算机通信协议按照功能分层的模型。每一层都有明确定义的功能和协议规范，各层之间可通过接口互相调用，以实现数据通信和交换。这些层分别是：

1. 应用层（Application Layer）：应用层提供了用户与计算机网络之间的接口，负责数据格式化、安全性等业务处理。

2. 表示层（Presentation Layer）：表示层对数据进行转换、加密、解密、压缩、解压缩等处理，以确保在不同计算机系统和协议之间互相兼容。

3. 会话层（Session Layer）：会话层建立、维护和结束会话，以及协调通信双方之间的数据交换。在多任务环境下，会话层还允许多个会话同时存在。

4. 传输层（Transport Layer）：传输层保证数据的可靠传输和透明分段，利用TCP或UDP协议提供端到端的传输服务。在此层上进行流量控制和错误恢复等处理。

5. 网络层（Network Layer）：网络层决定了数据的路由和寻址规则，以及使用何种路由协议。在Internet上，网络层使用IP协议来实现跨越多个网络的数据传输。

6. 数据链路层（Data Link Layer）：数据链路层将数据分成长度适合于传输的数据包，以及提供帧同步、流量控制、数据校验和错误检测等保证数据可靠传输的服务。

7. 物理层（Physical Layer）：物理层处理物理连接、电流编码、解码、信号放大等技术，确保数据能够以比特流的形式在物理介质上传输。

OSI模型从底层到顶层依次为：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。这个模型的好处是可以使不同的厂商的设备能够相互通信，增加了互操作性。同时也方便人们理解和使用网络协议，提高了网络协议的设计和实现的效率。

十四、TCP/IP中各项协议的工作原理？三次握手，四次挥手？
各项协议原理：
TCP/IP是一个互联网协议族，涵盖了许多不同的协议，每个协议都有不同的工作原理，一起包组成了互联网。以下是TCP/IP中一些重要协议的工作原理：

1. IP协议：Internet协议是一个网络层协议，它的主要作用是将数据包从源地址路由到目标地址。IP协议的工作依赖于几个功能：地址分配和选择、路由选择以及分片和重组。

2. ICMP协议：Internet控制报文协议是一个运输层协议，用于处理网络错误消息，如ping计算机网络或来路不明的流量。ICMP协议的工作是检测网络连接的可用性和状况， 同时返回错误消息以进行故障排除。

3. ARP协议：地址解析协议是一种数据链路层协议，可以将物理地址解析成IP地址。ARP协议的工作原理是将询问发送到其它设备，以确定一个设备的物理地址。

4. TCP协议：传输控制协议是一个传输层协议，用于控制传输的可靠性和速度。TCP协议的工作原理是从发送方创建一个TCP连接，然后将数据分成适当长度的块，以便发送和接收方可以确认块到达并重组。

5. UDP协议：用户数据报协议是一个传输层协议，无需建立连接，适用于需要快速传输的数据。UDP协议的工作原理是将数据分为数据段，然后将数据段封装到UDP报文中进行传输。

6. DNS协议：域名系统协议是一个应用层协议，用于将域名转换为IP地址。DNS协议的工作原理是通过DNS服务器将域名转换成IP地址，以便让计算机可以连接到特定的服务器。

以上是TCP/IP协议栈的一些重要协议及其工作原理。了解各个协议的功能和工作原理是网络工程师必须掌握的基本技能。

TCP/IP的三次握手和四次挥手过程，且为什么要这样？
三次握手：当客户端连接服务器，首先会对服务器发送一个SYN包(连接请求数据)，表示询问是否可以连接，服务器如果同意连接，就会回复一个SYN+ACK，客户端收到后就会回复一个ACK包，连接建立。因为期间相互发送了三包数据，所以称为三次握手。

四次挥手：处于连接状态的客户端或者服务器都可以发起关闭连接请求，假设客户端主动发起关闭请求，它先需要先服务端发送一个FIN包，表示我要关闭连接，自己进入终止等待1的状态(第一次挥手)，服务器收到FIN包之后发送一包 ACK包，表示自己进入关闭等待的状态，客户端进入终止等待2的状态(第二次挥手)，服务器这时候还可以发送未发送的数据，客户端还可以接收数据，等到服务端将所有数据发送完后，向客户端发送一个FIN包，自身进入最后缺人状态(第三次挥手)，客户端收到后回复一个ACK包，自己进入超时等待状态，进入超时时间后关闭连接，而服务端收到ACK包后立即关闭连接(第四次挥手)。

原因：为了解决网络信道不可靠的问题，为了能够在不可靠的信道上建立起可靠的连接。 

说一说OSI模型和TCP/IP体系结构？
OSI模型：从下到上为物理层，数据链路层，网络层，传输层，会话层，表达层，应用层。 TCP/IP结构：从下到上为网络接口层，网络层，传输层，应用层

UDP和TCP协议的区别及优缺点？
 UDP协议是基于非连接的，发送数据就是将数据简单是封装，然后从网卡发出去即可。数据包之间并没有状态上的联系，所以其优点就是性能消耗少，资源占用少；缺点就是稳定性弱。

TCP协议是基于连接的，在收发数据前必须和对方建立可靠的连接，建立连接的 3次握手、断开连接的4次挥手，为数据传输打下可靠基础。所以优点就是传输稳定可靠。 

十五、常问的端口信息
21：FTP文件传输协议

22：SSH远程连接

23：TELNET远程登录

25：SMTP邮件服务

53：DNS

53/UDP (UDP DNS查询以及响应）
53/TCP (TCP DNS查询以及响应）
5353/UDP（Multicast DNS 查询）
80：HTTP超文本传输协议

443：HTTPS安全超文本传输协议

1433：MSSQL

3306：MYSQL

3389：windows远程桌面服务端口

7701：weblogic

8080：Apache-tomcat默认端口号 

TCP,HTTP协议代理服务器：

TCP代理使用端口号1080或3128 (也可能会使用其他端口)
HTTP代理使用端口号80或8080 (也可能会使用其他端口)
十六、市面上主流的安全设备（WAF、IPS、IDS等）
WAF ：
WAF是一种针对 Web 应用程序的防火墙。与传统的防火墙不同，WAF 可以检测和过滤 Web 应用程序发送和接收的 HTTP 流量，并通过应用程序规则来识别和拦截潜在的攻击行为。WAF 可以保护 Web 应用程序免受常见的攻击，例如 SQL 注入、跨站点脚本 (XSS)、跨站点请求伪造 (CSRF) 等。

WAF 可以放置在 Web 应用程序和客户端之间，在传输 Web 数据时截获数据包并检查数据的内容。WAF 可以检测 HTTP 请求和响应数据，识别潜在的攻击行为，并采取措施来阻止攻击。

WAF 同时也提供了一些高级安全功能，例如负载均衡、SSL 加速、会话管理、访问控制等，可以帮助保护 Web 应用程序免受攻击并提高其可靠性和性能。WAF 可以是硬件设备或软件应用程序的形式，市场上有多种厂商提供 WAF 产品。

WAF绕过的手法你知道哪些？
这里从以sql注入为例，从三个层面简单总结一下手法。

1.从架构层面：找到服务器真实IP，同网段绕过，http和https同时开放服务绕过，边缘资产漏洞利用绕过。

2.从协议层面：分块延时传输，利用pipline绕过，利用协议未覆盖绕过，POST 及GET提交绕过。

3.从规则层面：编码绕过，等价符号替换绕过，普通注释和内敛注释，缓冲区溢出，mysql黑魔法，白名单及静态资源绕过，文件格式绕过，参数污染

IDS:入侵检测系统
     入侵检测系统是一种网络安全设备，可以监视网络流量，识别非法或恶意流量，并为网络管理员提供相应的警告和提示信息。

。IDS 可以采用不同的技术来检测攻击，例如：

签名侦测技术：基于事先定义的攻击模式或特征集来检测威胁。

异常侦测技术：基于先前记录的行为模式来检测与此行为不符的活动。

IDS 可以是网络级 IDS 或主机级 IDS。网络级 IDS 监视网络流量，可以通过捕获和分析流量数据包来识别攻击模式。主机级 IDS 监视单个主机并检测有害文件和恶意代码，以保护单个系统不受攻击。

IPS入侵防御系统
   入侵防御系统是一种网络安全设备，可以检测并阻止恶意流量，防止网络入侵和攻击。

与 IDS (Intrusion Detection System) 不同，IPS 不仅可以检测网络中的威胁，还可以在检测到恶意攻击时立即阻止攻击。

IPS 通过深度分析网络数据包，识别可疑流量并与对应的攻击特征或模式进行比较，以确定是否存在恶意攻击。一旦 IPS 发现攻击行为，它会立即采取措施，例如阻止或限制该流量，并向管理员发送警报。

与 IDS 相比，IPS 可以更有效地防止恶意攻击和升级攻击事件处理能力。IPS 可以将攻击阻止在网络的边缘，尽可能减少恶意攻击对网络的影响。同时，IPS 还可以应用规则和策略进行访问控制和流量管理，保护网络安全和数据完整性。

其他的安全设备
防火墙

VPN：虚拟专用网络是一种网络安全技术，可以通过加密和身份验证，建立安全的连接，使远程用户可以安全地访问内部网络资源。

负载均衡器：是一种网络安全设备，可以流量以提高系统性能和可靠性，并保护网络免受攻击。