精华内容
下载资源
问答
  • 属于网络层安全协议的是
    千次阅读
    2022-02-24 19:36:18

    一、运输层广泛应用的两个安全协议

    1、安全套接字层SSL

    2、运输层安全TLS

    二、在数据传输过程中的位置

    如下图所示:

    在发送方,SSL 接收应用层的数据,对数据进行加密,然后把加了密的数据送给TCP套接字。在接收方,SSL从TCP套接字处读取数据,解密后把数据交给应用层。

    三、SSL协议

    1、SSL的应用范围:应用层使用SSL最多的就是HTTP,但SSL并非仅用于HTTP,而是可用于任何应用层的协议。

    应用程序HTTP调用SSL对整个网页进行加密时,网页上会提示用户,在网址栏原来显示http的地方,现在变成了https。 在http后面加上的s代表security,表明现在使用的是提供安全服务的HTTP协议(TCP 的HTTPS端口号是443,而不是平时使用的端口号80)。

    2、SSL提供的安全服务

    ■SSL服务器鉴别,允许用户证实服务器的身份。支持SSL的客户端通过验证来自服务器的证书,来鉴别服务器的真实身份并获得服务器的公钥。

    ■SSL客户鉴别,SSL的可选安全服务,允许服务器证实客户的身份。

    ■加密的SSL会话,对客户和服务器间发送的所有报文进行加密,并检测报文是否被篡改。

    3、SSL的安全会话建立过程

    1.协商加密算法

    ➊ 浏览器A向服务器B发送浏览器的SSL版本号和一些可选的加密算法。❷B从中选定自己所支持的算法(如RSA),并告知A。

    2.服务器鉴别。

    ❸服务器B向浏览器A发送包含其RSA公钥的数字证书。❹A使用该证书的认证机构CA公开发布的RSA公钥对该证书进行验证。

    3.会话密钥计算。由浏览器A随机产生一个秘密数。❺用服务器B的RSA公钥进行加密后发送给B。❻双方根据协商的算法产生共享的对称会话密钥。

    4.安全数据传输。❼ 双方用会话密钥加密和解密它们之间传送的数据并验证其完整性。如下图所示:

    更多相关内容
  • 网络层安全协议——IPSec

    千次阅读 2020-05-12 20:22:22
    2.网络层安全性 3.IPSec安全体系结构图 4.IPSec安全体系的内容 5.IPSec的模式 6.AH相关 7.ESP相关 8.安全联盟SA 9.IPSec密钥管理 10.Internet密钥交换协议—IKE 11.两阶段交换 12.IPSec—vpn要求 13.IPSec—vpn协议...

    1.IPSec的目标

    为IPv4和IPv6提供具有较强的互操作能力,IPv4下IPSec为可选,而IPv6下为必选

    高质量和基于密码的安全

    在IP层实现多种安全服务,包括:

    访问控制、无连接完整性、数据源验证、抗重播、保密性和有限的业务流机密性

    2.网络层安全性

    优点:

    密钥协商的开销被大大的消减了

    需要改动的应用程序很少,对用户透明

    很容易构建VPN

    缺点:

    很难解决“抗抵赖”之类的问题,即无法认证到每个个人

    3.IPSec安全体系结构图

    4.IPSec安全体系的内容

    IPSec并不是一个单一的协议,而是能够在IP层提供互联网通信安全的协议族。并没有限定用户必须使用何种特定的加密和鉴别算法。实际上IPSec是一个框架,它允许通信双方选择合适的算法和参数(如密钥长度)。IPSec就是“IP安全(security)”的缩写。

    IPSec协议族中的协议可划分为三个部分:

    (1)IP安全数据报格式的两个协议:

    AH:Authentication Header 验证头部

    ESP:Encapsulation Security Payload 封装安全载荷

    其中,验证头部AH:

    提供源点鉴别和数据完整性,但不能保密

    验证算法由SA指定

    认证范围:整个包

    其中,封装安全载荷ESP:

    提供源点鉴别、数据完整性、加密及抗重播等安全服务

    加密算法和身份验证方法均由SA指定

    IPSec支持IPv4和IPv6。在IPv6中,AH和ESP都是扩展首部的一部分。AH协议的功能都已包含在ESP协议中,因此使用ESP协议就可以不使用AH协议。使用AH或ESP协议的IP数据报称为IP安全数据报(或IPSec数据报)。

    AH和ESP均用于两种模式:传输模式和隧道模式。

    传输模式:在整个传输层报文段的前后分别添加若干控制信息,再加上IP首部,构成IP安全数据报。

    隧道模式:在原始IP数据报的前后分别添加若干控制信息,再加上新的IP首部,构成IP安全数据报。

    两种方式,IP安全数据报的IP首部都是不加密的,这样数据报才能在各个路由器之间进行转发,从源点安全地转发到终点。所谓的“安全数据报”是指数据报的数据部分是经过加密的,并能够被鉴别的。

    (2)有关加密算法的三个协议(在此不讨论)

    (3)互联网密钥交换IKE(Internet Key Exchange)协议

    密钥管理(Key Management):

    SA(Security Association)安全联盟

    ISAKMP定义了密钥管理框架

    IKE是目前正式确定用于IPSec的密钥交换协议

    5.IPSec的模式

    隧道模式下,“原始IP首部”中,用两台通信的主机IP地址分别作为源地址和目的地址,而在IP安全数据报的“新的IP首部”中,若两台路由器进行通信,则使用两台路由器的地址作为源地址和目的地址;若一台路由器和主机之间进行通信,则使用路由器和主机的IP地址分别作为源地址和目的地址。

    6.AH相关

    1)AH头格式

    SPI:标识此包用什么样的算法和什么样的密钥进行加密处理

    2)AH的传输模式

    3)AH的隧道模式

    4)AH的处理过程

    过程1

    对于发出去的包的处理构造AH:

    创建一个外出SA(手工或通过IKE)

    产生序列号

    填充AH头的各字段

    计算ICV(Integrity Check Value完整性检验值),内容包括IP头中部分域、AH自身、上层协议数据

    AH头中的“下一头部”置为原IP报头中的“协议”字段的值,原IP报头的“协议”字段置为51(代表AH)

    过程2

    对于接收到的包的处理:

    分片装配

    查找SA     依据:目标IP地址、AH协议、SPI

    检查序列号

    ICV检查

    7.ESP相关

    1)ESP头

    2)ESP的传输模式

    3)ESP的隧道模式

    4)ESP的处理过程

    过程1

    对于发出去的包的处理:

    查找SA

    加密

    封装必要的数据,放到payload data域中,不同的模式封装数据的范围不同

    增加必要的padding数据

    加密操作

    验证

    计算ICV,注意,针对加密后的数据进行计算

    过程2

    对于接收到的包(Inbound Packet)的处理:

    分片装配

    查找SA   依据:目标IP地址、ESP协议、SPI

    检查序列号(可选,针对重放攻击),使用一个滑动窗口来检查序列号的重放

    ICV检查

    解密      根据SA中指定的算法和密钥、参数,对于被加密部分的数据进行解密     去掉padding      重构原始的IP包

    8.安全联盟SA

    在发送IP安全数据报之前,在源实体和目的实体之间创建一条网络层的逻辑连接,即安全关联CA。这样,传统的互联网中无连接的网络层就变成了具有逻辑连接的一个层。安全关联是从源点到终点的单向连接,它能够提供安全服务。若要进行双向安全通信,则两个方向都需要建立安全关联。

    SA可以是两部路由器、路由器与主机之间进行建立。建立安全关联的路由器或主机,必须维护这条SA的状态信息。

    每个SA通过三个参数来标志<spi,dst(src),protocol>

    —安全参数索引SPI(Security Parameters Index)

    —对方IP地址

    —安全协议标识:AH or ESP

    当路由器要通过SA发送安全数据报时,就必须读取SA的这些状态信息,以便知道如何把IP数据报进行加密和鉴别。

    SA与IPSec系统中实现的两个数据库有关

    —安全策略数据库(SPD):指明什么样的数据报需要进行IPSec处理

    —安全关联数据库(SAD):指明若需要使用IP安全数据报,应怎样做(使用哪一个SA)

    9.IPSec密钥管理

    包括密钥的确定和分配

    两种方式:

    —手工的

    —自动的:Internet密钥交换IKE(非IPSec专用)

    作用:在IPSec通信双方之间,建立起共享安全参数及验证过的密钥(建立“安全关联”),IKE代表IPSec对SA进行协商,并对SADB数据库进行填充

    10.Internet密钥交换协议—IKE

    IKE协议:

    负责在通信两端安全地交换密钥

    RFC2409,是Oakley和SKEME协议的一种混合

    基于ISAKMP框架

    沿用了Oakley和SKEME的共享和密钥更新技术

    ISAKMP:

    Internet  Security Association and Key Management Protocol

    RFC 2408

    定义如何建立安全联盟 并初始化密钥

    11.两阶段交换

    第一阶段:建立起ISAKMP SA——IKE SA

    双方(例如ISAKMP Servers)商定如何保护以后的通讯

    ,通信双方建立一个已通过身份鉴别和安全保护的通道

    此SA将用于保护后面的protocol SA的协商过程

    第二阶段:建立起针对其他安全协议的SA——IPSec SA

    这个阶段可以建立多个SA

    此SA将被相应的安全协议用于保护数据或者消息的交换

    12.IPSec—vpn要求

    数据私密性

    数据完整性

    数据来源鉴别

    防重放

    13.IPSec—vpn协议和算法

    IP安全协议:AH,ESP

    数据加密标准:DES,3DES

    公共密钥密码协议:Diffie—Hellman(D-H)

    散列算法:MD5,SHA-1

    公钥加密算法:RSA

    Internet密钥交换:IKE

    证书授权中心:CA

    14.实验

    两台Windows2003服务器实现传输模式的VPN

    两台Windows2003服务器实现隧道模式的VPN

    设计:

    通信一方必须告诉另一方自己的策略

    通信双方必须保持策略一致,用ping测试IPSec配置是否成功

    隧道模式:IPSec必须成对出现,既有隧道进方向,又有隧道出方向

    windows上实现IPSec和路由器上实现完全不同:Windows利用图形界面,路由器利用一条一条的命令

    若通信一方配置IPSec,另一方未配置,则ping不通,如下:

    双方都配置好IPSec,且参数一致,则结果有个协商过程,如下:

    注意:

    通信两端的源地址和目的地址,可以为一个特定IP地址,也可以为一个特定的IP子网等,如下列表中的选项:

     

    展开全文
  • 网络层安全协议 IPsec 我们经常使用的虚拟专用网(某PN),在某PN中传送的信息都是经过加密的,而IPsec就是提供的这个服务。 IPsec并不是一个单一协议,而是能够在IP层提供互联网通信安全的协议族。IPsec并没有限定...

    网络层安全协议

    IPsec

    我们经常使用的虚拟专用网(某PN),在某PN中传送的信息都是经过加密的,而IPsec就是提供的这个服务。

    IPsec并不是一个单一协议,而是能够在IP层提供互联网通信安全的协议族。IPsec并没有限定用户必须使用何种特定的加密和鉴别算法。实际上,IPsec是个框架,它允许通信双方选择合适的算法和参数(例如:密钥长度)。为了保证互操作性,IPsec还包含了一套加密算法,所有IPsec的实现都必须使用。

    IPsec协议族中的协议可划分为一下三个部分:

    1. IP安全数据报的两个协议:鉴别首部AH协议封装安全有效载荷ESP协议
    2. 有关加密算法的三个协议
    3. 互联网密钥交换IKE协议。

    AH协议功能:

    1. 源点鉴别
    2. 数据完整性
    3. 不能提供保密

    在这里插入图片描述
    在这里插入图片描述

    ESP协议功能:

    1. AH提供的所有功能
    2. 数据报加密和数据流加密

    在这里插入图片描述
    在这里插入图片描述

    因此使用ESP协议就可以不使用AH协议了。

    使用ESP或AH协议的IP数据报成为IP安全数据报(或IPsec数据报),它可以再两台主机之间、两路由器之间或一台主机和一个路由器之间发送。

    IP安全数据报两种工作方式

    1. 传输模式

    传输方式是在整个运输层保温段的前后分别添加若干控制信息,再加上IP首部,构成IP安全数据报。

    2. 隧道模式

    隧道方式是在原始的IP数据报的前后分别添加若干控制信息,再加上新的IP首部,构成一个IP安全数据报。

    无论使用哪种方式,最后得出的IP安全数据报的IP首部都是不加密的。只有使用不加密的IP首部,互联网中的各个路由器才能识别IP首部中的有关信息,把IP安全数据报在不安全的互联网中进行转发,从源点安全地转发到重点。

    所谓“安全数据报”是指数据报的数据部分是经过加密的,并且能够鉴别的。通常把数据报的数据部分成为数据报的有效载荷。

    安全关联SA

    发送IP安全数据报之前,在源实体和目的实体之间必须创建一条网络层的逻辑连接,即安全关联SA。这样传统的网络中无连接的网络层,就变成了具有逻辑连接的一个层。安全关联是从源点到终点的单向连接,它能够提供安全服务。如果要进行双向安全通信,则两个方向都需要建立安全关联。

    IPsec的其他构件IKE

    IKE的主要用途就是为IP安全数据报创建安全关联SA。
    IKEv2是其新的版本,以另外三个协议为基础:

    1. Oakley:是个密钥生成协议。
    2. 安全密钥交换机制SKEME:用于密钥交换的协议。它利用公钥加密来实现密钥交换协议中的实体鉴别。
    3. 互联网安全关联和密钥管理协议ISAKMP。

    运输层安全协议

    主要有两个协议:

    1. 安全套接字层SSL
    2. 运输层安全TLS

    应用层使用SSL最多的就是HTTP,但SSL并非仅用于HTTP,而是可用于任何应用层协议。例如,SSL可以用于IMAP邮件存取的鉴别和数据加密。

    SSL提供的安全服务可归纳为以下三种:

    1. SSL服务器鉴别,允许用户证实服务器身份。支持SSL的客户端通过验证来自服务器的证书,来鉴别服务器的真是身份并获得服务器的公钥。
    2. SSL客户鉴别,SSL的可选安全服务,允许服务器正式客户的身份。例如:USB-KEY
    3. 加密的SSL会话,对客户和服务器间发送的所有报文进行加密,并检测报文是否被篡改。

    SSL工作过程

    1. 协商加密算法。浏览器A向服务器B发送浏览器的SSL版本号和一些可选的加密算法。B从中选定自己所支持的算法(如RSA),并告知A。
    2. 服务器鉴别。服务器B向A发送包含其RSA公钥的数字证书。A使用该证书的认证机构CA公开发布的RSA公钥对该证书进行验证。
    3. 会话密钥计算。由浏览器A随机产生一个秘密数。用服务器B的RSA公钥进行加密后发送给B。双方根据协商的算法产生共享的对称会话秘钥
    4. 安全数据传输。双方用会话秘钥加密和解密他们之间传送的数据并验证其完整性

    应用层安全协议(电子邮件的安全协议)

    当我们使用IPSec或SSL时,我们假设双方在相互之间建立起一个会话并双向的交换数据。而电子邮件中没有会话存在。当A向B发送一个电子邮件时,A和B并不会因此而建立任何会话。而在此后的某个时间,如果B读取了该邮件,他有可能会、也有可能不会回复这个邮件。可见我们所讨论的是单向报文的安全问题。
    为电子邮件提供安全服务的协议PGP。

    PGP是一个完整的电子邮件安全软件包,包括加密、鉴别、电子签名和压缩等技术。PGP并没有使用什么新的概念,它只是把现有的一些加密算法(如RSA公钥加密算法或MD5报文摘要算法)综合在一起而已。

    展开全文
  • 网络层协议

    千次阅读 2022-04-02 23:06:35
    网络互联模型 请求过程 网络分层

    目录

    一、物理层(Physical)

    主要的设备和功能

    数字信号、模拟信号

    数据通信模型

    信道(Channel) 

    二、数据链路层(Data Link)

    封装成帧(framing)

    ​​​​​​​透明传输

    差错检验

     CSMA/CD协议

    Ethernet V2帧的格式

    网卡

    PPP协议(Point to Point Protocol)

    三、网络层(Network)

    网络层首部

     版本(Version)

    首​​​​​​​部长度(Header Length)

    区分服务(Differentiated Services Field)

    总长度(Total Length)

    标识(Identification)

    标志(Flags)

    片偏移(Fragment Offset)

    生存时间(Time To Live,TTL)

    首部检验和、协议​

    四、传输层 (Transport)

    UDP协议

    UDP - 数据格式

    UDP - 检验和(Checksum)

     UDP - 端口(Port)

    TCP协议

    TCP - 数据格式

    ​​​​​​​​​​​​​​数据偏移

    保留位(Reserved)

    标志位(Flags)

    检验和(Checksum)

    序号(Sequence Number)

    确认号(Acknowledgment Number)

    窗口(Window)

    TCP要点

    五、应用层(Application)

    常见协议

    域名(Domain Name)

    顶级域名的分类

    二级域名

    DNS(Domain Name System)-  域名系统

    IP地址的分配

    DHCP(Dynamic Host Configuration Protocol)-动态主机配置协议

    DHCP - 分配IP地址的4个阶段

    DHCP - 4个阶段

    DHCP - 细节


    网络互联模型

    请求过程

    网络分层


    一、物理层(Physical)

    • 物理层定义了接口标准、线缆标准、传输速率、传输方式等 ,媒体包括架空明线、平衡电缆、光纤、无线信道等等,以及确保原始的数据可在各种物理媒体上传输,传输单位是比特​​​​​​​​​​​​​​
    • 主要的设备和功能

      • ​​​​​​​​​​​​​​网卡:唯一的网卡硬件地址,不能更
      • 中继器:放大信号,延长数据传输距离
      • 集线器:多端口中继器,为多台终端放大信号 
    • 数字信号、模拟信号

      • 模拟信号(Analog Signal)
        • 连续的信号,适合长距离传输
        • 抗干扰能力差,受到干扰时波形变形很难纠正
      • 数字信号(Digital Signal)
        • 离散的信号,不适合长距离传输
        • 抗干扰能力强,受到干扰时波形失真可以修复

    ​​​​​​​

    • 数据通信模型

      •  局域网通信模型
      • 广域网通信模型
        ​​​​​​​​​​​​
    • 信道(Channel) 

      • 信道:信息传输的通道,一条传输介质上(比如网线)上可以有多条信道
        • 单工通信
          • 信号只能往一个方向传输,任何时候都不能改变信号的传输方向
          • 比如:无线电广播、有线电视广播
        • 半双工通信
          • 信号可以双向传输,但必须是交替进行,同一时间只能往一个方向传输
          • 比如:对讲机
        • 全双工通信
          • 信号可以同时双向传输
          • 比如:手机(打电话,听说同时进行)

    二、数据链路层(Data Link)

    • 链路:从1个节点到相邻节点的一段物理线路(有线或无线),中间没有其他交换节点

    • 数据链路:在一条链路上传输数据时,需要有对应的通信协议来控制数据的传输
    • 不用类型的数据链路,所用的通信协议可能是不同的(传输单位是帧)
      • 广播信道:CSMA/CD协议(如果同轴电缆、集线器等组成的网络)
      • 点对点信道:PPP协议(比如2个路由器之间的信道)
    • 数据链路层的3个基本问题
      • 封装成帧、透明传输、差错检验 
    • 封装成帧(framing)

    •  最大传输单元MTU(Maximum Transfer Unit)
      • 每一种数据链路层协议都规定了所能够传送的帧的数据长度上限
      • 以太网的MTU(帧的数据部分,不包括帧首部和尾部)为1500个字节
    • 在一段数据的前后分别添加首部和尾部后构成一个帧,首部和尾部的一个重要作用帧定界
    • ​​​​​​​透明传输

    • 一个完整的帧只有一个帧开始符(SOH)和一个帧结束符(EOT),如果数据部分出现了SOH、EOT则需要进行转义,数据部分出现一个SOH、EOT、ESC则在它们前面加上ESC进行字节填充,当接受端的数据链路层收到该帧,如遇见头部ESC就去掉ESC
    • 差错检验

    • 在传输过程中可能会产生比特差错:1可能会变成0,0也可能变成1
    • 在数据链路层传送的帧中,广泛使用了循环冗余检验CRC的检错技术,在发送数据后面添加冗余码(帧检测序列FCS)
      •  FCS是根据数据部分+数据链路层首部计算得出来的
        • 假设要发送的数据M=101001(长度K=6),在发送数据的时候在后面添加一个N位的冗余码,一共发送(K+N)位数据
    •  CSMA/CD协议

      • 载波侦听多路访问(侦听道上是否有信息进行传递)/冲突检测
      • 使用CSMA\CD的网络可以称为是以太网(Ethernet),它传输的是以太网帧
        • 以太网帧的格式有:Ethernet V2标准(用得多)、IEEE的802.3标准
        • 为了能够检测正在发送的帧是否产生了冲突,以太网的帧至少要64字节
        • 用交换机组件的网络,已经支持全双工通信,不需要再使用CSMA/CD,传输的帧依然是以太网帧
    • Ethernet V2帧的格式

    •  Ethernet V2帧的格式是没有帧开始符和帧结束符的,而是接收端接收帧过程之遥发现没有信号跳变,就认为帧结束
    • 首部:源MAC + 目标MAC + 网络类型(IPv4或IPv6)
    • 以太网帧:首部 + 数据 + FCS
    • 数据的长度至少是:64 - 6 - 6 - 2 - 4 = 46字节 

    • 当数据部分的长度小于46字节时,数据链路层会在数据后面填充字节,接收端会将添加的字节去掉。
    • 以太网帧的数据长度:46~1500字节
    • 以太网帧的长度为:64~1518字节(源MAC(6)+目标MAC(6)+网络类型(2)+数据 + FCS(4))
    • 网卡

    •  网卡接受到帧,会进行差错校验,如果通过则接受,去掉FCS然后传输给网络层,否则丢弃

    • PPP协议(Point to Point Protocol)

    • Addresss字段:图中的值时0xFF,形同虚设,点到点信道不需要源MAC、目标MAC地址
    • Control字段:图中的值时0x03,目前没有什么作用
    • Protocol字段:内部用到的协议类型
    • 帧开始符、帧结束符:0x7E 

    三、网络层(Network)

    • 网络层数据包(IP数据包,Packet)由首部、数据2部分组成
      • 数据:很多时候是由传输层传递下来的数据段(Segment)

    • 网络层首部

      •  版本(Version)

        • ​​​​​​​占4位,0b0100:IPv4、0b0110:IPv6
      • 首​​​​​​​部长度(Header Length)

        • ​​​​​​​占4位,二进制*4才是最终长度
        • 0b0101:5*4=20(最小)  、 0b1111:15*4=60(最大),固定20字节+可变40字节
      • 区分服务(Differentiated Services Field)

        • ​​​​​​​占8位,可以用于提高网络的服务质量(Qos)
      • 总长度(Total Length)

        • ​​​​​​​​​​​​​​占16位,首部 + 数据部分的长度之和。最大值是65535 ​​​​

      • 标识(Identification)

        • 占16位,数据包的ID,当数据包过大进行分片时,统一数据包所有片标识都是一样的
        • 有一个计算器专门管理数据包的ID,每发出一个数据包,ID就加1
      • 标志(Flags)

        • 占3位,第1位(Reserved Bit):保留
        • 第2位(Don't Fragment):1代表不允许分片,0代表允许分片
        • 第3位(More Fragments):1代表不是最后一片,0代表最后一片
      • 片偏移(Fragment Offset)

        • 占13位,片偏移*8=字节偏移,每片长度一定是8的整数倍
          ​​​​​​​​​​​​​​
          ​​​​​​​ 
      • 生存时间(Time To Live,TTL)

        • 占8位
        • 每个路由器在转发之前会将TTL减1,一旦发现TTL减为0,路由器回返回错误报告 
        • 用ping命令后的TTL,能够推测出对方的操作系统、中间经过了多少个路由器
      • 首部检验和、协议

    四、传输层 (Transport)

    • 传输层的数据长度 = 网络层的总长度 - 网络层的首部长度 - 传输层的首部长度
    • 传输层有2个协议
      • TCP(Transmission Control Protocol),传输控制协议
      • UDP(User Datagram Protocol),用户数据报协议

    ​​​​​​​

    • UDP协议

    • UDP - 数据格式

      • UDP是无连接的,减少了建立和释放连接的开销
      • UDP尽极大能力交付,不保证可靠交付
      • 不需要维护一些复杂的参数,首部只有8个字节(TCP的首部至少20个字节)
      • UDP长度:占16位,首部的长度(8字节) + 数据的长度​​​​​

    • UDP - 检验和(Checksum)

      • 检验和的计算内容:伪首部(12字节) + 首部(8字节) + 数据
      • 伪首部:仅在计算检验和时起作用,并不会传递给网络层
    •  UDP - 端口(Port)

      • UDP首部中端口是占用2字节,取值范围:0~65535
      • 客户端的源端口是临时开启的随机端口
      • 防火墙可以设置开启\关闭某些端口来提高安全性
      • 常用命令行
        • netstat -an:查看被占用的端口
        • netstat -anb:查看被占用的端口、占用端口的应用程序
        • telnet主机端口:查看是否可以访问主机的某个端口

    • TCP协议

    • TCP - 数据格式

    • ​​​​​​​​​​​​​​数据偏移

      • 占4位,取值范围:0x0101~0x1111
      • 数据偏移 *  4 = 首部长度(Header Length) 【包括选项(长度可变)和填充部分】
    • 保留位(Reserved)

      • ​​​​​​​占6位,目前全为0
    • 标志位(Flags)

      • ​​​​​​​占6位(URG、ACK、PSH、RST、SYN、FIN)
        • URG=1:紧急指针字段才有效,表明当前报文段中有紧急数据,应优先传送
        • ACK=1:确认号字段才有效
        • PSH=1:通知缓冲区,数据进入缓冲区,只要数据完整的接受完后立即交付给上层应用
        • RST=1:表明连接总出现严重差错,必须释放连接,然后再重新建立连接
        • SYN=1、ACK=0:表明这是一个建立连接的请求
          • 若对方同意连接,则回复SYN=1、ACK=1
        • FIN=1:表明数据已经发送完毕,要求释放连接
    • 检验和(Checksum)

      • 伪首部+首部+数据,伪首部占用12字节,仅在计算检验和时起作用,不会传递给网络层
    • 序号(Sequence Number)

      • 4字节,在传输过程的每一个字节都会有一个编号
        • 在建立连接后,序号代表:这一次传递对方的TCP数据部分的第一个字节的编号
    • 确认号(Acknowledgment Number)

      • 4字节,确认号代表:期望对方下一次传过来的TCP数据部分的第一个字节的编号
    • 窗口(Window)

      • 2字节,字段有流量控制功能,用告知对方下一次允许发送的数据大小(字节为单位)
    • TCP要点

    • 五、应用层(Application)

    • 常见协议

      • 超文本传输:HTTP、HTTPS
      • 文件传输:FTP
      • 电子邮件:SMTP、POP3、IMAP
      • 动态主机配置:DHCP
      • 域名系统:DNS
    • 域名(Domain Name)

      • IP地址不方便记忆,并且不能表达组织的名称和性质,人们设计出域名(如baidu.com)
        • 为了能够访问到具体的主机,最终还是得知道目标主机的IP地址
        • 域名申请注册:https://wanwang.aliyun.com
      • 全程直接用域名,不用IP地址也不行
        • IP地址固定4个字节,域名至少10几个字节,回增加路由器的负担,浪费流量
      • 根据级别不同,域名可以分为:顶级域名、二级域名、三级域名等
    • 顶级域名的分类

      • 通用顶级域名(gTLD)
        • .com(公司)、.net(网络机构)、.org(组织机构)、.edu(教育)、.gov(部门)等
      • 国家及地区顶级域名(ccTLD)
        • .cn(中国)、.jp(日本)、.uk(英国)
      • 新通用顶级域名(New gTLD)
        • .vip、.xyz、.top、.clud、.shop等
    • 二级域名

      • 指顶级域名之下的域名
        • 在通用顶级域名下,一般指域名注册人的名称,如:google、baidu、microsoft等
        • 在国家及地区顶级域名下,一般指注册类别,如:com、edu、gov、net等
          ​​​​​​​ 
    • DNS(Domain Name System)-  域名系统

      • 利用DNS协议,可以将域名(baidu.com)解析成对应的IP地址(如:220.181.38.148)
      • DNS可以基于UDP协议,也可以基于TCP协议,服务器占用53端口
      • DNS - 服务器
        • ​​​​​​​客户端先访问最近的一台DNS服务器(客户端自己配置的DNS服务器)
        • 所有的DNS服务器都记录了DNS根域名服务器的IP地址
        • 上级DNS服务器记录了下一级DNS服务器的IP地址
        • 全球一共13台IPv4的DNS根域名服务器、25台IPv6的DNS根域名服务器
      • DNS - 常见命令
        • ip config /displaydns:查看DNS缓存记录
        • ip config /flushdns:清空DNS缓存记录
        • ping 域名
        • nslookup:域名
    • IP地址的分配

      • IP地址按照分配方式,可以分为:静态IP地址、动态IP地址
        • 静态IP地址
          • 手动设置
          • 适用场景:不怎么挪动的台式机(比如学校机房中的台式机)、服务器等
        • 动态IP地址
          • 从DHCP服务器自动获取IP地址
          • 适用场景:移动设备、无线设备等
    • DHCP(Dynamic Host Configuration Protocol)-动态主机配置协议

      • DHCP协议基于UDP协议,客户端是68端口,服务器是67端口
      • DHCP服务器会从IP地址池中,挑选一个IP地址“出租”给客户端一段时间,过期回收
      • 平时家里上网等路由器就可以充当DHCP服务器
    • DHCP - 分配IP地址的4个阶段

      • DISCOVER:发现服务器
        • 发广播包(源IP是0.0.0.0,目标IP是255.255.255.255,目标MAC是FF:FF:FF:FF:FF:FF)
      • OFFER:提供租约
        • 服务器返回可以租用的IP地址,以及租用期限、子网掩码、网关、DNS等信息
        • 可能会有多个服务器提供租约
      • REQUEST:选择IP地址
        • 客户端选择一个OFFER,发送广播包进行回应
      • ACKNOWLEDGE:确认
        • 被选中的服务器发送ACK数据包给客户端,至此,IP地址分配完毕
    • DHCP - 4个阶段​​​​​​​

    • DHCP - 细节

      • DHCP服务器可以跨网段分配IP地址吗?(DHCP服务器、客户端不在同一个网段)
        • 可以借助DHCP中继代理(DHCP Relay Agent)实现跨网段分配IP地址
      • 自动续约
        • 客户端会在租期不足的时候,自动向DHCP服务器发送REQUEST信息申请续约
      • 常用命令
        • ipconfig /all:可以看到DHCP相关的详细信息,比如租约过期时间、DHCP服务器地址等
        • ipconfig /release:释放租约
        • ipconfig /renew:重新申请IP地址、申请续约(延长租期)

    展开全文
  • 网络层协议模型

    千次阅读 2022-03-14 15:16:42
    OSI参考模型 物理:解决硬件之间通信的问题,常见的物理媒介有光纤、电缆、中继器等。它主要定义物理设备标准,...物理层协议:rs-232c(RS-232C标准(协议)的全称是EIA-RS-232C标准,定义是“数据终端设备(DT...
  • 原文链接:网络层次划分及网络协议 1 OSI七模型、TCP/IP四模型、TCP/IP五模型 不管是OSI七模型还是TCP/IP的四、五模型,每一中都要自己的专属协议,完成自己相应的工作以及与上下层级之间进行沟通。 ...
  • 常见的网络安全协议

    万次阅读 多人点赞 2019-09-25 20:38:04
    常见的网络安全协议 网络认证协议Kerberos Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机...
  • 应用层安全协议的五个种类

    千次阅读 2020-03-11 16:07:51
    应用层安全协议 五个种类 http PGP S/MIME RSA DES Kerberos
  • 网络安全协议

    千次阅读 2022-04-24 21:27:06
    网络安全协议,软考
  • 物理层、数据链路层、网络层、传输层、会话层、表示层、应用层 TCP/IP分层(4层) 网络接口层、网络层、传输层、应用层 五层协议(5层) 物理层、数据链路层、网络层、传输层、应用层 五层结构的概述 应用层:通过...
  • 网络层协议结构分析图

    千次阅读 2022-04-13 23:39:21
    文章目录前言一、网络层协议结构图详解二、TCP和UDP的区别1.TCP(打电话)1.连接稳定2.客户端,服务端3. 传输完成,释放连接,效率低,4. 三次连接四次挥手1.三次连接2.四次挥手2.UDP(发短信)1.连接不稳定2....
  • 网络安全系列-XI: 主流网络协议介绍

    千次阅读 2022-04-07 10:45:01
    本文针对主流的网络协议进行介绍
  • 网络安全----网络协议安全

    千次阅读 2021-11-17 17:09:58
    互联网安全协议概述 存在的问题:原始协议几乎没有安全方面的考虑。存在各种各样的攻击手段,如窃听、篡改、伪造、冒充等。 解决办法:现有TCP/IP协议仍在使用,彻底更换不现实也办不到。只有通过添加新的安全...
  • 网络层的主要功能,网络层协议网络层设备。
  • 网络协议划分: 物理层:以太网 · 调制解调器 · 电力线通信(PLC) · SONET/SDH · G.709 · 光导纤维 · 同轴电缆 · 双绞线等。 数据链路层:Wi-Fi(IEEE 802.11) · WiMAX...网络层协议:IP (IPv4 · IPv6) · IC
  • 网络层协议

    千次阅读 热门讨论 2017-12-26 14:29:35
    OSI模型有7层结构, OSI的7层从上到下分别是 7 应用层 6 表示层 5 会话层 4 传输层 3 网络层 2 数据链路层 1 物理层 ;其中高层(即7、6、5、4层)定义了应用程序的功能,下面3层(即3、2、1层)主要面向通过网络的端到端...
  • TCP/IP体系结构各层安全协议介绍

    千次阅读 2018-10-16 17:46:50
    1. IPSEC——网络层 2. SSL/TSL——传输层 3. 应用层安全(WEB、远程应用、邮件)   TCP/IP协议栈 观察TCP/IP的协议栈,我么可以发现,在诸多协议中,并没有针对安全的协议,这时就需要安全协议来保证通信...
  • 网络层协议概述

    千次阅读 2019-11-24 03:12:00
    内容 IP协议 DHCP协议 NAT技术   一、 IP协议  IP(Internet ...
  • 当认证完成后,在服务器端与客户端使用在认证过程中建立的对称密钥的安全通信就被称为加密安全保护协议。 目前互联网发展迅猛,各种技术层出不穷,加上这几年区块链技术的日趋应用,导致黑客攻击有利可图,网络传输...
  • 应用层、传输层、网络层常用协议

    千次阅读 2019-09-27 17:36:19
    OSI模型:名称 层次 功能物理层 1 实现计算机系统与网络间的物理连接 数据链路层 2 进行数据打包与解包,形成信息帧 网络层 3 提供数据通过的路由 传输层 4 ...
  • 网络---协议(TCP/IP五模型)

    千次阅读 2022-03-23 11:21:36
    OSI七层模型(不实用)分为:应用层,表示层,会话层,传输层,网络层,链路层,物理层 OSI(Open System Interconnection,开放系统互连)七层网络模型称为开放式系统互联参考模型,是一个逻辑上的定义和规范; ...
  • 层网络协议

    万次阅读 2018-03-26 10:59:41
    一、OSI七层网络协议OSI是Open System Interconnect的缩写,意为开放式系统互联。OSI参考模型各个层次的划分遵循下列原则:1)根据不同层次的抽象分层2)每应当有一个定义明确的功能3)每功能的选择应该有助于...
  • 网络 | 1.OSI七模型&各常见协议

    千次阅读 2021-08-17 12:03:15
    第三层:网络层 第二层:数据链路层 第一层:物理层 第七层:应用层 功能:提供各种各样的应用层协议,为用户与网络之间提供一个打交道的接口。 常见协议:DNS,HTTP,HTTPS,FTP 协议介绍: DNS(域名解析协议):将域名解析为IP...
  • 计算机网络协议(二)——从二到三

    万次阅读 多人点赞 2019-09-03 11:56:34
    底层网络知识详解:从二到三概述一、从物理到MAC1.1 第一(物理)1.2 第二(数据链路)二、交换机与VLAN2.1 如何解决广播问题和安全问题?三、ICMP和ping3.1 ICMP协议的格式3.2 ICMP报文类型3.3 ping:...
  • 应用层协议 ——— HTTP协议

    千次阅读 多人点赞 2022-05-15 20:18:31
    文章目录HTTP协议认识URLurlencode和urldecodeHTTP协议格式HTTP的方法HTTP常见的Header简单的HTTP服务器 HTTP协议 认识URL urlencode和urldecode HTTP协议格式 HTTP的方法 HTTP常见的Header 简单的HTTP服务器
  • OSI参考模型——网络层:IPv4协议和IPv6协议详解

    万次阅读 多人点赞 2016-12-30 15:10:34
    二、网络层IP协议的基本内容 三、IPv4分组的格式 四、IPv4分组的地址分类和表示 五、IPv4地址的子网划分 六、CIDR(无类别域间路由) 七、IPv6协议 八、IPv4和IPv6共存——隧道技术一、网络层的基本概念网络层...
  • 网络层:IP欺骗,Smurf攻击,ICMP攻击,地址扫描 链路层:MAC欺骗,MAC泛洪,ARP欺骗 物理层:设备破坏,线路监听 第二部分:防火墙对常见攻击的防范原理 流量攻击 扫描窥探攻击 第一部分 一.数据链路层的安全问题...
  • 目录 1 为什么要分层 1.1 层次划分的必要性 ...2.2.2 TCP/IP协议族的组成 2.2.3 数据封装和解封过程 2.2.4设备与的对应关系及各间通信 2.3OSI与TCP/IP的区别 1 为什么要分层 1.1 层次划分的必要性 ...
  • 网络安全:WireShark 抓包及常用协议分析

    千次阅读 多人点赞 2022-04-11 19:46:00
    网络安全:WireShark 抓包及常用协议分析

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 317,074
精华内容 126,829
关键字:

属于网络层安全协议的是