网络攻击的常见方式,对称密码体制和公钥密码体制,数字签名与保密通信,秘钥分配(KDC,CA)
网络攻击的常见方式:
从原站截获数据
篡改从原站截获的数据
用恶意程序攻击目的站
多主机访问目的站导致拒绝服务
对称密码体制和公钥密码体制:
对称密钥密码体制:E 和 D 公开,K1 和 K2 保密(K1=K2),加密密钥和解谜密钥相同
公钥密码体制:E 和 D 公开,K1 公开,K2(保密),每人都有一堆密钥(公钥与私钥),且二者不同
特点:
密钥对产生器产生出接收者 B 的一对密钥:加密密钥 PKb 和解谜密钥 SKb。发送者 A 所用的加密密钥 PKb 就是接收者 B 的公钥,它向公众公开。而 B 所用的解密密钥 SKb 就是接收者 B 的私钥,对其他人保密
发送者 A 用 B 的公钥 PKb 通过 E 运算对明文 X 加密,得出密文 Y,发送给 B。B 用自己的私钥 SKb 通过 D 运算进行解密,恢复出明文
虽然公钥可以用来加密,但却不能用来解密
数字签名与保密通信:
数字签名的特点:
接收者能够核实发送者对报文的签名。报文鉴别
接收者确信所收到的数据和发送者发送的完全一样没有被篡改过。报文的完整性
发送者事后不能抵赖对报文的签名。不可否认
秘钥分配(KDC,CA):
第九章 无线局域网
两类 WLAN,AdHoc,无线传感器网络,CSMA/CA,802.11 帧(四个地址)
两类 WLAN:
有固定基础设施的 WLAN
主机之间的通信必须通过 AP 的转发
无固定基础设施的 WLAN(移动自组织网络 Adhoc)
无 AP,临时网络,不和其他网络连接;结点需运行路由选择协议,结点需转发分组
无线传感器网络 WSN:
低功耗、低宽带、低存储容量、物联网
CSMA/CA:
情景:A 要发送数据给 B,C 也想发送数据给 D
A 监听到信道空闲,等待一个分布帧间隔 DIFS(128μs)后发送该帧
B 收到数据帧后,等待一个短帧间隔 SIFS(28μs)后发回一个确认帧
C 监听到信道忙,选取一个随机回退值继续侦听。如果信道空闲递减该值,如果信道忙保值该值;当回退值 = 0 时,发送帧并等待确认
CSMA/CA 可能发生碰撞的两种情况:
A 和 C 监听到信道忙,各选取一个随机回退值继续侦听
当两个回退值同时为 0 时,A 和 C 同时发送数据
随机回退值相近
情景 A 要发送数据给 B,C 也想发送数据给 D
* 隐蔽站问题 情景: A 要发送数据给 B,C 也想发送数据给 B - C 在 A 的传输范围之外,A 和 C 都认为信道空闲,都向 B 发送数据–将发生碰撞
802.11 帧:
其他
归纳比较:
地址长度(MAC 地址,IPv4 地址,IPv6 地址,端口号)
MAC 地址:6 个字节。前三个字节是组织唯一标识符(24 位)由 IEEE 注册管理机构 RA 分配,后三个字节是扩展唯一标识符(24 字节)由厂家自行指派
IPv4 地址:32 比特,4 个字节。用来标识主机、路由器的接口
IPv6 地址:128 位,16 字节。可以用冒号十六进制记法、零压缩表示法、CIDR 表示法等表示。有组播地址;单播地址;任播地址三种分类
端口号:16bit,运输层通过端口号来区别相同计算机所提供的这些不同的服务
首部长度(帧首部,IPv4 首部,IPv6 首部)
帧首部:以太网帧首部加尾部长度共为 18 字节
IPv4 首部:首部固定长度为 20 字节加上选项长度(0~40)
IPv6 首部:基本首部长度为 40 字节
差错检验(帧校验 CRC,IPv4,TCP 和 UDP 的校验检验和)
帧校验 CRC
在发送端先把数组按照一定划分大小划分为组,假设每组 K 个比特,要传输的数据记位 M,发送方要做的就是在数据 M 后面添加用于差错检验的 n 位冗杂码,然后构成一个帧发送出去,也就是说此时发送的数据在原理基础上增加了 n 为冗杂码
首先在原数据 M 后面添加 n 个 0 相当于左移 n 位,此时数据长度变为原理的每组 K 个比特加 n 即(k+n)位。然后用该序列除以在计算之前规定的一个长度为(n+1)位的除数 p,根据二进制的模 2 运算,计算出余数 R。这个余数 R 就会作为冗杂码拼接在原数据后面发送出去
模 2 算法:一样为 0,不同为 1
接收方把收到的每一个帧都除以同样的除数,然后检查得到的余数 R。R=0 即这个帧没问题,接受;R!=0,则判断这个帧有错。
IPv4 校验检验和
先设置 “首部检验和” 字段为 0
将首部每 2 个字节当做一个数
将所有数相加求和,进位累加 “3029F=02A2”
对求和结果求反得:FD5D
则发送方发送的 IP 分组首部的检验和为:FD5D
接受方收到的 IP 数据报要进行检验
将首部每 2 个字节当做一个数
将所有数相加求和,进位累加:3FFFC=FFFF
对求和结果求反,得:0000
结论:收到的 IP 分组首部没有检测出差错
UDP 校验检验和
UDP 校验检验和在计算检验和时,要在 UDP 用户数据报之前增加伪首部。把首部,伪首部,数据部分一起都检验。
在发送方,首先是先把全零放入检验和字段,在把伪首部以及 UDP 用户数据报看成是由许多 16 位字串接起来。若 UDP 用户数据报的数据部分不是偶数字节,则要填入一个全零字节(但不发送)。按二进制算法将他们相加,再求反码即为检验和
在接收方,把收到的 UDP 用户数据报连同伪首部一起,按照二进制反码求这些 16 位字的和。当无差错时其结果应为全 1;否则就表明有差错
UDP 的伪首部由源 IP 地址,目的 IP 地址,0,协议号 17,UDP 数据报长度组成
TCP 校验检验和
与 UDP 校验检验和十分相像,仅在伪首部的协议号由 17 改为 6,UDP 长度改为 TCP 长度上有区别
路由技术(RIP,OSPF,BGP,MPLS)
RIP
内部网关协议,分布式基于距离向量的路由选择协议。RIP 要求网络中的每一个路由器都要维护从它自己到其他每一个目的网络的距离记录,使用跳数表示目标地址的路由距离。这种协议的路由器只关心自己周围的世界,只与自己相邻的路由器交换信息,范围限制在 15 跳以内
OSPF
开放式最短路径优先,用著名的迪克斯特算法计算最短路径树,使用分布式链路状态协议。会讲一个自治系统划分为若干个小区域,利用洪泛法交换状态信息
BGP
边界网关协议 BGP,只能力求寻找一条能够到达目的网络且比较好的路由,并非要寻找一条最佳路由。采用了路径向量路由选择协议。在配置 BGP 时,每一个自治系统的管理员要选择至少一个路由器作为该自治系统的 BGP 发言人。一般来说,两个 BGP 发言人都是通过一个共享网络连接到一起的,而 BGP 发言人往往就是 BGP 边界路由器,但也可以不是 BGP 边界路由器。一个 BGP 发言人与其他 AS 的 BGP 发言人要交换路由信息,就要先建立 TCP 连接(端口号 179),然后在此连接上交换 BGP 报文以建立 BGP 会话,利用 BGP 会话交换路由信息。
MPLS
多协议标记交换 MPLS,利用面向连接技术,使每个分组携带一个叫做 “标记” 的小整数,当分组到达交换机时,交换机读取分组的标记,并用标记值来检索分组交换表,再进行将标记由入标记兑换成出标记后,将报文发出到下一个 LSR(标记交换路由器)。当到达出口时,MPLS 域的出口结点就把 MPLS 的标记去除,发给正常的主机和路由器
数据交换(电路交换,报文交换,分组交换)
电路交换
由于电路交换在通信之前要在通信双方之间建立一条被双方独占的物理通路(由通信双方之间的交换设备和链路铸逐段连接而成),电话交换的经典应用就是电话通讯网络。电话通信有三个阶段:建立、通话、拆除
报文交换
报文交换是以报文为数据交换的单位,报文携带有目标地址、源地址等信息,在交换结点采用存储转发的传输方式
分组交换
分组交换仍采用存储转发传输方式,但将一个长报文先分割为若干个较短的分组,然后把这些分组(携带源、目的地址和编号信息)逐个地发送出去。是现在计算机较常使用的交换方式
TCP 与 UDP
TCP
传输控制协议,是面向连接的协议,也就是说,在收发数据前,必须和对方建立可靠的连接。一个 TCP 连接必须需要经过三次 “对话” 才能建立起来,而结束需要四次“对话”
UDP
UDP 是一个非连接的协议,传输数据之前源端和终端不建立连接,当它想传送时就简单地去抓取来自应用程序的数据,并尽可能快地把它扔到网络上。在发送端,UDP 传送数据的速度仅仅是受应用程序生成数据的速度、计算机的能力和传输宽带的限制;在接收端,UDP 把每个消息端放在队列中,应用程序每次从队列中读一个消息端
由于传输数据不建立连接,因此也就不需要维护连接状态,包括收发状态等,因此一台服务机可同时向多个客户机传输相同的消息。
IPv4 与 IPv6
IPv6 的优点:
更大的地址空间
扩展的地址层次结构
灵活的首部格式
改进的选项
允许协议的继续扩充
支持即插即用
支持资源的预分配
8 字节对齐
IPv4 和 IPv6 的区别:
取消了首部长度字段,因为它的首部长度是固定的
取消了服务类型字段,因为优先级和流标号字段实现了服务类型字段的功能
取消了总长度字段,改用有效载荷长度字段
取消了标识】标志、和片偏移字段,因为这些功能已包含在分片扩展首部中
把 TTL 字段改称为跳数限制字段,但作用是一样的
取消了协议字段,改用下一个首部字段
取消了检验和字段,这样加快了路由器处理数据报的速度
取消了选项字段,而是扩展首部来实现选项功能
P2P 与 C/S
P2P
p2p 对等连接是指两台主机在通信时并不区分哪一个是服务请求方哪个是服务提供方,只要两台主机都运行了对等连接软件。他们就可以进行平等的、对等连接通信
C/S
指客户端服务器方式,都是指通信中所涉及的两个应用进程,客户是服务请求方,服务器是服务提供方。
搜索引擎(全文检索与分类目录)
全文检索
全文检索搜索引擎是一种纯技术型的检索工具。它的工作原理是通过搜索软件到互联网上的各网站收集信息,找到一个网站后可以从这个网站再连接到另一个网站,像蜘蛛爬行一样。然后按照一定的规则建立一个很大的在线索引数据库供用户查询。用户在查询时只要输入关键词,就从已经建立的索引数据库里查询。
分类目录检索
分类目录搜索引擎并不采集网站的任何信息,而是利用各网站向搜索引擎提交网站信息时填写的关键词和网站描述等信息,经过人工审核编辑后,如果认为符合网站的登录条件,则输入到分类目录的数据库中,供网上用户查询
CSMA/CD 与 CSMA/CA
CSMA/CD
载波监听多点接入 / 碰撞检测技术
多点接入,就是说明这是总线型网络许多计算机以多点接入的方式连接在一根总线上。协议的本质是载波监听和碰撞检测
载波监听,就是用电子技术检测总线上有没有其他计算机也在发送,就是检测信道,不管在发送前,还是在发送中,每个站都必须不停地检测信道
碰撞检测,也就是边发送边监听,即适配器边发送数据边检测信道上的信号电压的变化情况,以便判断自己在发送数据时其他站是否也在发送数据。当电压变化幅度超过限制值,就认为总线上至少有两个站同时在发送数据。
CSMA/CA
就是带有冲突避免的 CSMA/CD,属于升级版,主要应用在无线网络上
网络攻击方式(蠕虫,木马,逻辑炸弹,后门入侵,流氓软件,窃听,拒绝服务攻击)
蠕虫、木马、逻辑炸弹、后门入侵、流氓软件
都是属于恶意程序
窃听
从源站截获后再发给目的站
拒绝服务攻击
指攻击者向互联网上的某个服务器不停地发送大量分组,使该服务器无法提供正常的服务,甚至完全瘫痪
主要命令
Ipconfig 命令(/all,/displaydns,/flushdns,/release,/renew)
ipconfig /all
显示它已配置且所要使用的附加信息,并且显示内置于本地网卡中的物理地址
ipconfig /displaydns
显示本地 DNS 内容
ipconfig /flushdns
清除本地 DNS 缓存内容
ipconfig /release
所有接口的租用 IP 地址便重新交付给 DHCP 服务器
ipconfig /renew
本地计算机便设法与 DHCP 服务器取得联系,并租用一个 IP 地址
ping 命令(-n,-l,-t 等参数)
ping -n count
count 参数指定发送的 echo 数据包数,默认为 4
ping -l size
定义 echo 数据包大小。默认为 32 字节
ping -t
想目标主机连续不断发送数据包,直到被用户已 ctrl+C 中断
Traceroute 命令
traceroute
查看发送到目标网站的路径
arp 命令(-a,-d,-s 参数)
arp -a
显示 ARP 表中所有项目
arp -d
清除 ARP 高速缓存中所有项目
arp -s
向 ARP 高速缓存中添加静态表项
术语:ISP,IXP,Hub,LAN,MAN,WAN,WLAN,VLAN,P2P,C/S,CSMA/CD,CSMA/CA,LiFi,Wifi,ADSL,HFC,FTTH,URL,VPN,IPSec,NAT,ICMP,IGMP,MSS,BGP, 自治系统 AS,HTTPS,MPLS,AP,SSID,AdHoc, 区块链
ISP
互联网服务提供者 ISP,在许多情况下 ISP 就是一个进行商业活动的公司
IXP
互联网交换点 IXP 的主要作用就是允许两个网络直接相连并交换分组,而不需要再通过第三个网络转发
Hub
多端口转发器 Hub,在以 Hub 为中心设备时,即使网络中某跳线路产生了故障,并不影响其他线路的工作。所以 HUB 在局域网中得到了广泛的应用
LAN
局域网,一般用微型计算机或工作站通过高速通信线路相连,但地理上则局限在较小的范围
MAN
城域网,作用范围一般是一个城市,可跨越几个街区甚至整个城市,其作用距离是 5~50Km
WAN
广域网,作用范围通常是几十到几千公里,因而有时也称为远程网。是互联网的核心部分,其任务是通过长距离运送主机所发送的数据
WLAN
无线局域网,是指应用无线通信技术将计算机互联起来,构成可以互相通信和实现资源共享的网络体系。无线局域网本质的特点是不再使用通信电缆将计算机与网络连接起来,而是通过无线的方式连接,从而使网络的构建和终端的移动更加灵活
VLAN
虚拟局域网,是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样
P2P
对等连接,是指两台主机在通信时并不区分哪一个是服务请求方哪一个是服务提供方。只要两台主机都运行了对等连接软件,他们就可以平等的、对等连接通信
C/S
客户 - 服务器方式,客户和服务器都是指通信中所涉及的两个应用进程,客户是服务请求方,服务器是服务提供方
CSMA/CD
载波监听多点接入 / 碰撞检测技术
多点接入,就是说明这是总线型网络许多计算机以多点接入的方式连接在一根总线上。协议的本质是载波监听和碰撞检测
载波监听,就是用电子技术检测总线上有没有其他计算机也在发送,就是检测信道,不管在发送前,还是在发送中,每个站都必须不停地检测信道
碰撞检测,也就是边发送边监听,即适配器边发送数据边检测信道上的信号电压的变化情况,以便判断自己在发送数据时其他站是否也在发送数据。当电压变化幅度超过限制值,就认为总线上至少有两个站同时在发送数据。
CSMA/CA
带有冲突避免的载波监听多路访问技术
是一种数据传输时避免各站点之间数据传输冲突的算法,其特点是发送包的同时不能检测到信道上有无冲突,只能尽量避免
LiFi
可见光通讯 LiFi,点一盏 LED 灯就能上网
WiFi
使用 802.11 系列协议的局域网又称为 WiFi
ADSL
非对称数字用户线技术 ADSL,用数字技术对现有的模拟电话用户线进行改造,使其能够承受宽带数字业务。
ADSL 由三个部分组成:数字用户线接入复用器 DSLAM、用户线和用户家中的一些设施。其中 DSLAM 包括许多 ADSL 调制解调器,也称接入端接单元 ATU。需要成对使用,用户端的是 ATU-R 和电话分离器连接;电话端局的是 ATU-C
HFC
光纤同轴混合网 HFC 网
是在有限电视网的基础上开发的一种居民宽带接入网。机顶盒连接在同轴电缆和用户的电视机之间,使模拟电视机能够接受数字电视信号。还需要增加一个为 HFC 网使用的调制解调器,它又称为电缆调制解调器。不需要成对使用,而只需安装在用户端。
FTTH
FTTX 技术即光线到 x 技术,最常见的是 FTTH 光线到户技术,也有 FTTC 到路边、FTTZ 到小区、FTTO 到办公室、FTTB 到大楼、FTTF 到楼层、FTTD 到桌面等。
URL
统一资源定位符 URL,是用来表示从互联网上得到的资源位置和访问这些资源的方法
URL 给资源的位置提供一种抽象的识别方法,并用这种方法给资源定位
<协议>://< 主机 >:< 端口 >/< 路径 >
VPN
虚拟专用网 VPN, 在公用网络上建立专用网络,进行加密通讯。VPN 网关通过对数据包的加密和数据包目标地址的转换实现远程访问
IPSec
是一个协议报,通过对 IP 协议的分组进行加密和认证来保护协议的网络传输协议族
NAT
网络地址转换 NAT,需要在专用网连接到互联网的路由器上安装 NAT 软件。装有 NAT 软件的路由器叫做 NAT 路由器,它至少有一个有效的外部全球 IP 地址。
ICMP
网际组控制协议 ICMP
IGMP
网际组管理协议 IGMP,使用 IP 数据报传递其报文,但他也向 IP 提供服务。
第一步,当某台主机加入新的多播组时,该主机应向多播组的多播地址发送一个 IGMP 报文。
MSS
最大报文段长度 MSS,是每一个 TCP 报文中的数据字段的最大长度
BGP
外部网关协议 BGP,只能力求寻找一条能够到达目的网络且比较好的路由,并非寻找一条最佳路由,BGP 采用了路径向量路由选择协议。
自治系统 AS
是一个有权自主地决定在本系统中应采用何种路由协议的小型单位。
HTTPS
超文本传送协议 HTTP,HTTPS 是以安全为目的的 HTTP 通道,在 HTTP 的基础上通过传输加密和身份认证保证了传输过程的安全性。在 HTTP 的基础上加入了 SSL,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。
MPLS
多协议标记交换 MPLS,多协议表示在 MPLS 的上层可以采用多种协议。MPLS 利用面向连接技术,使每个分组携带一个叫做标记的小整数。当分组到达交换机时,交换机读取分组的标记,并用标记值来检索分组转换表
AP
接入点,基本服务集内的基站叫做 AP,其作用和网桥类似
SSID
服务集标识符 SSID,即 WLAN 的名称,当网络管理员安装 AP 时,必须为该 AP 分配一个不超过 32 字节的服务集标识符 SSID 合一个信道
AdHoc
AdHoc(点对点模式):AdHoc 模式就和以前的直连双绞线概念一样,是 P2P 的连接,所以就无法与其它网络沟通了,可以用来组件家庭无线局域网
区块链
本质上来讲,它是共享数据库,存储于其中的数据或信息,具有 “不可伪造”,“全程留痕”,“可以追溯”,“公开透明”,“集体维护” 等特征。