《计算机网络原理》问答
网络概述
问:协议三要素是什么
语法:实体间交换信息的格式
语义:实体间交换信息需要哪些控制信息
时序:交换信息的顺序,以及彼此要适配的发送接收速度
问:报文交换和分组交换及电路交换有什么区别?各有什么特点。
电路交换:独占一条信道,经历建立电路、传输数据、拆除电路三个阶段,经过单工或全双工传输数据,实时性好,适合视频、语音之类的传输,但是应对突发传输就会出现信道利用率低,传输速率单一的情况。
报文交换:不需要建立连接,采用存储-转发方式,发送方组装好完整报文,即可向相邻结点发出,交接结点收到整个报文并且检查无误后,暂时存储报文,然后通过路由选择找到下一个节点转发。
实时性传输容易出现不能满足速度要求的情况
分组交换:将报文分割成小的数据块,每个地址块都包含地址、序号等控制信息构成数据分组(packet),每个分组都有长度限制。采用存储-转发方式。
优点:交换设备存储容量降低,只需要能够存储分组大小的缓存区大小即可。
交换速度快;
可靠传输效率高,对于出现错误的分组,重新传输即可,不需要把整个报文重传
更加公平,在报文交换中,如果两个大小差距很大的报文通过相同的链路传输,大报文排前面,小报文排后面,则大报文就会先小报文通过交换节点,小报文必须等待大报文传输完毕才能转发。小报文经历了更长时间的等待。
分组交换中报文大小相同,大报文拆除更多分组,小报文拆出较少分组,不同报文的分组在交换节点上交替排队,每个分组通过网络的时间相同。
问:根据拓扑结构划分,他们都在哪些网络中适用?他们都有哪些特点?
分别为星形、总线型、环形、网状、树形、混合型
局域网中一般使用星形、总线型和环形,广域网使用网状、树形等
星形:易于监控,容易定位问题,但是对于中心节点要求高,一旦 故障,全网瘫痪。
总线型:结构简单,易于扩展,但是通信范围受限,故障诊断和隔离困难,容易产生冲突
环形:使用电缆长度短,容易避免冲突,但是一个节点故障容易全网瘫痪,新节点加入或撤出过程比较复杂,存在等待时间;
网状:网络可靠性高,一条或多条链路故障时,仍然能够通信,但是网络结构复杂,造价成本高,路由协议复杂。
树状:易于扩展,故障定位和隔离容易;但是对节点要求高,一旦出现故障,大范围无法通信。
混合型:多种网络混合,易于扩展,可构建不同规模网络,并可根据需要优选网络结构,缺点是网络结构复杂,管理与维护复杂。
问:网络结构包括哪些部分?有什么功能?
网络边缘:连接到网络上的所有端系统都是网络边缘。
接入网络:将网络边缘和网络核心连接与接入的网络。包括电话拨号接入、非对称数组用户连接ADSL,混合光纤同轴电缆HFC接入网络,局域网,移动接入网络。
网络核心:由通信链路互连的分组交换设备构成的网络,作用是实现网络边缘中主机之间的中继和转发。
二、网络应用
问:域名服务器体系结构
分清域名服务器和域名层次,才能明白域名解析的过程
域名服务器:根域名服务器、顶级域名服务器、中间域名服务器、权威域名服务器
域名层次:国家顶级域名nTLD:cn、us、uk等,cn对应顶级域名服务器
通用顶级域名gTLD:com、net、org、edu、mil、int、gov,com对应中间域名服务器
基础结构域名:只有一个arpa,用于反向域名解析
域名解析:迭代解析、递归解析
问:什么是本地域名服务器。主机是如何确定本地域名服务器的?
一般在本机配置的默认域名服务器就是本地域名服务器,例如配置以太网的网络连接信息时,要把IPv4 DNS服务器配置成114.114.114.114。
114.114.114.114是国内移动、电信和联通通用的DNS,手机和电脑端都可以使用,干净无广告,解析成功率相对来说更高,国内用户使用的比较多,而且速度相对快、稳定,是国内用户上网常用的DNS。
8.8.8.8是GOOGLE公司提供的DNS,该地址是全球通用的,相对来说,更适合国外以及访问国外网站的用户使用。
百度提供的180.76.76.76、阿里提供的223.5.5.5和223.6.6.6
223.6.6.6是阿里公共DNS递归解析系统,面向互联网用户提供“快速”、“稳定”、“智能”的DNS递归解析服务.
问:计算机网络应用分为哪几种体系结构的应用类型?各有什么特点。
C/S:通信只在客户和服务器之间进行,客户和客户之间不进行通信
P2P:没有专门的客户和服务器概念,每一个节点都可以互为客户或服务器,他们的地位是对等的。
混合结构网络:是C/S和P2P的结合,既有中心服务器,又有对等的端点间直接通信。
问:网络通信过程中,需要哪些信息标识一个应用进程?
IP地址,socket绑定的端口
问:什么是非持久HTTP?什么是非流水方式的持久HTTP?什么是流水方式的持久HTTP?
非持久HTTP:请求服务器,并且服务器响应请求之后,就会将请求关闭。每次请求都会建立新的连接。
非流水方式的持久HTTP:客户端通过持久连接收到前一个请求的响应后,才能发出对下一个对象的请求报文。
流水方式的持久HTTP:客户在通过持久连接收到前一个对象的响应报文之前,连续一次发送对后续对象的请求报文,然后再通过该连接一次接受服务器依次接受服务器响应
问:电子邮件主要由哪几部分构成?
邮件服务器、简单邮件传输协议SMTP、用户代理Foxmail、邮件读取协议POP、IMAP、HTTP
问:SMTP特点。
1、SMTP只能传送7位ASCII码文本内容,包括SMTP命令,应答消息以及邮件内容
2、传送的邮件内容不能包含CRLF.CRLF
3、SMTP是推动协议,当客户端有邮件发送给服务器时,客户主动与服务器请求建立TCP连接,然后将邮件推送给服务器
4、SMTP使用tcp持久连接
问:电子邮件格式
首部、空白行、主体
问:FTP的带外控制是什么意思?控制连接和数据连接各有什么特点?用途分别是什么?
FTP里面通过一个独立控制连接传输控制信息,与传输文件信息进行分离
控制连接:整个会话期间一直保持打开,是持久的,FTP客户发出的传送请求通过控制连接发送给服务器端的控制进程的端口为21.
数据连接:临时的,非持久的
三次握手和释放的详细过程
问:实现可靠数据传输的主要措施是哪些?这些措施主要用于解决那些问题
差错检测:利用差错编码实现数据包传输过程中的比特差错检测。数据发送方对需要检测差错的数据,然后将编码后的数据发送给接收方;接收方一句相同的差错编码规则,检验数据传输过程中是否发生比特差错。
确认:接收方向发送方反馈接收状态。
重传:发送方重新发送接收方没有正确接收的数据。
序号:确保数据按序提交
计时器:解决数据丢失问题。当数据丢失,但是接收方不会收到数据包,也就不会对丢失的包进行确认,计时器就是解决这一问题,当计时器超时,发送方就会将数据包重发。
问:滑动窗口协议、GBN协议、SR协议异同
|
|
差异 |
| TCP滑动窗口协议 |
每发一个分组,启动一个计时器,等待接收端确认,如果不能及时确认则,认为报文丢失 分组序号范围,协议的发送方和接收方必须缓存多个分组。
快速重传:三次确认+累计确认 丢失信息的确认信息(丢失的分组序号)发送四遍,在未超时时,就能够知道发送了数据丢失或失败,然后重传丢失分组 |
| GBN协议 Go-back-N |
适用于:低误码率、低丢包率、带宽高时延积信道,且对接收方缓存能力要求低 三个重复ack:丢失的前一个的确认信息
|
| SR协议Selective Repeat |
|
三、网络层
问:网络层提供的主要功能是什么?
路由选择和转发
问:说明转发和路由的含义,有什么区别和联系?
转发:选择分组从哪一个路径发往目的地址
路由:根据路由算法,从源地址到目的地址,找出几条可行的路径
都是为了把分组从源地址转移到目的地址
问:对比虚电路网络和数据报网络的优缺点
把源主机到目的主机中间的所有路由设备都进行连接
| 虚电路网络 |
提供链接服务 通信双方需要先建立虚电路,通信结束后要拆除虚电路 |
| 数据报网络 |
提供无连接服务 |
问:路由器有哪些部分组成?
输入端口
交换结构:基于内存、总线、网络交换
输出端口
路由处理器
四、数据链路和局域网
问:什么是广播域?什么是冲突域?
广播域:任一节点发送链路广播帧(目的MAC为FF-FF-FF-FF-FF-FF),接收该广播帧的所有节点和发送节点在同一个广播域中。
冲突域:在一个局域网中,两个节点同时向物理介质中发送数据,两个信号一定会在物理介质中相互叠加或干扰,从而导致数据发送失败,这就说明两个节点在冲突域中
问:数据链路层都有哪些类型的帧,他们的格式是什么
| 局域网 |
广域网 点对点链路协议 |
帧格式及特点 |
|||||||
| 以太网 |
- |
最小帧长度为64字节,最大帧长度为1518字节 提供无连接不可靠服务:在以太网帧中封装的数据报,先发送到局域网中,而没有把两个端点进行连接。 |
|||||||
| - |
PPP |
标志字段标识一个真的开始和结束,但是容易将上层协议分组中的01111110与标志混淆 解决:在成帧前,检测到数据中01111110则填充一个转义字段,011111101,这样就表示随后的字段不是标志位了
|
|||||||
| - |
HDLC |
类型:信息帧、管理帧、无序号帧 解决与标志字段混淆:在数据中5位1后加0,接收端收到后,将0删除 6字节 |
问:以太网交换机的优点
消除冲突:分割了冲突域,每个主机只在一个冲突域中,交换机具有缓存机制,交换机的最大聚合带宽是所有接口的
支持异质链路:在交换机局域网中,不同的链路可以使用不同的速率运行并且能够在不同媒介上运行。
网络管理:易于网络管理,可以检测工作异常的适配器,然后自动切断异常适配器。
问:链路层协议能够像网络层听那些可能的服务?
组帧、链路接入、可靠交付、差错检测
问:为什么有些网络用纠错码而不用检错和重传机制?
服务的实时性要求,如果使用检错机制,那么没有时间重传。(2)如果传输质量比较差,那么错误率会非常高,几乎所有的帧都要重传,在这种情况下纠错比检错重传效率更高。
问:差错编码的检错或纠错能力与什么有关
编码集的汉明距离
问:都有哪些差错编码
奇偶校验码:在最后以为加0或1 ,检出率只有50%
汉明码
循环冗余码CRC:多项式,异或运算,编码和余数组合,余数为0则表示没有差错
问:低负载情况下,纯ALOHA和时隙ALOHA哪个延迟小?
时隙的小,因为它划分多个时隙,同样的时间,时隙负载更大。如果是在负载低的情况下,时隙的吞吐量更大
问:ARP查询为什么要在广播帧中发送呢?ARP响应为什么要在一个特定目的MAC地址的帧中发送呢?
APR查询是通过广播获取报文,并通过目的IP获取映射的MAC地址
ARP模块运行在每个局域网上主机的网卡接口上,并在某个共享介质的因特网子网的范围内工作,在该子网内,所有主机的IP地址的网络号相同,由于工作范围局限与某个局域网内,所以所有的APR查询只是在局域网内运行,不需要形成IP数据报,所以,APR查询是封装在链路层帧运行的,而ARP的功能在于将特定的IP地址转换成MAC地址,所以先决条件是已知IP地址,后求MAC地址,所以在查询的MAC帧必定包含IP地址,兵役广播的形式在局域网上传播,而应答帧则必定包含IP对应的MAC地址。
问:试比较10BASE-T、100BASE-T和千兆位以太网的共同点与区别
| 10BASE-T |
采用非屏蔽双绞线UTP 传输速率10Mbit/s 支持以太网结构化布线方式和集线器设备 100m传播距离 具有故障隔离功能
|
| 100BASE-T |
以太网帧格式 传输速率100Mbit/s 物理介质: 100Base-TX采用5类UTP 100Base-T4采用3、4或5类UTP 100Base-FX,采用光缆
|
| 千兆位以太网 |
同样在以太网标准之上建立 1000Mbit/s传输速率 传输介质: 1000Base-SX采用光纤 1000BASE-T6类UTP 100米 1000Base-CX 150Ω平衡屏蔽双绞线STP,最大传输距离25m,适用于主交换机,主服务器间连接
|
| 万兆位以太网 |
传输速率10Gbit/s |
问:什么是VLAN?划分VLAN的几种方法?
虚拟局域网,基于交换机的逻辑分割的广播域的局域网
基于交换机接口
基于MAC地址划分
基于上层协议类型或地址划分
问:载波监听多路访问协议CSMA有几种不同类型的协议
载波监听多路复用解决问题:在发送帧之前,若能先判断一下信道是否空闲,如果空闲则发送帧,否则推迟发送,减少冲突可能性
| 非坚持CSMA |
若通信站有数据发送,先侦听信道;若信道空闲,则立即发送数据;
若发现信道忙,则等待一个随机时间,然后重新开始侦听信道,尝试发送数据; 若发送数据时产生冲突,则等待一个随机时间,然后重新开始侦听信道,尝试发送数据 |
| 1-坚持CSMA |
如果忙,则坚持监听,直到有空闲,则立即发送 |
| P-坚持CSMA |
利用时隙信道 |
问:简述地址解析协议ARP的作用及其基本思想
作用:通过本网内目的地址或默认网关的IP地址获取其Mac地址
基本思想:在每一台主机中设置专用内存区域,称为ARP高速缓存,存储该主机所在局域网中其他主机和路由器的IP地址和MAC地址的映射关系,并且这个映射表要经常更新。
通过广播的形式,询问本网中报文,询问某目的IP对应的MAC地址。
五、物理层
问:数字通信和数据通信有何不同
数字通信:用数字信号作为载体来传输消息,或用数字信号对载波进行数字调制后再传输的通信方式,它可传输电报、数字数据等数字信号,也可传输经过数字化处理的语音和图像等模拟信号
数据通信:通信技术和计算机技术相结合而产生的一种新的通信方式。要在两地间传输信息必须有传输信道,根据传输媒体不同,有有线数据通信与无线数据通信之分。但他们都是通过传输信道将数据终端与计算机连接起来,而是不同地点的数据终端实现软硬件和信息资源的共享。
问:简述单项通信、双向交替通信和双向同时通信的特点。
单向通信:发送方还是接收方,都只有一个方向可以发送数据,也就是信道方向是单向的
双向交替通信:半双工通信发送方和接收方都可以使用信道,但是只有一方发送一方接收,不能同时发送或同时接收
双向通信:全双工通信,发送方和接收方可以同时发送和接收信息
问:常见的物理介质有哪些?列举不同的物理介质并说明主要特性
| 引导型 |
架空明线:铜线或铝线,容易受天气和外界的电磁干扰,对外界噪声敏感,现在基本不用了 双绞线(屏蔽双绞线):两根绝缘铜线,传输距离在几千米到十几千米,增加了电磁抗干扰,价格高,安装工艺要求高。现在局域网普遍采用非屏蔽双绞线 同轴电缆:抗电磁干扰,有线电视普遍应用 光纤:光的全反射 |
| 非引导型传输介质 |
频段划分 |
问:数字基带传输系统主要有哪些部分组成?各部分主要功能是什么?
信号形成器:把原始的数字基带信号转换成适合信道传输特性的数字基带信号
信道:传播脉冲信号
接收滤波器:滤除噪声
同步提取:从信号中提取的定时脉冲
抽样判决器:对接收滤波器输出的基带波形进行抽样判决
问:什么是QAM调制?QAM调制的主要特点是什么?
QAM具有高频带利用率,且可以自适应调整调制速率的调制技术
问:在基带传输中,有几种数字基带信号直接转换为基带传输码型,及他们的特点
| AMI alternative mark Inversion,替换反转码 |
有三种电平 0:零电平 +1正脉冲 -1负脉冲 规则:信息码中的0编码为AMI传输码中的0; 信号码中的1交替编码为AMI中+1和-1 |
| 曼彻斯特码Manchester 双相码 Biphase code |
曼彻斯特(双相码):只有正负两种电平,每位持续时间的中间时刻要进行电平跳变,双相码及时利用跳变编码信息。正电平到负电平代表1,负电平到正电平代表0. 双相码利用率两个脉冲编码信息码中的一位,相当于1编码为双向非归零码的10,0编码代表01. 双相码在每位周期中间时刻进行电平跳变,便于提取定时信息,且不会产生直流分量,但带宽比信息码大一倍 差分曼彻斯特(差分双相码):每位周期中间也要进行电平跳变,但该跳变只用于同步,开始处有跳变表示1,无跳变为0 IEEE802.5令牌环网采用差分曼彻斯特编码 |
| 米勒码 延迟调制码 |
规则: 信息码中的1编码是双极非归零码的01或10; 信息码连1时,第二个1要进行交替编码; 信息码中的0是双极非归零码的00或11 如果只有单个0编码,则在其前沿,中间时刻,后沿均不跳变 如果有连0编码,在到第二个0中间进行跳变 |
| CMI 传号反转码 Coded Mark Inversion |
是一种双极性二电平码,并且也是将信息码的1位映射为双击不归零码的两位。 |
七、无线和移动网和
问:无线链路的特点
信号强度的衰减:电磁波穿墙强度减弱
干扰:同一频段发送信号的电波源相互干扰
多径传播:使得接收方收到的信号变得模糊
问:简述CSMA/CA的基本工作原理。
Carrier Sense Multiple Access载波监听多路访问协议,CA CarrierAggregation 载波聚合,
CSMA/CD:带有冲突检测的载波监听多路访问,可以检测冲突,但无法“避免”。CSMA/CA:带有冲突避免的载波侦听多路访问,发送包的同时不能检测到信道上有无冲突,只能尽量“避免”;
问:为什么在无线局域网中不使用CSMA/CD协议而是用CSMA/CA协议?
不能同时收发,无法在发送时接收信号
解析:
CSMA/CA是IEEE 802.11无线局域网(WLAN)的MAC子层协议,主要用于解决无线局域网的信道共享访问问题。而在采用IEEE 802.3标准的以太网中,MAC子层采用CSMA/CD协议。这两种协议都针对网络中共享信道如何分配的问题,但它们的工作原理却有所不同。最明显的区别是:CSMA/CA是在冲突发生前进行冲突处理,而CSMA/CD是在冲突发生后进行冲突处理。导致这种不同的根本原因在于,WLAN所采用的传输媒介和传统LAN所采用的传输媒介有着本质的区别。也正是这种区别,导致WLAN存在新的问题:隐藏站问题和暴露站问题。这些问题都属于隐蔽终端问题。对于采用CSMA/CA协议的无线局域网络(WLAN),使用了预约信道、ACK帧回避机制、RTS/CTS回避机制来实现冲突避免。无论是ACK帧回避机制还是RTS/CTS回避机制,都因为增加了额外的网络流量,所以在网络利用率方面,IEEE802.11无线网络与类似的以太网相比,性能总是差一点。
从另一个角度分析,在无线局域网中实现冲突检测比较困难,其主要原因在于:①要检查是否存在冲突,需要无线连接设备一边传送数据,一边接收数据,这对于无线设备而言比较难以实现;②无线介质上的信号强度动态的变化范围很广,因此发送方无法使用信号强度的变化来判断是否出现了冲突;③在无线通信中存在“隐藏站”问题等。
问:如果某主机通过无线网络连接因特网,那么该主机必须是移动的吗?假设一个使用便携计算机在室内散步,并且总是通过相同的接入点接入因特网,那么从网络的角度看,该用户是移动的吗?为什么?
不是,不是,
如果用户始终接入相同的接入点,在数据链路层来看用户是没有移动的
问:为什么IEEE802.11的MAC协议CSMA/CA使用确认帧,而以太网的MAC协议CAMA/CD却不使用?
ca是预防,在发生在冲突之前,如果没有
cd是检测,当发生冲突时,是不会发送确认帧的
问:简单比较IEEE802.11a/b/g/n四个标准的优劣。
|
|
频率范围 |
数据率 |
物理层 |
| IEEE802.11b 限号传播距离远,穿透能力强 |
2.4GHz |
最高位11Mbit/s |
扩频 |
| a 在高频上运行,支持更多用户上网,传播距离短,受多径传播影响大 |
5 |
54Mbit/s |
OFDM |
| g 传播远,穿透能力强 n |
2.4 2.4/5 |
54Mbit/s 600 |
OFDM |
简述IEEE802.11中四个主要协议具有的共同特征:
都是用相同的介质访问控制协议 CDMA/CA
链路层帧使用相同的帧格式
都具有降低传输速率一传输更远距离的能力
都支持基础设置模式和自组织模式 两种模式
问:目前国际上确定的3G标准有哪些?
WCDMA(欧洲、日本)、CDMA2000(美国)与TD-SCDMA(中国)。
问:为什么CAMA/CA协议可以消除隐藏站问题?如何消除?
| 所谓的隐藏站问题是指: 假设有3无线通信站ABC如下所示: A B - C
其中B在C的无线电波范围内,但A不在C的无线电波范围内。此时C正在向B传送数据,而A也试图向B传送数据。此时,A不能够监听到B正在忙(因为A在监听信道的时候什么也听不到,所以它会错误的认为此时可以向B传送数据了)。如果A向B传送数据,则将导致错误。此即隐藏站问题。其中C是A的隐藏站。 |
在CSMA/CA中有一个站点和服务器建立信道连接之后,服务器会把允许连接的帧发送给所有其他不能连接的站点,这样就只有一个站点在这个时刻可以发送数据。其他站不会在发送请求连接的请求,造成不必要的冲突。
八、网络安全基础
问:网络安全基本属性,都有哪些?
| 机密性:只有发送方和接收方能够理解报文内容; |
传统加密算法、数据加密算法、 |
| 消息完整性:发送方和接收方希望确保消息未被篡改,发现篡改一定会被检测到 |
密码散列函数,H(m) |
| 可访问与可用性:信息实体可被访问和使用 |
报文认证(报文摘要)、数字签名 |
| 身份认证:发送方和接收方身份真实 |
身份认证 |
问:网络安全威胁有哪些?
窃取:窃听信息,获取报文信息
插入:主动在连接中插入信息
假冒:伪造分组中源地址
劫持:通过移除、取代发送方或接收方接管连接
问:典型的对称密钥密码有哪些?安全如何?
分组密钥:将明文分成若干固定长度的信息组,每组消息进行单独加密/解密
流密钥:通过伪随机数,用密钥流加密信息,将明文加密成密文序列,解密也是通过相同的密钥流
问:传统加密方式
替代:移位密码:凯撒密码
置换:根据规则重新排列明文:K列置换密码
问:密钥加密算法分类
对称加密算法:DES、3DES、AES、IDEA
非对称/公开密钥机密:防止密钥被窃取,引入公钥K+私钥K-,RSA(三位发现者名字缩写)
问:DES、AES、RSA、3DES中,计算量最大是哪个?
越难破解的密钥算法的计算量越大
| DES |
过程:使用56位密钥,明文是64位分组序列,共进行16轮,每轮都是有48位通过56位密钥产生的子密钥加密,最终有64位密文产生,每一次加密都有复杂的替代和置换 22.5小时破解 |
| AES |
过程:字节替换SubBytes、行移位ShiftRows、列混淆MixColumns、轮密钥加AddRoundKey,密钥长度56位 如果DES1s暴力破解,则AES需要149万亿年 |
| RSA |
三位发现者名字缩写 非对称加密算法,包括公钥(public key)和私钥(private key) |
| 3DES |
过程:先通过K1进行DES加密,再按照DES解密方式,使用K2作为密钥进行解密,再通过K1进行DES加密,得到112位密钥长度 |
| IDEA |
一个分组长度为64位,密钥长度为128位 |
问:什么是消息完整性?如何检验消息的完整性?检验消息完整性的意义是什么?
消息完整性:确保消息从发送者到接收者的过程消息没有被篡改,如果被篡改一定会被检测到。
消息完整性意义:是为了证明消息切实来自声明的发送方(接收方),验证报文没有在传输过程中被篡改;预防报文的时间、顺序被篡改;预防报文持有期被篡改;预防抵赖
问:分析密码散列函数的功能,并举例说明密码散列函数的应用,比较不同类型密码散列函数的输入、输出特性
HASH函数,又称杂凑函数,是在信息安全领域有广泛和重要应用的密码算法,它有一种类似于指纹的应用。在网络安全协议中,杂凑函数用来处理电子签名,将冗长的签名文件压缩为一段独特的数字信息,像指纹鉴别身份一样保证原来数字签名文件的合法性和安全性。 SHA-1和MD5都是目前最常用的杂凑函数。经过这些算法的处理,原始信息即使只更动一个字母,对应的压缩信息也会变为截然不同的“指纹”,这就保证了经过处理信息的唯一性。为电子商务等提供了数字认证的可能性。
HASH函数必须具备两个基本特征:单向性 和 碰撞约束。
单向性是指其的操作方向的不可逆性,在HASH函数中是指 只能从输入推导出输出,而不能从输出计算出输入;
碰撞约束是指 不能找到一个输入使其输出结果等于一个已知的输出结果 或者 不能同时找到两个不同的输入使其输出结果完全一致。
问:简述数字签名的原理,分析简单数字签名,签名报文摘要技术的相同和不同
| 报文摘要 |
使接收者能检验收到的消息是否是真实的 |
| 数字签名 |
解决报文摘要的不足: 发送方不承认自己发送过某一报文; 接收方自己伪造一份报文,并声称来自发送方; 某个用户冒充另一个用户接收和发送报文; 接收方对收到的信息进行篡改 对消息原作者的签名 |
问:KDC和CA的作用
为了解决身份认证过程中,存在中间人劫持消息,造成信息安全问题,解决密钥分发和密钥本身的认证问题
| KDC:密钥分发中心Key distribution center |
每一方和KDC 都保持一个长期的共享密钥; |
| CA:证书认证机构Certification Authority |
证实一个实体(人、路由器)的真实身份; |
问:MAC报文认证码,说明一下局限性和作用
发送方通过散列函数,生成报文认证码,和接收方生成报文认证码进行比对,如果相等,则报文认证成功
作用:验证报文发送是否正确
局限性:接收方可以伪造报文认证码说是发送方发来的
问:防火墙有哪些分类,不同分类的特点是什么
| 无状态分组过滤器 |
不加区分放行所有满足条件的分组 |
| 有状态分组过滤器 |
使用连接表跟踪每个TCP连接 |
| 应用网关 |
鉴别用户身份或针对授权用户开发特定服务 |
防火墙和应用网关的局限性:
一、路由器无法确定数据是否来自声称的源,攻击者会利用此进行IP欺骗
二、应用网关通用性不好,如果不同应用公有不同的需求,每个应用需要一个独立的应用网关,此外,客户软件需要知道如何连接网关
三、针对UDP的流量经常全部通过或者全部不通过
问:入侵检测系统是干什么的?
在连接设备之间,IDS观察到潜在的恶意流量,能够产生警告的设备或系统,IDS不仅针对TCP/IP首部进行操作,而且会进行深度包检测,并检测多数据之间的相关性。
问:SSL握手协议
| SSL握手协议 |
过程 1、客户发送器支持的算法列表,以及客户一次随机nonce,服务器从算法列表中选择算法,并发给客户自己的选择、公钥证书和服务器端一次随机数nonce 2、客户验证证书,提取服务器公钥,生成预主密钥(pre_master_secret),并利用服务器的公钥加密预主密钥,发哦送给服务器,实现密钥的分发 3、客户和服务器基于预主密钥和一次随机数,分别独立计算加密密钥和MAC密钥,包括前面提到的4个密钥 4、客户发送一个这对所有握手消息的MAC,并将此MAC发送给服务器 5、服务器发送一个针对所有握手消息的MAC,并将此MAC发送给客户
|
初始看计算机网络的时候,特别头疼,感觉跟我隔绝了一层看不见的障碍,看什么知识都半知半解,所以找到了最适合的办法,就是多看几次书。
第一遍也不要求多高,把全书目录结构有大概印象,看书过程中,把印象深刻或者出现次数非常多的词,勾选出来。把他们无论看书还是网上查,知道其中的意思。
然后再来看第二遍,好像亲切了一些,在过程中,反复提问,都是什么意思,在什么时候使用,相近的两种东西都有什么异同,这个阶段需要耐心,拓展思路
接下来第三遍,书的隔绝感基本上消失,好像有种又拿下一本书的感觉,这个阶段可以找网上一些问题来解决,期间可以把自己的理解讲给别人听,尤其是他们处于第一遍或者第二遍的,或者他们就没有看过这本书,用自己的话,并且他们能够听懂的
没有什么是三遍读书法不能拿下的书,如果不行,就再来三遍。
我在学习过程中,没有办法能接触太多的实际设备,如怎么走线,路由器、交换机内部怎么转换。只能结合已经有的经验,例如笔记本进入一个局域网,配置过ip,里面有很多配置项,在这本书中或许可以找到 解释。
知识在碰撞和多角度解决问题情况下,才能不需要记忆,靠着理解,长长久久的“记下来”。
参考:
李全龙. 计算机网络原理. 机械工业出版社. 2018.
谢希仁. 计算机网络(第6版). 电子工业出版社,2013.
https://www.icourse163.org/course/HIT-154005?tid=1003040001