软考中级——计算机网络与信息安全基础概要
目录
一、OSI/RM七层模型
二、网络的拓扑结构
三、计算机网络的分类
四、TCP /IP 协议族
五、 IP地址 与子网划分
六、网络攻击的分类
七、对称加密技术与数字签名
八、各个网络层次的安全保障
九、防火墙
十、常见病毒与木马
十一、重点网络相关命令
一、OSI/RM七层模型
- 广播域:如果站点发出一个广播信号后能接收到这个信号的范围,通常来说一个局域网就是一个广播域。通常网络层的设备可以隔离广播域
- 冲突域:一个站点向另一个站点发出信号,除目的站点外,有多少站点能收到这个信号,这些站点就构成一个冲突域。通常数据链路层设备可以隔离冲突域
(1)物理层:完全面向硬件,通过一系列协议定义了通信设备的机械、电气、功能和规程特征。负责将数字信号从一端传到另一端
(2)数据链路层:建立一条可靠的数据传输通道,在相邻结点之间有效地传输数据。实现了封装成帧,流量控制、差错控制、传输管理的功能。
(3)网络层:从发送端向接收端传送分组。解决了通信双方不相邻时,中间结点需要路由的问题。解决了异构网络互联的问题
(4)传输层:负责端到端的数据分组传送,保证实现数据包无差错,按顺序,无丢失,无冗余地传输。还负责检错和纠错。以及更有效地利用网络层所提供的服务。
(5)会话层:负责管理远程用户或进程间通信。包括通信控制、检查点设置、重建中断的传输链路、名字查找和安全验证服务。
(6)表示层:负责将数据转化为计算机程序的表示方法。负责通信协议的转换,数据的翻译、数据的加密、数据的压缩,字符的转换等工作。
(7)应用层:直接提供服务给使用者的应用软件层。包括各类应用过程的接口和用户接口。
1.三层交换机工作内容
三层指的是核心层,汇聚成,接入层,分别对应的交换机是核心交换机,汇聚交换机,接入交换机 。
当因特网经过防火墙后,进入核心交换机。核心交换机能够快速高效地数据分发,之后进入汇聚交换机,主要功能为过滤数据,之后接入交换机的功能就是为了接入PC电脑
2.网络接入技术
主要分为两种:(记一记名词)
- 有线接入技术:公用交换电话网络(PSTN)、数字数据网(DDN),综合业务数字网(ISDN),非对称数字用户线路(ADSL)、同轴光纤技术(HFC)
- 无线接入技术:IEEE 802.11(WIFI) , IEEE802.15(蓝牙Bluetooth) 、红外(IrDA)、WAPI、
二、网络的拓扑结构
1.总线结构
特点:总线拓扑结构中只有一条双向通路,便于进行广播式传播信息;总线拓扑结构属于分布式控制;节点的增删和位置变动较容易;节点的接口通常采用无源电路;设备少,价格低,安装使用方便;对信号的质量要求高,通路故障则断网等。
2.星形结构
星形结构使用中央交换处理单元以放射状连接到网中的各个节点。中央单元采用电路交换方式以建立所希望通信的两点间专用的路径,通常用双绞线将节点与中央单元进行连接。
特点:维护管理容易;故障隔离检测容易;网络延迟时间短等。中央交换处理单元负载高,故障则断网
3.环形结构
环形结构的信息传输线路构成一个封闭的环,各节点通过中继器连入网内,各中继器首位相接,信息单向沿环路逐点传送。
特点:环形网中信息的流动方向是固定的,两个节点仅有一条通路; 有旁路设备;信息要串行通过多个节点,系统响应速度慢,一个节点故障则断网等。
4.树形结构
树形结构是总线结构的扩充形式,传输介质是不封闭的分支电缆,主要用于多个网络组成的分级结构中。
特点:同总线结构。
5.分布式结构
无严格的布点规则和形状,各节点之间有多条线路相连。
特点:有较高的可靠性;资源共享方便,网络响应时间短;节点的路由选择和流量控制难度大,管理软件复杂;硬件成本高。
三、计算机网络的分类
| 分类方式 | 类别 |
|---|---|
| 通信距离 | 广域网、局域网、城域网 |
| 信息交换方式 | 电路交换网、分组交换网、综合交换网 |
| 网络拓扑结构 | 星形网、树形网、环形网、总线网 |
| 通信介质 | 双绞线网、同轴电缆网、光纤网、卫星网等 |
| 传输带宽 | 基带网、宽带网 |
| 适用范围 | 公用网、专用网 |
| 速率 | 高速网、中速网、低速网 |
| 通信传播方式 | 广播式网络、点到点式网络 |
四、TCP /IP 协议族
| 服务 | 端口 |
| telnet ,TCP端口 | 23 |
| FTP, TCP端口 | 21(传输命令和参数) ,20(传送文件) |
| TFTP 简单文件传输协议 ,UDP端口 |
69 |
| HTTP协议,WWW万维网服务,TCP端口 | 80 |
| SMTP 简单邮件传输协议 ,TCP端口 | 25 |
| POP3 邮局协议3 邮件接收 ,TCP端口 | 110 |
| DNS(域名解析)服务 ,UDP端口 | 53 |
| DHCP服务,UDP端口 引导程序协议Server(服务端) 和引导程序协议Client(客户端) |
67/68 |
| Finger服务 TCP端口 | 79 |
| SNMP 简单网络管理协议 ,UTP端口 | 161 |
| 用于RPC协议,并提供DCOM(分布式组件对象模型)服务 | 135 |
| 提供Windows文件和打印机共享服务 | 139 |
| 网页浏览端口,主要是用于HTTPS(即S—HTTP协议)服务 | 443 |
| IMAP协议是对POP3协议的一种扩展,定了邮件客户端软件与邮件服务器的通信规则 | 143 |
| MIME协议多用途国际邮件扩充协议。 负责将多媒体邮件安全上传到服务器,支持文本、图片、音频、视频等。 |
无 |
| ICMP Internet控制消息协议 | 无 |
| IGMP Internet 组管理协议 | 无 |
| ARP 地址解析协议 ,RARP 反地址解析协议 | 无 |
五、 IP地址 与子网划分
(1)IP地址
在IPV4地址中
- A类地址网络号由8位网络号和24位主机号构成的,其中网络号最前面一位固定是0
- B类地址网络号由16位网络号和16位主机号构成的,其中网络号最前面两位固定是10
- C类地址网络号由14位网络号和8位主机号构成的,其中网络号最前面三位固定是110
- D类地址前四位是固定是1110,剩下的28位是组播地址
- E类地址作为后续扩展使用
- 注意,主机号不能全为1 和全为0 ,因此一个A类地址网络最多可以有 (2^24 -2) 个主机
小知识:
DHCP动态主机设置协议,可以自动、手动地为主机分配ip地址,也可实现为主机分配动态或永久的IP地址。如果主机开机后没有获理动态地址,那么就会在169.254.0.0 ~169.254.255.255网段中找一个没有冲突的地址,这个地址段成为特殊地址段。
(2)子网划分
因为一个企业获得一个网络号后,有可能并不用得上那么多主机号。为了解决主机号浪费问题,可以把主机号的前几位当成网络号去用,这个操作叫做子网划分;如果当前网络号对应的主机号不够用,那么也可以把网络号当成主机号去用。
子网掩码就是,被当成网络号的bit全为1,被当成主机号的bit全为0
例7.1:IP地址 168.195.0.0划分为27个子网,子网掩码是多少?
解:首先要把ip地址转成二进制表示: 10101000 11000011 00000000 00000000 ,
所以这是10作为首部的网络号,因此是B类ip地址,有网络号16位,主机号16位。因此需要划分27个子网,因为27<2^5,所以至少需要提供5个主机号bit位给网络号
把被当成网络号的bit全为1,被当成主机号的bit全为0可以得到子网掩码:
11111111 11111111 11111000 00000000 变成十进制后就是:255.255.248.0
例7.2:IP地址 168.195.0.0划分子网,每个子网有主机700台,那么划分多少子网,子网掩码多少
解:这个IP有主机号16位,700台主机700<2*10 ,,所以只需要主机号只要10个bit就可以满足,剩下的6个bit的主机号当作网络号去用,即可以划分2^6=64个子网,子网掩码为
11111111 11111111 11111100 00000000 即 255.255.252.0
(3)URL的格式
//<用户名>:<密码>@<主机>:<端口>/
xxxyftp.abc.can.cn 其中xxxyftp表示主机名 ,abc.can.cn 分别表示子域名,域名,顶级域名
www.baidu.com 其中www表示主机名 ,baidu.com 表示顶级域名。
六、网络攻击的分类
攻击分为主动攻击和被动攻击。可以粗略的记为以破坏为目的是主动攻击,以窃取为目的是被动攻击。
主动攻击是攻击者对传输中的信息或存储的信息进行各种非法处理,有选择地篡改、插入、延迟、删除或复制这些信息。
主动攻击的破坏力很大,能直接威胁网络系统的可靠性、信息的机密性、完整性和可用性。主动攻击虽较容易被检测到,但难于防范。
被动攻击是攻击者通过监听网络线路上的信息流获得信息内容,或获得信息的长度、传输频率等特征,并进行信息流量分析后实施攻击。
被动攻击的特点是:不干扰信息的正常传输,不易被检测到,容易防范,但它破坏信息的机密性
数据加密可以确保数据的保密性能够防止被动攻击。认证可以确保报文发送者和接收者的真实性,识别双方的合法性,阻止非法用户进行访问系统,可以防止主动攻击。
七、对称加密技术与数字签名
公钥概念:是一个公开的用于加密解密数据的“钥匙”。
私钥概念:是一个只有持有者知道的用于加密解密数据的“钥匙”。
(1)对称加密技术
假如A要给B发送一个密文,那么A就要用一个密钥去加密,B负责用这个密钥去解密。对于对称加密技术来说,A和B用的密钥是一样的。因此,用对称加密技术的前提,A和B要首先去约定好密钥。对称加密技术的特点就是:密钥分发困难,加密强度不高,但是效率高。常见的对称加密算法有:DES、3DES、RC-5、IDEA算法
(2)非对称加密技术
非对称加密技术就是说,A用的加密密钥和B用的解密密钥是不一样的。当然,非对称加密实现的前提是有一对不同的密钥可以相互进行加密和解密。通常这一对密钥就会变成持有者的公钥和私钥。
例如,A要给B发送一个密文,那么A可以用A持有的密钥加密,B可以用A持有的公钥解密。反过来B要给A发送一个密文,那么B可以用B持有的密钥加密,A可以用B持有的公钥解密.
非对称加密技术的特点是:加密速度慢,但是强度较高 ,常见的非对称加密算法有RSA,ECC
(3)数字签名
在非对称加密的基础上,把要加密的数据前面或者后面加上发送者的唯一标识。之后发送者的标识 和密文分别进行加密和解密。
例如。A要给B发送一个密文,在密文前端赋上A的标识。把标识用B的公钥加密,密文用A的密钥加密,当B收到数据后,标识用B的私钥解密,密文用A的公钥解密。达到数据验证的真实性。
数字签名的前提:自己只能签自己的唯一标识,也就是说,签名者的签名只能唯一地由他自己产生。当收发双方发生争议时,第三方(仲裁机构)能根据消息上的数字签名,来裁定这条消息是否确实由发送方发出,从而提供抗抵赖服务。
数字签名可达到以下目的:
(1)消息来源可信:消息的接收者通过签名,可以确认消息确实来源于议定的发送者;
(2)不可伪造:签名应是独一无二的,其他人无法假冒或伪造;
(3)不可重用:签名是消息的一部分,不能被挪用到其他消息上;
(4)不可抵赖:签名者事后不能否认自己签过名的消息。
通过公钥密码体制实现数字签名
例如。A要给B发送一个密文,在密文前端赋上A的标识。把标识和密文都用用B的公钥加密,当B收到数据后,标识和密文用B的私钥解密。B看到数据中有A的标识,可以达到数据验证的真实性。
当然也可以
A要给B发送一个密文,在密文前端赋上A的标识。把标识和密文都用用A的私钥加密,当B收到数据后,标识和密文用A的公钥解密。B看到数据中有A的标识,也可以达到数据验证的真实性。
多重签名与数字签名标准DSS
引入第三方机构C,有时同一消息需要多个人签名,这称为多重签名。多重签名的过程如下:
1)A用自己的私钥对消息的散列值进行签名;
2)B用自己的私钥对消息的散列值进行签名;
3)B把消息和自己的签名以及A的签名一起发给C;
4)C用A的公钥验证A的签名,用B的公钥验证B的签名。
DSS是数字签名算法的一种标准,它为计算和核实数字签名指定了一个数字签名算法(DSA)。
(5)数字摘要
数字摘要:由单向散列函数加密成固定长度的散列值,所谓单向就是不可逆的,只能用于加密,而解密可能需要上百年或者上万年,因此视为不可解的。常用的散列函数有:消息摘要4(MD4)散列函数、消息摘要5(MD5)散列函数、安全散列函数(SHA-1)等。
基本原理:
(1)被发送文件用SHA或MD5算法产生128bit的数字摘要(也称消息认证码MAC)。
(2)发送方用自己的私有密钥对摘要加密,形成数字签名。
(3)将原文和加密的摘要都发送给接收方。
(4)接收方用发送方的公钥对摘要解密,同时对收到的文件用SHA或MD5算法加密产生又一摘要。
(5)将解密后的摘要与收到的文件在接收方重新加密产生的摘要进行比较。如两者一致,则说明传送过程中文件没有被破坏或篡改过,否则,文件可能被篡改。
散列函数的安全特性
(1)一致性:相同的输入将产生相同的输出;
(2)随机性:消息摘要外观上看是随机的,以防被猜出源消息;
(3)唯一性(抗碰撞性):不可能找到两个不同的消息x、y,产生相同的消息摘要(即使得H(x)=H(y))。
(4)单向性:即给定任何x,易算出H(x)。但反向计算困难,即已知一个h值,想反向找出输入消息源x很难。
(5)抗修改性:对原数据的任何改动,都将引起摘要很大的变化。
八、各个网络层次的安全保障
物理层:可以用隔离网,屏蔽子网等技术来提供安全性
数据链路层:通常采用加密的技术例如 点对点隧道协议(PPTP),二层隧道协议(L2TP)
网络层:可以安装防火墙(有硬件型的也有软件型的), IPSecure等
传输层:安全传输层协议(TLS 即SSL 3.0) ,安全电子交易协议(SET)
会话、表示、应用层: 优良保密协议(PGP,用于加密解密邮件) ,HTTPS
九、防火墙
防火墙有网络级的防火墙和应用级的防火墙。
网络级的防火墙有三种:一种是包过滤,一种是代理型防火墙。包过滤只检查包是否合法,而代理型不仅会检查包,而且会检查包里的内容。第三种防火墙是状态检测型防火墙,是前面两种的折中,利用状态表保证了安全性也保证了高效性。
应用级的防火墙有三种:双穴主机:内部网络和外部网络只能看到双穴主机。屏蔽主机也一样,内部网络和外部网络只能看到堡垒主机。屏蔽子网:DMZ区(隔离区)是安全的,通常把既要给内网提供服务又要给外网提供服务的机器放在DMZ中,比如WEB服务,同时实现外网与内网间的隔离。
十、常见病毒与木马
十一、重点网络相关命令
| /? | 显示帮助信息 |
| /all | 显示完整配置信息 |
| /release | 释放指定适配器IPV4地址 |
| /release6 | 释放指定适配器IPV6地址 |
| /renew | 更新指定适配器IPV4地址 |
| /renew6 | 更新指定适配器IPV6地址 |
| /flushdns | 清楚DNS解析程序缓存 |
| /registerdns | 刷新所有DHCP租用并重新组测DNS名称 |
| /displaydns | 显示dns解析程序缓存内容 |
| /showclassid | 显示适配器婿的所有DHCP类 ID |
| /setclassid | 修改DHCP类 ID |
| /ipconfig | 查询适配器ip地址,子网掩码,DNS默认网关等 |
| /traceroute | 可以利用ICMP协议跟踪并返回本机访问目标机所经过的路由 |
| /netstat | 显示协议统计信息以及每个网络连接的状态信息和接口信息 |
| /nslookup | 查询DNS记录,查看域名解析是否正常 |