自学-408-《计算机网络》(总结速览)
文章目录
-
-
- 第一章 计算机网络概述
-
- 1. 计算机网络的定义
- 2. 计算机网络的基本功能
- 3. 计算机网络的分类
- 4. 计算机网络的层次结构
- 5. 计算机网络的协议
- 6. 计算机网络的组成部分
- 7. 计算机网络的应用
- 8. 互联网的概念
- 物理层的主要功能
- 第二章 数据链路层和局域网
-
- 1. 数据链路层的功能
- 2. 局域网(LAN)的基本概念
- 3. 以太网(Ethernet)
- 4. 局域网交换机
- 5. 网络接口卡(NIC)
- 6. VLAN(虚拟局域网)
- 7. 局域网中的其他技术
- 第三章 网络层
-
- 1. 网络层的功能
- 2. IP协议
- 3. IP地址分类
- 4. 子网划分
- 5. 路由与路由表
- 6. 路由协议
- 7. NAT(网络地址转换)
- 8. ICMP协议
- 第四章 传输层
-
- 1. 传输层的功能
- 2. 传输层的协议
- 3. TCP与UDP的对比
- 4. 端口号
- 5. 滑动窗口协议
- 6. 拥塞控制
- 7. TCP的流量控制与拥塞控制
- 第五章 应用层
-
- 1. 应用层的功能
- 2. 应用层协议
- 3. Web浏览器与Web服务器
- 4. URL(统一资源定位符)
- 5. POP3与IMAP
- 6. HTTP请求与响应报文
- 7. Web缓存
- 8. SSL/TLS
- 9. 网络应用的安全性
- 第六章 网络安全
-
- 1. 网络安全概述
- 2. 常见的网络攻击
- 3. 网络安全防护技术
- 4. 安全协议
- 5. 安全策略与管理
- 6. 常见的网络安全攻击案例
-
第一章 计算机网络概述
1. 计算机网络的定义
- 计算机网络是指将不同地点的计算机通过通信介质连接起来,实现信息交换、资源共享、远程控制、服务访问等目的的系统。网络中的计算机通过遵循相应的通信协议,能够相互传递数据。
2. 计算机网络的基本功能
计算机网络具备以下几项基本功能:
- 通信功能:计算机网络的核心功能是实现数据传输,用户可以通过计算机发送和接收信息。
- 资源共享功能:计算机网络使得计算机能够共享资源,如打印机、文件、应用程序、数据库等。用户可以在不同的计算机上访问共享的资源。
- 分布式处理:通过计算机网络,可以将任务分配到多个计算机上,进行并行处理,增加计算效率。例如,分布式计算使得不同地点的计算机共同协作解决某一复杂问题。
3. 计算机网络的分类
计算机网络根据不同的标准可以进行不同的分类:
-
按网络规模分类:
- 局域网(LAN,Local Area Network):通常覆盖范围较小,局限于一个建筑、办公室、学校或者家庭,传输速率较高,延迟低。常见的局域网使用以太网或Wi-Fi技术。
- 广域网(WAN,Wide Area Network):跨越较大的地理范围,连接不同城市甚至国家。典型的广域网是互联网,它使用公共或私有的通信设施连接不同地点的计算机。
- 城域网(MAN,Metropolitan Area Network):介于局域网和广域网之间,通常覆盖一个城市或较大的地理区域。城域网常用于连接大规模的企业或政府网络。
-
按拓扑结构分类:
- 总线拓扑:所有计算机通过一根主干线连接,数据在总线上双向传输。由于数据通过共享媒介传输,易受到碰撞影响。
- 星型拓扑:所有计算机通过一个中心设备(如交换机或集线器)连接,数据从中心设备传输到各个终端设备。由于中心设备故障会导致网络不可用,但它的管理和扩展较为简单。
- 环形拓扑:计算机通过点对点的连接形成一个闭环,数据以单方向或双方向传输。每个节点直接连接到其前后节点,形成闭环结构。
- 树型拓扑:树形拓扑是星型拓扑和总线拓扑的结合,中心设备为根节点,其他节点分布在各层级上,类似树的分支。
4. 计算机网络的层次结构
计算机网络的设计通常采用分层结构,每一层负责不同的任务:
- 应用层:用户直接使用的网络服务,如HTTP(网页浏览)、FTP(文件传输)、SMTP(电子邮件)等。应用层处理与具体应用相关的任务。
- 传输层:负责端到端的数据传输,确保数据从发送端传输到接收端。常见协议有TCP(面向连接)和UDP(无连接)。
- 网络层:主要任务是将数据包从源主机传输到目标主机。网络层提供路由功能,通过IP协议来实现地址寻址和数据包转发。
- 数据链路层:负责在局部网络内传输数据帧,确保数据能够在物理媒介上可靠传输。包括MAC地址、帧校验等功能。
- 物理层:最底层,负责将数据转换成物理信号并通过通信介质传输。物理层关注信号的电气特性、数据速率等问题。
5. 计算机网络的协议
协议是网络通信中的规则或约定,决定了网络中不同设备间的通信方式。每个层次都有自己的协议来实现层间通信。
- TCP/IP协议:这是互联网中最广泛使用的协议,包含了多个协议层,如IP协议(网络层),TCP协议(传输层)等。通过这些协议,计算机能够在网络中顺利进行数据传输。
- HTTP协议:用于万维网(WWW)的通信,客户端与服务器通过HTTP协议交换网页数据。
- FTP协议:用于文件传输,允许用户上传和下载文件。
- SMTP协议:用于电子邮件的发送。
6. 计算机网络的组成部分
计算机网络通常包括以下组成部分:
- 主机(Host):连接到网络的计算机或其他设备,可以是服务器、个人电脑、手机等。
- 网络设备:帮助连接不同设备的硬件设施,如交换机、路由器、集线器、网卡等。路由器负责不同网络之间的数据转发,而交换机负责局域网内设备的数据交换。
- 通信介质:传输数据的物理介质,可以是光纤、电缆、无线电波等。
7. 计算机网络的应用
计算机网络在现代社会中有着广泛的应用,常见的应用包括:
- 信息共享:如文件共享、打印机共享、数据库访问等。
- 远程访问:如VPN、远程桌面,用户可以远程访问公司或家庭网络资源。
- 在线娱乐:包括视频流媒体、网络游戏、社交网络等。
- 电子商务:通过网络进行商品交易、支付、购物等。
8. 互联网的概念
- 互联网是全球最大的计算机网络,它通过TCP/IP协议连接世界各地的计算机,使全球范围内的信息交换成为可能。互联网的发展促进了全球化信息时代的到来。
《王道计算机网络》第二章通常会介绍 数据链路层和局域网 的相关内容,涉及网络数据的传输方式、局域网的结构、技术和协议等。以下是第二章的详细内容概览:
物理层是计算机网络中的第一层,位于OSI模型(开放系统互联模型)的最底层。它负责数据在物理媒介上的传输,涉及到信号的生成、传输和接收等内容。物理层与计算机网络中的硬件设备直接相关,主要关注如何通过物理介质传输比特流。
物理层的主要功能
-
比特传输:
物理层的最基本任务是传输比特流,即将数字信号转化为电信号或光信号,通过物理介质(如电缆、光纤、无线信号等)传输数据。比特流在物理层的传输过程中不考虑数据的语法和语义,只关心如何正确无误地传送比特。 -
数据编码与解码:
物理层负责将数据以适合物理介质传输的格式进行编码。例如,在电缆上传输数据时,数据可以被编码为电压变化或光信号。在接收端,物理层再将这些信号解码成比特流。 -
信号的调制与解调:
在某些情况下,物理层需要对信号进行调制,以便通过传输介质(如无线信道)有效传送。这涉及到对模拟信号的调制(例如,将数字信号转换为模拟信号进行无线传播)。在接收端,物理层负责解调信号,将其恢复为原始的数据比特流。 -
传输媒介:
物理层与传输媒介紧密相关,常见的物理传输媒介包括:- 电缆介质:如双绞线(Twisted Pair)、同轴电缆(Coaxial Cable)等。
- 光纤介质:如光纤(Fiber Optic),用于长距离、高速传输。
- 无线介质:如无线电波(Wi-Fi、蓝牙、LTE等),用于无线路由和通信。
-
比特同步与时钟恢复:
物理层需要确保发送端和接收端之间的时钟同步,保证比特流的正确传输。由于传输过程中可能会出现噪声或延迟,物理层需要负责时钟恢复,以便准确解码比特流。 -
传输速率:
物理层还定义了数据传输的速率(即比特率)。比特率的大小决定了网络的传输能力。在现代通信中,通常采用高比特率来提高数据传输效率。
** 物理层的协议和标准**
物理层涉及到不同的标准和协议,用于定义信号的电气特性、接口、传输介质等。常见的物理层标准和协议包括:
-
Ethernet(以太网):最广泛使用的局域网技术,定义了如何通过双绞线、同轴电缆等介质传输数据。
- 例如,10BASE-T、100BASE-TX和1000BASE-T等不同速率的以太网标准。
-
IEEE 802.11:无线局域网(Wi-Fi)的标准,定义了无线信号的传输方式和频段。
- 包括不同的Wi-Fi协议,如 802.11a/b/g/n/ac 等。
-
光纤通信:用于高带宽长距离传输,采用不同的光纤标准,如 Fiber Channel、SONET、Gigabit Ethernet over Fiber 等。
-
Bluetooth(蓝牙):一种短距离无线通信标准,适用于移动设备之间的连接。
物理层设备
物理层涉及到的设备通常是硬件设备,主要包括:
- 网卡(Network Interface Card, NIC):计算机中用于连接网络的硬件设备,它通过物理层的协议与网络进行物理连接。
- 集线器(Hub):一种用于局域网的设备,将多个计算机连接到同一个网络中,工作在物理层。集线器的作用是将数据从一个端口转发到所有其他端口,但没有智能化的过滤功能。
- 交换机(Switch):尽管交换机通常工作在数据链路层,但它在物理层也涉及到信号传输的部分。交换机用于通过物理连接将数据从一个设备转发到另一个设备。
- 调制解调器(Modem):用于将数字信号转换为模拟信号,或者将模拟信号转换为
第二章 数据链路层和局域网
1. 数据链路层的功能
数据链路层是计算机网络中的第二层,它主要负责以下几个功能:
-
数据帧的封装与解封装:
- 数据链路层将来自网络层的数据包封装成数据帧,传输过程中附加了头部和尾部信息(如目标地址、错误检测等)。
- 当数据帧到达目的地时,数据链路层将其解封装,并将数据传递给上层协议(网络层)。
-
物理地址的寻址:
- 数据链路层使用 MAC地址(物理地址)进行设备间的直接通信。每个网络设备都有一个唯一的MAC地址,数据链路层通过MAC地址来确定数据的发送和接收方。
-
错误检测与纠正:
- 数据链路层负责检测数据在传输过程中可能出现的错误。常见的错误检测方法是通过 循环冗余校验(CRC),即计算数据帧的校验值,接收方对比校验值以判断是否有错误。
-
流量控制:
- 数据链路层可通过流量控制机制,调节发送和接收的速度,以避免数据丢失和网络拥塞。
-
访问控制:
- 数据链路层确保多个设备共享同一通信介质时,能有效地进行冲突避免或调度。这通常通过 CSMA/CD(载波侦听多路访问/冲突检测)协议来实现。
2. 局域网(LAN)的基本概念
局域网(LAN)是覆盖范围较小的网络,一般局限于一个建筑、办公室、学校或者家庭。局域网的特点包括:
- 高速传输:局域网通常使用高速通信媒介(如以太网、Wi-Fi),传输速率较高,延迟较低。
- 设备连接:局域网中的设备通过网络接口卡(NIC)和交换机、路由器等网络设备连接。局域网设备之间可以共享资源,如打印机、硬盘、计算机等。
- 组网方式:局域网的组网方式多种多样,包括星型、总线型、环型等。
3. 以太网(Ethernet)
以太网是最常见的局域网技术,它使用载波侦听多路访问/冲突检测(CSMA/CD)协议来控制设备间的通信。以太网的特点包括:
- 传输介质:以太网常见的传输介质有双绞线、光纤和无线介质。
- 帧结构:以太网的数据单位是 帧,每帧包含目的MAC地址、源MAC地址、数据和校验序列等信息。
- 传输速率:以太网的传输速率从最初的10 Mbps发展到现在的100 Gbps。
以太网采用 共享介质,多个设备通过相同的媒介进行通信。因此,在数据传输时,可能会发生设备之间的冲突,需要采用CSMA/CD协议来避免冲突或在冲突发生时重新传输。
4. 局域网交换机
-
交换机(Switch)是局域网中常用的设备,用于连接局域网内的设备并实现数据交换。交换机可以通过 MAC地址表 路由数据帧,将数据从源设备直接转发到目的设备,避免了传统集线器(Hub)的冲突问题。
-
工作原理:
- 交换机工作在数据链路层,接收到数据帧后,通过学习源MAC地址,并建立一个MAC地址表。接着,交换机会根据表中的信息,将数据帧转发给目的设备。
- 交换机能提供全双工通信(同时收发数据),相比集线器提高了网络效率。
5. 网络接口卡(NIC)
-
网络接口卡(NIC,Network Interface Card)是计算机和网络连接的硬件设备,允许计算机通过物理连接方式与局域网或其他网络进行通信。
-
NIC的作用:
- 负责数据帧的发送和接收。
- 将数据链路层的帧转换成适合物理层传输的信号(如电信号或光信号)。
- 含有唯一的MAC地址,确保设备能在网络中进行唯一标识。
6. VLAN(虚拟局域网)
- 虚拟局域网(VLAN,Virtual LAN)是通过配置网络设备(如交换机)来实现的逻辑上的局域网划分。VLAN可以根据不同的需求将一个物理局域网划分成多个虚拟网络,提高网络管理的灵活性和安全性。
- VLAN的优势包括:
- 隔离广播域:通过将设备分配到不同的VLAN中,可以有效地隔离广播风暴,减轻网络负载。
- 提高安全性:通过将敏感设备放入不同的VLAN中,增加了网络的安全性。
- 简化管理:可以根据业务需要灵活地划分和调整VLAN。
7. 局域网中的其他技术
除了以太网和交换机,局域网中还涉及到以下技术:
- 无线局域网(WLAN):使用Wi-Fi技术连接设备,适合在无线环境下使用。WLAN通常使用 IEEE 802.11 标准,具有较高的移动性。
- Powerline网络:通过电力线传输网络数据,适用于家中没有布线的环境。
- 光纤到桌面(FTTD):在一些高端企业环境中,使用光纤作为局域网的传输介质,提供更高的带宽和更远的传输距离。
第三章 网络层
1. 网络层的功能
网络层位于数据链路层和传输层之间,主要负责以下几项功能:
- 路由功能:网络层的核心任务是根据目标IP地址将数据包从源主机传输到目标主机。路由器在这一层发挥重要作用,决定数据包的最佳路径。
- 分段与重组:如果数据包的大小超过了链路层的最大传输单元(MTU),网络层将对数据包进行分段。目标设备收到数据包后,网络层会对分段进行重组。
- 地址映射:网络层使用 IP地址 进行寻址。每个设备在网络中都有唯一的IP地址,网络层根据这些地址将数据包从源主机传输到目标主机。
2. IP协议
-
IP协议(Internet Protocol)是网络层最重要的协议,它定义了数据包的结构和传输方式。IP协议负责将数据包从源主机传输到目标主机,不关心数据包的内容。
-
IPv4地址:
- IPv4使用32位地址,通常表示为四个十进制数,每个数范围是0-255(例如:192.168.1.1)。
- 子网掩码:用于区分IP地址的网络部分和主机部分。子网掩码与IP地址按位“与”运算得到网络地址。
-
IPv6地址:
- IPv6是为了应对IPv4地址耗尽问题而提出的。IPv6地址使用128位地址,表示为8组16进制数,每组由4个数字组成(例如:2001:0db8:85a3:0000:0000:8a2e:0370:7334)。
- IPv6还提供了更多的安全性和路由优化特性。
3. IP地址分类
IP地址根据不同的用途被分为不同的类别:
- A类地址:第一个字节范围为1-127,用于大型网络。网络部分占1个字节,主机部分占3个字节。
- B类地址:第一个字节范围为128-191,用于中型网络。网络部分占2个字节,主机部分占2个字节。
- C类地址:第一个字节范围为192-223,用于小型网络。网络部分占3个字节,主机部分占1个字节。
- D类地址:第一个字节范围为224-239,用于组播地址。
- E类地址:第一个字节范围为240-255,用于保留地址,不用于普通网络通信。
4. 子网划分
子网划分是网络层中的一个重要操作,用于将一个大的网络划分为多个小的子网。子网划分有助于提高网络的效率、减少广播域的范围,并提高网络的管理性。
-
子网掩码:子网掩码是与IP地址一起使用的,它帮助设备确定网络部分和主机部分的划分。通过设置合适的子网掩码,网络管理员可以将一个网络分为多个小子网。
-
CIDR(无类域间路由):CIDR是一种新的IP地址表示方法,它使用斜杠后面跟数字的方式表示子网掩码(如192.168.1.0/24)。CIDR可以有效地提高IP地址的使用效率。
5. 路由与路由表
-
路由是指数据包在网络中的传输路径选择。路由的任务是根据目标IP地址选择最佳路径,将数据包从源主机传输到目标主机。
-
路由器是网络层的关键设备,它通过路由表来决定数据包的转发路径。路由表存储了到达不同网络的路径信息,每当路由器收到数据包时,它会查找路由表,确定数据包的下一跳。
-
静态路由与动态路由:
- 静态路由:由网络管理员手动配置,适用于网络拓扑结构稳定、变化较少的情况。
- 动态路由:由路由协议自动配置和更新,适用于网络拓扑经常变化的情况。常见的动态路由协议有 RIP、OSPF 和 BGP 等。
6. 路由协议
-
RIP(路由信息协议):一种基于距离向量的路由协议,使用跳数来表示路径的优先级,最大跳数为15跳。
-
OSPF(开放最短路径优先协议):一种基于链路状态的路由协议,它通过交换链路状态信息来计算最短路径。OSPF适用于大型网络。
-
BGP(边界网关协议):用于自治系统之间的路由协议,BGP主要用于互联网中不同自治系统之间的路由选择。
7. NAT(网络地址转换)
NAT(Network Address Translation)是一种技术,用于解决IPv4地址资源的紧张问题。NAT可以将一个公网IP地址映射到多个私有IP地址,从而实现多个设备共享一个公网IP地址上网。常见的NAT类型包括:
- 静态NAT:将一个固定的公网IP地址映射到一个固定的私有IP地址。
- 动态NAT:将私有IP地址池中的IP地址动态映射到公网IP地址池中的某个地址。
- 端口地址转换(PAT):通过不同的端口号将多个私有IP地址映射到一个公网IP地址上,实现端口级别的地址转换。
8. ICMP协议
ICMP(Internet Control Message Protocol)是一个辅助协议,主要用于传递控制信息和错误报告。常见的ICMP消息包括:
- Echo请求和响应(Ping):用于测试目标主机是否可达。
- 目标不可达:用于告知发送方目的地不可达的错误信息。
第四章 传输层
1. 传输层的功能
传输层位于网络层和应用层之间,主要负责提供端到端的通信服务。其核心功能包括:
- 数据传输的可靠性:确保数据能够可靠地从源端传输到目标端,处理数据的丢失、重复和错误。
- 端到端的连接管理:传输层负责建立、维持和终止端到端的通信连接。
- 数据的顺序控制:保证数据按照正确的顺序到达接收端,避免数据错乱。
- 流量控制:防止发送方数据过快,导致接收方无法及时处理。
- 拥塞控制:防止网络拥塞,确保网络的高效传输。
2. 传输层的协议
传输层的两个主要协议是 TCP 和 UDP。
-
TCP(传输控制协议):
-
连接导向协议:TCP协议是面向连接的,在数据传输之前,发送方和接收方需要先建立一个连接,数据传输结束后再断开连接。
-
可靠性保证:TCP通过序列号、确认应答、重传机制、流量控制和拥塞控制等手段,确保数据能够可靠地传输。即使在网络出现丢包或错误的情况下,TCP也会重新传输丢失的数据。
-
三次握手与四次挥手:
- 三次握手:建立连接时,客户端和服务器通过三次消息交换来确认双方的通信能力和状态。
- 四次挥手:断开连接时,双方需要交换四次消息以保证连接的彻底断开。
三次握手过程:
- 客户端发送SYN请求,表明请求建立连接。
- 服务器回应SYN-ACK,表示同意建立连接并且准备接收数据。
- 客户端回应ACK,确认连接建立。
四次挥手过程:
- 客户端发送FIN,表示客户端已经没有数据要发送。
- 服务器回应ACK,确认客户端的关闭请求。
- 服务器发送FIN,表示服务器也没有数据要发送。
- 客户端回应ACK,确认服务器关闭请求。
-
流量控制:通过 滑动窗口协议 控制数据流量,避免发送方过快地发送数据,导致接收方无法处理。
-
拥塞控制:通过 慢启动、拥塞避免、快速重传和快速恢复 等机制,控制网络中的数据流量,防止网络出现拥塞。
-
-
UDP(用户数据报协议):
- 无连接协议:UDP是面向无连接的协议,数据发送前不需要建立连接,也没有可靠性保证。
- 数据报传输:UDP直接将数据打包成数据报传输,发送方无需等待接收方的确认,因此传输速度较快。
- 不可靠性:由于没有确认机制和重传机制,UDP不能确保数据到达目标,可能会丢包、重复或者错序。适用于要求实时性较强、容忍丢包的应用场景,如视频流、语音通信等。
- 应用场景:由于其低延迟和简单的协议,UDP常用于实时性要求高但能容忍少量丢包的应用,如实时视频会议、在线游戏等。
3. TCP与UDP的对比
| 特性 | TCP | UDP |
|---|---|---|
| 连接性 | 面向连接 | 无连接 |
| 可靠性 | 提供可靠传输,重传机制 | 不保证可靠传输,可能丢包 |
| 数据顺序 | 确保数据按顺序到达 | 不保证数据顺序 |
| 流量控制 | 提供流量控制 | 无流量控制 |
| 拥塞控制 | 提供拥塞控制 | 无拥塞控制 |
| 开销 | 较高,建立连接、维护连接等 | 较低,没有连接建立和管理的开销 |
| 典型应用 | 文件传输(FTP)、网页浏览(HTTP) | 实时通信(VoIP)、视频流、DNS |
4. 端口号
- 端口号是传输层协议中的关键概念,标识了主机上不同应用程序的通信通道。每个应用程序都有一个唯一的端口号,用来区分不同的服务。
- 端口范围:
- 知名端口(0~1023):通常由系统或管理员保留,用于常见的网络服务,如HTTP(80端口)、FTP(21端口)等。
- 注册端口(1024~49151):可以由应用程序进行注册,适用于一些中间级的服务。
- 动态端口(49152~65535):由操作系统动态分配给客户端的端口,用于临时连接。
5. 滑动窗口协议
- 滑动窗口协议是TCP实现流量控制的一种方式,窗口表示允许发送的最大数据量。接收方通过告知发送方“可用窗口”的大小来控制发送方发送数据的速率。
- 窗口大小:发送方和接收方会动态调整窗口大小,以确保网络的高效传输,避免拥塞或丢包。
6. 拥塞控制
TCP通过 拥塞控制 来避免网络出现过度负荷,常见的拥塞控制算法包括:
- 慢启动:开始时使用较小的窗口,随着网络的空闲增加,逐步增大窗口,增加数据发送速率。
- 拥塞避免:当检测到拥塞时,逐步减小窗口大小,降低发送速率。
- 快速重传:当数据包丢失时,接收方会迅速发送重复的ACK,告知发送方进行重传。
- 快速恢复:当检测到拥塞时,立即减少窗口大小,然后通过快速重传恢复传输。
7. TCP的流量控制与拥塞控制
- 流量控制:流量控制是为了防止接收方因处理不及时而导致数据丢失。TCP使用 滑动窗口协议 来控制数据传输的速度,确保发送方不会超出接收方的处理能力。
- 拥塞控制:拥塞控制是为了防止发送方发送过多数据,导致网络设备(如路由器、交换机)超负荷运行,出现丢包和延迟。TCP通过 慢启动、拥塞避免、快速重传和快速恢复 等机制实现拥塞控制。
第五章 应用层
1. 应用层的功能
应用层是计算机网络中最接近用户的层,负责提供各种网络应用服务。它直接与用户的需求和操作交互,处理具体的应用协议、数据格式和用户输入输出。
应用层的主要功能包括:
- 应用协议的实现:定义了网络应用的规则和格式,如HTTP、FTP、DNS等。
- 数据传输的控制与管理:通过传输层提供的服务,管理数据的传输。
- 会话管理:处理网络中不同应用之间的通信会话,包括连接的建立、管理和关闭。
- 提供用户界面:例如,Web浏览器、电子邮件客户端等应用程序的界面交互。
2. 应用层协议
应用层协议是应用程序间通信的规则和约定,定义了通信的结构、语法和语义。常见的应用层协议包括:
-
HTTP(超文本传输协议):
- HTTP 是Web浏览器与Web服务器之间进行通信的基础协议,采用请求/响应模型。
- 无状态协议:每个请求都是独立的,服务器不会保存客户端的状态信息。
- HTTP方法:常见的方法有 GET(获取资源)、POST(提交数据)、PUT(更新数据)、DELETE(删除数据)等。
- HTTP/1.0与HTTP/1.1:HTTP/1.1引入了持久连接(Keep-Alive)和管道化(Pipelining)等技术,显著提高了传输效率。
-
FTP(文件传输协议):
- FTP 是用于在网络上进行文件传输的协议,支持从客户端向服务器上传和从服务器向客户端下载文件。
- 控制连接与数据连接:FTP使用两个连接,一个用于发送控制信息(如命令和响应),另一个用于传输文件数据。
- 被动模式与主动模式:在主动模式下,客户端在特定端口上等待服务器的连接;而在被动模式下,服务器在特定端口上等待客户端的连接。
-
DNS(域名系统):
- DNS 是互联网中用于将域名转换为IP地址的系统,允许用户通过易于记忆的域名(如www.example.com)访问网站。
- 域名解析过程:客户端向本地DNS服务器发送查询请求,DNS服务器逐级查询直到找到目标IP地址。
- DNS的层次结构:DNS采用树形结构,分为根域、顶级域、二级域等。
-
SMTP(简单邮件传输协议):
- SMTP 是电子邮件的传输协议,负责将邮件从发送方的邮件服务器传输到接收方的邮件服务器。
- 客户端与服务器通信:邮件客户端使用SMTP协议将邮件发送到邮件服务器,邮件服务器之间通过SMTP协议进行邮件转发。
- 邮件的路由:邮件会经过多个SMTP服务器进行转发,直到到达目标邮件服务器。
3. Web浏览器与Web服务器
- Web浏览器(如Chrome、Firefox、Safari)通过HTTP协议与Web服务器通信,浏览器发送请求并接收响应,展示页面内容。
- Web服务器(如Apache、Nginx)处理来自浏览器的请求,返回HTML页面、图像或其他资源。
4. URL(统一资源定位符)
- URL 是Web资源的地址,它包括协议(如HTTP或HTTPS)、域名、路径和可选的查询字符串。
- 例如,
https://www.example.com/index.html?search=network,其中:https是协议,www.example.com是域名,/index.html是资源路径,?search=network是查询字符串。
5. POP3与IMAP
- POP3(邮局协议第3版):POP3允许邮件客户端从邮件服务器下载邮件。下载后,邮件会从服务器删除(除非手动配置保留副本)。
- IMAP(互联网邮件访问协议):IMAP允许邮件客户端和服务器保持同步。邮件客户端可以在服务器上查看和管理邮件,邮件不会从服务器删除,适用于多个设备访问同一邮箱。
6. HTTP请求与响应报文
-
HTTP请求报文:由请求行、请求头、空行和请求体组成。
- 请求行:包括请求方法(如GET、POST)、请求目标(如路径)和HTTP版本(如HTTP/1.1)。
- 请求头:包括用户代理、接受类型、内容类型等。
- 请求体:可选,包含发送到服务器的数据(如表单数据)。
-
HTTP响应报文:由响应行、响应头、空行和响应体组成。
- 响应行:包括HTTP版本、状态码(如200、404)和状态信息(如OK、Not Found)。
- 响应头:包括内容类型、内容长度、缓存控制等。
- 响应体:可选,包含返回给客户端的实际数据(如HTML文件、图像等)。
7. Web缓存
- 缓存是Web浏览器和Web服务器用来存储已请求资源的机制。通过缓存,浏览器可以减少对服务器的请求,提升访问速度。
- 缓存控制:通过HTTP头部中的 Cache-Control 和 Expires 字段,控制资源的缓存策略。
8. SSL/TLS
- SSL(安全套接层)和TLS(传输层安全性)是用于加密HTTP通信的协议,通常称为HTTPS。
- SSL/TLS提供了数据加密、数据完整性和身份验证的功能,保护用户与Web服务器之间的通信不被窃取或篡改。
9. 网络应用的安全性
- 网络应用面临各种安全威胁,包括 中间人攻击、拒绝服务攻击、SQL注入、跨站脚本攻击(XSS)等。
- 网络应用开发者需要采取措施,如使用HTTPS加密、验证用户输入、防火墙、防病毒等手段,确保应用的安全性。
第六章 网络安全
1. 网络安全概述
网络安全是指保护计算机网络中的数据、硬件和软件免受未经授权的访问、攻击、损坏或篡改的过程。网络安全的目标是确保数据的机密性、完整性、可用性和身份验证。
网络安全的基本概念包括:
- 机密性(Confidentiality):确保信息不被未经授权的人员访问。
- 完整性(Integrity):确保数据在传输或存储过程中不被篡改。
- 可用性(Availability):确保授权用户在需要时能够访问和使用数据。
- 身份认证(Authentication):确保通信双方的身份得到验证。
- 不可否认性(Non-repudiation):确保发送方无法否认已发送的消息。
2. 常见的网络攻击
网络攻击是指恶意行为者利用网络漏洞、攻击技术或社会工程学手段,试图破坏或窃取数据。常见的网络攻击类型包括:
-
拒绝服务攻击(DoS):
- DoS攻击通过向目标服务器发送大量的请求,消耗其资源,导致服务器无法正常响应合法请求。
- 分布式拒绝服务攻击(DDoS):攻击者使用大量的受感染计算机(如僵尸网络)同时向目标发起攻击,增加了攻击的难度和危害。
-
中间人攻击(Man-in-the-Middle, MITM):
- 在MITM攻击中,攻击者通过截取、修改通信双方的数据,冒充其中一方进行通信。
- 这种攻击可以窃取敏感信息,如密码、信用卡信息等。
-
钓鱼攻击(Phishing):
- 攻击者伪装成合法机构(如银行、社交媒体等),诱骗用户提供个人敏感信息。
- 常见的钓鱼手段包括伪造的电子邮件和虚假的网站。
-
SQL注入(SQL Injection):
- 攻击者通过将恶意SQL代码插入到输入字段中,利用漏洞访问数据库、窃取或修改数据。
-
跨站脚本攻击(XSS):
- 攻击者将恶意脚本插入到网页中,当用户浏览网页时,脚本执行并窃取用户信息或进行其他恶意操作。
-
恶意软件(Malware):
- 病毒、蠕虫、特洛伊木马等恶意程序会感染计算机,窃取数据、破坏文件或使计算机变得不可用。
3. 网络安全防护技术
为了保护网络免受攻击,需要采取一系列的安全防护技术,常见的技术包括:
-
防火墙(Firewall):
- 防火墙是一种安全设备,能够监控和控制进出网络的流量,基于预设的安全规则对流量进行过滤。
- 防火墙可以是硬件设备,也可以是软件程序。
- 防火墙的工作原理包括 包过滤、代理服务和 状态检测等。
-
入侵检测与防御系统(IDS/IPS):
- IDS(入侵检测系统)用于检测网络中是否存在非法或恶意行为。
- IPS(入侵防御系统)除了检测外,还能够对攻击行为进行实时防御。
- IDS/IPS系统通过监控网络流量、分析数据包的内容、识别攻击模式来检测和防御网络攻击。
-
虚拟专用网络(VPN):
- VPN通过在公共网络(如互联网)上建立一个加密的隧道,保护数据的安全性。
- VPN允许用户通过不安全的网络连接到公司的内网,确保数据在传输过程中的机密性。
-
数据加密:
- 加密是将数据转化为不可读的格式,只有具有密钥的合法用户才能解密并恢复数据。
- 常见的加密算法有 对称加密(如AES)、非对称加密(如RSA)和 哈希加密(如MD5、SHA)。
-
数字签名与公钥基础设施(PKI):
- 数字签名:通过使用公钥加密技术,确保消息的完整性和发送者的身份。
- PKI:公钥基础设施是一种管理公钥和数字证书的体系结构,用于实现安全的电子通信和认证。
4. 安全协议
在计算机网络中,安全协议用于确保数据的机密性、完整性、身份验证和不可否认性。常见的安全协议包括:
-
SSL/TLS:
- SSL(安全套接层)和 TLS(传输层安全性)协议用于加密Web通信,确保HTTP数据传输的安全,通常用于 HTTPS。
- SSL/TLS协议提供了加密、身份验证和数据完整性保护,防止中间人攻击和数据窃听。
-
IPSec:
- IPSec(互联网协议安全性)是用于加密和认证IP通信的协议套件,广泛应用于VPN技术中。
- IPSec提供端到端加密,保护数据的机密性和完整性,防止恶意修改和篡改。
-
SSH:
- SSH(安全外壳协议)用于通过加密的通道远程访问计算机,替代了不安全的Telnet协议。
- SSH提供了强大的身份验证机制和加密技术,确保远程通信的安全性。
-
S/MIME:
- S/MIME(安全多用途互联网邮件扩展)用于电子邮件的加密和签名,确保邮件的机密性和完整性。
-
Kerberos:
- Kerberos 是一种网络身份认证协议,采用对称加密技术来验证用户身份。它常用于客户端和服务器之间的认证过程,避免了密码传输过程中的泄漏风险。
5. 安全策略与管理
网络安全不仅仅是技术问题,还包括管理和策略方面的内容。良好的安全策略可以帮助组织减少网络安全漏洞,并提高防护能力。
- 访问控制:通过用户认证和权限管理,确保只有授权用户能够访问网络资源。
- 安全审计与监控:定期检查和监控网络系统,发现并修补潜在的安全漏洞。
- 灾备与恢复:制定灾难恢复计划和数据备份策略,确保在遭遇攻击或故障时能够迅速恢复服务。
6. 常见的网络安全攻击案例
学习网络安全的同时,了解一些经典的攻击案例也非常重要。以下是一些著名的网络安全事件:
- MyDoom蠕虫:2004年爆发的蠕虫病毒,通过电子邮件传播,感染了大量计算机,并发起了全球性的拒绝服务攻击。
- Heartbleed漏洞:2014年爆出的OpenSSL漏洞,使得使用该库的Web服务器泄露了加密通信中的敏感数据。
- WannaCry勒索病毒:2017年爆发的勒索病毒,利用Windows系统的漏洞传播,造成全球范围内的大规模感染和数据加密。
