Ⅰ 廣州五元組人工智慧科技有限公司怎麼樣
廣州五元組人工智慧科技有限公司是2017-12-15注冊成立的有限責任公司(自然人獨資),注冊地址位於廣州市天河區金穗路8號1101自編A10房(僅限辦公)。
廣州五元組人工智慧科技有限公司的統一社會信用代碼/注冊孫攔臘號是91440101MA5AN43434,企業法人劉瀏,目前企業處於開業狀態。
廣州五元組人工智慧科技有限公司的經營范圍是:網路技術的研究、開發;計算機技術開發、技術服務;計算機網衡拆絡系統工程服務;軟體服務;軟體測試服務;軟體零售;軟體開發;商品批發貿易(許可審批類商品除外);商品零售貿易(許可審批類商品除外);會議及展覽服務;。
通過愛企查查看廣州五元組人工智慧科技有限公司更多信則滑息和資訊。
計算機網路通常由以下幾個部分組成:
硬體:包括計算機、路由器、交換機、數據機等硬體設備,用於在網路中傳輸和處理數據。
1、軟體:包括操作系統、網路協議、網路服務、應用程序等軟體,用於控制網路硬體設備的操作,並提供各種網路服務。
2、協議:網路協議規定了網路中數據的傳輸方式和處理方式。常見的協議包括TCP/IP協議、HTTP協議、FTP協議、SMTP協議等。
3、拓撲結構:網路拓撲結構指的是網路中各個設備之間的物理連接方式。常見的拓撲結構包括星型拓撲、匯流排型拓撲、環型拓撲等。
4、網路服務:網路服務是網路中的各種應用程序,包括電子郵件、文件傳輸、遠程登錄、網頁瀏覽等服務。
5、安全機制:網路安全是網路中一個重要的方面,包括防火橋慎滑牆、加密技術、身份認證、訪問控制等安全機制,用於保護網路中的數據和設備免受攻擊和威脅。
總之,計算機網路是由硬體、軟孝跡件、協議、拓撲結構、網路服務和安全機制等多個組成部分構成的復雜系統。這些組成部分相互作用,共同實現了計算機網路中的數據傳輸、處理、存儲和管理等功能。
-------FunNet超有趣學敏臘網路
Ⅲ 網路安全設備有哪些
1、防火牆
防火牆技術是通過有機結合各類用於安全管理與篩選的軟體和硬體設備,幫助計算機網路於其內、外網之間構建一道相對隔絕的保護屏障,以保護用戶資料與信息安全性的一種技術。
防火牆技術的功能主要在於及時發現並處理計算機網路運行時可能存在的安全風險、數據傳輸等問題,其中處理措施包括隔離與保護。
同時可對計算機網路安全當中的各項操作實施記錄與檢測,以確保計算機網路運行的安全性,保障用戶資料與信息的完整性,為用戶提供更好、更安全的計算機網路使用體驗。
主要是在兩個網路之間做隔離並需要數據交換,網閘是具有中國特色的產品。
Ⅳ 計算機網路(5)| 運輸層
從通信和處理信息的角度看,運輸層是向它上面的應用層提供通信服務的,它屬於面向通信部分的最高層,同時也是用戶功能中的最低層。當網路的邊緣部分中的兩台主機使用網路的核心部分的功能進行端到端的通信時,只有主機的協議棧才有運輸層,而網路核心部分中的路由器在轉發分組時都只用到下三層的功能。
運輸層的兩個主要協議 TCP/IP 都是互聯網的正式標准,即:
(1)用戶數據報協議UDP
(2)傳輸控制協議TCP
TCP則是面向連接的服務。在傳送數據之前必須先建立連接,數據傳送結束後要釋放連接。TCP不提供廣播或者多播服務。由於TCP要提供可靠的面向連接的運輸服務,因此需要增加很多的開銷。
TCP/IP的運輸層用一個16位埠號來標志一個埠。埠號只有本地意義。它是為了標志本計算機應用層中的各個進程在和運輸層交互時的層間介面。
運輸層的埠號分為以下兩類:
(1)伺服器端使用的埠號: 它主要分為系統埠號0~1023和登記埠號1024~49151。
(2)客戶端使用的埠號: 49152~65535,這類埠號僅在客戶端進程運行時才動態選擇。當伺服器收到客戶端進程的報文時,就知道客戶端進程的埠號。因而可以把數據發送給客戶進程。
用戶數據報協議相比於IP的數據報服務就是只增加了復用、分用和差錯檢測功能。UDP的主要特點是:
(1)UDP是無連接的, 發送數據之前不需要建立連接,因此減少開銷和發送數據之前的時延。
(2)UDP使用盡最大努力交付, 即不保證可靠交付,因此主機不需要維持復雜的連接狀態表。
(3)UDP是面向報文的。 發送方的UDP對應用交下來的報文,添加首部後就向下交付給IP層。不對報文做任何處理,因此當報文過長時,IP層可能需要進行分片處理。
(4)UDP沒有擁塞控制, 網路出現的擁塞不會使源主機的發送速率減低。
(5)UDP支持一對一、一對多、多對一和多對多的交互通信。
(6)UDP的首部開銷小, 只有8個位元組。
UDP有兩個欄位:數據欄位和首部欄位。先介紹首部欄位,它是由4個欄位組成的,每個欄位只有2個位元組,總共有8個位元組。各個欄位的意義如下:
(1)源埠: 源埠號。在需要對方回信時選用。不需要時可用全0。
(2)目的埠: 目的埠號。在這終點交付報文時必須使用。
(3)長度: UDP用戶數據報的長度,其最小值是8(只有首部)。
(4)檢驗和: 檢測UDP用戶數據報在傳輸中是否有錯,有錯則丟棄。
當在傳送用戶數據報時,如果接收方UDP發現收到的報文中目的埠號不正確(即不存在對應於該埠號的應用進程),就丟棄該報文,並由網際控制報文協議ICMP發送「埠不可達」差錯報文給發送方。
TCP的主要特點如下:
(1)TCP是面向連接的運輸層協議。 應用程序在使用TCP協議之前,必須先建立TCP連接。傳送數據完畢後,必須釋放TCP連接。
(2)每一條TCP連接只能有兩個端點。 每一條TCP連接只能是點對點的。
(3)TCP提供可靠交付的服務。 通過TCP連接傳送的數據,無差錯、不丟失、不重復,並且按序到達。
(4)TCP提供全雙工通信。 TCP允許通信雙方的應用進程在任何時候都能發送數據。
(5)面向位元組流。 TCP中的流指的是流入到進程或進程流出的位元組序列。雖然應用程序和TCP的交互是一次一個數據塊,但TCP把應用程序交下來的數據看成一連串的無結構的位元組流。TCP不保證發送方發送的數據塊和接收方接收的數據塊一致,但保證程序接收到的位元組流和程序發送的位元組流一致。
TCP連接的端點叫做套接字或者插口。套接字是指將埠號拼接到IP地址之後,即:
每一條TCP連接唯一的被通信兩端的兩個端點所確定。即:
如圖所示,A發送分組M1,發送完畢就暫停發送,等待B的確認,B收到了M1就向A發死你確認。A在收到了對M1的確認之後,就再發送下一個分組M2,以此類推。
如圖所示,當B接收M1時檢測出了差錯,就丟棄M1,其他什麼也不做。而A只要超過了一段時間沒有收到確認,就會認為剛才發送的分組丟失了,因而重傳前面發送過的分組,這就叫做超時重傳,而實現超時重傳則需要A為每一個已發送的分組都設置一個超時計時器。
需要注意以下三點:
(1)A在發送完一個分組後,必須暫時保留已發送的分組的副本。
(2)分組和確認分組必須編號,這樣才能明確哪一個發出的分組收到了確認。
(3)超時計時器設置的重傳時間應當比數據在分組傳輸的平均往返時間更長。
如圖所示,B所發送的對M1確認丟失了,A在設定的超時重傳時間內沒有收到確認,所以無法知道自己發送的分組是怎樣出錯的,所以會重傳M1,而當B又收到了重傳的分組M1,這時應該採取兩個行動:
(1)丟棄這個重復分組M1。
(2)向A發送確認。
還有一種情況就是在傳輸過程中沒有出現差錯,但B對分組M1的確認遲到了,而A會收到重復的確認,A收下後就會丟棄,B仍然會收到重復的M1,並且同樣要丟棄重復的M1,並且重傳確認分組。
停止等待協議的優點是簡單,缺點則是信道的利用率太低。我們用TD表示A發送分組需要的時間,TA表示B發送確認分組需要的時間,RTT為往返時間,則:
為了提高傳輸的效率,發送方可以不使用低效率的停止等待協議,而是採用流水線傳輸的方式。即不必每發完一個分組就停下來等待對方的確認,這樣就可以使信道上一直有數據在不間斷的傳送。
如圖表示的是發送方維持的發送窗口,它指的是位於發送窗口內的5個分組都可以連續發送出去而不需要等待對方的確認。同時連續ARP協議規定,發送方每收到一個確認,就把發送窗口向前滑動一個分組的位置。
對於接收方採用的則是累計確認的方式,即接收方不必對收到的分組逐個發送確認。而是在收到幾個分組後,對按序到達的最後一個分組發送確認,這就表示:到這個分組為止的所有分組都已正確收到了。這種方式的優點是:容易實現,即使確認丟失也不必重傳(意思是發送方不必重傳)。但缺點是不能向發送方反映出接收方已經正確收到的所有分組信息。
TCP雖然是面向位元組流的,但傳送TCP的數據單元卻是報文段。一個TCP報文段可以分為首部和數據兩部分。
為了後面講述的方便,我們假設數據傳輸只在一個方向進行,即A發送數據,B給出確認。
TCP的滑動窗口是以位元組為單位的。如圖所示,現在假定A收到了B發來的確認報文段,其中的窗口是20位元組,而確認號是31,根據這2個數據,A就構造出自己的發送窗口。
發送窗口表示:在沒有收到B的確認的情況下,A可以連續把窗口內的數據都發送出去。凡是已經發送過的數據,在未收到確認之前都必須暫時保留,以便在超時重傳時使用。發送窗口後面的部分表示已發送且已經收到了確認。而發送窗口前沿的部分表示不允許發送的。
現在假定A發送了序號為31~41的數據。這時發送窗口位置並未改變但是發送窗口內靠後面有11個位元組表示已發送但是未收到確認。而發送窗口內靠前面的9個位元組時允許發送但未發送的。如圖所示:
而對於B,它的接收窗口大小是20,在接收窗口外面到30號位置的數據是接收並確認的,因此可以丟棄。在下圖中,B收到了32和33的數據,但它們不是按序到達的,因為並沒有收到31號數據。B只能對按序達收到的數據中的最高序號給出確認,因此B發送的確認報文欄位的確認號依然是31號。
現在假定B收到了序號為31的數據,並把31~33的數據交付主機,然後B刪除這些數據。接著把窗口向前移動3個序號,同時給a發送確認,其中的窗口值仍為20,但確認號變為34。表明B已經收到序號33為止的數據。
因為TCP的發送方在規定的時間內沒有收到確認就要重傳已經發送的報文段,但是重傳時間的選擇卻TCP最復雜的問題之一。為此TCP採用了一種自適應演算法,它記錄了一個報文段發出的時間以及收到相應的確認的時間。這兩個時間之差就是報文段的往返時間RTT,同時TCP保留了RTT的加權平均往返時間RTTs。而RTTD是RTT的偏差加權平均值,它與RTTs和新的RTT樣本之差有關。
超時重傳時間的演算法如下:
第一次測量時,加權平均往返時間取往返時間RTT,以後每次測量到一個新的RTT,按以下公式計算:
第一次測量時,RTT偏差的加權平均等於RTT的一半,以後的測里中,按以下公式計算:
綜上超時重傳時間RTO計算如下:
若收到的報文無差錯,只是未按序號,使用選擇確認SACK可是讓發送方發送那些未收到的數據,而不重復發送已經收到的那些數據。如果要使用選擇確認SACK,那麼在建立TCP連接時,就要在TCP首部的選項中加上「允許SACK」的選項,並且雙方必須都事先商量好。
流量控制就是指讓發送方的發送速率不要太快,要讓接收方來得及接收。而利用滑動窗口機制就可以很方便的在TCP連接上實現對發送方的流量控制。
如上圖所示,接收方B進行了三次流量控制。第一次把窗口減小到rwnd=300,第二次又減到rwnd=100,最後是rwnd=0,即不允許發送方再發送數據了。
但是我們應該考慮一種情況,就是當接收方B的存儲已滿時,會向發送方發送零窗口的報文段,接著B的存儲又有了一些空間,B再向A發送一個不為零的窗口值,但這個報文丟失了,結果就是雙方一直等待下去。所以為了解決這個問題,TCP為每一個連接設有一個持續計時器。只要TCP連接的一方收到對方的零窗口通知,就啟動持續計時器,當計時器到期後,就發送一個探測段文段,而對方就在確認這個探測段時給出了現在的窗口值。如果窗口仍然是0,那麼收到這個報文段的一方就重新設置持續計時器,反之則死鎖的僵局就可以打破了。
應用程序把數據傳送到TCP的發送緩存後,TCP在何時發送這些數據?,在TCP的實現中廣泛使用了Nagle演算法。具體演算法如下:
(1)若發送應用進程要把數據逐個位元組地送到TCP的發送緩存,則發送方就把第一個數據位元組先發出去,把後面到達的數據位元組都緩存起來。
(2)方發送方收到對第一個數據位元組的確認後,再把發送緩存中的所有數據組裝成一個報文發送出去,同時繼續對後續到來的數據進行緩存。
(3)只有收到對前一個報文段的確認後才繼續發送下一個報文段。
當數據到達快而網路速度慢時,這種方法可以明顯減少網路帶寬。Nagle還規定:當到達的數據達到窗口的一半或最大報文長度時就立即發送一個報文。
但還還需要考慮一個叫做糊塗綜合征的問題,具體內容是若接收方的緩存已滿,應用進程每次只從緩存中取1個位元組,然後向發送方確認,並把窗口設為1個位元組(緩存只空了1個位元組的空間),接著發送方發來1個位元組,接收方發回確認,仍然將窗口設為1,這樣進行下去,網路的利用率很低。
為了解決這個問題,可以讓接收方等待一段時間,使得或者緩存已有足夠的空間或者等到接收緩存已有一半的空閑空間。此時,接收方就發出確認報文,並向發送方通知當前窗口的大小。
擁塞 是指在某一段時間內,若對網路中某一資源的需求超過了該資源所能提供的可用部分,網路的性能就會變壞的情況。而所謂的 擁塞控制 就是防止過多的數據注入到網路當中,這樣可以使網路中的路由器或者鏈路不致過載,它是一個全局性的過程,涉及到所有的主機和路由器,而流量控制往往是指點對點通信量的控制。擁塞控制所要做的都有一個前提,就是網路能夠承受現有的網路負荷。
TCP進行擁塞控制的演算法有4種:慢開始、擁塞避免、快重傳和快恢復。下面在討論這些演算法時我們假定:
(1)數據是單方向傳送的,對方只傳送確認報文。
(2)接收方總是有足夠大的緩存空間。
發送方維持一個擁塞窗口的狀態變數,其大小取決於擁塞程度,並且動態變化。發送方讓自己的發送窗口小於擁塞窗口(如果考慮接收方的接收能力的話,發送窗口可能小於擁塞窗口)。發送方控制擁塞窗口的原則是:只要網路沒有擁塞,擁塞窗口就再增大一點,以便把更多的分組發送出去,只要出現擁塞,就減小擁塞窗口,以減少注入到網路的分組數。
下面會從「慢開始演算法」講起來討論擁塞窗口的大小如何變化的。
慢開始的演算法思路是:當主機開始發送數據時,由於並不清楚網路的負荷情況,所以如果立即把大量數據位元組注入到網路中,就有可能引起網路擁塞。因此會採用由小逐漸增大發送窗口。即在通常開始發送報文時,先將擁塞窗口cwnd的值設為一個最大報文段MSS的數值,而在每收到一個新的報文段確認後,把擁塞窗口增加至多一個MSS的數值。
如上圖所示,開始時cwnd=1,發送方發送一個M1,接收方收到M1發送確認,發送方收到一個確認後將cwnd加1,此時cwnd=2,因此發送方發送M2和M3兩個報文段,接收方收到後返回兩個確認,因此cwnd增加兩次,此時cwnd=4,接著發送方發送M4~M7四個報文段。依次類推。因此使用慢開始演算法後,每經過一個傳輸輪次,擁塞窗口就加倍。
但是為了防止擁塞窗口cwnd增加過大導致網路擁塞,需要設置一個慢開始門限ssthresh,慢開始門限用法如下:
當cwnd<ssthresh時,使用上述的慢開始演算法。
當cwnd>ssthresh時,停止使用慢開始演算法,使用擁塞避免演算法。
當cwnd=ssthresh時,既可以使用慢開始演算法,也可以使用擁塞避免演算法。
這里的擁塞避免演算法是指讓擁塞窗口緩慢的增大,即每經過一個往返時間RTT就把發送方的擁塞窗口cwnd加1,而不是像慢開始階段那樣加倍增長。
需要注意的是無論在慢開始階段還是擁塞避免階段,只要發送方判斷網路出現擁塞(根據是沒有按時收到確認),立即把慢開始門限ssthresh設為出現擁塞時的發送窗口的一半。然後發送窗口cwnd重新設為1,執行慢開始演算法。目的是迅速減少主機發送到網路分組的分組數。
快重傳演算法要求接收方每收到一個失序的報文段後就立即發送重復確認,如下圖接收了M1和M2後,又接收到一個M4,M4屬於失序報文,則發送對M2的重復確認。發送方只要連續收到三次確認重復就立即重傳對方未收到的報文段M3。
與快重傳演算法配合的還有快恢復演算法,過程如下:
(1)當發送方連續收到三個重復確認時,就把慢開始門限ssthresh減半,這是為了防止網路擁塞,接著並不執行慢開始演算法。
(2)由於上圖這種情況很可能不是因為網路擁塞引起的,因此這里不執行慢開始演算法(即不把擁塞窗口cwnd設為1,這樣速度太慢),而是把cwnd值設置為慢開始門限ssthresh減半後的數值,然後開始執行擁塞避免演算法。
TCP的運輸連接有是三個階段:連接建立、數據傳送和連接釋放。在TCP的連接過程中要解決以下三個問題:
(1)要使每一方能夠確知對方的存在。
(2)要允許雙方協商一些參數(如最大窗口值、是否使用窗口擴大選項和時間戳選項以及服務質量)。
(3)能夠對運輸實體資源進行分配。
TCP建立連接的過程叫做握手,握手需要在客戶和伺服器之間交換3個TCP報文段。如圖是三報文握手建立的連接過程:
A最後還要發送一次確認的原因是為了防止已經失效的連接請求報文段突然又傳送到了B,因而產生錯誤。試想一種情況:如果只有第一次和第二次握手,第二次B向A發送的確認丟失了,此時B進入了連接建立狀態,A沒有收到確認,過一段時間後會再次向B發送連接請求,B收到後又會再次建立連接,白白浪費B的資源。
A在TIME-WAIT狀態等待2MSL(MSL,最長報文段壽命),主要是因為以下兩點考慮:首先是為了保證A發送的最後一個ACK報文段能夠到達B,因為這個ACK報文段可能丟失,此時B會重傳連接釋放報文,如果A已經關閉,則無法收到這個報文。其次,當A在發送完最後一個ACK報文段後,再經過時間2MSL,就可以使本連接持續時間內產生的所有報文段都從網路中消失。這樣,下一個新連接中不會出現這種舊的連接請求報文段。
在圖中每一個方框即TCP可能具有的狀態。每個方框中的大寫英文字元串時TCP標准所使用的的TCP連接狀態名。狀態之間的箭頭表示可能發生的狀態變遷。箭頭旁邊的字表明引起這種變遷的原因,或表明發生狀態變遷後又出現什麼動作,在圖中粗實線箭頭表示對客戶進程的正常變遷,粗虛線箭頭表示對伺服器進程的正常變遷,細線箭頭表示異常變遷。
Ⅳ 常見的網路協議有哪些
第一章 概述
電信網、計算機網和有線電視網 三網合一
TCP/IP是當前的網際網路協議簇的總稱,TCP和 IP是其中的兩個最重要的協議。
RFC標准軌跡由3個成熟級構成:提案標准、草案標准和標准。
第二章 計算機網路與網際網路體系結構
根據拓撲結構:計算機網路可以分為匯流排型網、環型網、星型網和格狀網。
根據覆蓋范圍:計算機網路可以分為廣域網、城域網、區域網和個域網。
網路可以劃分成:資源子網和通信子網兩個部分。
網路協議是通信雙方共同遵守的規則和約定的集合。網路協議包括三個要素,即語法、語義和同步規則。
通信雙方對等層中完成相同協議功能的實體稱為對等實體 ,對等實體按協議進行通信。
有線接入技術分為銅線接入、光纖接入和混合光纖同軸接入技術。
無線接入技術主要有衛星接入技術、無線本地環路接入和本地多點分配業務。
網關實現不同網路協議之間的轉換。
網際網路採用了網路級互聯技術,網路級的協議轉換不僅增加了系統的靈活性,而且簡化了網路互聯設備。
網際網路對用戶隱藏了底層網路技術和結構,在用戶看來,網際網路是一個統一的網路。
網際網路將任何一個能傳輸數據分組的通信系統都視為網路,這些網路受到網路協議的平等對待。
TCP/IP 協議分為 4 個協議層 :網路介面層、網路層、傳輸層和應用層。
IP 協議既是網路層的核心協議 ,也是 TCP/IP 協議簇中的核心協議。
第四章 地址解析
建立邏輯地址與物理地址之間 映射的方法 通常有靜態映射和動態映射。動態映射是在需要獲得地址映射關系時利用網路通信協議直接從其他主機上獲得映射信息。 網際網路採用了動態映射的方法進行地址映射。
獲得邏輯地址與物理地址之間的映射關系稱為地址解析 。
地址解析協議 ARP 是將邏輯地址( IP 地址)映射到物理地址的動態映射協議。
ARP 高速緩存中含有最近使用過的 IP 地址與物理地址的映射列表。
在 ARP 高速緩存中創建的靜態表項是永不超時的地址映射表項。
反向地址解析協議 RARP 是將給定的物理地址映射到邏輯地址( IP地址)的動態映射。RARP需要有RARP 伺服器幫助完成解析。
ARP請求和 RARP請求,都是採用本地物理網路廣播實現的。
在代理ARP中,當主機請求對隱藏在路由器後面的子網中的某一主機 IP 地址進行解析時,代理 ARP路由器將用自己的物理地址作為解析結果進行響應。
第五章 IP協議
IP是不可靠的無連接數據報協議,提供盡力而為的傳輸服務。
TCP/IP 協議的網路層稱為IP層.
IP數據報在經過路由器進行轉發時一般要進行三個方面的處理:首部校驗、路由選擇、數據分片
IP層通過IP地址實現了物理地址的統一,通過IP數據報實現了物理數據幀的統一。 IP 層通過這兩個方面的統一屏蔽了底層的差異,向上層提供了統一的服務。
IP 數據報由首部和數據兩部分構成 。首部分為定長部分和變長部分。選項是數據報首部的變長部分。定長部分 20 位元組,選項不超過40位元組。
IP 數據報中首部長度以 32 位字為單位 ,數據報總長度以位元組為單位,片偏移以 8 位元組( 64 比特)為單位。數據報中的數據長度 =數據報總長度-首部長度× 4。
IP 協議支持動態分片 ,控制分片和重組的欄位是標識、標志和片偏移, 影響分片的因素是網路的最大傳輸單元 MTU ,MTU 是物理網路幀可以封裝的最大數據位元組數。通常不同協議的物理網路具有不同的MTU 。分片的重組只能在信宿機進行。
生存時間TTL是 IP 數據報在網路上傳輸時可以生存的最大時間,每經過一個路由器,數據報的TTL值減 1。
IP數據報只對首部進行校驗 ,不對數據進行校驗。
IP選項用於網路控制和測試 ,重要包括嚴格源路由、寬松源路由、記錄路由和時間戳。
IP協議的主要功能 包括封裝 IP 數據報,對數據報進行分片和重組,處理數據環回、IP選項、校驗碼和TTL值,進行路由選擇等。
在IP 數據報中與分片相關的欄位是標識欄位、標志欄位和片偏移欄位。
數據報標識是分片所屬數據報的關鍵信息,是分片重組的依據
分片必須滿足兩個條件: 分片盡可能大,但必須能為幀所封裝 ;片中數據的大小必須為 8 位元組的整數倍 ,否則 IP 無法表達其偏移量。
分片可以在信源機或傳輸路徑上的任何一台路由器上進行,而分片的重組只能在信宿機上進行片重組的控制主要根據 數據報首部中的標識、標志和片偏移欄位
IP選項是IP數據報首部中的變長部分,用於網路控制和測試目的 (如源路由、記錄路由、時間戳等 ),IP選項的最大長度 不能超過40位元組。
1、IP 層不對數據進行校驗。
原因:上層傳輸層是端到端的協議,進行端到端的校驗比進行點到點的校驗開銷小得多,在通信線路較好的情況下尤其如此。另外,上層協議可以根據對於數據可靠性的要求, 選擇進行校驗或不進行校驗,甚至可以考慮採用不同的校驗方法,這給系統帶來很大的靈活性。
2、IP協議對IP數據報首部進行校驗。
原因: IP 首部屬於 IP 層協議的內容,不可能由上層協議處理。
IP 首部中的部分欄位在點到點的傳遞過程中是不斷變化的,只能在每個中間點重新形成校驗數據,在相鄰點之間完成校驗。
3、分片必須滿足兩個條件:
分片盡可能大,但必須能為幀所封裝 ;
片中數據的大小必須為8位元組的整數倍,否則IP無法表達其偏移量。
第六章 差錯與控制報文協議(ICMP)
ICMP 協議是 IP 協議的補充,用於IP層的差錯報告、擁塞控制、路徑控制以及路由器或主機信息的獲取。
ICMP既不向信宿報告差錯,也不向中間的路由器報告差錯,而是 向信源報告差錯 。
ICMP與 IP協議位於同一個層次,但 ICMP報文被封裝在IP數據報的數據部分進行傳輸。
ICMP 報文可以分為三大類:差錯報告、控制報文和請求 /應答報文。
ICMP 差錯報告分為三種 :信宿不可達報告、數據報超時報告和數據報參數錯報告。數據報超時報告包括 TTL 超時和分片重組超時。
數據報參數錯包括數據報首部中的某個欄位的值有錯和數據報首部中缺少某一選項所必須具有的部分參數。
ICMP控制報文包括源抑制報文和重定向報文。
擁塞是無連接傳輸時缺乏流量控制機制而帶來的問題。ICMP 利用源抑制的方法進行擁塞控制 ,通過源抑制減緩信源發出數據報的速率。
源抑制包括三個階段 :發現擁塞階段、解決擁塞階段和恢復階段。
ICMP 重定向報文由位於同一網路的路由器發送給主機,完成對主機的路由表的刷新。
ICMP 回應請求與應答不僅可以被用來測試主機或路由器的可達性,還可以被用來測試 IP 協議的工作情況。
ICMP時間戳請求與應答報文用於設備間進行時鍾同步 。
主機利用 ICMP 路由器請求和通告報文不僅可以獲得默認路由器的 IP 地址,還可以知道路由器是否處於活動狀態。
第七章 IP 路由
數據傳遞分為直接傳遞和間接傳遞 ,直接傳遞是指直接傳到最終信宿的傳輸過程。間接傳遞是指在信
源和信宿位於不同物理網路時,所經過的一些中間傳遞過程。
TCP/IP 採用 表驅動的方式 進行路由選擇。在每台主機和路由器中都有一個反映網路拓撲結構的路由表,主機和路由器能夠根據 路由表 所反映的拓撲信息找到去往信宿機的正確路徑。
通常路由表中的 信宿地址採用網路地址 。路徑信息採用去往信宿的路徑中的下一跳路由器的地址表示。
路由表中的兩個特殊表目是特定主機路由和默認路由表目。
路由表的建立和刷新可以採用兩種不同 的方式:靜態路由和動態路由。
自治系統 是由獨立管理機構所管理的一組網路和路由器組成的系統。
路由器自動獲取路徑信息的兩種基本方法是向量—距離演算法和鏈路 —狀態演算法。
1、向量 — 距離 (Vector-Distance,簡稱 V—D)演算法的基本思想 :路由器周期性地向與它相鄰的路由器廣播路徑刷新報文,報文的主要內容是一組從本路由器出發去往信宿網路的最短距離,在報文中一般用(V,D)序偶表示,這里的 V 代表向量,標識從該路由器可以到達的信宿 (網路或主機 ),D 代表距離,指出從該路由器去往信宿 V 的距離, 距離 D 按照去往信宿的跳數計。 各個路由器根據收到的 (V ,D)報文,按照最短路徑優先原則對各自的路由表進行刷新。
向量 —距離演算法的優點是簡單,易於實現。
缺點是收斂速度慢和信息交換量較大。
2、鏈路 — 狀態 (Link-Status,簡稱 L-S)演算法的基本思想 :系統中的每個路由器通過從其他路由器獲得的信息,構造出當前網路的拓撲結構,根據這一拓撲結構,並利用 Dijkstra 演算法形成一棵以本路由器為根的最短路徑優先樹, 由於這棵樹反映了從本節點出發去往各路由節點的最短路徑, 所以本節點就可以根據這棵最短路徑優先樹形成路由表。
動態路由所使用的路由協議包括用於自治系統內部的 內部網關協 議和用於自治系統之間的外部網關協議。
RIP協議在基本的向量 —距離演算法的基礎上 ,增加了對路由環路、相同距離路徑、失效路徑以及慢收斂問題的處理。 RIP 協議以路徑上的跳數作為該路徑的距離。 RIP 規定,一條有效路徑的距離不能超過
RIP不適合大型網路。
RIP報文被封裝在 UDP 數據報中傳輸。RIP使用 UDP 的 520 埠號。
3、RIP 協議的三個要點
僅和相鄰路由器交換信息。
交換的信息是當前本路由器所知道的全部信息,即自己的路由表。
按固定的時間間隔交換路由信息,例如,每隔30秒。
4、RIP 協議的優缺點
RIP 存在的一個問題是當網路出現故障時,要經過比較長的時間才能將此信息傳送到所有的路由器。
RIP 協議最大的優點就是實現簡單,開銷較小。
RIP 限制了網路的規模,它能使用的最大距離為15(16表示不可達)。
路由器之間交換的路由信息是路由器中的完整路由表,因而隨著網路規模的擴大,開銷也就增加。
5、為了防止計數到無窮問題,可以採用以下三種技術。
1)水平 分割 法(Split Horizon) 水平分割法的基本思想:路由器從某個介面接收到的更新信息不允許再從這個介面發回去。在圖 7-9 所示的例子中, R2 向 R1 發送 V-D 報文時,不能包含經過 R1 去往 NET1的路徑。因為這一信息本身就是 R1 所產生的。
2) 保持法 (Hold Down) 保持法要求路由器在得知某網路不可到達後的一段時間內,保持此信息不變,這段時間稱為保持時間,路由器在保持時間內不接受關於此網路的任何可達性信息。
3) 毒性逆轉法 (Poison Reverse)毒性逆轉法是水平分割法的一種變化。當從某一介面發出信息時,凡是從這一介面進來的信息改變了路由表表項的, V-D 報文中對應這些表目的距離值都設為無窮 (16)。
OSPF 將自治系統進一步劃分為區域,每個區域由位於同一自治系統中的一組網路、主機和路由器構成。區域的劃分不僅使得廣播得到了更好的管理,而且使 OSPF能夠支持大規模的網路。
OSPF是一個鏈路 —狀態協議。當網路處於收斂狀態時, 每個 OSPF路由器利用 Dijkstra 演算法為每個網路和路由器計算最短路徑,形成一棵以本路由器為根的最短路徑優先 (SPF)樹,並根據最短路徑優先樹構造路由表。
OSPF直接使用 IP。在IP首部的協議欄位, OSPF協議的值為 89。
BGP 是採用路徑 —向量演算法的外部網關協議 , BGP 支持基於策略的路由,路由選擇策略與政治、經濟或安全等因素有關。
BGP 報文分為打開、更新、保持活動和通告 4 類。BGP 報文被封裝在 TCP 段中傳輸,使用TCP的179 號埠 。
第八章 傳輸層協議
傳輸層承上啟下,屏蔽通信子網的細節,向上提供通用的進程通信服務。傳輸層是對網路層的加強與彌補。 TCP 和 UDP 是傳輸層 的兩大協議。
埠分配有兩種基本的方式:全局埠分配和本地埠分配。
在網際網路中採用一個 三元組 (協議,主機地址,埠號)來全局惟一地標識一個進程。用一個五元組(協議 ,本地主機地址 ,本地埠號 ,遠地主機地址 ,遠地埠號)來描述兩個進程的關聯。
TCP 和 UDP 都是提供進程通信能力的傳輸層協議。它們各有一套埠號,兩套埠號相互獨立,都是從0到 65535。
TCP 和 UDP 在計算校驗和時引入偽首部的目的是為了能夠驗證數據是否傳送到了正確的信宿端。
為了實現數據的可靠傳輸, TCP 在應用進程間 建立傳輸連接 。TCP 在建立連接時採用 三次握手方法解決重復連接的問題。在拆除連接時採用 四次握手 方法解決數據丟失問題。
建立連接前,伺服器端首先被動打開其熟知的埠,對埠進行監聽。當客戶端要和伺服器建立連接時,發出一個主動打開埠的請求,客戶端一般使用臨時埠。
TCP 採用的最基本的可靠性技術 包括流量控制、擁塞控制和差錯控制。
TCP 採用 滑動窗口協議 實現流量控制,滑動窗口協議通過發送方窗口和接收方窗口的配合來完成傳輸控制。
TCP 的 擁塞控制 利用發送方的窗口來控制注入網路的數據流的速度。發送窗口的大小取通告窗口和擁塞窗口中小的一個。
TCP通過差錯控制解決 數據的毀壞、重復、失序和丟失等問題。
UDP 在 IP 協議上增加了進程通信能力。此外 UDP 通過可選的校驗和提供簡單的差錯控制。但UDP不提供流量控制和數據報確認 。
1、傳輸層( Transport Layer)的任務 是向用戶提供可靠的、透明的端到端的數據傳輸,以及差錯控制和流量控制機制。
2 「傳輸層提供應用進程間的邏輯通信 」。「邏輯通信 」的意思是:傳輸層之間的通信好像是沿水平方向傳送數據。但事實上這兩個傳輸層之間並沒有一條水平方向的物理連接。
TCP 提供的可靠傳輸服務有如下五個特徵 :
面向數據流 ; 虛電路連接 ; 有緩沖的傳輸 ; 無結構的數據流 ; 全雙工連接 .
3、TCP 採用一種名為 「帶重傳功能的肯定確認 ( positive acknowledge with retransmission ) 」的技術作為提供可靠數據傳輸服務的基礎。
第九章 域名系統
字元型的名字系統為用戶提供了非常直觀、便於理解和記憶的方法,非常符合用戶的命名習慣。
網際網路採用層次型命名機制 ,層次型命名機制將名字空間分成若乾子空間,每個機構負責一個子空間的管理。 授權管理機構可以將其管理的子名字空間進一步劃分, 授權給下一級機構管理。名字空間呈一種樹形結構。
域名由圓點 「.」分開的標號序列構成 。若域名包含從樹葉到樹根的完整標號串並以圓點結束,則稱該域名為完全合格域名FQDN。
常用的三塊頂級域名 為通用頂級域名、國家代碼頂級域名和反向域的頂級域名。
TCP/IP 的域名系統是一個有效的、可靠的、通用的、分布式的名字 —地址映射系統。區域是 DNS 伺服器的管理單元,通常是指一個 DNS 伺服器所管理的名字空間 。區域和域是不同的概念,域是一個完整的子樹,而區域可以是子樹中的任何一部分。
名字伺服器的三種主要類型是 主名字伺服器、次名字伺服器和惟高速緩存名字伺服器。主名字伺服器擁有一個區域文件的原始版本,次名字伺服器從主名字伺服器那裡獲得區域文件的拷貝,次名字伺服器通過區域傳輸同主名字伺服器保持同步。
DNS 伺服器和客戶端屬於 TCP/IP 模型的應用層, DNS 既可以使用 UDP,也可以使用 TCP 來進行通信。 DNS 伺服器使用 UDP 和 TCP 的 53 號熟知埠。
DNS 伺服器能夠使用兩種類型的解析: 遞歸解析和反復解析 。
DNS 響應報文中的回答部分、授權部分和附加信息部分由資源記錄構成,資源記錄存放在名字伺服器的資料庫中。
頂級域 cn 次級域 e.cn 子域 njust.e.cn 主機 sery.njust.e.cn
TFTP :普通文件傳送協議( Trivial File Transfer Protocol )
RIP: 路由信息協議 (Routing Information Protocol)
OSPF 開放最短路徑優先 (Open Shortest Path First)協議。
EGP 外部網關協議 (Exterior Gateway Protocol)
BGP 邊界網關協議 (Border Gateway Protocol)
DHCP 動態主機配置協議( Dynamic Host Configuration Protocol)
Telnet工作原理 : 遠程主機連接服務
FTP 文件傳輸工作原理 File Transfer Protocol
SMTP 郵件傳輸模型 Simple Message Transfer Protocol
HTTP 工作原理
Ⅵ 網路攻擊的一般原理和方法是什麼
下載:http://download.csdn.net/source/274376
常見網路攻擊原理
1.1 TCP SYN拒絕服務攻擊
一般情況下,一個TCP連接的建立需要經過三次握手的過程,即:
1、 建立發起者向目標計算機發送一個TCP SYN報文;
2、 目標計算機收到這個SYN報文後,在內存中創建TCP連接控制塊(TCB),然後向發起者回送一個TCP ACK報文,等待發起者的回應;
3、 發起者收到TCP ACK報文後,再回應一個ACK報文,這樣TCP連接就建立起來了。
利用這個過程,一些惡意的攻擊者可以進行所謂的TCP SYN拒絕服務攻擊:
1、 攻擊者向目標計算機發送一個TCP SYN報文;
2、 目標計算機收到這個報文後,建立TCP連接控制結構(TCB),並回應一個ACK,等待發起者的回應;
3、 而發起者則不向目標計算機回應ACK報文,這樣導致目標計算機一致處於等待狀態。
可以看出,目標計算機如果接收到大量的TCP SYN報文,而沒有收到發起者的第三次ACK回應,會一直等待,處於這樣尷尬狀態的半連接如果很多,則會把目標計算機的資源(TCB控制結構,TCB,一般情況下是有限的)耗盡,而不能響應正常的TCP連接請求。
1.2 ICMP洪水
正常情況下,為了對網路進行診斷,一些診斷程序,比如PING等,會發出ICMP響應請求報文(ICMP ECHO),接收計算機接收到ICMP ECHO後,會回應一個ICMP ECHO Reply報文。而這個過程是需要CPU處理的,有的情況下還可能消耗掉大量的資源,比如處理分片的時候。這樣如果攻擊者向目標計算機發送大量的ICMP ECHO報文(產生ICMP洪水),則目標計算機會忙於處理這些ECHO報文,而無法繼續處理其它的網路數據報文,這也是一種拒絕服務攻擊(DOS)。
1.3 UDP洪水
原理與ICMP洪水類似,攻擊者通過發送大量的UDP報文給目標計算機,導致目標計算機忙於處理這些UDP報文而無法繼續處理正常的報文。
1.4 埠掃描
根據TCP協議規范,當一台計算機收到一個TCP連接建立請求報文(TCP SYN)的時候,做這樣的處理:
1、 如果請求的TCP埠是開放的,則回應一個TCP ACK報文,並建立TCP連接控制結構(TCB);
2、 如果請求的TCP埠沒有開放,則回應一個TCP RST(TCP頭部中的RST標志設為1)報文,告訴發起計算機,該埠沒有開放。
相應地,如果IP協議棧收到一個UDP報文,做如下處理:
1、 如果該報文的目標埠開放,則把該UDP報文送上層協議(UDP)處理,不回應任何報文(上層協議根據處理結果而回應的報文例外);
2、 如果該報文的目標埠沒有開放,則向發起者回應一個ICMP不可達報文,告訴發起者計算機該UDP報文的埠不可達。
利用這個原理,攻擊者計算機便可以通過發送合適的報文,判斷目標計算機哪些TCP或UDP埠是開放的,過程如下:
1、 發出埠號從0開始依次遞增的TCP SYN或UDP報文(埠號是一個16比特的數字,這樣最大為65535,數量很有限);
2、 如果收到了針對這個TCP報文的RST報文,或針對這個UDP報文的ICMP不可達報文,則說明這個埠沒有開放;
3、 相反,如果收到了針對這個TCP SYN報文的ACK報文,或者沒有接收到任何針對該UDP報文的ICMP報文,則說明該TCP埠是開放的,UDP埠可能開放(因為有的實現中可能不回應ICMP不可達報文,即使該UDP埠沒有開放)。
這樣繼續下去,便可以很容易的判斷出目標計算機開放了哪些TCP或UDP埠,然後針對埠的具體數字,進行下一步攻擊,這就是所謂的埠掃描攻擊。
1.5 分片IP報文攻擊
為了傳送一個大的IP報文,IP協議棧需要根據鏈路介面的MTU對該IP報文進行分片,通過填充適當的IP頭中的分片指示欄位,接收計算機可以很容易的把這些IP分片報文組裝起來。
目標計算機在處理這些分片報文的時候,會把先到的分片報文緩存起來,然後一直等待後續的分片報文,這個過程會消耗掉一部分內存,以及一些IP協議棧的數據結構。如果攻擊者給目標計算機只發送一片分片報文,而不發送所有的分片報文,這樣攻擊者計算機便會一直等待(直到一個內部計時器到時),如果攻擊者發送了大量的分片報文,就會消耗掉目標計算機的資源,而導致不能相應正常的IP報文,這也是一種DOS攻擊。
1.6 SYN比特和FIN比特同時設置
在TCP報文的報頭中,有幾個標志欄位:
1、 SYN:連接建立標志,TCP SYN報文就是把這個標志設置為1,來請求建立連接;
2、 ACK:回應標志,在一個TCP連接中,除了第一個報文(TCP SYN)外,所有報文都設置該欄位,作為對上一個報文的相應;
3、 FIN:結束標志,當一台計算機接收到一個設置了FIN標志的TCP報文後,會拆除這個TCP連接;
4、 RST:復位標志,當IP協議棧接收到一個目標埠不存在的TCP報文的時候,會回應一個RST標志設置的報文;
5、 PSH:通知協議棧盡快把TCP數據提交給上層程序處理。
正常情況下,SYN標志(連接請求標志)和FIN標志(連接拆除標志)是不能同時出現在一個TCP報文中的。而且RFC也沒有規定IP協議棧如何處理這樣的畸形報文,因此,各個操作系統的協議棧在收到這樣的報文後的處理方式也不同,攻擊者就可以利用這個特徵,通過發送SYN和FIN同時設置的報文,來判斷操作系統的類型,然後針對該操作系統,進行進一步的攻擊。
1.7 沒有設置任何標志的TCP報文攻擊
正常情況下,任何TCP報文都會設置SYN,FIN,ACK,RST,PSH五個標志中的至少一個標志,第一個TCP報文(TCP連接請求報文)設置SYN標志,後續報文都設置ACK標志。有的協議棧基於這樣的假設,沒有針對不設置任何標志的TCP報文的處理過程,因此,這樣的協議棧如果收到了這樣的報文,可能會崩潰。攻擊者利用了這個特點,對目標計算機進行攻擊。
1.8 設置了FIN標志卻沒有設置ACK標志的TCP報文攻擊
正常情況下,ACK標志在除了第一個報文(SYN報文)外,所有的報文都設置,包括TCP連接拆除報文(FIN標志設置的報文)。但有的攻擊者卻可能向目標計算機發送設置了FIN標志卻沒有設置ACK標志的TCP報文,這樣可能導致目標計算機崩潰。
1.9 死亡之PING
TCP/IP規范要求IP報文的長度在一定范圍內(比如,0-64K),但有的攻擊計算機可能向目標計算機發出大於64K長度的PING報文,導致目標計算機IP協議棧崩潰。
1.10 地址猜測攻擊
跟埠掃描攻擊類似,攻擊者通過發送目標地址變化的大量的ICMP ECHO報文,來判斷目標計算機是否存在。如果收到了對應的ECMP ECHO REPLY報文,則說明目標計算機是存在的,便可以針對該計算機進行下一步的攻擊。
1.11 淚滴攻擊
對於一些大的IP包,需要對其進行分片傳送,這是為了迎合鏈路層的MTU(最大傳輸單元)的要求。比如,一個4500位元組的IP包,在MTU為1500的鏈路上傳輸的時候,就需要分成三個IP包。
在IP報頭中有一個偏移欄位和一個分片標志(MF),如果MF標志設置為1,則表面這個IP包是一個大IP包的片斷,其中偏移欄位指出了這個片斷在整個IP包中的位置。例如,對一個4500位元組的IP包進行分片(MTU為1500),則三個片斷中偏移欄位的值依次為:0,1500,3000。這樣接收端就可以根據這些信息成功的組裝該IP包。
如果一個攻擊者打破這種正常情況,把偏移欄位設置成不正確的值,即可能出現重合或斷開的情況,就可能導致目標操作系統崩潰。比如,把上述偏移設置為0,1300,3000。這就是所謂的淚滴攻擊。
1.12 帶源路由選項的IP報文
為了實現一些附加功能,IP協議規范在IP報頭中增加了選項欄位,這個欄位可以有選擇的攜帶一些數據,以指明中間設備(路由器)或最終目標計算機對這些IP報文進行額外的處理。
源路由選項便是其中一個,從名字中就可以看出,源路由選項的目的,是指導中間設備(路由器)如何轉發該數據報文的,即明確指明了報文的傳輸路徑。比如,讓一個IP報文明確的經過三台路由器R1,R2,R3,則可以在源路由選項中明確指明這三個路由器的介面地址,這樣不論三台路由器上的路由表如何,這個IP報文就會依次經過R1,R2,R3。而且這些帶源路由選項的IP報文在傳輸的過程中,其源地址不斷改變,目標地址也不斷改變,因此,通過合適的設置源路由選項,攻擊者便可以偽造一些合法的IP地址,而矇混進入網路。
1.13 帶記錄路由選項的IP報文
記錄路由選項也是一個IP選項,攜帶了該選項的IP報文,每經過一台路由器,該路由器便把自己的介面地址填在選項欄位裡面。這樣這些報文在到達目的地的時候,選項數據裡面便記錄了該報文經過的整個路徑。
通過這樣的報文可以很容易的判斷該報文經過的路徑,從而使攻擊者可以很容易的尋找其中的攻擊弱點。
1.14 未知協議欄位的IP報文
在IP報文頭中,有一個協議欄位,這個欄位指明了該IP報文承載了何種協議 ,比如,如果該欄位值為1,則表明該IP報文承載了ICMP報文,如果為6,則是TCP,等等。目前情況下,已經分配的該欄位的值都是小於100的,因此,一個帶大於100的協議欄位的IP報文,可能就是不合法的,這樣的報文可能對一些計算機操作系統的協議棧進行破壞。
1.15 IP地址欺騙
一般情況下,路由器在轉發報文的時候,只根據報文的目的地址查路由表,而不管報文的源地址是什麼,因此,這樣就 可能面臨一種危險:如果一個攻擊者向一台目標計算機發出一個報文,而把報文的源地址填寫為第三方的一個IP地址,這樣這個報文在到達目標計算機後,目標計算機便可能向毫無知覺的第三方計算機回應。這便是所謂的IP地址欺騙攻擊。
比較著名的SQL Server蠕蟲病毒,就是採用了這種原理。該病毒(可以理解為一個攻擊者)向一台運行SQL Server解析服務的伺服器發送一個解析服務的UDP報文,該報文的源地址填寫為另外一台運行SQL Server解析程序(SQL Server 2000以後版本)的伺服器,這樣由於SQL Server 解析服務的一個漏洞,就可能使得該UDP報文在這兩台伺服器之間往復,最終導致伺服器或網路癱瘓。
1.16 WinNuke攻擊
NetBIOS作為一種基本的網路資源訪問介面,廣泛的應用於文件共享,列印共享,進程間通信(IPC),以及不同操作系統之間的數據交換。一般情況下,NetBIOS是運行在LLC2鏈路協議之上的,是一種基於組播的網路訪問介面。為了在TCP/IP協議棧上實現NetBIOS,RFC規定了一系列交互標准,以及幾個常用的TCP/UDP埠:
139:NetBIOS會話服務的TCP埠;
137:NetBIOS名字服務的UDP埠;
136:NetBIOS數據報服務的UDP埠。
WINDOWS操作系統的早期版本(WIN95/98/NT)的網路服務(文件共享等)都是建立在NetBIOS之上的,因此,這些操作系統都開放了139埠(最新版本的WINDOWS 2000/XP/2003等,為了兼容,也實現了NetBIOS over TCP/IP功能,開放了139埠)。
WinNuke攻擊就是利用了WINDOWS操作系統的一個漏洞,向這個139埠發送一些攜帶TCP帶外(OOB)數據報文,但這些攻擊報文與正常攜帶OOB數據報文不同的是,其指針欄位與數據的實際位置不符,即存在重合,這樣WINDOWS操作系統在處理這些數據的時候,就會崩潰。
1.17 Land攻擊
LAND攻擊利用了TCP連接建立的三次握手過程,通過向一個目標計算機發送一個TCP SYN報文(連接建立請求報文)而完成對目標計算機的攻擊。與正常的TCP SYN報文不同的是,LAND攻擊報文的源IP地址和目的IP地址是相同的,都是目標計算機的IP地址。這樣目標計算機接收到這個SYN報文後,就會向該報文的源地址發送一個ACK報文,並建立一個TCP連接控制結構(TCB),而該報文的源地址就是自己,因此,這個ACK報文就發給了自己。這樣如果攻擊者發送了足夠多的SYN報文,則目標計算機的TCB可能會耗盡,最終不能正常服務。這也是一種DOS攻擊。
1.18 Script/ActiveX攻擊
Script是一種可執行的腳本,它一般由一些腳本語言寫成,比如常見的JAVA SCRIPT,VB SCRIPT等。這些腳本在執行的時候,需要一個專門的解釋器來翻譯,翻譯成計算機指令後,在本地計算機上運行。這種腳本的好處是,可以通過少量的程序寫作,而完成大量的功能。
這種SCRIPT的一個重要應用就是嵌入在WEB頁面裡面,執行一些靜態WEB頁面標記語言(HTML)無法完成的功能,比如本地計算,資料庫查詢和修改,以及系統信息的提取等。這些腳本在帶來方便和強大功能的同時,也為攻擊者提供了方便的攻擊途徑。如果攻擊者寫一些對系統有破壞的SCRIPT,然後嵌入在WEB頁面中,一旦這些頁面被下載到本地,計算機便以當前用戶的許可權執行這些腳本,這樣,當前用戶所具有的任何許可權,SCRIPT都可以使用,可以想像這些惡意的SCRIPT的破壞程度有多強。這就是所謂的SCRIPT攻擊。
ActiveX是一種控制項對象,它是建立在MICROSOFT的組件對象模型(COM)之上的,而COM則幾乎是Windows操作系統的基礎結構。可以簡單的理解,這些控制項對象是由方法和屬性構成的,方法即一些操作,而屬性則是一些特定的數據。這種控制項對象可以被應用程序載入,然後訪問其中的方法或屬性,以完成一些特定的功能。可以說,COM提供了一種二進制的兼容模型(所謂二進制兼容,指的是程序模塊與調用的編譯環境,甚至操作系統沒有關系)。但需要注意的是,這種對象控制項不能自己執行,因為它沒有自己的進程空間,而只能由其它進程載入,並調用其中的方法和屬性,這時候,這些控制項便在載入進程的進程空間運行,類似與操作系統的可載入模塊,比如DLL庫。
ActiveX控制項可以嵌入在WEB頁面裡面,當瀏覽器下載這些頁面到本地後,相應地也下載了嵌入在其中的ActiveX控制項,這樣這些控制項便可以在本地瀏覽器進程空間中運行(ActiveX空間沒有自己的進程空間,只能由其它進程載入並調用),因此,當前用戶的許可權有多大,ActiveX的破壞性便有多大。如果一個惡意的攻擊者編寫一個含有惡意代碼的ActiveX控制項,然後嵌入在WEB頁面中,被一個瀏覽用戶下載後執行,其破壞作用是非常大的。這便是所謂的ActiveX攻擊。
1.19 Smurf攻擊
ICMP ECHO請求包用來對網路進行診斷,當一台計算機接收到這樣一個報文後,會向報文的源地址回應一個ICMP ECHO REPLY。一般情況下,計算機是不檢查該ECHO請求的源地址的,因此,如果一個惡意的攻擊者把ECHO的源地址設置為一個廣播地址,這樣計算機在恢復REPLY的時候,就會以廣播地址為目的地址,這樣本地網路上所有的計算機都必須處理這些廣播報文。如果攻擊者發送的ECHO 請求報文足夠多,產生的REPLY廣播報文就可能把整個網路淹沒。這就是所謂的smurf攻擊。
除了把ECHO報文的源地址設置為廣播地址外,攻擊者還可能把源地址設置為一個子網廣播地址,這樣,該子網所在的計算機就可能受影響。
1.20 虛擬終端(VTY)耗盡攻擊
這是一種針對網路設備的攻擊,比如路由器,交換機等。這些網路設備為了便於遠程管理,一般設置了一些TELNET用戶界面,即用戶可以通過TELNET到該設備上,對這些設備進行管理。
一般情況下,這些設備的TELNET用戶界面個數是有限制的,比如,5個或10個等。這樣,如果一個攻擊者同時同一台網路設備建立了5個或10個TELNET連接,這些設備的遠程管理界面便被占盡,這樣合法用戶如果再對這些設備進行遠程管理,則會因為TELNET連接資源被佔用而失敗。
1.21 路由協議攻擊
網路設備之間為了交換路由信息,常常運行一些動態的路由協議,這些路由協議可以完成諸如路由表的建立,路由信息的分發等功能。常見的路由協議有RIP,OSPF,IS-IS,BGP等。這些路由協議在方便路由信息管理和傳遞的同時,也存在一些缺陷,如果攻擊者利用了路由協議的這些許可權,對網路進行攻擊,可能造成網路設備路由表紊亂(這足可以導致網路中斷),網路設備資源大量消耗,甚至導致網路設備癱瘓。
下面列舉一些常見路由協議的攻擊方式及原理:
1.21.1 針對RIP協議的攻擊
RIP,即路由信息協議,是通過周期性(一般情況下為30S)的路由更新報文來維護路由表的,一台運行RIP路由協議的路由器,如果從一個介面上接收到了一個路由更新報文,它就會分析其中包含的路由信息,並與自己的路由表作出比較,如果該路由器認為這些路由信息比自己所掌握的要有效,它便把這些路由信息引入自己的路由表中。
這樣如果一個攻擊者向一台運行RIP協議的路由器發送了人為構造的帶破壞性的路由更新報文,就很容易的把路由器的路由表搞紊亂,從而導致網路中斷。
如果運行RIP路由協議的路由器啟用了路由更新信息的HMAC驗證,則可從很大程度上避免這種攻擊。
1.21.2 針對OSPF路由協議的攻擊
OSPF,即開放最短路徑優先,是一種應用廣泛的鏈路狀態路由協議。該路由協議基於鏈路狀態演算法,具有收斂速度快,平穩,杜絕環路等優點,十分適合大型的計算機網路使用。OSPF路由協議通過建立鄰接關系,來交換路由器的本地鏈路信息,然後形成一個整網的鏈路狀態資料庫,針對該資料庫,路由器就可以很容易的計算出路由表。
可以看出,如果一個攻擊者冒充一台合法路由器與網路中的一台路由器建立鄰接關系,並向攻擊路由器輸入大量的鏈路狀態廣播(LSA,組成鏈路狀態資料庫的數據單元),就會引導路由器形成錯誤的網路拓撲結構,從而導致整個網路的路由表紊亂,導致整個網路癱瘓。
當前版本的WINDOWS 操作系統(WIN 2K/XP等)都實現了OSPF路由協議功能,因此一個攻擊者可以很容易的利用這些操作系統自帶的路由功能模塊進行攻擊。
跟RIP類似,如果OSPF啟用了報文驗證功能(HMAC驗證),則可以從很大程度上避免這種攻擊。
1.21.3 針對IS-IS路由協議的攻擊
IS-IS路由協議,即中間系統到中間系統,是ISO提出來對ISO的CLNS網路服務進行路由的一種協議,這種協議也是基於鏈路狀態的,原理與OSPF類似。IS-IS路由協議經過 擴展,可以運行在IP網路中,對IP報文進行選路。這種路由協議也是通過建立鄰居關系,收集路由器本地鏈路狀態的手段來完成鏈路狀態資料庫同步的。該協議的鄰居關系建立比OSPF簡單,而且也省略了OSPF特有的一些特性,使該協議簡單明了,伸縮性更強。
對該協議的攻擊與OSPF類似,通過一種模擬軟體與運行該協議的路由器建立鄰居關系,然後傳頌給攻擊路由器大量的鏈路狀態數據單元(LSP),可以導致整個網路路由器的鏈路狀態資料庫不一致(因為整個網路中所有路由器的鏈路狀態資料庫都需要同步到相同的狀態),從而導致路由表與實際情況不符,致使網路中斷。
與OSPF類似,如果運行該路由協議的路由器啟用了IS-IS協議單元(PDU)HMAC驗證功能,則可以從很大程度上避免這種攻擊。
1.22 針對設備轉發表的攻擊
為了合理有限的轉發數據,網路設備上一般都建立一些寄存器表項,比如MAC地址表,ARP表,路由表,快速轉發表,以及一些基於更多報文頭欄位的表格,比如多層交換表,流項目表等。這些表結構都存儲在設備本地的內存中,或者晶元的片上內存中,數量有限。如果一個攻擊者通過發送合適的數據報,促使設備建立大量的此類表格,就會使設備的存儲結構消耗盡,從而不能正常的轉發數據或崩潰。
下面針對幾種常見的表項,介紹其攻擊原理:
1.22.1 針對MAC地址表的攻擊
MAC地址表一般存在於乙太網交換機上,乙太網通過分析接收到的數據幀的目的MAC地址,來查本地的MAC地址表,然後作出合適的轉發決定。
這些MAC地址表一般是通過學習獲取的,交換機在接收到一個數據幀後,有一個學習的過程,該過程是這樣的:
a) 提取數據幀的源MAC地址和接收到該數據幀的埠號;
查MAC地址表,看該MAC地址是否存在,以及對應的埠是否符合;
c) 如果該MAC地址在本地MAC地址表中不存在,則創建一個MAC地址表項;
d) 如果存在,但對應的出埠跟接收到該數據幀的埠不符,則更新該表;
e) 如果存在,且埠符合,則進行下一步處理。
分析這個過程可以看出,如果一個攻擊者向一台交換機發送大量源MAC地址不同的數據幀,則該交換機就可能把自己本地的MAC地址表學滿。一旦MAC地址表溢出,則交換機就不能繼續學習正確的MAC表項,結果是可能產生大量的網路冗餘數據,甚至可能使交換機崩潰。
而構造一些源MAC地址不同的數據幀,是非常容易的事情。
1.22.2 針對ARP表的攻擊
ARP表是IP地址和MAC地址的映射關系表,任何實現了IP協議棧的設備,一般情況下都通過該表維護IP地址和MAC地址的對應關系,這是為了避免ARP解析而造成的廣播數據報文對網路造成沖擊。ARP表的建立一般情況下是通過二個途徑:
1、 主動解析,如果一台計算機想與另外一台不知道MAC地址的計算機通信,則該計算機主動發ARP請求,通過ARP協議建立(前提是這兩台計算機位於同一個IP子網上);
2、 被動請求,如果一台計算機接收到了一台計算機的ARP請求,則首先在本地建立請求計算機的IP地址和MAC地址的對應表。
因此,如果一個攻擊者通過變換不同的IP地址和MAC地址,向同一台設備,比如三層交換機發送大量的ARP請求,則被攻擊設備可能會因為ARP緩存溢出而崩潰。
針對ARP表項,還有一個可能的攻擊就是誤導計算機建立正確的ARP表。根據ARP協議,如果一台計算機接收到了一個ARP請求報文,在滿足下列兩個條件的情況下,該計算機會用ARP請求報文中的源IP地址和源MAC地址更新自己的ARP緩存:
1、 如果發起該ARP請求的IP地址在自己本地的ARP緩存中;
2、 請求的目標IP地址不是自己的。
可以舉一個例子說明這個過程,假設有三台計算機A,B,C,其中B已經正確建立了A和C計算機的ARP表項。假設A是攻擊者,此時,A發出一個ARP請求報文,該請求報文這樣構造:
1、 源IP地址是C的IP地址,源MAC地址是A的MAC地址;
2、 請求的目標IP地址是A的IP地址。
這樣計算機B在收到這個ARP請求報文後(ARP請求是廣播報文,網路上所有設備都能收到),發現B的ARP表項已經在自己的緩存中,但MAC地址與收到的請求的源MAC地址不符,於是根據ARP協議,使用ARP請求的源MAC地址(即A的MAC地址)更新自己的ARP表。
這樣B的ARP混存中就存在這樣的錯誤ARP表項:C的IP地址跟A的MAC地址對應。這樣的結果是,B發給C的數據都被計算機A接收到。
1.22.3 針對流項目表的攻擊
有的網路設備為了加快轉發效率,建立了所謂的流緩存。所謂流,可以理解為一台計算機的一個進程到另外一台計算機的一個進程之間的數據流。如果表現在TCP/IP協議上,則是由(源IP地址,目的IP地址,協議號,源埠號,目的埠號)五元組共同確定的所有數據報文。
一個流緩存表一般由該五元組為索引,每當設備接收到一個IP報文後,會首先分析IP報頭,把對應的五元組數據提取出來,進行一個HASH運算,然後根據運算結果查詢流緩存,如果查找成功,則根據查找的結果進行處理,如果查找失敗,則新建一個流緩存項,查路由表,根據路由表查詢結果填完整這個流緩存,然後對數據報文進行轉發(具體轉發是在流項目創建前還是創建後並不重要)。
可以看出,如果一個攻擊者發出大量的源IP地址或者目的IP地址變化的數據報文,就可能導致設備創建大量的流項目,因為不同的源IP地址和不同的目標IP地址對應不同的流。這樣可能導致流緩存溢出
Ⅶ 計算機網路 五元組的概念
五元組:源IP地址、目的IP地址、協議號、源埠、目的埠
Ⅷ 計算機網路安全的簡答題目
1 防火牆的主要功能有哪些?(簡答只要把下面標題和第一句寫上就好,見大括弧內)
{(1)網路安全的屏障
防火牆可通過過濾不安全的服務而減低風險,極大地提高內部網路的安全性。}由於只有經過選擇並授權允許的應用協議才能通過防火牆,所以網路環境變得更安全。防火牆可以禁止諸如不安全的NFS協議進出受保護的網路,使攻擊者不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向路徑。防火牆能夠拒絕所有以上類型攻擊的報文,並將情況及時通知防火牆管理員。
(2)強化網路安全策略
通過以防火牆為中心的安全方案配置。能將所有安全軟體(如口令、加密、身份認證等)配置在防火牆上。與將網路安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如,在網路訪問時,一次一密口令系統和其他的身份認證系統完全可以不必分散在各個主機上而集中在防火牆。
(3)對網路存取和訪問進行監控審計由於所有的訪問都必須經過防火牆,所以防火牆就不僅能夠製作完整的日誌記錄,而且還能夠提供網路使用的情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。另外,收集一個網路的使用和誤用情況也是一項非常重要的工作。這不僅有助於了解防火牆的控制是否能夠抵擋攻擊者的探測和攻擊,了解防火牆的控制是否充分有效,而且有助於作出網路需求分析和威脅分析。
(4)防止內部信息的外泄
通過利用防火牆對內部網路的劃分,可實現內部網中重點網段的隔離,限制內部網路中不同部門之間互相訪問,從而保障了網路內部敏感數據的安全。另外,隱私是內部網路非常關心的問題,一個內部網路中不引人注意的細節,可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至由此而暴露了內部網路的某些安全漏洞。使用防火牆就可以隱藏那些透露內部細節的服務,如Finger、DNS等。Finger顯示了主機的所有用戶的用戶名、真名、最後登錄時間和使用Shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路的DNS信息,這樣一台主機的域名和IP地址就不會被外界所了解。
2:要傳遞的確切的消息就是明文; 被加密後的消息就是密文;
密鑰:參與變換的參數; 加密演算法:用於數據加密的一組數學變換;
解密演算法:用於解密的一組數學變換;
3:入侵檢測技術的原理是什麼?
入侵檢測技術(IDS)可以被定義為對計算機和網路資源的惡意使用行為進行識別和相應處理的系統。包括系統外部的入侵和內部用戶的非授權行為,是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術,是一種用於檢測計算機網路中違反安全策略行為的技術
4. 什麼是計算機病毒?
計算機病毒(Computer Virus)在《中華人民共和國計算機信息系統安全保護條例》中被明確定義,病毒指「編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自 我復制的一組計算機指令或者程序代碼」。
5. 試述網路安全技術的發展趨勢。
從技術層面來看,目前網路安全產品在發展過程中面臨的主要問題是:以往人們主要關心系統與網路基礎層面的防護問題,而現在人們更加關注應用層面的安全防護問題,安全防護已經從底層或簡單數據層面上升到了應用層面,這種應用防護問題已經深入到業務行為的相關性和信息內容的語義范疇,越來越多的安全技術已經與應用相結合。
1.防火牆技術發展趨勢
在混合攻擊肆虐的時代,單一功能的防火牆遠不能滿足業務的需要,而具備多種安全功能,基於應用協議層防禦、低誤報率檢測、高可靠高性能平台和統一組件化管理的技術,優勢將得到越來越多的體現,UTM(UnifiedThreatManagement,統一威脅管理)技術應運而生。
從概念的定義上看,UTM既提出了具體產品的形態,又涵蓋了更加深遠的邏輯范疇。從定義的前半部分來看,很多廠商提出的多功能安全網關、綜合安全網關、一體化安全設備都符合UTM的概念;而從後半部分來看,UTM的概念還體現了經過多年發展之後,信息安全行業對安全管理的深刻理解以及對安全產品可用性、聯動能力的深入研究。
UTM的功能見圖1.由於UTM設備是串聯接入的安全設備,因此UTM設備本身必須具備良好的性能和高可靠性,同時,UTM在統一的產品管理平台下,集防火牆、VPN、網關防病毒、IPS、拒絕服務攻擊等眾多產品功能於一體,實現了多種防禦功能,因此,向UTM方向演進將是防火牆的發展趨勢。UTM設備應具備以下特點。
(1)網路安全協議層防禦。防火牆作為簡單的第二到第四層的防護,主要針對像IP、埠等靜態的信息進行防護和控制,但是真正的安全不能只停留在底層,我們需要構建一個更高、更強、更可靠的牆,除了傳統的訪問控制之外,還需要對垃圾郵件、拒絕服務、黑客攻擊等外部威脅起到綜合檢測和治理的作用,實現七層協議的保護,而不僅限於第二到第四層。
(2)通過分類檢測技術降低誤報率。串聯接入的網關設備一旦誤報過高,將會對用戶帶來災難性的後果。
(3)有高可靠性、高性能的硬體平台支撐。
(4)一體化的統一管理。由於UTM設備集多種功能於一身,因此,它必須具有能夠統一控制和管理的平台,使用戶能夠有效地管理。這樣,設備平台可以實現標准化並具有可擴展性,用戶可在統一的平台上進行組件管理,同時,一體化管理也能消除信息產品之間由於無法溝通而帶來的信息孤島,從而在應對各種各樣攻擊威脅的時候,能夠更好地保障用戶的網路安全。
6.簡述物理安全在計算機網路安全中的地位,並說明其包含的主要內容。
目前網路上的安全威脅大體可分為兩種:一是對網路數據的威脅; 二是對網路設備的威脅。這些威脅可能來源於各種因素:外部和內部人員的惡意攻擊,是電子商務、政府上網工程等順利發展的最大障礙。
物理安全的目的是保護路由器、工作站、網路伺服器等硬體實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊。只有使內部網和公共網物理隔離,才能真正保證黨政機關的內部信息網路不受來自互聯網的黑客攻擊。
在實行物理隔離之前,我們對網路的信息安全有許多措施,如在網路中增加防火牆、防病毒系統,對網路進行入侵檢測、漏洞掃描等。由於這些技術的極端復雜性與有限性,這些在線分析技術無法提供某些機構(如軍事、政府、金融等)提出的高度數據安全要求。而且,此類基於軟體的保護是一種邏輯機制,對於邏輯實體而言極易被操縱。後面的邏輯實體指黑客、內部用戶等。 正因為如此,我們的涉密網不能把機密數據的安全完全寄託在用概率來作判斷的防護上,必須有一道絕對安全的大門,保證涉密網的信息不被泄露和破壞,這就是物理隔離所起的作用。
7.網路安全的主要技術有哪些?
物理措施 訪問控制 數據加密 網路隔離 其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等
8.什麼是計算機病毒,以及它的特徵?
計算機病毒是指「編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自 我復制的一組計算機指令或者程序代碼」。
特徵:寄生性 傳染性 潛伏性 隱蔽性 破壞性 可觸發性
9談談計算機網路安全設計遵循的基本原則。
整體原則、有效性有效性與實用性原則、安全評價性原則、等級性原則、動態化原則
Ⅸ 計算機網路體系結構詳解(7層、5層、4層的區別)
在學習計算機網路體系結構模型的時候,相信大家經常會有這樣的疑惑?計算機網路體系結構到底是多少層模型?其實,無論是說7層、5層還是4層都是可以的。下面讓我帶著大家深入了解它們之間的區別。
什麼是OSI?其中文名叫做國際標准化組織,那麼這個組織是幹嘛的呢?這個組織屬實厲害,正如它的名字一樣,專門為全球制定一些標准。制定了標准後,那麼世界各地的國家就不會動什麼歪心思,想著自己制定一個標准來讓其他國家遵循。(例如美國典型的霸權主義思想hh)好的,廢話少說,下面我們先看錶再解釋:
計算機網路體系結構5層模型是OSI和TCP/IP的綜合,是市場生產出來的模型。(主要是因為官方的7層模型太過麻煩復雜)因此主要差別是去掉了會話層和表示層,而傳輸層改為了運輸層,因為他們覺得運輸名字更貼切。
可以看到,TCP/IP(傳輸控制協議/網際協議)只有4層,變得更加簡潔、高效。