1. 網路術語解釋Ⅰ(高分)
FTP是英文File Transfer Protocol的縮寫,意思是文件傳輸協議。它和HTTP一樣都是Internet上廣泛使用的協議,用來在兩台計算機之間互相傳送文件。相比於HTTP,FTP協議要復雜得多。復雜的原因,是因為FTP協議要用到兩個TCP連接,一個是命令鏈路,用來在FTP客戶端與伺服器之間傳遞命令;另一個是數據鏈路,用來上傳或下載數據。
FTP協議有兩種工作方式:PORT方式和PASV方式,中文意思為主動式和被動式。
PORT(主動)方式的連接過程是:客戶端向伺服器的FTP埠(默認是21)發送連接請求,伺服器接受連接,建立一條命令鏈路。當需要傳送數據時,客戶端在命令鏈上用PORT命令告訴伺服器:「我打開了XXXX埠,你過來連接我」。於是伺服器從20埠向客戶端的XXXX埠發送連接請求,建立一條數據鏈路來傳送數據。
PASV(被動)方式的連接過程是:客戶端向伺服器的FTP埠(默認是21)發送連接請求,伺服器接受連接,建立一條命令鏈路。當需要傳送數據時,伺服器在命令鏈上用PASV命令告訴客戶端:「我打開了XXXX埠,你過來連接我」。於是客戶端向伺服器的XXXX埠發送連接請求,建立一條數據鏈路來傳送數據。
從上面可以看出,兩種方式的命令鏈路連接方法是一樣的,而數據鏈路的建立方法就完全不同。而FTP的復雜性就在於此。
第二個 : HTTP是什麼?
當我們想瀏覽一個網站的時候,只要在瀏覽器的地址欄里輸入網站的地址就可以了,例如www.microsoft.com,但是在瀏覽器的地址欄裡面出現的卻是:http://www.microsoft.com ,你知道為什麼會多出一個「http」嗎?
一、HTTP協議是什麼
我們在瀏覽器的地址欄里輸入的網站地址叫做URL (Uniform Resource Locator,統一資源定位符)。就像每家每戶都有一個門牌地址一樣,每個網頁也都有一個Internet地址。當你在瀏覽器的地址框中輸入一個URL或是單擊一個超級鏈接時,URL就確定了要瀏覽的地址。瀏覽器通過超文本傳輸協議(HTTP),將Web伺服器上站點的網頁代碼提取出來,並翻譯成漂亮的網頁。因此,在我們認識HTTP之前,有必要先弄清楚URL的組成,例如:http://www.microsoft.com/china/index.htm。它的含義如下:
1. http://:代表超文本傳輸協議,通知microsoft.com伺服器顯示Web頁,通常不用輸入;
2. www:代表一個Web(萬維網)伺服器;
3. Microsoft.com/:這是裝有網頁的伺服器的域名,或站點伺服器的名稱;
4. China/:為該伺服器上的子目錄,就好像我們的文件夾;
5. Index.htm:index.htm是文件夾中的一個HTML文件(網頁)。
我們知道,Internet的基本協議是TCP/IP協議,然而在TCP/IP模型最上層的是應用層(Application layer),它包含所有高層的協議。高層協議有:文件傳輸協議FTP、電子郵件傳輸協議SMTP、域名系統服務DNS、網路新聞傳輸協議NNTP和HTTP協議等。
HTTP協議(Hypertext Transfer Protocol,超文本傳輸協議)是用於從WWW伺服器傳輸超文本到本地瀏覽器的傳送協議。它可以使瀏覽器更加高效,使網路傳輸減少。它不僅保證計算機正確快速地傳輸超文本文檔,還確定傳輸文檔中的哪一部分,以及哪部分內容首先顯示(如文本先於圖形)等。這就是你為什麼在瀏覽器中看到的網頁地址都是以http://開頭的原因。
自WWW誕生以來,一個多姿多彩的資訊和虛擬的世界便出現在我們眼前,可是我們怎麼能夠更加容易地找到我們需要的資訊呢?當決定使用超文本作為WWW文檔的標准格式後,於是在1990年,科學家們立即制定了能夠快速查找這些超文本文檔的協議,即HTTP協議。經過幾年的使用與發展,得到不斷的完善和擴展,目前在WWW中使用的是HTTP/1.0的第六版。
二、HTTP是怎樣工作的
既然我們明白了URL的構成,那麼HTTP是怎麼工作呢?我們接下來就要討論這個問題。
由於HTTP協議是基於請求/響應範式的(相當於客戶機/伺服器)。一個客戶機與伺服器建立連接後,發送一個請求給伺服器,請求方式的格式為:統一資源標識符(URL)、協議版本號,後邊是MIME信息包括請求修飾符、客戶機信息和可能的內容。伺服器接到請求後,給予相應的響應信息,其格式為一個狀態行,包括信息的協議版本號、一個成功或錯誤的代碼,後邊是MIME信息包括伺服器信息、實體信息和可能的內容。
許多HTTP通訊是由一個用戶代理初始化的並且包括一個申請在源伺服器上資源的請求。最簡單的情況可能是在用戶代理和伺服器之間通過一個單獨的連接來完成。在Internet上,HTTP通訊通常發生在TCP/IP連接之上。預設埠是TCP 80,但其它的埠也是可用的。但這並不預示著HTTP協議在Internet或其它網路的其它協議之上才能完成。HTTP只預示著一個可靠的傳輸。
這個過程就好像我們打電話訂貨一樣,我們可以打電話給商家,告訴他我們需要什麼規格的商品,然後商家再告訴我們什麼商品有貨,什麼商品缺貨。這些,我們是通過電話線用電話聯系(HTTP是通過TCP/IP),當然我們也可以通過傳真,只要商家那邊也有傳真。
以上簡要介紹了HTTP協議的宏觀運作方式,下面介紹一下HTTP協議的內部操作過程。
在WWW中,「客戶」與「伺服器」是一個相對的概念,只存在於一個特定的連接期間,即在某個連接中的客戶在另一個連接中可能作為伺服器。基於HTTP協議的客戶/伺服器模式的信息交換過程,它分四個過程:建立連接、發送請求信息、發送響應信息、關閉連接。這就好像上面的例子,我們電話訂貨的全過程。
其實簡單說就是任何伺服器除了包括HTML文件以外,還有一個HTTP駐留程序,用於響應用戶請求。你的瀏覽器是HTTP客戶,向伺服器發送請求,當瀏覽器中輸入了一個開始文件或點擊了一個超級鏈接時,瀏覽器就向伺服器發送了HTTP請求,此請求被送往由IP地址指定的URL。駐留程序接收到請求,在進行必要的操作後回送所要求的文件。在這一過程中,在網路上發送和接收的數據已經被分成一個或多個數據包(packet),每個數據包包括:要傳送的數據;控制信息,即告訴網路怎樣處理數據包。TCP/IP決定了每個數據包的格式。如果事先不告訴你,你可能不會知道信息被分成用於傳輸和再重新組合起來的許多小塊。
也就是說商家除了擁有商品之外,它也有一個職員在接聽你的電話,當你打電話的時候,你的聲音轉換成各種復雜的數據,通過電話線傳輸到對方的電話機,對方的電話機又把各種復雜的數據轉換成聲音,使得對方商家的職員能夠明白你的請求。這個過程你不需要明白聲音是怎麼轉換成復雜的數據的。
TCP/IP的通訊協議
這部分簡要介紹一下TCP/IP的內部結構,為討論與互聯網有關的安全問題打下基礎。TCP/IP協議組之所以流行,部分原因是因為它可以用在各種各樣的信道和底層協議(例如T1和X.25、乙太網以及RS-232串列介面)之上。確切地說,TCP/IP協議是一組包括TCP協議和IP協議,UDP(User Datagram Protocol)協議、ICMP(Internet Control Message Protocol)協議和其他一些協議的協議組。
TCP/IP整體構架概述
TCP/IP協議並不完全符合OSI的七層參考模型。傳統的開放式系統互連參考模型,是一種通信協議的7層抽象的參考模型,其中每一層執行某一特定任務。該模型的目的是使各種硬體在相同的層次上相互通信。這7層是:物理層、數據鏈路層、網路層、傳輸層、話路層、表示層和應用層。而TCP/IP通訊協議採用了4層的層級結構,每一層都呼叫它的下一層所提供的網路來完成自己的需求。這4層分別為:
應用層:應用程序間溝通的層,如簡單電子郵件傳輸(SMTP)、文件傳輸協議(FTP)、網路遠程訪問協議(Telnet)等。
傳輸層:在此層中,它提供了節點間的數據傳送服務,如傳輸控制協議(TCP)、用戶數據報協議(UDP)等,TCP和UDP給數據包加入傳輸數據並把它傳輸到下一層中,這一層負責傳送數據,並且確定數據已被送達並接收。
互連網路層:負責提供基本的數據封包傳送功能,讓每一塊數據包都能夠到達目的主機(但不檢查是否被正確接收),如網際協議(IP)。
網路介面層:對實際的網路媒體的管理,定義如何使用實際網路(如Ethernet、Serial Line等)來傳送數據。
TCP/IP中的協議
以下簡單介紹TCP/IP中的協議都具備什麼樣的功能,都是如何工作的:
1. IP
網際協議IP是TCP/IP的心臟,也是網路層中最重要的協議。
IP層接收由更低層(網路介面層例如乙太網設備驅動程序)發來的數據包,並把該數據包發送到更高層---TCP或UDP層;相反,IP層也把從TCP或UDP層接收來的數據包傳送到更低層。IP數據包是不可靠的,因為IP並沒有做任何事情來確認數據包是按順序發送的或者沒有被破壞。IP數據包中含有發送它的主機的地址(源地址)和接收它的主機的地址(目的地址)。
高層的TCP和UDP服務在接收數據包時,通常假設包中的源地址是有效的。也可以這樣說,IP地址形成了許多服務的認證基礎,這些服務相信數據包是從一個有效的主機發送來的。IP確認包含一個選項,叫作IP source routing,可以用來指定一條源地址和目的地址之間的直接路徑。對於一些TCP和UDP的服務來說,使用了該選項的IP包好象是從路徑上的最後一個系統傳遞過來的,而不是來自於它的真實地點。這個選項是為了測試而存在的,說明了它可以被用來欺騙系統來進行平常是被禁止的連接。那麼,許多依靠IP源地址做確認的服務將產生問題並且會被非法入侵。
2. TCP
如果IP數據包中有已經封好的TCP數據包,那麼IP將把它們向『上』傳送到TCP層。TCP將包排序並進行錯誤檢查,同時實現虛電路間的連接。TCP數據包中包括序號和確認,所以未按照順序收到的包可以被排序,而損壞的包可以被重傳。
TCP將它的信息送到更高層的應用程序,例如Telnet的服務程序和客戶程序。應用程序輪流將信息送回TCP層,TCP層便將它們向下傳送到IP層,設備驅動程序和物理介質,最後到接收方。
面向連接的服務(例如Telnet、FTP、rlogin、X Windows和SMTP)需要高度的可靠性,所以它們使用了TCP。DNS在某些情況下使用TCP(發送和接收域名資料庫),但使用UDP傳送有關單個主機的信息。
3.UDP
UDP與TCP位於同一層,但對於數據包的順序錯誤或重發。因此,UDP不被應用於那些使用虛電路的面向連接的服務,UDP主要用於那些面向查詢---應答的服務,例如NFS。相對於FTP或Telnet,這些服務需要交換的信息量較小。使用UDP的服務包括NTP(網落時間協議)和DNS(DNS也使用TCP)。
欺騙UDP包比欺騙TCP包更容易,因為UDP沒有建立初始化連接(也可以稱為握手)(因為在兩個系統間沒有虛電路),也就是說,與UDP相關的服務面臨著更大的危險。
4.ICMP
ICMP與IP位於同一層,它被用來傳送IP的的控制信息。它主要是用來提供有關通向目的地址的路徑信息。ICMP的『Redirect』信息通知主機通向其他系統的更准確的路徑,而『Unreachable』信息則指出路徑有問題。另外,如果路徑不可用了,ICMP可以使TCP連接『體面地』終止。PING是最常用的基於ICMP的服務。
5. TCP和UDP的埠結構
TCP和UDP服務通常有一個客戶/伺服器的關系,例如,一個Telnet服務進程開始在系統上處於空閑狀態,等待著連接。用戶使用Telnet客戶程序與服務進程建立一個連接。客戶程序向服務進程寫入信息,服務進程讀出信息並發出響應,客戶程序讀出響應並向用戶報告。因而,這個連接是雙工的,可以用來進行讀寫。
兩個系統間的多重Telnet連接是如何相互確認並協調一致呢?TCP或UDP連接唯一地使用每個信息中的如下四項進行確認:
源IP地址---發送包的IP地址。
目的IP地址---接收包的IP地址。
源埠---源系統上的連接的埠。
目的埠---目的系統上的連接的埠。
埠是一個軟體結構,被客戶程序或服務進程用來發送和接收信息。一個埠對應一個16比特的數。服務進程通常使用一個固定的埠,例如,SMTP使用25、Xwindows使用6000。這些埠號是『廣為人知』的,因為在建立與特定的主機或服務的連接時,需要這些地址和目的地址進行通訊。
什麼是DNS?
這次教你一個對上網蠻重要的東西,它叫DNS(Domain Name System)。呵呵,光看名字就有點莫名其妙是吧?其實,DNS的作用和我們電話的114查號台一樣,它的作用就是把域名和IP地址聯系在一起。事實上,每一個網站在網路上的識別標志是我們平常聽到的IP地址,而不是什麼www.sohu.com之類的域名,但因為IP地址為純數字的,很難記,所以就有專業的伺服器將一個個域名和特定的伺服器的IP地址聯起來,這樣,在我們上網查找網頁的時候,就可以輸入容易記憶的域名了。
DNS的由來
你可能會很奇怪,為什麼需要DNS這樣一種東西?為什麼不一開始就使用文字形式的網路地址。其實這里有個「歷史遺留問題」。在早起的網路世界裡,每台電腦都只用IP地址來表示,那時的電腦主機很少,所以記憶起來也不難。不久,僅僅用腦子和紙筆記憶這些IP地址就太麻煩了,於是一些UNIX(一種操作系統,主要用於伺服器)的使用者就建立一個hosts對應表(這個我後面再解釋),將IP地址和主機名稱對應起來。這樣,用戶只需輸入電腦名字就可以代替IP來進行溝通了。
DNS時如何工組的
DNS使用的時階層式工作方式,很像電腦的目錄樹結構,在最高層是根目錄,然後下面分為很多子目錄,子目錄裡面還有子目錄(什麼,不懂什麼是目錄樹?按住有windows徽標的那個鍵,然後按R,輸入cmd,在打開的那個黑色的屏幕里輸入tree,看看吧,這個就是目錄樹)。例如,yahoo.com.cn這個網站,這個域名可不是憑空來的,而是從com.cn分配下來的,com.cn又是從cn分配而來的,猜猜.cn是從哪裡來的?告訴你,是從「.」來的,這個就是「根域」(root domain)。根域是域名的最高層,而「.」這層是由INIC(Internet Network Information Center,互聯網信息中心)所管理。全世界的域名就是這樣,一層一層的解釋,我們的電腦就是通過問掌管不同域的DNS伺服器,從而最終得到這個網站的IP地址。而平常我們不輸「yahoo.com.cn.」是我們可以省略「.」。(世界上有很多主幹DNS伺服器,其中最重要的是13台路由伺服器。如果路由伺服器無法正常運行,那麼INTENET就會陷入癱瘓。這13台伺服器的名字分別為「A」至「M」,其中10台設置在美國,另外各有一台設置在英國、瑞典和日本。
一、 影響我國計算機網路安全的主要原因 「計算機安全」被計算機網路安全國際標准化組織(ISO)將定義為:「為數據處理系統建立和採取的技術和管理的安全保護,保護計算機硬體、軟體數據不因偶然和惡意的原因而遭到破壞、更改和泄漏」。影響我國計算機網路安全的原因,可以分為兩個方面來看,網路自身的原因導致的計算機網路安全問題,主要有以下的因素。 (1)系統的安全存在漏洞所謂系統漏洞,用專業術語可以這樣解釋,是指應用軟體或操作系統軟體在邏輯設計上的缺陷或在編寫時產生的錯誤,這個缺陷或錯誤一旦被不法者或者電腦黑客利用,通過植入木馬、病毒等方式可以達到攻擊或控制整個電腦,從而竊取您電腦中的數據,信息資料,甚至破壞您的系統。而每一個系統都並不是完美無缺的,沒有任何一個系統可以避免系統漏洞的存在,事實上,要修補系統漏洞也是十分困難的事情。漏洞會影響到的范圍很大,他會影響到包括系統本身及其支撐軟體,網路客戶和伺服器軟體,網路路由器和安全防火牆等。也就是說在這些不同的軟硬體設備中都會存在不同的安全漏洞。 (2)來自內部網用戶的安全威脅內網就是區域網,它是以NAT(網路地址轉換)協議,通過一個公共的網關訪問Internet。如果將內部網和外部網相比較,來自內部網用戶的威脅要遠遠大於外部網用戶的威脅,這是由於內部網用戶在使用中缺乏安全意識,例如移動存儲介質的無序管理、使用盜版軟體等,都是內網所存在的網路安全的隱患。 (3)缺乏有效的手段監視網路安全評估系統所謂網路安全評估系統,用比較通俗易懂的話來說,就是對網路進行檢查,看是否有會被黑客利用的漏洞。因此如果不經常運用安全評估系統,對其進行相應的檢查和作出修補,就會造成數據信息資料的外泄。 (4)安全工具更新過慢安全工具指的是保護系統正常運行,並且有效防止數據、資料信息外泄的工具。由於技術在不斷的進步,黑客的技術也在不斷的提升,如果安全工具更新過慢,黑客就會利用新的技術,對其系統存在的漏洞導致一些未知的安全隱患。 由於中國的計算機星期並且廣泛的被使用是近20多年的事情,因而在這么快速的不可遏制的發展趨勢下,還沒有來得及形成一整套比較完整的法律法規。這就為許多的不法分子對於信息的盜取提供了可趁之機,也就留下了許多的隱患。 二、 網路安全問題 (1)網路系統運行的安全問題 隨著 1995 年以來多個上網工程的全面啟動,我國各級政府、企事業單位、網路公司、銀行系統等陸續設立自己的網站,電子商務也正以前所未有的速度迅速發展,但相應的網路安全的投入與建設明顯滯後,許多應用系統安全防護能力低或處於不設防狀態,存在著極大的信息安全風險和隱患。 此外,目前絕大部分的互聯網訪問流量都來自互聯網數據中心(Internet data center,簡稱IDC),因此加強數據中心的安全就顯得特別的重要。從以前出現的網路安全案例來看,這方面是國內網路安全的關鍵問題之一。 (2)互聯網信息發布和管理中存在的問題 在2000年12 月28日全國人大通過的《關於維護互聯網安全的決定》中,對於網路安全作出了詳細的規定,而在日常工作中,有些單位和個人並沒有嚴格按照規定來執行,把一些不應該在網上公布的信息在網上公布了,實際工作中缺少詳細的操作規程和管理規章。 從近期我國發生的安全攻擊事件來看,有很多是因為內部人員的疏忽大意。因此,不管是在互聯網上發布信息的單位,還是提供互聯網信息服務的機構,很有必要加強內部的安全體系,尤其是對於系統管理和維護的人員,提高技術水平和安全意識就尤為重要了。 (3)基礎信息產業嚴重依靠國外帶來的安全問題 我國的信息化建設還基本上依靠國外技術設備。當外國網路安全公司大舉推銷安全產品時,我們是在相對缺乏知識和經驗的情況下引進的,難免出現了花錢買淘汰技術和不成熟技術的現象。 在計算機軟硬體的生產領域,我們在關鍵部位和環節上受制於人,計算機硬體中許多核心部件(特別是CPU)都是外國廠商製造的;計算機軟體也面臨市場壟斷和價格歧視的威脅,國外廠商幾乎壟斷了我國計算機軟體市場。 從信息安全的角度來講,對國外技術的過於依賴存在安全方面的隱患,如果不擺脫這方面的困境,是不能從根本上解決我們的信息和網路安全問題的。 (4)全社會的信息安全意識淡薄 有些人對於我國目前網路安全的現狀沒有客觀清醒的認識,少數人認為我國信息化程度不高,互聯網用戶的數量也不多,信息安全的問題現在還不嚴重,這種錯誤的認識已經成為我國網路安全的嚴重隱患。 另外,我國的信息安全領域在研究開發、產業發展、人才培養、隊伍建設等方面和迅速發展的 IT 業形勢極不適應,目前這方面還僅僅作為信息化的研究分支立項,投入很少,這種狀況下,國內和國外差距正在越來越大。 對於互聯網用戶而言,應該對目前互聯網用戶系統存在的安全隱患有明確的認識,在安裝操作系統和應用軟體時及時對安全漏洞進行掃描並加以修補。 以上的問題已經明擺在我們面前,並且影響和威脅著互聯網的正常發展,如果不能得到及時解決,在激烈的信息爭奪和網路信息大戰中我們就會處於被動和弱勢。 三、 保證我國計算機網路安全的對策 (1)建立安全管理機構。計算機網路安全系統其自身是脆弱並且存在漏洞的,但是要避免其數據資料的外泄,也並不是無計可施,比如建立安全管理機構,就可以有效的防止由於系統漏洞所帶來的不良後果。使黑客沒有下手的可能。 (2)安裝必要的安全軟體,並及時更新。安裝必要的殺毒軟體,可以保證在遇到黑客攻擊或者是有不良病毒入侵的時候,及時的隔離或者提醒用戶,防止惡意不法分子對重要信息的竊取和訪問,或者因此而帶來的關於電腦的癱瘓。 (3)網路系統備份和恢復。網路系統備份是指對於重要的資料和核心數據進行備份,以保證當計算機遭遇了黑客攻擊,還可以通過系統快速的恢復相關資料。這是使用計算機應該養成的一個良好的習慣。 (4)完善相應的法律規章制度。在技術上做到防止其信息安全可能發生的同時,也應該在管理上做出相應的對策,對其建立完整,行之有效的一個制度,以保證能夠在技術和管理上相得益彰的保證網路信息的安全。2.5加強職業道德教育不管是建立安全管理機構還是安裝安全軟體或者資料備份,這些並不是解決網路安全的根本方法。而只有加強計算機從業者進行道德教育,培訓,增強他們的安全意識,並且對於青年人進行必要的網路安全知識的素質教育,才能做到比較切實的防患。 四、 總結 近年來,我國計算機的運用普及,以及在數字經濟時代所作出的推動作用,網路安全也受到大家的關注。本文簡單分析了我國計算機網路安全問題並提出了相應的對策。總之網路安全並不是一個簡單的技術問題,還涉及到管理的方面。在日益發展的技術時代,網路安全技術也會不斷的進步和發展。