计算机网络5元组

Ⅰ 广州五元组人工智能科技有限公司怎么样

广州五元组人工智能科技有限公司是2017-12-15注册成立的有限责任公司(自然人独资)，注册地址位于广州市天河区金穗路8号1101自编A10房(仅限办公)。

广州五元组人工智能科技有限公司的统一社会信用代码/注册孙拦腊号是91440101MA5AN43434，企业法人刘浏，目前企业处于开业状态。

广州五元组人工智能科技有限公司的经营范围是：网络技术的研究、开发;计算机技术开发、技术服务;计算机网衡拆络系统工程服务;软件服务;软件测试服务;软件零售;软件开发;商品批发贸易（许可审批类商品除外）;商品零售贸易（许可审批类商品除外）;会议及展览服务;。

通过爱企查查看广州五元组人工智能科技有限公司更多信则滑息和资讯。

Ⅱ 计算机网络通常由哪些部分组成

计算机网络通常由以下几个部分组成：

• 硬件：包括计算机、路由器、交换机、调制解调器等硬件设备，用于在网络中传输和处理数据。

• 1、软件：包括操作系统、网络协议、网络服务、应用程序等软件，用于控制网络硬件设备的操作，并提供各种网络服务。

• 2、协议：网络协议规定了网络中数据的传输方式和处理方式。常见的协议包括TCP/IP协议、HTTP协议、FTP协议、SMTP协议等。

• 3、拓扑结构：网络拓扑结构指的是网络中各个设备之间的物理连接方式。常见的拓扑结构包括星型拓扑、总线型拓扑、环型拓扑等。

• 4、网络服务：网络服务是网络中的各种应用程序，包括电子邮件、文件传输、远程登录、网页浏览等服务。

• 5、安全机制：网络安全是网络中一个重要的方面，包括防火桥慎滑墙、加密技术、身份认证、访问控制等安全机制，用于保护网络中的数据和设备免受攻击和威胁。

总之，计算机网络是由硬件、软孝迹件、协议、拓扑结构、网络服务和安全机制等多个组成部分构成的复杂系统。这些组成部分相互作用，共同实现了计算机网络中的数据传输、处理、存储和管理等功能。

-------FunNet超有趣学敏腊网络

Ⅲ 网络安全设备有哪些

1、防火墙

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护。

同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

主要是在两个网络之间做隔离并需要数据交换，网闸是具有中国特色的产品。

Ⅳ 计算机网络(5)| 运输层

从通信和处理信息的角度看，运输层是向它上面的应用层提供通信服务的，它属于面向通信部分的最高层，同时也是用户功能中的最低层。当网络的边缘部分中的两台主机使用网络的核心部分的功能进行端到端的通信时，只有主机的协议栈才有运输层，而网络核心部分中的路由器在转发分组时都只用到下三层的功能。

运输层的两个主要协议 TCP/IP 都是互联网的正式标准，即：
（1）用户数据报协议UDP
（2）传输控制协议TCP

TCP则是面向连接的服务。在传送数据之前必须先建立连接，数据传送结束后要释放连接。TCP不提供广播或者多播服务。由于TCP要提供可靠的面向连接的运输服务，因此需要增加很多的开销。

TCP/IP的运输层用一个16位端口号来标志一个端口。端口号只有本地意义。它是为了标志本计算机应用层中的各个进程在和运输层交互时的层间接口。

运输层的端口号分为以下两类：
（1）服务器端使用的端口号： 它主要分为系统端口号0～1023和登记端口号1024～49151。

（2）客户端使用的端口号： 49152～65535，这类端口号仅在客户端进程运行时才动态选择。当服务器收到客户端进程的报文时，就知道客户端进程的端口号。因而可以把数据发送给客户进程。

用户数据报协议相比于IP的数据报服务就是只增加了复用、分用和差错检测功能。UDP的主要特点是：
（1）UDP是无连接的， 发送数据之前不需要建立连接，因此减少开销和发送数据之前的时延。
（2）UDP使用尽最大努力交付， 即不保证可靠交付，因此主机不需要维持复杂的连接状态表。
（3）UDP是面向报文的。 发送方的UDP对应用交下来的报文，添加首部后就向下交付给IP层。不对报文做任何处理，因此当报文过长时，IP层可能需要进行分片处理。
（4）UDP没有拥塞控制， 网络出现的拥塞不会使源主机的发送速率减低。
（5）UDP支持一对一、一对多、多对一和多对多的交互通信。
（6）UDP的首部开销小， 只有8个字节。

UDP有两个字段：数据字段和首部字段。先介绍首部字段，它是由4个字段组成的，每个字段只有2个字节，总共有8个字节。各个字段的意义如下：
（1）源端口： 源端口号。在需要对方回信时选用。不需要时可用全0。
（2）目的端口： 目的端口号。在这终点交付报文时必须使用。
（3）长度： UDP用户数据报的长度，其最小值是8（只有首部）。
（4）检验和： 检测UDP用户数据报在传输中是否有错，有错则丢弃。

当在传送用户数据报时，如果接收方UDP发现收到的报文中目的端口号不正确（即不存在对应于该端口号的应用进程），就丢弃该报文，并由网际控制报文协议ICMP发送“端口不可达”差错报文给发送方。

TCP的主要特点如下：
（1）TCP是面向连接的运输层协议。 应用程序在使用TCP协议之前，必须先建立TCP连接。传送数据完毕后，必须释放TCP连接。
（2）每一条TCP连接只能有两个端点。 每一条TCP连接只能是点对点的。
（3）TCP提供可靠交付的服务。 通过TCP连接传送的数据，无差错、不丢失、不重复，并且按序到达。
（4）TCP提供全双工通信。 TCP允许通信双方的应用进程在任何时候都能发送数据。
（5）面向字节流。 TCP中的流指的是流入到进程或进程流出的字节序列。虽然应用程序和TCP的交互是一次一个数据块，但TCP把应用程序交下来的数据看成一连串的无结构的字节流。TCP不保证发送方发送的数据块和接收方接收的数据块一致，但保证程序接收到的字节流和程序发送的字节流一致。

TCP连接的端点叫做套接字或者插口。套接字是指将端口号拼接到IP地址之后，即：

每一条TCP连接唯一的被通信两端的两个端点所确定。即：

如图所示，A发送分组M1，发送完毕就暂停发送，等待B的确认,B收到了M1就向A发死你确认。A在收到了对M1的确认之后，就再发送下一个分组M2，以此类推。

如图所示，当B接收M1时检测出了差错，就丢弃M1，其他什么也不做。而A只要超过了一段时间没有收到确认，就会认为刚才发送的分组丢失了，因而重传前面发送过的分组，这就叫做超时重传，而实现超时重传则需要A为每一个已发送的分组都设置一个超时计时器。
需要注意以下三点：
（1）A在发送完一个分组后，必须暂时保留已发送的分组的副本。
（2）分组和确认分组必须编号，这样才能明确哪一个发出的分组收到了确认。
（3）超时计时器设置的重传时间应当比数据在分组传输的平均往返时间更长。

如图所示，B所发送的对M1确认丢失了，A在设定的超时重传时间内没有收到确认，所以无法知道自己发送的分组是怎样出错的，所以会重传M1，而当B又收到了重传的分组M1，这时应该采取两个行动：
（1）丢弃这个重复分组M1。
（2）向A发送确认。

还有一种情况就是在传输过程中没有出现差错，但B对分组M1的确认迟到了，而A会收到重复的确认，A收下后就会丢弃，B仍然会收到重复的M1，并且同样要丢弃重复的M1，并且重传确认分组。

停止等待协议的优点是简单，缺点则是信道的利用率太低。我们用TD表示A发送分组需要的时间，TA表示B发送确认分组需要的时间，RTT为往返时间，则：

为了提高传输的效率，发送方可以不使用低效率的停止等待协议，而是采用流水线传输的方式。即不必每发完一个分组就停下来等待对方的确认，这样就可以使信道上一直有数据在不间断的传送。

如图表示的是发送方维持的发送窗口，它指的是位于发送窗口内的5个分组都可以连续发送出去而不需要等待对方的确认。同时连续ARP协议规定，发送方每收到一个确认，就把发送窗口向前滑动一个分组的位置。

对于接收方采用的则是累计确认的方式，即接收方不必对收到的分组逐个发送确认。而是在收到几个分组后，对按序到达的最后一个分组发送确认，这就表示：到这个分组为止的所有分组都已正确收到了。这种方式的优点是：容易实现，即使确认丢失也不必重传（意思是发送方不必重传）。但缺点是不能向发送方反映出接收方已经正确收到的所有分组信息。

TCP虽然是面向字节流的，但传送TCP的数据单元却是报文段。一个TCP报文段可以分为首部和数据两部分。

为了后面讲述的方便，我们假设数据传输只在一个方向进行，即A发送数据，B给出确认。

TCP的滑动窗口是以字节为单位的。如图所示，现在假定A收到了B发来的确认报文段，其中的窗口是20字节，而确认号是31，根据这2个数据，A就构造出自己的发送窗口。

发送窗口表示：在没有收到B的确认的情况下，A可以连续把窗口内的数据都发送出去。凡是已经发送过的数据，在未收到确认之前都必须暂时保留，以便在超时重传时使用。发送窗口后面的部分表示已发送且已经收到了确认。而发送窗口前沿的部分表示不允许发送的。

现在假定A发送了序号为31~41的数据。这时发送窗口位置并未改变但是发送窗口内靠后面有11个字节表示已发送但是未收到确认。而发送窗口内靠前面的9个字节时允许发送但未发送的。如图所示：

而对于B，它的接收窗口大小是20，在接收窗口外面到30号位置的数据是接收并确认的，因此可以丢弃。在下图中，B收到了32和33的数据，但它们不是按序到达的，因为并没有收到31号数据。B只能对按序达收到的数据中的最高序号给出确认，因此B发送的确认报文字段的确认号依然是31号。

现在假定B收到了序号为31的数据，并把31～33的数据交付主机，然后B删除这些数据。接着把窗口向前移动3个序号，同时给a发送确认，其中的窗口值仍为20，但确认号变为34。表明B已经收到序号33为止的数据。

因为TCP的发送方在规定的时间内没有收到确认就要重传已经发送的报文段，但是重传时间的选择却TCP最复杂的问题之一。为此TCP采用了一种自适应算法，它记录了一个报文段发出的时间以及收到相应的确认的时间。这两个时间之差就是报文段的往返时间RTT，同时TCP保留了RTT的加权平均往返时间RTTs。而RTTD是RTT的偏差加权平均值，它与RTTs和新的RTT样本之差有关。

超时重传时间的算法如下：
第一次测量时，加权平均往返时间取往返时间RTT，以后每次测量到一个新的RTT，按以下公式计算：

第一次测量时，RTT偏差的加权平均等于RTT的一半，以后的测里中，按以下公式计算：

综上超时重传时间RTO计算如下：

若收到的报文无差错，只是未按序号，使用选择确认SACK可是让发送方发送那些未收到的数据，而不重复发送已经收到的那些数据。如果要使用选择确认SACK，那么在建立TCP连接时，就要在TCP首部的选项中加上“允许SACK”的选项，并且双方必须都事先商量好。

流量控制就是指让发送方的发送速率不要太快，要让接收方来得及接收。而利用滑动窗口机制就可以很方便的在TCP连接上实现对发送方的流量控制。

如上图所示，接收方B进行了三次流量控制。第一次把窗口减小到rwnd=300，第二次又减到rwnd=100，最后是rwnd=0，即不允许发送方再发送数据了。

但是我们应该考虑一种情况，就是当接收方B的存储已满时，会向发送方发送零窗口的报文段，接着B的存储又有了一些空间，B再向A发送一个不为零的窗口值，但这个报文丢失了，结果就是双方一直等待下去。所以为了解决这个问题，TCP为每一个连接设有一个持续计时器。只要TCP连接的一方收到对方的零窗口通知，就启动持续计时器，当计时器到期后，就发送一个探测段文段，而对方就在确认这个探测段时给出了现在的窗口值。如果窗口仍然是0，那么收到这个报文段的一方就重新设置持续计时器，反之则死锁的僵局就可以打破了。

应用程序把数据传送到TCP的发送缓存后，TCP在何时发送这些数据？，在TCP的实现中广泛使用了Nagle算法。具体算法如下：
（1）若发送应用进程要把数据逐个字节地送到TCP的发送缓存，则发送方就把第一个数据字节先发出去，把后面到达的数据字节都缓存起来。
（2）方发送方收到对第一个数据字节的确认后，再把发送缓存中的所有数据组装成一个报文发送出去，同时继续对后续到来的数据进行缓存。
（3）只有收到对前一个报文段的确认后才继续发送下一个报文段。

当数据到达快而网络速度慢时，这种方法可以明显减少网络带宽。Nagle还规定：当到达的数据达到窗口的一半或最大报文长度时就立即发送一个报文。

但还还需要考虑一个叫做糊涂综合征的问题，具体内容是若接收方的缓存已满，应用进程每次只从缓存中取1个字节，然后向发送方确认，并把窗口设为1个字节（缓存只空了1个字节的空间），接着发送方发来1个字节，接收方发回确认，仍然将窗口设为1，这样进行下去，网络的利用率很低。

为了解决这个问题，可以让接收方等待一段时间，使得或者缓存已有足够的空间或者等到接收缓存已有一半的空闲空间。此时，接收方就发出确认报文，并向发送方通知当前窗口的大小。

拥塞 是指在某一段时间内，若对网络中某一资源的需求超过了该资源所能提供的可用部分，网络的性能就会变坏的情况。而所谓的 拥塞控制 就是防止过多的数据注入到网络当中，这样可以使网络中的路由器或者链路不致过载，它是一个全局性的过程，涉及到所有的主机和路由器，而流量控制往往是指点对点通信量的控制。拥塞控制所要做的都有一个前提，就是网络能够承受现有的网络负荷。

TCP进行拥塞控制的算法有4种：慢开始、拥塞避免、快重传和快恢复。下面在讨论这些算法时我们假定：
（1）数据是单方向传送的，对方只传送确认报文。
（2）接收方总是有足够大的缓存空间。

发送方维持一个拥塞窗口的状态变量，其大小取决于拥塞程度，并且动态变化。发送方让自己的发送窗口小于拥塞窗口（如果考虑接收方的接收能力的话，发送窗口可能小于拥塞窗口）。发送方控制拥塞窗口的原则是：只要网络没有拥塞，拥塞窗口就再增大一点，以便把更多的分组发送出去，只要出现拥塞，就减小拥塞窗口，以减少注入到网络的分组数。

下面会从“慢开始算法”讲起来讨论拥塞窗口的大小如何变化的。

慢开始的算法思路是：当主机开始发送数据时，由于并不清楚网络的负荷情况，所以如果立即把大量数据字节注入到网络中，就有可能引起网络拥塞。因此会采用由小逐渐增大发送窗口。即在通常开始发送报文时，先将拥塞窗口cwnd的值设为一个最大报文段MSS的数值，而在每收到一个新的报文段确认后，把拥塞窗口增加至多一个MSS的数值。

如上图所示，开始时cwnd=1，发送方发送一个M1，接收方收到M1发送确认，发送方收到一个确认后将cwnd加1，此时cwnd=2，因此发送方发送M2和M3两个报文段，接收方收到后返回两个确认，因此cwnd增加两次，此时cwnd=4，接着发送方发送M4～M7四个报文段。依次类推。因此使用慢开始算法后，每经过一个传输轮次，拥塞窗口就加倍。

但是为了防止拥塞窗口cwnd增加过大导致网络拥塞，需要设置一个慢开始门限ssthresh，慢开始门限用法如下：
当cwnd<ssthresh时，使用上述的慢开始算法。
当cwnd>ssthresh时，停止使用慢开始算法，使用拥塞避免算法。
当cwnd=ssthresh时，既可以使用慢开始算法，也可以使用拥塞避免算法。
这里的拥塞避免算法是指让拥塞窗口缓慢的增大，即每经过一个往返时间RTT就把发送方的拥塞窗口cwnd加1，而不是像慢开始阶段那样加倍增长。

需要注意的是无论在慢开始阶段还是拥塞避免阶段，只要发送方判断网络出现拥塞（根据是没有按时收到确认），立即把慢开始门限ssthresh设为出现拥塞时的发送窗口的一半。然后发送窗口cwnd重新设为1，执行慢开始算法。目的是迅速减少主机发送到网络分组的分组数。

快重传算法要求接收方每收到一个失序的报文段后就立即发送重复确认，如下图接收了M1和M2后，又接收到一个M4，M4属于失序报文，则发送对M2的重复确认。发送方只要连续收到三次确认重复就立即重传对方未收到的报文段M3。

与快重传算法配合的还有快恢复算法，过程如下：
（1）当发送方连续收到三个重复确认时，就把慢开始门限ssthresh减半，这是为了防止网络拥塞，接着并不执行慢开始算法。
（2）由于上图这种情况很可能不是因为网络拥塞引起的，因此这里不执行慢开始算法（即不把拥塞窗口cwnd设为1，这样速度太慢），而是把cwnd值设置为慢开始门限ssthresh减半后的数值，然后开始执行拥塞避免算法。

TCP的运输连接有是三个阶段：连接建立、数据传送和连接释放。在TCP的连接过程中要解决以下三个问题：
（1）要使每一方能够确知对方的存在。
（2）要允许双方协商一些参数（如最大窗口值、是否使用窗口扩大选项和时间戳选项以及服务质量）。
（3）能够对运输实体资源进行分配。

TCP建立连接的过程叫做握手，握手需要在客户和服务器之间交换3个TCP报文段。如图是三报文握手建立的连接过程：

A最后还要发送一次确认的原因是为了防止已经失效的连接请求报文段突然又传送到了B，因而产生错误。试想一种情况：如果只有第一次和第二次握手，第二次B向A发送的确认丢失了，此时B进入了连接建立状态，A没有收到确认，过一段时间后会再次向B发送连接请求，B收到后又会再次建立连接，白白浪费B的资源。

A在TIME-WAIT状态等待2MSL（MSL，最长报文段寿命），主要是因为以下两点考虑：首先是为了保证A发送的最后一个ACK报文段能够到达B，因为这个ACK报文段可能丢失，此时B会重传连接释放报文，如果A已经关闭，则无法收到这个报文。其次，当A在发送完最后一个ACK报文段后，再经过时间2MSL，就可以使本连接持续时间内产生的所有报文段都从网络中消失。这样，下一个新连接中不会出现这种旧的连接请求报文段。

在图中每一个方框即TCP可能具有的状态。每个方框中的大写英文字符串时TCP标准所使用的的TCP连接状态名。状态之间的箭头表示可能发生的状态变迁。箭头旁边的字表明引起这种变迁的原因，或表明发生状态变迁后又出现什么动作，在图中粗实线箭头表示对客户进程的正常变迁，粗虚线箭头表示对服务器进程的正常变迁，细线箭头表示异常变迁。

Ⅳ 常见的网络协议有哪些

第一章 概述

电信网、计算机网和有线电视网 三网合一

TCP/IP是当前的因特网协议簇的总称，TCP和 IP是其中的两个最重要的协议。

RFC标准轨迹由3个成熟级构成：提案标准、草案标准和标准。

第二章 计算机网络与因特网体系结构

根据拓扑结构：计算机网络可以分为总线型网、环型网、星型网和格状网。

根据覆盖范围：计算机网络可以分为广域网、城域网、局域网和个域网。

网络可以划分成：资源子网和通信子网两个部分。

网络协议是通信双方共同遵守的规则和约定的集合。网络协议包括三个要素，即语法、语义和同步规则。

通信双方对等层中完成相同协议功能的实体称为对等实体 ，对等实体按协议进行通信。

有线接入技术分为铜线接入、光纤接入和混合光纤同轴接入技术。

无线接入技术主要有卫星接入技术、无线本地环路接入和本地多点分配业务。

网关实现不同网络协议之间的转换。

因特网采用了网络级互联技术，网络级的协议转换不仅增加了系统的灵活性，而且简化了网络互联设备。

因特网对用户隐藏了底层网络技术和结构，在用户看来，因特网是一个统一的网络。

因特网将任何一个能传输数据分组的通信系统都视为网络，这些网络受到网络协议的平等对待。

TCP/IP 协议分为 4 个协议层 ：网络接口层、网络层、传输层和应用层。

IP 协议既是网络层的核心协议 ，也是 TCP/IP 协议簇中的核心协议。

第四章 地址解析

建立逻辑地址与物理地址之间 映射的方法 通常有静态映射和动态映射。动态映射是在需要获得地址映射关系时利用网络通信协议直接从其他主机上获得映射信息。 因特网采用了动态映射的方法进行地址映射。

获得逻辑地址与物理地址之间的映射关系称为地址解析 。

地址解析协议 ARP 是将逻辑地址（ IP 地址）映射到物理地址的动态映射协议。

ARP 高速缓存中含有最近使用过的 IP 地址与物理地址的映射列表。

在 ARP 高速缓存中创建的静态表项是永不超时的地址映射表项。

反向地址解析协议 RARP 是将给定的物理地址映射到逻辑地址（ IP地址）的动态映射。RARP需要有RARP 服务器帮助完成解析。

ARP请求和 RARP请求，都是采用本地物理网络广播实现的。

在代理ARP中，当主机请求对隐藏在路由器后面的子网中的某一主机 IP 地址进行解析时，代理 ARP路由器将用自己的物理地址作为解析结果进行响应。

第五章 IP协议

IP是不可靠的无连接数据报协议，提供尽力而为的传输服务。

TCP/IP 协议的网络层称为IP层.

IP数据报在经过路由器进行转发时一般要进行三个方面的处理：首部校验、路由选择、数据分片

IP层通过IP地址实现了物理地址的统一，通过IP数据报实现了物理数据帧的统一。 IP 层通过这两个方面的统一屏蔽了底层的差异，向上层提供了统一的服务。

IP 数据报由首部和数据两部分构成 。首部分为定长部分和变长部分。选项是数据报首部的变长部分。定长部分 20 字节，选项不超过40字节。

IP 数据报中首部长度以 32 位字为单位 ，数据报总长度以字节为单位，片偏移以 8 字节（ 64 比特）为单位。数据报中的数据长度 =数据报总长度－首部长度× 4。

IP 协议支持动态分片 ，控制分片和重组的字段是标识、标志和片偏移， 影响分片的因素是网络的最大传输单元 MTU ，MTU 是物理网络帧可以封装的最大数据字节数。通常不同协议的物理网络具有不同的MTU 。分片的重组只能在信宿机进行。

生存时间TTL是 IP 数据报在网络上传输时可以生存的最大时间，每经过一个路由器，数据报的TTL值减 1。

IP数据报只对首部进行校验 ，不对数据进行校验。

IP选项用于网络控制和测试 ，重要包括严格源路由、宽松源路由、记录路由和时间戳。

IP协议的主要功能 包括封装 IP 数据报，对数据报进行分片和重组，处理数据环回、IP选项、校验码和TTL值，进行路由选择等。

在IP 数据报中与分片相关的字段是标识字段、标志字段和片偏移字段。

数据报标识是分片所属数据报的关键信息，是分片重组的依据

分片必须满足两个条件： 分片尽可能大，但必须能为帧所封装 ;片中数据的大小必须为 8 字节的整数倍 ，否则 IP 无法表达其偏移量。

分片可以在信源机或传输路径上的任何一台路由器上进行，而分片的重组只能在信宿机上进行片重组的控制主要根据 数据报首部中的标识、标志和片偏移字段

IP选项是IP数据报首部中的变长部分，用于网络控制和测试目的 (如源路由、记录路由、时间戳等 )，IP选项的最大长度 不能超过40字节。

1、IP 层不对数据进行校验。

原因：上层传输层是端到端的协议，进行端到端的校验比进行点到点的校验开销小得多，在通信线路较好的情况下尤其如此。另外，上层协议可以根据对于数据可靠性的要求， 选择进行校验或不进行校验，甚至可以考虑采用不同的校验方法，这给系统带来很大的灵活性。

2、IP协议对IP数据报首部进行校验。

原因： IP 首部属于 IP 层协议的内容，不可能由上层协议处理。

IP 首部中的部分字段在点到点的传递过程中是不断变化的，只能在每个中间点重新形成校验数据，在相邻点之间完成校验。

3、分片必须满足两个条件：

分片尽可能大，但必须能为帧所封装 ;

片中数据的大小必须为8字节的整数倍，否则IP无法表达其偏移量。

第六章 差错与控制报文协议（ICMP）

ICMP 协议是 IP 协议的补充，用于IP层的差错报告、拥塞控制、路径控制以及路由器或主机信息的获取。

ICMP既不向信宿报告差错，也不向中间的路由器报告差错，而是 向信源报告差错 。

ICMP与 IP协议位于同一个层次，但 ICMP报文被封装在IP数据报的数据部分进行传输。

ICMP 报文可以分为三大类：差错报告、控制报文和请求 /应答报文。

ICMP 差错报告分为三种 ：信宿不可达报告、数据报超时报告和数据报参数错报告。数据报超时报告包括 TTL 超时和分片重组超时。

数据报参数错包括数据报首部中的某个字段的值有错和数据报首部中缺少某一选项所必须具有的部分参数。

ICMP控制报文包括源抑制报文和重定向报文。

拥塞是无连接传输时缺乏流量控制机制而带来的问题。ICMP 利用源抑制的方法进行拥塞控制 ，通过源抑制减缓信源发出数据报的速率。

源抑制包括三个阶段 ：发现拥塞阶段、解决拥塞阶段和恢复阶段。

ICMP 重定向报文由位于同一网络的路由器发送给主机，完成对主机的路由表的刷新。

ICMP 回应请求与应答不仅可以被用来测试主机或路由器的可达性，还可以被用来测试 IP 协议的工作情况。

ICMP时间戳请求与应答报文用于设备间进行时钟同步 。

主机利用 ICMP 路由器请求和通告报文不仅可以获得默认路由器的 IP 地址，还可以知道路由器是否处于活动状态。

第七章 IP 路由

数据传递分为直接传递和间接传递 ，直接传递是指直接传到最终信宿的传输过程。间接传递是指在信

源和信宿位于不同物理网络时，所经过的一些中间传递过程。

TCP/IP 采用 表驱动的方式 进行路由选择。在每台主机和路由器中都有一个反映网络拓扑结构的路由表，主机和路由器能够根据 路由表 所反映的拓扑信息找到去往信宿机的正确路径。

通常路由表中的 信宿地址采用网络地址 。路径信息采用去往信宿的路径中的下一跳路由器的地址表示。

路由表中的两个特殊表目是特定主机路由和默认路由表目。

路由表的建立和刷新可以采用两种不同 的方式：静态路由和动态路由。

自治系统 是由独立管理机构所管理的一组网络和路由器组成的系统。

路由器自动获取路径信息的两种基本方法是向量—距离算法和链路 —状态算法。

1、向量 — 距离 (Vector-Distance，简称 V—D)算法的基本思想 ：路由器周期性地向与它相邻的路由器广播路径刷新报文，报文的主要内容是一组从本路由器出发去往信宿网络的最短距离，在报文中一般用(V，D)序偶表示，这里的 V 代表向量，标识从该路由器可以到达的信宿 (网络或主机 )，D 代表距离，指出从该路由器去往信宿 V 的距离， 距离 D 按照去往信宿的跳数计。 各个路由器根据收到的 (V ，D)报文，按照最短路径优先原则对各自的路由表进行刷新。

向量 —距离算法的优点是简单，易于实现。

缺点是收敛速度慢和信息交换量较大。

2、链路 — 状态 (Link-Status，简称 L-S)算法的基本思想 ：系统中的每个路由器通过从其他路由器获得的信息，构造出当前网络的拓扑结构，根据这一拓扑结构，并利用 Dijkstra 算法形成一棵以本路由器为根的最短路径优先树， 由于这棵树反映了从本节点出发去往各路由节点的最短路径， 所以本节点就可以根据这棵最短路径优先树形成路由表。

动态路由所使用的路由协议包括用于自治系统内部的 内部网关协 议和用于自治系统之间的外部网关协议。

RIP协议在基本的向量 —距离算法的基础上 ，增加了对路由环路、相同距离路径、失效路径以及慢收敛问题的处理。 RIP 协议以路径上的跳数作为该路径的距离。 RIP 规定，一条有效路径的距离不能超过

RIP不适合大型网络。

RIP报文被封装在 UDP 数据报中传输。RIP使用 UDP 的 520 端口号。

3、RIP 协议的三个要点

仅和相邻路由器交换信息。

交换的信息是当前本路由器所知道的全部信息，即自己的路由表。

按固定的时间间隔交换路由信息，例如，每隔30秒。

4、RIP 协议的优缺点

RIP 存在的一个问题是当网络出现故障时，要经过比较长的时间才能将此信息传送到所有的路由器。

RIP 协议最大的优点就是实现简单，开销较小。

RIP 限制了网络的规模，它能使用的最大距离为15（16表示不可达）。

路由器之间交换的路由信息是路由器中的完整路由表，因而随着网络规模的扩大，开销也就增加。

5、为了防止计数到无穷问题，可以采用以下三种技术。

1）水平 分割 法(Split Horizon) 水平分割法的基本思想：路由器从某个接口接收到的更新信息不允许再从这个接口发回去。在图 7-9 所示的例子中， R2 向 R1 发送 V-D 报文时，不能包含经过 R1 去往 NET1的路径。因为这一信息本身就是 R1 所产生的。

2） 保持法 (Hold Down) 保持法要求路由器在得知某网络不可到达后的一段时间内，保持此信息不变，这段时间称为保持时间，路由器在保持时间内不接受关于此网络的任何可达性信息。

3） 毒性逆转法 (Poison Reverse)毒性逆转法是水平分割法的一种变化。当从某一接口发出信息时，凡是从这一接口进来的信息改变了路由表表项的， V-D 报文中对应这些表目的距离值都设为无穷 (16)。

OSPF 将自治系统进一步划分为区域，每个区域由位于同一自治系统中的一组网络、主机和路由器构成。区域的划分不仅使得广播得到了更好的管理，而且使 OSPF能够支持大规模的网络。

OSPF是一个链路 —状态协议。当网络处于收敛状态时， 每个 OSPF路由器利用 Dijkstra 算法为每个网络和路由器计算最短路径，形成一棵以本路由器为根的最短路径优先 (SPF)树，并根据最短路径优先树构造路由表。

OSPF直接使用 IP。在IP首部的协议字段， OSPF协议的值为 89。

BGP 是采用路径 —向量算法的外部网关协议 ， BGP 支持基于策略的路由，路由选择策略与政治、经济或安全等因素有关。

BGP 报文分为打开、更新、保持活动和通告 4 类。BGP 报文被封装在 TCP 段中传输，使用TCP的179 号端口 。

第八章 传输层协议

传输层承上启下，屏蔽通信子网的细节，向上提供通用的进程通信服务。传输层是对网络层的加强与弥补。 TCP 和 UDP 是传输层 的两大协议。

端口分配有两种基本的方式：全局端口分配和本地端口分配。

在因特网中采用一个 三元组 （协议，主机地址，端口号）来全局惟一地标识一个进程。用一个五元组（协议 ,本地主机地址 ,本地端口号 ,远地主机地址 ,远地端口号）来描述两个进程的关联。

TCP 和 UDP 都是提供进程通信能力的传输层协议。它们各有一套端口号，两套端口号相互独立，都是从0到 65535。

TCP 和 UDP 在计算校验和时引入伪首部的目的是为了能够验证数据是否传送到了正确的信宿端。

为了实现数据的可靠传输， TCP 在应用进程间 建立传输连接 。TCP 在建立连接时采用 三次握手方法解决重复连接的问题。在拆除连接时采用 四次握手 方法解决数据丢失问题。

建立连接前，服务器端首先被动打开其熟知的端口，对端口进行监听。当客户端要和服务器建立连接时，发出一个主动打开端口的请求，客户端一般使用临时端口。

TCP 采用的最基本的可靠性技术 包括流量控制、拥塞控制和差错控制。

TCP 采用 滑动窗口协议 实现流量控制，滑动窗口协议通过发送方窗口和接收方窗口的配合来完成传输控制。

TCP 的 拥塞控制 利用发送方的窗口来控制注入网络的数据流的速度。发送窗口的大小取通告窗口和拥塞窗口中小的一个。

TCP通过差错控制解决 数据的毁坏、重复、失序和丢失等问题。

UDP 在 IP 协议上增加了进程通信能力。此外 UDP 通过可选的校验和提供简单的差错控制。但UDP不提供流量控制和数据报确认 。

1、传输层（ Transport Layer）的任务 是向用户提供可靠的、透明的端到端的数据传输，以及差错控制和流量控制机制。

2 “传输层提供应用进程间的逻辑通信 ”。“逻辑通信 ”的意思是：传输层之间的通信好像是沿水平方向传送数据。但事实上这两个传输层之间并没有一条水平方向的物理连接。

TCP 提供的可靠传输服务有如下五个特征 ：

面向数据流 ; 虚电路连接 ; 有缓冲的传输 ; 无结构的数据流 ; 全双工连接 .

3、TCP 采用一种名为 “带重传功能的肯定确认 （ positive acknowledge with retransmission ） ”的技术作为提供可靠数据传输服务的基础。

第九章 域名系统

字符型的名字系统为用户提供了非常直观、便于理解和记忆的方法，非常符合用户的命名习惯。

因特网采用层次型命名机制 ，层次型命名机制将名字空间分成若干子空间，每个机构负责一个子空间的管理。 授权管理机构可以将其管理的子名字空间进一步划分， 授权给下一级机构管理。名字空间呈一种树形结构。

域名由圆点 “．”分开的标号序列构成 。若域名包含从树叶到树根的完整标号串并以圆点结束，则称该域名为完全合格域名FQDN。

常用的三块顶级域名 为通用顶级域名、国家代码顶级域名和反向域的顶级域名。

TCP/IP 的域名系统是一个有效的、可靠的、通用的、分布式的名字 —地址映射系统。区域是 DNS 服务器的管理单元，通常是指一个 DNS 服务器所管理的名字空间 。区域和域是不同的概念，域是一个完整的子树，而区域可以是子树中的任何一部分。

名字服务器的三种主要类型是 主名字服务器、次名字服务器和惟高速缓存名字服务器。主名字服务器拥有一个区域文件的原始版本，次名字服务器从主名字服务器那里获得区域文件的拷贝，次名字服务器通过区域传输同主名字服务器保持同步。

DNS 服务器和客户端属于 TCP/IP 模型的应用层， DNS 既可以使用 UDP，也可以使用 TCP 来进行通信。 DNS 服务器使用 UDP 和 TCP 的 53 号熟知端口。

DNS 服务器能够使用两种类型的解析： 递归解析和反复解析 。

DNS 响应报文中的回答部分、授权部分和附加信息部分由资源记录构成，资源记录存放在名字服务器的数据库中。

顶级域 cn 次级域 e.cn 子域 njust.e.cn 主机 sery.njust.e.cn

TFTP ：普通文件传送协议（ Trivial File Transfer Protocol ）

RIP： 路由信息协议 (Routing Information Protocol)

OSPF 开放最短路径优先 (Open Shortest Path First)协议。

EGP 外部网关协议 (Exterior Gateway Protocol)

BGP 边界网关协议 (Border Gateway Protocol)

DHCP 动态主机配置协议（ Dynamic Host Configuration Protocol）

Telnet工作原理 : 远程主机连接服务

FTP 文件传输工作原理 File Transfer Protocol

SMTP 邮件传输模型 Simple Message Transfer Protocol

HTTP 工作原理

Ⅵ 网络攻击的一般原理和方法是什么

下载：http://download.csdn.net/source/274376
常见网络攻击原理

1.1 TCP SYN拒绝服务攻击

一般情况下，一个TCP连接的建立需要经过三次握手的过程，即：

1、 建立发起者向目标计算机发送一个TCP SYN报文；

2、 目标计算机收到这个SYN报文后，在内存中创建TCP连接控制块（TCB），然后向发起者回送一个TCP ACK报文，等待发起者的回应；

3、 发起者收到TCP ACK报文后，再回应一个ACK报文，这样TCP连接就建立起来了。
利用这个过程，一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击：

1、 攻击者向目标计算机发送一个TCP SYN报文；

2、 目标计算机收到这个报文后，建立TCP连接控制结构（TCB），并回应一个ACK，等待发起者的回应；

3、 而发起者则不向目标计算机回应ACK报文，这样导致目标计算机一致处于等待状态。
可以看出，目标计算机如果接收到大量的TCP SYN报文，而没有收到发起者的第三次ACK回应，会一直等待，处于这样尴尬状态的半连接如果很多，则会把目标计算机的资源（TCB控制结构，TCB，一般情况下是有限的）耗尽，而不能响应正常的TCP连接请求。

1.2 ICMP洪水

正常情况下，为了对网络进行诊断，一些诊断程序，比如PING等，会发出ICMP响应请求报文（ICMP ECHO），接收计算机接收到ICMP ECHO后，会回应一个ICMP ECHO Reply报文。而这个过程是需要CPU处理的，有的情况下还可能消耗掉大量的资源，比如处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMP ECHO报文（产生ICMP洪水），则目标计算机会忙于处理这些ECHO报文，而无法继续处理其它的网络数据报文，这也是一种拒绝服务攻击（DOS）。

1.3 UDP洪水

原理与ICMP洪水类似，攻击者通过发送大量的UDP报文给目标计算机，导致目标计算机忙于处理这些UDP报文而无法继续处理正常的报文。

1.4 端口扫描

根据TCP协议规范，当一台计算机收到一个TCP连接建立请求报文（TCP SYN）的时候，做这样的处理：

1、 如果请求的TCP端口是开放的，则回应一个TCP ACK报文，并建立TCP连接控制结构（TCB）；
2、 如果请求的TCP端口没有开放，则回应一个TCP RST（TCP头部中的RST标志设为1）报文，告诉发起计算机，该端口没有开放。

相应地，如果IP协议栈收到一个UDP报文，做如下处理：

1、 如果该报文的目标端口开放，则把该UDP报文送上层协议（UDP）处理，不回应任何报文（上层协议根据处理结果而回应的报文例外）；
2、 如果该报文的目标端口没有开放，则向发起者回应一个ICMP不可达报文，告诉发起者计算机该UDP报文的端口不可达。

利用这个原理，攻击者计算机便可以通过发送合适的报文，判断目标计算机哪些TCP或UDP端口是开放的，过程如下：

1、 发出端口号从0开始依次递增的TCP SYN或UDP报文（端口号是一个16比特的数字，这样最大为65535，数量很有限）；
2、 如果收到了针对这个TCP报文的RST报文，或针对这个UDP报文的ICMP不可达报文，则说明这个端口没有开放；
3、 相反，如果收到了针对这个TCP SYN报文的ACK报文，或者没有接收到任何针对该UDP报文的ICMP报文，则说明该TCP端口是开放的，UDP端口可能开放（因为有的实现中可能不回应ICMP不可达报文，即使该UDP端口没有开放）。

这样继续下去，便可以很容易的判断出目标计算机开放了哪些TCP或UDP端口，然后针对端口的具体数字，进行下一步攻击，这就是所谓的端口扫描攻击。

1.5 分片IP报文攻击

为了传送一个大的IP报文，IP协议栈需要根据链路接口的MTU对该IP报文进行分片，通过填充适当的IP头中的分片指示字段，接收计算机可以很容易的把这些IP分片报文组装起来。
目标计算机在处理这些分片报文的时候，会把先到的分片报文缓存起来，然后一直等待后续的分片报文，这个过程会消耗掉一部分内存，以及一些IP协议栈的数据结构。如果攻击者给目标计算机只发送一片分片报文，而不发送所有的分片报文，这样攻击者计算机便会一直等待（直到一个内部计时器到时），如果攻击者发送了大量的分片报文，就会消耗掉目标计算机的资源，而导致不能相应正常的IP报文，这也是一种DOS攻击。

1.6 SYN比特和FIN比特同时设置

在TCP报文的报头中，有几个标志字段：
1、 SYN：连接建立标志，TCP SYN报文就是把这个标志设置为1，来请求建立连接；
2、 ACK：回应标志，在一个TCP连接中，除了第一个报文（TCP SYN）外，所有报文都设置该字段，作为对上一个报文的相应；
3、 FIN：结束标志，当一台计算机接收到一个设置了FIN标志的TCP报文后，会拆除这个TCP连接；
4、 RST：复位标志，当IP协议栈接收到一个目标端口不存在的TCP报文的时候，会回应一个RST标志设置的报文；
5、 PSH：通知协议栈尽快把TCP数据提交给上层程序处理。

正常情况下，SYN标志（连接请求标志）和FIN标志（连接拆除标志）是不能同时出现在一个TCP报文中的。而且RFC也没有规定IP协议栈如何处理这样的畸形报文，因此，各个操作系统的协议栈在收到这样的报文后的处理方式也不同，攻击者就可以利用这个特征，通过发送SYN和FIN同时设置的报文，来判断操作系统的类型，然后针对该操作系统，进行进一步的攻击。

1.7 没有设置任何标志的TCP报文攻击

正常情况下，任何TCP报文都会设置SYN，FIN，ACK，RST，PSH五个标志中的至少一个标志，第一个TCP报文（TCP连接请求报文）设置SYN标志，后续报文都设置ACK标志。有的协议栈基于这样的假设，没有针对不设置任何标志的TCP报文的处理过程，因此，这样的协议栈如果收到了这样的报文，可能会崩溃。攻击者利用了这个特点，对目标计算机进行攻击。

1.8 设置了FIN标志却没有设置ACK标志的TCP报文攻击

正常情况下，ACK标志在除了第一个报文（SYN报文）外，所有的报文都设置，包括TCP连接拆除报文（FIN标志设置的报文）。但有的攻击者却可能向目标计算机发送设置了FIN标志却没有设置ACK标志的TCP报文，这样可能导致目标计算机崩溃。

1.9 死亡之PING

TCP/IP规范要求IP报文的长度在一定范围内（比如，0－64K），但有的攻击计算机可能向目标计算机发出大于64K长度的PING报文，导致目标计算机IP协议栈崩溃。

1.10 地址猜测攻击

跟端口扫描攻击类似，攻击者通过发送目标地址变化的大量的ICMP ECHO报文，来判断目标计算机是否存在。如果收到了对应的ECMP ECHO REPLY报文，则说明目标计算机是存在的，便可以针对该计算机进行下一步的攻击。

1.11 泪滴攻击

对于一些大的IP包，需要对其进行分片传送，这是为了迎合链路层的MTU（最大传输单元）的要求。比如，一个4500字节的IP包，在MTU为1500的链路上传输的时候，就需要分成三个IP包。
在IP报头中有一个偏移字段和一个分片标志（MF），如果MF标志设置为1，则表面这个IP包是一个大IP包的片断，其中偏移字段指出了这个片断在整个IP包中的位置。例如，对一个4500字节的IP包进行分片（MTU为1500），则三个片断中偏移字段的值依次为：0，1500，3000。这样接收端就可以根据这些信息成功的组装该IP包。

如果一个攻击者打破这种正常情况，把偏移字段设置成不正确的值，即可能出现重合或断开的情况，就可能导致目标操作系统崩溃。比如，把上述偏移设置为0，1300，3000。这就是所谓的泪滴攻击。

1.12 带源路由选项的IP报文

为了实现一些附加功能，IP协议规范在IP报头中增加了选项字段，这个字段可以有选择的携带一些数据，以指明中间设备（路由器）或最终目标计算机对这些IP报文进行额外的处理。

源路由选项便是其中一个，从名字中就可以看出，源路由选项的目的，是指导中间设备（路由器）如何转发该数据报文的，即明确指明了报文的传输路径。比如，让一个IP报文明确的经过三台路由器R1，R2，R3，则可以在源路由选项中明确指明这三个路由器的接口地址，这样不论三台路由器上的路由表如何，这个IP报文就会依次经过R1，R2，R3。而且这些带源路由选项的IP报文在传输的过程中，其源地址不断改变，目标地址也不断改变，因此，通过合适的设置源路由选项，攻击者便可以伪造一些合法的IP地址，而蒙混进入网络。

1.13 带记录路由选项的IP报文

记录路由选项也是一个IP选项，携带了该选项的IP报文，每经过一台路由器，该路由器便把自己的接口地址填在选项字段里面。这样这些报文在到达目的地的时候，选项数据里面便记录了该报文经过的整个路径。
通过这样的报文可以很容易的判断该报文经过的路径，从而使攻击者可以很容易的寻找其中的攻击弱点。

1.14 未知协议字段的IP报文

在IP报文头中，有一个协议字段，这个字段指明了该IP报文承载了何种协议 ，比如，如果该字段值为1，则表明该IP报文承载了ICMP报文，如果为6，则是TCP，等等。目前情况下，已经分配的该字段的值都是小于100的，因此，一个带大于100的协议字段的IP报文，可能就是不合法的，这样的报文可能对一些计算机操作系统的协议栈进行破坏。

1.15 IP地址欺骗

一般情况下，路由器在转发报文的时候，只根据报文的目的地址查路由表，而不管报文的源地址是什么，因此，这样就 可能面临一种危险：如果一个攻击者向一台目标计算机发出一个报文，而把报文的源地址填写为第三方的一个IP地址，这样这个报文在到达目标计算机后，目标计算机便可能向毫无知觉的第三方计算机回应。这便是所谓的IP地址欺骗攻击。

比较着名的SQL Server蠕虫病毒，就是采用了这种原理。该病毒（可以理解为一个攻击者）向一台运行SQL Server解析服务的服务器发送一个解析服务的UDP报文，该报文的源地址填写为另外一台运行SQL Server解析程序（SQL Server 2000以后版本）的服务器，这样由于SQL Server 解析服务的一个漏洞，就可能使得该UDP报文在这两台服务器之间往复，最终导致服务器或网络瘫痪。

1.16 WinNuke攻击

NetBIOS作为一种基本的网络资源访问接口，广泛的应用于文件共享，打印共享，进程间通信（IPC），以及不同操作系统之间的数据交换。一般情况下，NetBIOS是运行在LLC2链路协议之上的，是一种基于组播的网络访问接口。为了在TCP/IP协议栈上实现NetBIOS，RFC规定了一系列交互标准，以及几个常用的TCP/UDP端口：

139：NetBIOS会话服务的TCP端口；
137：NetBIOS名字服务的UDP端口；
136：NetBIOS数据报服务的UDP端口。

WINDOWS操作系统的早期版本（WIN95/98/NT）的网络服务（文件共享等）都是建立在NetBIOS之上的，因此，这些操作系统都开放了139端口（最新版本的WINDOWS 2000/XP/2003等，为了兼容，也实现了NetBIOS over TCP/IP功能，开放了139端口）。

WinNuke攻击就是利用了WINDOWS操作系统的一个漏洞，向这个139端口发送一些携带TCP带外（OOB）数据报文，但这些攻击报文与正常携带OOB数据报文不同的是，其指针字段与数据的实际位置不符，即存在重合，这样WINDOWS操作系统在处理这些数据的时候，就会崩溃。

1.17 Land攻击

LAND攻击利用了TCP连接建立的三次握手过程，通过向一个目标计算机发送一个TCP SYN报文（连接建立请求报文）而完成对目标计算机的攻击。与正常的TCP SYN报文不同的是，LAND攻击报文的源IP地址和目的IP地址是相同的，都是目标计算机的IP地址。这样目标计算机接收到这个SYN报文后，就会向该报文的源地址发送一个ACK报文，并建立一个TCP连接控制结构（TCB），而该报文的源地址就是自己，因此，这个ACK报文就发给了自己。这样如果攻击者发送了足够多的SYN报文，则目标计算机的TCB可能会耗尽，最终不能正常服务。这也是一种DOS攻击。

1.18 Script/ActiveX攻击

Script是一种可执行的脚本，它一般由一些脚本语言写成，比如常见的JAVA SCRIPT，VB SCRIPT等。这些脚本在执行的时候，需要一个专门的解释器来翻译，翻译成计算机指令后，在本地计算机上运行。这种脚本的好处是，可以通过少量的程序写作，而完成大量的功能。

这种SCRIPT的一个重要应用就是嵌入在WEB页面里面，执行一些静态WEB页面标记语言（HTML）无法完成的功能，比如本地计算，数据库查询和修改，以及系统信息的提取等。这些脚本在带来方便和强大功能的同时，也为攻击者提供了方便的攻击途径。如果攻击者写一些对系统有破坏的SCRIPT，然后嵌入在WEB页面中，一旦这些页面被下载到本地，计算机便以当前用户的权限执行这些脚本，这样，当前用户所具有的任何权限，SCRIPT都可以使用，可以想象这些恶意的SCRIPT的破坏程度有多强。这就是所谓的SCRIPT攻击。

ActiveX是一种控件对象，它是建立在MICROSOFT的组件对象模型（COM）之上的，而COM则几乎是Windows操作系统的基础结构。可以简单的理解，这些控件对象是由方法和属性构成的，方法即一些操作，而属性则是一些特定的数据。这种控件对象可以被应用程序加载，然后访问其中的方法或属性，以完成一些特定的功能。可以说，COM提供了一种二进制的兼容模型（所谓二进制兼容，指的是程序模块与调用的编译环境，甚至操作系统没有关系）。但需要注意的是，这种对象控件不能自己执行，因为它没有自己的进程空间，而只能由其它进程加载，并调用其中的方法和属性，这时候，这些控件便在加载进程的进程空间运行，类似与操作系统的可加载模块，比如DLL库。

ActiveX控件可以嵌入在WEB页面里面，当浏览器下载这些页面到本地后，相应地也下载了嵌入在其中的ActiveX控件，这样这些控件便可以在本地浏览器进程空间中运行（ActiveX空间没有自己的进程空间，只能由其它进程加载并调用），因此，当前用户的权限有多大，ActiveX的破坏性便有多大。如果一个恶意的攻击者编写一个含有恶意代码的ActiveX控件，然后嵌入在WEB页面中，被一个浏览用户下载后执行，其破坏作用是非常大的。这便是所谓的ActiveX攻击。

1.19 Smurf攻击

ICMP ECHO请求包用来对网络进行诊断，当一台计算机接收到这样一个报文后，会向报文的源地址回应一个ICMP ECHO REPLY。一般情况下，计算机是不检查该ECHO请求的源地址的，因此，如果一个恶意的攻击者把ECHO的源地址设置为一个广播地址，这样计算机在恢复REPLY的时候，就会以广播地址为目的地址，这样本地网络上所有的计算机都必须处理这些广播报文。如果攻击者发送的ECHO 请求报文足够多，产生的REPLY广播报文就可能把整个网络淹没。这就是所谓的smurf攻击。

除了把ECHO报文的源地址设置为广播地址外，攻击者还可能把源地址设置为一个子网广播地址，这样，该子网所在的计算机就可能受影响。

1.20 虚拟终端（VTY）耗尽攻击

这是一种针对网络设备的攻击，比如路由器，交换机等。这些网络设备为了便于远程管理，一般设置了一些TELNET用户界面，即用户可以通过TELNET到该设备上，对这些设备进行管理。

一般情况下，这些设备的TELNET用户界面个数是有限制的，比如，5个或10个等。这样，如果一个攻击者同时同一台网络设备建立了5个或10个TELNET连接，这些设备的远程管理界面便被占尽，这样合法用户如果再对这些设备进行远程管理，则会因为TELNET连接资源被占用而失败。

1.21 路由协议攻击

网络设备之间为了交换路由信息，常常运行一些动态的路由协议，这些路由协议可以完成诸如路由表的建立，路由信息的分发等功能。常见的路由协议有RIP，OSPF，IS-IS，BGP等。这些路由协议在方便路由信息管理和传递的同时，也存在一些缺陷，如果攻击者利用了路由协议的这些权限，对网络进行攻击，可能造成网络设备路由表紊乱（这足可以导致网络中断），网络设备资源大量消耗，甚至导致网络设备瘫痪。

下面列举一些常见路由协议的攻击方式及原理：

1.21.1 针对RIP协议的攻击

RIP，即路由信息协议，是通过周期性（一般情况下为30S）的路由更新报文来维护路由表的，一台运行RIP路由协议的路由器，如果从一个接口上接收到了一个路由更新报文，它就会分析其中包含的路由信息，并与自己的路由表作出比较，如果该路由器认为这些路由信息比自己所掌握的要有效，它便把这些路由信息引入自己的路由表中。

这样如果一个攻击者向一台运行RIP协议的路由器发送了人为构造的带破坏性的路由更新报文，就很容易的把路由器的路由表搞紊乱，从而导致网络中断。

如果运行RIP路由协议的路由器启用了路由更新信息的HMAC验证，则可从很大程度上避免这种攻击。

1.21.2 针对OSPF路由协议的攻击

OSPF，即开放最短路径优先，是一种应用广泛的链路状态路由协议。该路由协议基于链路状态算法，具有收敛速度快，平稳，杜绝环路等优点，十分适合大型的计算机网络使用。OSPF路由协议通过建立邻接关系，来交换路由器的本地链路信息，然后形成一个整网的链路状态数据库，针对该数据库，路由器就可以很容易的计算出路由表。

可以看出，如果一个攻击者冒充一台合法路由器与网络中的一台路由器建立邻接关系，并向攻击路由器输入大量的链路状态广播（LSA，组成链路状态数据库的数据单元），就会引导路由器形成错误的网络拓扑结构，从而导致整个网络的路由表紊乱，导致整个网络瘫痪。

当前版本的WINDOWS 操作系统（WIN 2K/XP等）都实现了OSPF路由协议功能，因此一个攻击者可以很容易的利用这些操作系统自带的路由功能模块进行攻击。

跟RIP类似，如果OSPF启用了报文验证功能（HMAC验证），则可以从很大程度上避免这种攻击。

1.21.3 针对IS-IS路由协议的攻击

IS-IS路由协议，即中间系统到中间系统，是ISO提出来对ISO的CLNS网络服务进行路由的一种协议，这种协议也是基于链路状态的，原理与OSPF类似。IS-IS路由协议经过 扩展，可以运行在IP网络中，对IP报文进行选路。这种路由协议也是通过建立邻居关系，收集路由器本地链路状态的手段来完成链路状态数据库同步的。该协议的邻居关系建立比OSPF简单，而且也省略了OSPF特有的一些特性，使该协议简单明了，伸缩性更强。

对该协议的攻击与OSPF类似，通过一种模拟软件与运行该协议的路由器建立邻居关系，然后传颂给攻击路由器大量的链路状态数据单元（LSP），可以导致整个网络路由器的链路状态数据库不一致（因为整个网络中所有路由器的链路状态数据库都需要同步到相同的状态），从而导致路由表与实际情况不符，致使网络中断。

与OSPF类似，如果运行该路由协议的路由器启用了IS-IS协议单元（PDU）HMAC验证功能，则可以从很大程度上避免这种攻击。

1.22 针对设备转发表的攻击

为了合理有限的转发数据，网络设备上一般都建立一些寄存器表项，比如MAC地址表，ARP表，路由表，快速转发表，以及一些基于更多报文头字段的表格，比如多层交换表，流项目表等。这些表结构都存储在设备本地的内存中，或者芯片的片上内存中，数量有限。如果一个攻击者通过发送合适的数据报，促使设备建立大量的此类表格，就会使设备的存储结构消耗尽，从而不能正常的转发数据或崩溃。

下面针对几种常见的表项，介绍其攻击原理：

1.22.1 针对MAC地址表的攻击

MAC地址表一般存在于以太网交换机上，以太网通过分析接收到的数据帧的目的MAC地址，来查本地的MAC地址表，然后作出合适的转发决定。

这些MAC地址表一般是通过学习获取的，交换机在接收到一个数据帧后，有一个学习的过程，该过程是这样的：

a) 提取数据帧的源MAC地址和接收到该数据帧的端口号；
查MAC地址表，看该MAC地址是否存在，以及对应的端口是否符合；
c) 如果该MAC地址在本地MAC地址表中不存在，则创建一个MAC地址表项；
d) 如果存在，但对应的出端口跟接收到该数据帧的端口不符，则更新该表；
e) 如果存在，且端口符合，则进行下一步处理。

分析这个过程可以看出，如果一个攻击者向一台交换机发送大量源MAC地址不同的数据帧，则该交换机就可能把自己本地的MAC地址表学满。一旦MAC地址表溢出，则交换机就不能继续学习正确的MAC表项，结果是可能产生大量的网络冗余数据，甚至可能使交换机崩溃。

而构造一些源MAC地址不同的数据帧，是非常容易的事情。

1.22.2 针对ARP表的攻击

ARP表是IP地址和MAC地址的映射关系表，任何实现了IP协议栈的设备，一般情况下都通过该表维护IP地址和MAC地址的对应关系，这是为了避免ARP解析而造成的广播数据报文对网络造成冲击。ARP表的建立一般情况下是通过二个途径：

1、 主动解析，如果一台计算机想与另外一台不知道MAC地址的计算机通信，则该计算机主动发ARP请求，通过ARP协议建立（前提是这两台计算机位于同一个IP子网上）；

2、 被动请求，如果一台计算机接收到了一台计算机的ARP请求，则首先在本地建立请求计算机的IP地址和MAC地址的对应表。

因此，如果一个攻击者通过变换不同的IP地址和MAC地址，向同一台设备，比如三层交换机发送大量的ARP请求，则被攻击设备可能会因为ARP缓存溢出而崩溃。

针对ARP表项，还有一个可能的攻击就是误导计算机建立正确的ARP表。根据ARP协议，如果一台计算机接收到了一个ARP请求报文，在满足下列两个条件的情况下，该计算机会用ARP请求报文中的源IP地址和源MAC地址更新自己的ARP缓存：

1、 如果发起该ARP请求的IP地址在自己本地的ARP缓存中；
2、 请求的目标IP地址不是自己的。

可以举一个例子说明这个过程，假设有三台计算机A，B，C，其中B已经正确建立了A和C计算机的ARP表项。假设A是攻击者，此时，A发出一个ARP请求报文，该请求报文这样构造：

1、 源IP地址是C的IP地址，源MAC地址是A的MAC地址；
2、 请求的目标IP地址是A的IP地址。

这样计算机B在收到这个ARP请求报文后（ARP请求是广播报文，网络上所有设备都能收到），发现B的ARP表项已经在自己的缓存中，但MAC地址与收到的请求的源MAC地址不符，于是根据ARP协议，使用ARP请求的源MAC地址（即A的MAC地址）更新自己的ARP表。

这样B的ARP混存中就存在这样的错误ARP表项：C的IP地址跟A的MAC地址对应。这样的结果是，B发给C的数据都被计算机A接收到。

1.22.3 针对流项目表的攻击

有的网络设备为了加快转发效率，建立了所谓的流缓存。所谓流，可以理解为一台计算机的一个进程到另外一台计算机的一个进程之间的数据流。如果表现在TCP/IP协议上，则是由（源IP地址，目的IP地址，协议号，源端口号，目的端口号）五元组共同确定的所有数据报文。

一个流缓存表一般由该五元组为索引，每当设备接收到一个IP报文后，会首先分析IP报头，把对应的五元组数据提取出来，进行一个HASH运算，然后根据运算结果查询流缓存，如果查找成功，则根据查找的结果进行处理，如果查找失败，则新建一个流缓存项，查路由表，根据路由表查询结果填完整这个流缓存，然后对数据报文进行转发（具体转发是在流项目创建前还是创建后并不重要）。

可以看出，如果一个攻击者发出大量的源IP地址或者目的IP地址变化的数据报文，就可能导致设备创建大量的流项目，因为不同的源IP地址和不同的目标IP地址对应不同的流。这样可能导致流缓存溢出

Ⅶ 计算机网络 五元组的概念

五元组：源IP地址、目的IP地址、协议号、源端口、目的端口

Ⅷ 计算机网络安全的简答题目

1 防火墙的主要功能有哪些？（简答只要把下面标题和第一句写上就好，见大括号内）
｛(1)网络安全的屏障

防火墙可通过过滤不安全的服务而减低风险，极大地提高内部网络的安全性。｝由于只有经过选择并授权允许的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙可以禁止诸如不安全的NFS协议进出受保护的网络，使攻击者不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向路径。防火墙能够拒绝所有以上类型攻击的报文，并将情况及时通知防火墙管理员。

(2)强化网络安全策略

通过以防火墙为中心的安全方案配置。能将所有安全软件(如口令、加密、身份认证等)配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如，在网络访问时，一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上而集中在防火墙。

(3)对网络存取和访问进行监控审计由于所有的访问都必须经过防火墙，所以防火墙就不仅能够制作完整的日志记录，而且还能够提供网络使用的情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是一项非常重要的工作。这不仅有助于了解防火墙的控制是否能够抵挡攻击者的探测和攻击，了解防火墙的控制是否充分有效，而且有助于作出网络需求分析和威胁分析。

(4)防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网中重点网段的隔离，限制内部网络中不同部门之间互相访问，从而保障了网络内部敏感数据的安全。另外，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节，可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至由此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐藏那些透露内部细节的服务，如Finger、DNS等。Finger显示了主机的所有用户的用户名、真名、最后登录时间和使用Shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

2：要传递的确切的消息就是明文； 被加密后的消息就是密文；
密钥：参与变换的参数； 加密算法：用于数据加密的一组数学变换；
解密算法：用于解密的一组数学变换；

3：入侵检测技术的原理是什么？
入侵检测技术（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术

4. 什么是计算机病毒？
计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自 我复制的一组计算机指令或者程序代码”。

5. 试述网络安全技术的发展趋势。
从技术层面来看，目前网络安全产品在发展过程中面临的主要问题是：以往人们主要关心系统与网络基础层面的防护问题，而现在人们更加关注应用层面的安全防护问题，安全防护已经从底层或简单数据层面上升到了应用层面，这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴，越来越多的安全技术已经与应用相结合。
1.防火墙技术发展趋势

在混合攻击肆虐的时代，单一功能的防火墙远不能满足业务的需要，而具备多种安全功能，基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术，优势将得到越来越多的体现，UTM（UnifiedThreatManagement，统一威胁管理）技术应运而生。
从概念的定义上看，UTM既提出了具体产品的形态，又涵盖了更加深远的逻辑范畴。从定义的前半部分来看，很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念；而从后半部分来看，UTM的概念还体现了经过多年发展之后，信息安全行业对安全管理的深刻理解以及对安全产品可用性、联动能力的深入研究。
UTM的功能见图1.由于UTM设备是串联接入的安全设备，因此UTM设备本身必须具备良好的性能和高可靠性，同时，UTM在统一的产品管理平台下，集防火墙、VPN、网关防病毒、IPS、拒绝服务攻击等众多产品功能于一体，实现了多种防御功能，因此，向UTM方向演进将是防火墙的发展趋势。UTM设备应具备以下特点。
（1）网络安全协议层防御。防火墙作为简单的第二到第四层的防护，主要针对像IP、端口等静态的信息进行防护和控制，但是真正的安全不能只停留在底层，我们需要构建一个更高、更强、更可靠的墙，除了传统的访问控制之外，还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用，实现七层协议的保护，而不仅限于第二到第四层。
（2）通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高，将会对用户带来灾难性的后果。
（3）有高可靠性、高性能的硬件平台支撑。
（4）一体化的统一管理。由于UTM设备集多种功能于一身，因此，它必须具有能够统一控制和管理的平台，使用户能够有效地管理。这样，设备平台可以实现标准化并具有可扩展性，用户可在统一的平台上进行组件管理，同时，一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛，从而在应对各种各样攻击威胁的时候，能够更好地保障用户的网络安全。

6.简述物理安全在计算机网络安全中的地位，并说明其包含的主要内容。
目前网络上的安全威胁大体可分为两种：一是对网络数据的威胁； 二是对网络设备的威胁。这些威胁可能来源于各种因素：外部和内部人员的恶意攻击，是电子商务、政府上网工程等顺利发展的最大障碍。
物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离，才能真正保证党政机关的内部信息网络不受来自互联网的黑客攻击。
在实行物理隔离之前，我们对网络的信息安全有许多措施，如在网络中增加防火墙、防病毒系统，对网络进行入侵检测、漏洞扫描等。由于这些技术的极端复杂性与有限性，这些在线分析技术无法提供某些机构（如军事、政府、金融等）提出的高度数据安全要求。而且，此类基于软件的保护是一种逻辑机制，对于逻辑实体而言极易被操纵。后面的逻辑实体指黑客、内部用户等。 正因为如此，我们的涉密网不能把机密数据的安全完全寄托在用概率来作判断的防护上，必须有一道绝对安全的大门，保证涉密网的信息不被泄露和破坏，这就是物理隔离所起的作用。

7.网络安全的主要技术有哪些？
物理措施 访问控制 数据加密 网络隔离 其他措施包括信息过滤、容错、数据镜像、数据备份和审计等

8.什么是计算机病毒，以及它的特征？
计算机病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自 我复制的一组计算机指令或者程序代码”。
特征：寄生性 传染性 潜伏性 隐蔽性 破坏性 可触发性

9谈谈计算机网络安全设计遵循的基本原则。
整体原则、有效性有效性与实用性原则、安全评价性原则、等级性原则、动态化原则

Ⅸ 计算机网络体系结构详解（7层、5层、4层的区别）

在学习计算机网络体系结构模型的时候，相信大家经常会有这样的疑惑？计算机网络体系结构到底是多少层模型？其实，无论是说7层、5层还是4层都是可以的。下面让我带着大家深入了解它们之间的区别。

什么是OSI？其中文名叫做国际标准化组织，那么这个组织是干嘛的呢？这个组织属实厉害，正如它的名字一样，专门为全球制定一些标准。制定了标准后，那么世界各地的国家就不会动什么歪心思，想着自己制定一个标准来让其他国家遵循。（例如美国典型的霸权主义思想hh）好的，废话少说，下面我们先看表再解释：

计算机网络体系结构5层模型是OSI和TCP/IP的综合，是市场生产出来的模型。（主要是因为官方的7层模型太过麻烦复杂）因此主要差别是去掉了会话层和表示层，而传输层改为了运输层，因为他们觉得运输名字更贴切。

可以看到，TCP/IP（传输控制协议/网际协议）只有4层，变得更加简洁、高效。