成為網路安全工程師的第一天
day1:基礎網路安全知識掃盲
學習內容:
1、基礎網路制式
2、osi七層模型
3、TCP/IP傳輸協議堆疊
4、TCP協議與UDP協議
5、TCO與UDP、IPv4的報頭
一、計算機基礎:
【1】馮· 諾依曼體系:
ENIAC,1946/2/14誕生,世界上第一臺通用計算機,
CPU(中央處理器,Central Processing Unit):運算器、控制器、暫存器、快取
存盤器:記憶體、RAM(Random Access Memory)存盤器內部有大量的存盤單元CELL,一個CELL是8bits,二進制
8bits=1Bytes,記憶體的最小存盤單元是1Byte.
記憶體的編址是平面的
Input:下指令、提供資料等
Output:輸出資料加工的結果
程式=指令+資料;演算法+資料結構
另:
NIC: Network Interface Card,網路介面卡/網路配接器,是計算機連接網路的設備
顯卡:Video Card,Graphic Card,顯示介面卡/顯示配接器,是計算機進行數模信號轉換的設備—–承載計算機的所有網路資料
【2】計算機的啟動程序:
計算機的整個啟動程序分成四個階段:
1)BIOS:Basic Input/Output System,基本輸出輸入系統,進行硬體自檢,通過則將控制權交給下一階段的
啟動程式—>啟動順序(Boot Sequence)
2)主引導記錄,MBR(Master boot record),512位元組,
3)硬碟啟動:告知計算機作業系統在哪個磁區
4)作業系統:控制權交給作業系統之后,作業系統的內核被載入記憶體
【3】部分DOS命令(windows+R,cmd回車)
dxdiag 查看計算機配置資訊
systeminfo 查看計算機系統資訊
wmic memorychip 查看記憶體資訊
ipconfig 查看計算機IP地址資訊
ipconfig/all 查看 計算機所有網卡資訊
netsh interface ipv4 show interfaces 查看計算機網卡狀態
wmic memorychip list brief 查看記憶體條數量
start msinfo32 查看系統資訊
【4】數制
二進制:基數 0-1
十進制:基數 0-9
八進制:基數 0-7
十六進制:基數 0-9,A B C D E F
二進制轉十進制:展開按權相加
十進制轉二進制:短除法
二、OSI七層參考模型
1.OSI七層參考模型(Open System Interconnect)
OSI七層參考模型,即開放式系統互聯,由ISO國際組織制定,
應用層 : 通過人機互動的界面提供各種各樣的服務
表示層 : 為上層用戶解決用戶資訊語法問題,編碼、解碼、加密、解密
會話層 : 在兩個節點之間建立端鏈接,提供對話控制機制,建立、維持、終止會話行程
傳輸層 : 通過埠號區分上層不同的服務 資料分段 TCP(面向連接的)/UDP(面向無連接)
提供可靠的傳輸機制 確認 重傳 排序 流控
網路層 : IP ,通過IP地址進行邏輯尋址,建立兩個節點之間的連接 IP地址 路由器
資料鏈路層 : CPU,邏輯鏈路控制層 LLC 為上層提供服務 提供FCS校驗 資料分幀
媒介訪問控制層 MAC—物理地址:四十八位二進制編碼
物理層 : 定義電氣、電壓、光學特性、介面規范 中繼器/集線器 傳送位元流
以下為通俗參考模型
應用層:應用程式/服務所在 人類語言<—>編碼
表示層:編碼<—>二進制
會話層:管理會話、資料加解密
傳輸層:TCP/UDP,埠號–標識應用程式或者服務
0-65535,其中0-1023著名埠,1024-65535高埠/動態埠–本地意義
網路層:IP 4&6 路由器–基于IPv4地址進行邏輯尋址
資料鏈路層:CPU、網橋
物理層:NIC、HUB
在傳輸層的埠號中的著名服務埠:
HTTP:超文本傳輸協議 TCP 80
HTTPS:安全的超文本傳輸協議 TCP 443
DNS:域名決議服務 TCP&UDP 53~~~
8.8.8.8(美國硅谷)114.114.114.114(江蘇南京)
FTP:檔案傳輸協議 TCP 20/21
TFTP:
telnet:遠程登錄 TCP 23
DHCP:動態主機配置協議–發IP地址 UDP 67-s/68-c
騰訊的資料傳輸私用埠:8000
使用中將參考模型轉化為分層結構模型:
TCP/IP協議堆疊:分層結構
應用層–data
傳輸層–資料段
網路層–資料包
資料鏈路層–資料幀
物理層–資料流
資料包的封裝:按照OSI七層參考模型,從資料逐層添加對應的報頭資訊的程序
報文封裝與解封裝:
以用戶瀏覽網站為例說明資料的封裝、解封裝程序,
資料封裝
單位轉換
bit 1B=8bit
Byte 1KB=1024Byte
KB 1MB=1024B
MB .,,,,,,
GB ,,,,,,
TB ,,,,,,
PB ,,,,,,
TCP:傳輸控制協議–面向連接的可靠的傳輸協議
1、埠號:用來標識同一臺計算機的不同的應用行程,
1)源埠:源埠和IP地址的作用是標識報文的回傳地址,
2)目的埠:埠指明接收方計算機上的應用程式介面,
TCP報頭中的源埠號和目的埠號同IP資料報中的源IP與目的IP唯一確定一條TCP連接,
2、序號和確認號:是TCP可靠傳輸的關鍵部分,序號是本報文段發送的資料組的第一個位元組的序號,在TCP傳送的流中,每一個位元組一個序號,e.g.一個報文段的序號為300,此報文段資料部分共有100位元組,則下一個報文段的序號為400,所以序號確保了TCP傳輸的有序性,確認號,即ACK,指明下一個期待收到的位元組序號,表明該序號之前的所有資料已經正確無誤的收到,確認號只有當ACK標志為1時才有效,比如建立連接時,SYN報文的ACK標志位為0,
3、資料偏移/首部長度:4bits,由于首部可能含有可選項內容,因此TCP報頭的長度是不確定的,報頭不包含任何任選欄位則長度為20位元組,4位首部長度欄位所能表示的最大值為1111,轉化為10進制為15,15*32/8 = 60,故報頭最大長度為60位元組,首部長度也叫資料偏移,是因為首部長度實際上指示了資料區在報文段中的起始偏移值,
4、保留:為將來定義新的用途保留,現在一般置0,
5、控制位:URG ACK PSH RST SYN FIN,共6個,每一個標志位表示一個控制功能,
1)URG:緊急指標標志,為1時表示緊急指標有效,為0則忽略緊急指標,
2)ACK:確認序號標志,為1時表示確認號有效,為0表示報文中不含確認資訊,忽略確認號欄位,
3)PSH:push標志,為1表示是帶有push標志的資料,指示接收方在接收到該報文段以后,應盡快將這個報文段交給應用程式,而不是在緩沖區排隊,
4)RST:重置連接標志,用于重置由于主機崩潰或其他原因而出現錯誤的連接,或者用于拒絕非法的報文段和拒絕連接請求,
5)SYN:同步序號,用于建立連接程序,在連接請求中,SYN=1和ACK=0表示該資料段沒有使用捎帶的確認域,而連接應答捎帶一個確認,即SYN=1和ACK=1,
6)FIN:finish標志,用于釋放連接,為1時表示發送方已經沒有資料發送了,即關閉本方資料流,
6、視窗:滑動視窗大小,用來告知發送端接受端的快取大小,以此控制發送端發送資料的速率,從而達到流量控制,視窗大小是一個16bit欄位,因而視窗大小最大為65535,
7、校驗和:奇偶校驗,此校驗和是對整個的 TCP 報文段,包括 TCP 頭部和 TCP 資料,以 16 位字進行計算所得,由發送端計算和存盤,并由接收端進行驗證,
8、緊急指標:只有當 URG 標志置 1 時緊急指標才有效,緊急指標是一個正的偏移量,和順序號欄位中的值相加表示緊急資料最后一個位元組的序號, TCP 的緊急方式是發送端向另一端發送緊急資料的一種方式,
9、選項和填充:最常見的可選欄位是最長報文大小,又稱為MSS(Maximum Segment Size),每個連接方通常都在通信的第一個報文段(為建立連接而設定SYN標志為1的那個段)中指明這個選項,它表示本端所能接受的最大報文段的長度,選項長度不一定是32位的整數倍,所以要加填充位,即在這個欄位中加入額外的零,以保證TCP頭是32的整數倍,
10、資料部分: TCP 報文段中的資料部分是可選的,在一個連接建立和一個連接終止時,雙方交換的報文段僅有 TCP 首部,如果一方沒有資料要發送,也使用沒有任何資料的首部來確認收到的資料,在處理超時的許多情況中,也會發送不帶任何資料的報文段,
面向連接—TCP三次握手、四次握手斷開連接 可靠:可靠的傳輸機制–確認、重傳、流控、排序
TCP3次握手:
ACK : TCP協議規定,只有ACK=1時有效,也規定連接建立后所有發送的報文的ACK必須為1
SYN(SYNchronization) : 在連接建立時用來同步序號,當SYN=1而ACK=0時,表明這是一個連接請求報文,對方若同意建立連接,則應在回應報文中使SYN=1和ACK=1. 因此, SYN置1就表示這是一個連接請求或連接接受報文,
**FIN (finis)**即完,終結的意思: 用來釋放一個連接,當 FIN = 1 時,表明此報文段的發送方的資料已經發送完畢,并要求釋放連接,
TCP4次斷開:本端和對端各發送了一次請求和確認
當客戶A 沒有東西要發送時就要釋放 A 這邊的連接,A會發送一個報文(沒有資料),其中 FIN 設定為1, 服務器B收到后會給應用程式一個信,這時A那邊的連接已經關閉,即A不再發送資訊(但仍可接收資訊), A收到B的確認后進入等待狀態,等待B請求釋放連接, B資料發送完成后就向A請求連接釋放,也是用FIN=1 表示, 并且用 ack = u+1(如圖), A收到后回復一個確認資訊,并進入 TIME_WAIT 狀態, 等待 2MSL 時間,
UDP:非面向連接的不可靠傳輸協議
8Byte 報頭
| 欄位 | 長度 | 描述 |
|---|---|---|
| Source Port | 2位元組 | 標識哪個應用程式發送(發送行程), |
| Destination Port | 2位元組 | 標識哪個應用程式接收(接收行程), |
| Length | 2位元組 | UDP首部加上UDP資料的位元組數,最小為8, |
| Checksum | 2位元組 | 覆寫UDP首部和UDP資料,是可選的, |
| data octets | 變長 | UDP負載,可選的, |
MTU:最大傳輸單元 默認1500B
網路層:IP協議 IP協議:三層設備來查看 20B
版本:IP協議的版本,目前的IP協議版本號為4,下一代IP協議版本號為6,
首部長度:IP報頭的長度,固定部分的長度(20位元組)和可變部分的長度之和,共占4位,最大為1111,即10進制的15,代表IP報頭的最大長度可以為15個32bits(4位元組),也就是最長可為15*4=60位元組,除去固定部分的長度20位元組,可變部分的長度最大為40位元組,
服務型別:Type Of Service,
總長度:IP報文的總長度,報頭的長度和資料部分的長度之和,
標識:唯一的標識主機發送的每一分資料報,通常每發送一個報文,它的值加一,當IP報文長度超過傳輸網路的MTU(最大傳輸單元)時必須分片,這個標識欄位的值被復制到所有資料分片的標識欄位中,使得這些分片在達到最終目的地時可以依照標識欄位的內容重新組成原先的資料,
標志:共3位,R、DF、MF三位,目前只有后兩位有效,DF位:為1表示不分片,為0表示分片,MF:為1表示“更多的片”,為0表示這是最后一片,
片位移:本分片在原先資料報文中相對首位的偏移位,(需要再乘以8)
生存時間:IP報文所允許通過的路由器的最大數量,每經過一個路由器,TTL減1,當為0時,路由器將該資料報丟棄,TTL 欄位是由發送端初始設定一個 8 bit欄位.推薦的初始值由分配數字 RFC 指定,當前值為 64,發送 ICMP 回顯應答時經常把 TTL 設為最大值 255,
協議:指出IP報文攜帶的資料使用的是那種協議,以便目的主機的IP層能知道要將資料報上交到哪個行程(不同的協議有專門不同的行程處理),和埠號類似,此處采用協議號,TCP的協議號為6,UDP的協議號為17,ICMP的協議號為1,IGMP的協議號為2.
首部校驗和:計算IP頭部的校驗和,檢查IP報頭的完整性,
源IP地址:標識IP資料報的源端設備,
目的IP地址:標識IP資料報的目的地址,
TTL time to live 0-255 每經過一臺路由器-1 當為0時路由器直接丟棄
協議 TCP 6 標識上層協議
UDP 17
EIGRP 88
OSPF 89
相同點: 2者都是模型化層次化
下層對上層提供服務支持
每層協議彼此相互獨立
不同點:OSI先有模型才有協議 TCP/IP先有協議才有模型
TCP/IP協議堆疊只適用于TCP/IP網路
層數量不同
IPv4地址:
32位二進制,分為網路位和主機位(網路位標識所在網段,主機位唯一標識某主機)
完整的IP地址需要網路掩碼—32位二進制,和IP地址每一位對應,由連續的1和連續的0構成,掩碼為1表示IP此位為網路位,掩碼為0表示IP此位為主機位,
2^32=4294967296 42億個地址
IPV6 128w位 2^128
分為ABCDE 五類,主類網
在默認情況下通過第一個8位就可以辨別類別;
A 0 0000000—0 1111111 0-127
B 10 000000—10 111111 128-191
C 110 00000—110 11111 192-223
D 1110 0000—1110 1111 224-239
E 1111 0000----1111 1110 240-254
單播地址:ABC 一對一
組播地址:D
科研使用:E
默認的掩碼:
A 前8位為網路位 后24位為主機位 2^24-2 可用地址
B 16 16 2^16-2
C 24 8 2^8-2
在單播地址中還存在私有地址和公有地址分類:
公有地址:全球唯一性 需要付費使用
私有地址:本地唯一性 無需付費
私有地址:
A:10.0.0.0/8
B:172.16.0.0/16-172.31.0.0/16
C:192.168.0.0/24-192.168.255.0/24
特殊IPv4地址:
1)0.0.0.0/0 無效地址/預設地址
2)255.255.255.255 受限廣播地址
3)127.0.0.1/8 本地環回地址,測驗TCP/IP協議堆疊能否正常作業(一般也代表本機)
4)主機位全0
舉例:192.168.1.00000000/24 代表本網段內所有主機,即代表一個網路范圍
5)主機位全1
舉例:192.168.1.11111111/24 代表本網段內的廣播地址
6)169.254.0.0/16 本地私有地址,PC通過自動獲取IP地址的方式拿不到地址時,PC自己隨機分配
子網劃分:通過從主機位借位到網路位的方式,達到將一個大網路劃分為一些小網路
借出的位稱為子網位,決定了能夠劃分的子網范圍個數
VLSM:可變長子網掩碼
舉例:現有一個大的網路范圍,172.16.0.0/22,希望滿足有6個網路范圍的條件,寫出子網范圍和可用IP地址范圍
172.16.0.0/22
網路位 主機位
10101100 00010000 00000000 00000000----IP地址
11111111 11111111 11111100 00000000----網路掩碼(255.255.252.0)
分析:
因為需要6個網路范圍,所以基于借出的子網位決定子網數量的概念,需要至少借3位,從原本的網路位最后一位往后順延借3位,最后的掩碼為/25,
借出的子網位(藍色)
10101100 00010000 00000000 00000000
構成的子網:藍色的部分排列組合—
000 001 010 011 100 101 110 111—8個子網范圍
則最終結果為:
子網范圍 可用IP地址范圍
172.16.0.0/25 0.1—0.126
172.16.0.128/25 0.129—0.254
172.16.1.0/25 1.1—1.126
172.16.1.128/25 1.129—1.254
172.16.2.0/25 2.1—2.126
172.16.2.128/25 2.129—2.254
172.16.3.0/25 3.1—3.126
172.16.3.128/25 3.129—3.254
子網匯總:將一些小網路匯聚成一個大網路
匯總須同時滿足條件:1)母網相同 2)掩碼一致
匯總方式:取相同位,去不同位
舉例:
172.16.1.0/24
172.16.14.0/24
172.16.35.0/24
172.16.99.0/24
匯總后:
172.16.0 0000001.0/24
172.16.0 0001110.0/24
172.16.0 0100011.0/24
172.16.0 110001.0/24
總共17位相同,匯總后172.16.0.0/17
超網:匯總后掩碼<主類掩碼–192.168.0.0/17
CIDR:匯總后掩碼>主類掩碼–172.16.0.0/17
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/190048.html
標籤:其他
上一篇:太厲害了!不愧是阿里云技術官,整理分析的網路協議太好的,簡單到爆炸!
下一篇:C語言利用佇列和堆疊實作回文判斷