软件设计师17- 络基础知识

1）应用层

为用户服务，提供各类应用程序的接口和用户接口

如HTTP，Telent，FTP，SMTP等。

2）表示层

处理流经结点的数据编码的表示方法问题，保证系统应用层发出的信息可以被另一系统应用层独出

3）会话层

负责建立、管理和终止应用程序之间的会话

4）传输层

实现发送端和接收端的端到端的数据分组传送，负责保证实现数据包无差错、按顺序、无丢失和无冗余的传输。

   服务访问点：端口。

   代表性协议：TCP，UDP，SPX协议等

5） 络层

1）解决问题：路由选择、 络堵塞、异构 路互联。

   服务访问点：逻辑/ 络地址。

   代表性协议：IP、IPX协议等

6）数据链路层

 1）用途：建立、维持和释放 络实体之间的数据链路，对 络层表现为一条无差错的信息。包括流量控制和差错控制。

 2）内部分层：MAC（决定传输介质材质）（媒介访问控制层）、LLC（逻辑链路控制层）

   服务访问点为MAC地址

7）物理层（最底层/第一层）

 1）用途：解决数据终端设备与通信线路上通信设备之间的接口问题

 2）4个技术特性：

   机械特性：规定DTE(数据终端设备)、DCE（数据通信设备）的连接器形式

   电气特性：规定发送器和接收器的电气参数及其他有关的电路特征，决定数据传送速率和距离

   功能特性：对各信 线给出具体规定（接口信 为：数据信 、控制信 、时钟信 ）

   规程特性：规定DTE和DCE之间个接口信 线实现数据传输的操作过程/顺序

络结构

1）总线拓扑结构：用总线把计算机连接起来（大河的支流）

  优：建 容易、增加节点方便、节省线路

  劣：重负载时通信效率不高

2）星型拓扑结构

每个终端或计算机以单独的线路与中央设备（交换价/集线器）相连（像自行车车轮），常用于局域

  优：结构简单、建 容易、延迟小、便于管理

  劣：成本高、中心节点成为系统的瓶颈

3）环型拓扑结构

所有计算机和接口设备连接成一/多个环，常用于实时控制的局域

4）树形拓扑结构

节点组织成树状结构，具有层次性。常用语政府、军事单位

5） 状/分布式拓扑结构

每个节点至少有两条路径与其他节点相连，常用于Internet骨干 4

 优：可靠性高，可改善线路的信息流量分配、可选择最佳路径，传输延迟小

 劣：控制复杂，线路成本高

IP地址 

1  特性：IP地址由32位二进制数，即4个字节（每个字段应在255内）组成，由 络 和主机 两个字段组成

          络 决定了可以分配的 络数（2的n次方）

          主机 位数决定了 络中最大主机个数（2的(32-n)次方 -2）

2 IP地址分类

解：将 络117.15.32.0/23划分成117.15.32.0/27

即 01110101.00001111.0010000.00000000变为 01110101.00001111.0010000.00000000.

所以子 个数为2^（27-23），各主机个数为（2^5）-2

[单选] A类 络是很大的 络，每个A类 络中可以有（2^24）个 络地址。实际使用中必须把A类 络划分为子 ，如果指定的子 掩码为255.255.192.0，则该 络被划分为（C）个子 。

A . 128

B . 256

C . 1024

D . 2048

 参考解析

A类 络用第一个字节表示 络地址，最高位为0，余下的7位为真正的 络地址，而127.0.0.0 络地址有特殊的用途，A类 络地址可以支持126个 络。A类 络地址的后24位表示主机 ，所以每个A类 络中可以有224个主机地址。子 掩码中全1部分对应于 络 ，255.255.192.0的二进制表示为11111111.11111111.11000000.00000000，子 部分借用了A类 络主机 的前10位，所以可以确定该 络被划分为2=1024个子 。

4 路由汇聚

1）概念：把一组路由汇聚为一个单个的路由广播

2）优：缩小 络上的路由表的尺寸

3）方法：对比值不同字段，一般为第三段。将其化为二进制，对比相同长度；改变 络地址=16+相同长度。对应IP地址为 络地址补0（129-128）

IPv6协议

1）全称：互联 协议第6版

2）特点：地址（128位）、路由表更小、简化包头、流标志（包间关联）、身份验证和保密（IP身份证头、IP封装安全性净荷）

3）格式：2001:0da8:d001:0001:0000:0000:0000:0001

IPV6地址的128位以16位为一组（每组16位转换为4位的十六进制数字-2001）

分为八组，每组间用 : 隔开

4）压缩：2001:da8:d001:1:0:0:0:1 或 2001:da8:d001:1::1（：： 表示中间字段为0000）

5）内嵌IPv4地址的IPv6地址

     1）fe80::200:5efe:58.20.27.60    第一部分使用十六进制，第二部分（IPv4）使用10进制

     2）0000:0000:0000:0000:0000:FFFF:xxxx:xxxx（IPv4地址）

     3）0000:0000:0000:0000:0000:0000:xxxx:xxxx

6）地址类型

单播：唯一表示一个IPv6节点的接口

多播：标识一组IPv6节点的接口

泛播：派给多个节点的接口（一次性且满足就近原则（传递给离他最近的接口且不能再次传播））

7）IPv4向IPv6过渡

      双协议栈：两条路各用各的

      隧道技术：包装礼物（传送立方体），解开礼物（奇形怪状）

      NAT-PT：附带协议地址的 络地址转换器

常用 络协议

   1）TCP/IP协议：（从上往下）应用层、传输层、 际层、 络接口层

重点

   2）ARP（地址解析协议）

    IP地址是逻辑地址，不能被物理 络识别，将IP地址动态映射到MAC地址

   3）RARP（反向地址解析协议）

    有MAC，无IP地址，从服务器请求IP地址

    4）DNS域名系统

     完成域名到IP地址的转换（一对一/多），端口 53，运行在UDP之上

      解决 站负荷：1）升级软硬件

                               2）集群技术：如DNS负载均衡：在Windows的DNS服务器中通过启用循环，添         加每个Web服务器的主机记录

    5）DHCP（动态主机配置协议）

     为计算机自动分配一系列地址上 ，使用UDP作为传输协议。主机发送请求到DHCP（67 端口），DHCP应答到主机（68 端口），默认租约期（8天（保质期（可变·）：50% 87.5%提示续约））

6）SNMP协议

     由administrator组成员配置

     默认权限（由高到低）：administrators>power users>users>everyone

Internet服务

1 DNS域名服务

 2 远程登录服务：Telnet协议支持，使用TCP端口（端口 23）

3  电子邮件服务

      利用计算机进行信息交换的电子媒体信件。

      地址格式：用户名@主机名，基于客户机/服务器模式

      文格式：ASCII码

      所用协议：1）简单邮件传送协议（SMTP），接受收件（POP3协议），两者利用TCP端口（25、110）       

4  WWW服务：为用户提供超文本传输协议（HTTP）的用户界面，数据文件由超文本标记语言（HTML）描述，利用TCP端口（80）

5  文件传输服务：计算机间传输文件，基于客户机/服务器模式的服务系统

                            基于TCP端口：控制连接（21）、数据连接（20

络安全

1 信息系统对安全的基本需求：保密性、完整性、可用性、可控性、可核查性

    络的可用性：用户可利用 络时间的百分比

    络的可靠性：在规定时间的条件下和制定的时间里， 络系统完成规定功能的能力

   负载： 络系统所能承受的数据通信量

2 络安全威胁：物理威胁（硬件）、 络攻击、身份鉴别（口令、密码）、编程威胁（通过代码进行攻击）、系统漏洞（代码漏洞）

3 络攻击手段：

    1）口令入侵、

    2）放置特洛伊木马（秘密潜伏、远程监控）

            快乐时光（vb，感染html等文件）、熊猫烧香（蠕虫病毒（复制自身，目标：互联 内所有计算机）、替换EXE图标）、X卧底（手机监控）、CIH病毒（破坏计算机系统）、宏病毒（文档/模板）

    3）Dos攻击（拒绝服务：计算机 络带宽攻击、连通性攻击（SYN Flooding攻击（一次TCP连接，3次握手）））

    4）端口扫描 络监听、

    5）欺骗攻击(Web欺骗、ARP欺骗、IP欺骗)、电子邮件攻击（大量邮件）

恶意攻击分为主动攻击和被动攻击

1）被动攻击指在不影响正常运行的情况下进行侦收、截获、窃取、破译和业务流量分析及电磁泄露等（暗地进行）。

2）主动攻击指有选择的破坏信息，如修改、删除、伪造、添加重放、乱序、冒充、制造病毒等

4 防火墙技术

1）概念：建立在内外 络边界上的过滤封锁机制

2）防火墙分区：（受保护程度）内 >DMZ(隔离区，内 与外 间的缓冲区)>外

3）分类：包过滤型、应用代理 关、状态检测技术

5 加密与数字签名

  1 信息安全的核心：密码技术；需要隐藏的信息称为明文，产生的结果称为密文

  2 密码体制：

   1）对称密钥密码体制：双方使用相同/对称的密钥进行加/解密运算，常见对称加密算法：DES、     IDEA、TDEA、AES、RC2、RC4、RC5

   2）非对称密钥密码体制/公开密钥密码体制：每人一队密钥：公/私密钥，公钥（加密）公开，私     钥个人秘密保存（解密）；常用加密算法：ECC、RSA、DSA

        PGP：基于RSA的邮件加密软件

  3 数字签名

      1）概念：确认发送者身份和消息完整性的一个加密的消息摘要

         利用 文摘要算法生成 文摘要的目的：保证数据完整性

      2）实现：对称密钥体制、公钥密码体制、公正体制。最常用：公钥密码体制和散列函数算法的组合

           1）数字证书：一个经由CA（证书认证中心）数字签名（CA私钥）的、包含公开密钥拥有者信息、公开密钥的文件

            2）验证证书真伪：利用CA的公钥验证CA的数字签名

            3）验证M的真实性：利用拥有者（发送者）的公钥验证

            4）PKI保证证书不被篡改：采用CA的私钥对数字证书签名

4 身份验证安全：（安全级别高-低）集成Windows身份验证>摘要式身份验证>基本身份验证>匿名身份验证

5 漏洞扫描系统：用来自动检测远程或本地主机安全漏洞的程序

防火墙：软件和硬件设备组合而成，保护内部 免受侵入

入侵检测系统（IDS）：对 络传输进行及时监视，及时 警/采取行动

病毒防御系统：计算机防止黑客、病毒、木马的防御系统

部分命令

1）ipconfig/renew：DHCP客户端手工向服务器刷新请求，重新租用IP地址

2）ipconfig/flushdns：刷新本地DNS缓存内容

3）netstat：监控TCP/IP、显示 络接口设备等的状态信息、检验本机各端口的 络连接情况，netstat -r 用于显示路由表

4）arp：查看和修改地址解析协议（ARP）缓存中的项目，arp -a命令用于显示所有接口的当前ARP缓存表

部份协议

1 VOIP协议：在IP 络上使用IP协议以数据包的方式传输语音，使用UDP协议

2 SSL（安全套接层）及其继任者TLS(安全传输层)是为 络通信提供安全及数据完整性的安全协议。

    SSL协议分为：1）SSL记录协议（建立在TCP之上） 2）SSL握手协议（建立在SSL记录协议之上）

     TLS协议分为：1）TLS记录协议（建立在TCP之上） 2）TLS握手协议

3 HTTPS是以安全为目标的HTTP通道，基础是SSL

4 IPSex（协议安全性）：开放标准的框架结构，通过一系列举措在Internet协议 络上进行保密而安全的通信