网络安全基础
网络安全基础
如何将两个电脑连起来
通过网线,网卡
网线不够长,数据丢失
中继器
能够对信息进行中继,实现设备的放大,集线器,多口中继器,能够对信息进行中继和放大,会往其他所有接口泛洪,无法对终端主机进行隔离多个主机处于同一个**冲突域**中,采用集线器的网络,带宽利用率较低。
网桥
链路层产品,能够记录终端至极mac地址能够进行冲突域隔离,提高网络带宽利用率,不同接口之间数据不会互相冲突,
接口有限,默认是两个接口,
交换机
①交换机(Switch)是一种链路层产品,能够记录终端主机的MAC地址并生成MAC表(也称为CAM表),MAC表相当于“地图”,交换机根据MAC表转发主机之间的数据流。
②交换机是在网桥的基础上进行延伸和升级,相比网桥,主要有几个优势:接口数量更加密集(每个主机在独立的冲突域,带宽利用率大大提高)采用专用ASIC硬件芯片进行高速转发能够进行VLAN隔离(不仅仅可以隔离冲突域,而且通过VLAN隔离广播域)
③交换机是一种局域网产品(历史上有很多局域网技术,目前是以太网技术称霸),一般用于本地网络,无法实现远程广域网通信。
路由器
采用路由表实现数据转发
路由器主要用于连接不同局域网(可以是不同介质,如令牌网和以太网可以互通),实现广播域隔离,也可以用于远程通信(广域网连接)
跨介质跨地理的网络大融合成为现实
IP协议等逻辑寻址机制是实现不同类型局域网连通的关键
路由器在实现局域网之间通信时,会进行“介质翻转”和“路由转发”
无线AC/AP
无线AP(Access point)可以看成带有无线功能的交换机/路由器,随着无线城市、移动办公趋势,网络中无线产品的比例越来越多
胖AP,瘦AP,小型的无线网络(家用、小型企业)用胖AP即可解决,大型无线网络(无线城市、无线校园网)则需要用瘦AP方案)(AC+AP)来解决
防火墙
防火墙(Firewall)是一种网络安全产品,用于对网络进行安全访问限制,一般用在互联网边缘,防止外部黑客攻击。
根据防火墙的技术特征,可以分为包过滤、应用代理、状态检测防火墙;根据产品形态,可以分为软件和硬件防火墙。
可以看到例如路由协议、访问控制列表、地址翻转技术
是否有了防火墙,就可以不用路由器了呢?网络边界的路由器是可以直接代替为防火墙,但是防火墙和路由器可以在网络里面同时存在,例如将防火墙放在路由器之前或者之后都可以,这样的话,路由器侧重地址翻转和路由策略,防火墙侧重安全隔离等功能。
流控
网络中的流控(流量控制)产品主要分为上网行为管理、负载均衡器/应用交付、链路优化等
行为管理产品主要针对流量进行精细化区分控制;负载均衡/应用交付侧重流量的负载均衡(根据流量的特征、应用、地址等进行区分,然后分发到不同的链路和服务器上);链路优化主要应用在广域网等低速链路边界,最大化利用链路
家庭网络
小型创业公司网络
园区网
政务网
数据中心
电信网
TCP/IP协议
概述
现在电脑都是安装TCP/IP栈通信
协议栈
OSI模型是一个理论框架,而TCP/IP协议栈是一个事实标准。
应用层:为用户提供软件接口,协议,HHTP,HTTPS,BT/P2P/QICQ
传输层,作用,用于实现数据可靠传输和不可靠传输,协议,TCP/UDP
网络层,提供IP地址和三层通信(路由器)功能,IP协议
链路层,提供MAC地址和二层通信(交换机)功能。Ethernet
封装和解封装
数据封装是一个为数据包加入寻地址信息的过程
端口号用于标志不同的应用程序,面向最终用户
ip地址用于标志通信设备,面向路由器
mac地址用于标志唯一的局域网设备面向交换机
Etherpnet协议
以太网协议,用于实现链路层的数据传输和地址封装
三个协议字段
Destination 目的字段,表示通信方的mac地址
souce源字段,标识发送端的mac地址
type,类型值,标志上层的协议
mac地址(网卡)
mac地址唯一的
mac16进制的
前半段是OUI代码,表示厂商,思科华为三星。。。
IP协议
1.任何能联网的设备都有唯一IP地址
2.IP可以被追踪
原理
通过IP协议栈实现网络通信,面向无连接和不可靠的传输功能
通信过程
①PC1在请求数据包里面封装源目IP地址,并将带有IP地址的数据包发送到互联网;
②互联网有大量的网络通信设备(例如路由器),路由器根据数据包的IP地址查找路由表(地图),然后以接力棒的 方式逐跳转发直到目标服务器;
③服务器收到请求数据后,将源目IP地址翻转,并封装回应数据包发送到互联网。
模拟快递员收寄件
快递收寄件:
①寄快递的时候,需要先写快递单,快递单要求写入寄件方和收件方的姓名和联系信息(电话号码、地址),写完之后,再将快递单贴在包裹上面。
②物流公司(或快递员)根据包裹的寄件地址,通过物流平台(飞机、长途货车、卡车)将包裹在省市中传输,直到收件方的城市。
③收快递的时候,快递员根据包裹收件地址,找到对应的街道或小区,然后通过电话联系并交付到我们手里。
总结:快递单相当于IP地址、快递包裹相当于数据包,物流公司/快递员相当于路由器/交换机。
实践内容
打开wireshark软件实现抓包
命令:ping 8.8.8.8
抓包
ip协议字段解读
【IP协议字段解读】
Version(版本号):标识IP协议的版本,目前V4版本地址已经枯竭,V6慢慢成为主流。
Header Length(头部长度):默认为20字节,最大为60字节。
Differentiated Services Field (服务区分符):用于为不同的IP数据包定义不同的服务质量,一般应用在QoS技术中。
Total Length (总长度):标识IP头部加上上层数据的数据包大小,IP包总长度最大为65535个字节。
Identification (标识符):用来实现IP分片的重组,标识分片属于哪个进程,不同进程通过不同ID区分。
Flags(标志符):用来确认是否还有IP分片或是否能执行分片。
Fragment offset (分片偏移量):用于标识IP分片的位置,实现IP分片的重组。
Time to live (生存时间):标识IP数据包还能生存多久,根据操作系统不同,TTL默认值不同,每经过一个三层设备如路由器的处理,则TTL减去1,当TTL=0时,则此数据包被丢弃。
Protocol (协议号):标识IP协议上层应用。当上层协议为ICMP时,协议号为1,TCP协议号为6,UDP的协议号为17。
Header checksum (头部校验):用于检验IP数据包是否完整或被修改,若校验失败则丢弃数据包。
Source(源IP地址):标识发送者IP地址,占用32bit。
Destination (目的IP地址):标识接收者IP地址,占用32bit。
我们可以看到IP头部默认有12个字段(后续会提到特殊字段),为了方便记忆,可以总结为7个核心知识点:
a.Source和Destination即IP源目地址字段,是IP协议最核心的字段;
b.Id+Flags+FO三个字段可以实现IP数据分片和重组;
c.Total Length和Header Length标记IP头部和上层数据的边界;
d.TTL生存时间字段可以实现通信防环;
e.DSCP服务区分符可以实现流量控制;
f.Checksum字段可以数据包完整性校验;
g.Protocol字段标记上层应用;
源目IP字段上面已经讲过,下面我们来对其他字段进行解读=>
TTL生存字段解读
TTL(Time to live)即生存时间,用于标识IP数据包"还能存活多久",这个生存值在发送方发送数据时便设置好了。不同电脑/操作系统的初始TTL是不同的,例如上图,便是我的Mac电脑发出的,默认值是64,其他一些系统是128或255。由于TTL值占用8个bit位,所以最大值是255(二进制11111111)。IP数据包每经过一个路由器或三层设备,TTL便会被减去1,而当TTL=0的时候,则代表此数据包"死亡",此时路由器便会向源发送者返回一个"TTL Exceed"的ICMP报错包。上图中,如果我的电脑到目标服务器超过了64跳,则这个数据包会中途被丢弃,无法到达目标地。
TTL值除了标识IP数据包的生存值之外,另外一个特别重要的功能便是"防止数据包环路",简称为"防环"。很多时候,由于工程师的疏忽,或者网络拓扑结构的复杂性,会出现一些有bug的网络环境,例如=>
上面便是一个经典的"环路拓扑",当电脑将数据包发送到互联网时,由于网络设备之间存在环路(Loop),所以数据包一直在里面绕起来,而不是发送到最右边的服务器。如果没有TTL,则这个数据包会一直存在于链路中,这样不仅占用网络带宽,并且浪费设备的处理器资源。若有大量的数据包存在网络中,则会拖垮其他人的正常通信。
DSCP字段解读
DSCP(Differentiated Services Field) 即服务区分符,用于为不同的IP数据包定义不同的服务质量。DSCP的前身叫做TOS(Type of Service,服务类型)。不管是TOS还是DSCP,它们都是QoS服务质量里面的技术实现。
说白了就是给VIP提供专线服务,没开通就没有这个服务
Checksum字段
用于校验数据的完整性
不同协议采取方法不同,IP协议中checksum只校验IP头部,没有数据部分
TCP/UDP校验头部和数据部分,校验没问题收并处理,有问题就丢弃
Protocol字段解读
无论是IT协议的Protocol字段,还是Ethernet以太网协议里面的Type字段,又或者是TCP/UDP协议里面的Port字段,这些字段的功能都是用于标识上层协议或应用。例如,ICMP协议号为1,TCP协议号为6,UDP的协议号为17
对于很多初学者来而,虽然知道了哪些协议号对应哪些上层应用,毕竟只要背熟了就好,但是我们还需要更深入的思考?例如,在IP协议里面加入协议号标识传输层协议,意义何在?
通过上面这张图我们可以看到,若PC1 PING PC2,则此时会采用ICMP协议,而ICMP协议对应的协议号是1。当PC2收到这个数据包时,拆开IP头部,则会看到协议号,根据协议号调用对应的上层协议或应用来进行上层数据处理。以这里例子来看,若PC2采用TCP或UDP来解开ICMP数据包,则无法正常解析,好比用word程序要打开一部mp4电影,肯定会有故障。而如果这里PC2根据协议号为1,调用ICMP协议来处理ICMP数据包,则可以正常解读并返回回应包。
所以,协议号(Protocol)、端口号(Port)、类型值(Type)这些的功能都是:标记上层协议/应用,告诉接收方,有正确的协议/应用来打开这个数据,功能相当于电脑文件的后缀名,告诉电脑用哪些应用程序来打开对应的文件。