软件设计师17-网络基础知识

一 计算机概念

1 计算机网络定义：

1）将异地的具有独立功能（平等）的多台计算机及外部设备

2）通过网络线路连接起来，

3）在网络操作系统、

      网络管理软件、

      网络通信协议的管理和协调下

4）实现资源共享和信息传递

2 计算机网络分类

 1 按传输距离

   1）局域网（LAN） 1m<10km

       局域网与外部网交换需经过代理服务器的NAT转换，所以局域网内报文源地址俄日代理服务器连接外网的地址

   2）城域网（MAN）1km<100km/一个城区

   3）广域网（WAN） 10km<10000km

2 按工作模式： 对等网络、基于服务器的网络

3 按传输介质 

 有线网络：

1）双绞线：4对8根，绞和为了减少电磁干扰

    1）类别： UTP非屏蔽双绞线，常用超五类线

                      STP屏蔽双绞线（屏蔽：减少电磁干扰）

    2）布线标准 T568A T568B

    3）直通线：线缆两端的线序排列（布线标准）完全相同

         交叉线：线缆两端排序相异。

         同种设备用交叉线，异种设备用直通线

2）同轴电缆：铜质芯线、绝缘层、网状编织的外导体屏蔽层及塑料外层

3）光纤等：光导纤维简写，玻璃/塑料制成，原理：光的全反射

    1）多模光纤：光源：发光二极管

                            缺点：可见光定向性差

                            光由多个不同角度进入光纤，同时传输

                            适用：近距离传输   

     2）单模光纤：光源：激光二极管

                            直径只有一个光的波长，光沿直线传播，传播频带宽，容量大，损耗小

                            适用：远距离传输

无线网络

1）无线电：频带有限<300GHz

                          分类：绕射强度：中波（广播）>短波（环球通信）>超短波（视距传播）>微波                               （远距离远程通信、楼宇间点对点）

2）红外线：抗干扰性强、不可穿透坚实物体、低廉且小

3）激光：通信容量大、保密性强、结构轻便，设备经济，限于视距，瞄准困难

3 计算机网络组成：资源子网（工作站、服务器）和通信子网（通信设备、传输介质）

                                资源子网（服务器、客户机）和通信子网（网络设备、通信戒指、网络软件）

二 网络设备

1 网卡（NIC ）/网络适配器：

  1）适用层次：完成物理层和数据链路层的大部分功能

  2）作用：计算机和网络电缆之间的物理连接。

   3）特性：具有（全球）唯一的地址，称为MAC地址或物理地址。采用16进制表示，前三字节为厂家编码，后三字节为厂家指派

2 中继器/信号放大器 

   1）适用层次：物理层 
   2）作用：用于完全相同的两类网络的互联，（对数据信号的复制、整形、放大）扩大网络传输的距离<2500m

3 集线器（信号放大器/多口中继器）

  1）适用层次：物理层

  2）特性：多端口服务，不具备交换机的MAC地址表（广播式发送），共享带宽（其下所有端口是一个冲突域）

  3）所有端口是一个冲突域，一个广播域

4 交换机/多端口网桥

   1）适用层次：数据链路层

   2）作用：识别帧的内容

   3）每个端口是一个冲突域/独立的网段（独占带宽），所有的端口是一个广播域

         分组：二层交换：硬件方式执行网桥功能。通过MAC地址转发，并将相关信息记录在地址表

                    三层交换机：二层交换技术+三层转发技术、网络层设备

        1）以太网交换机：根据MAC地址进行交换

        2）帧中继交换机：只能根据虚电路号与DLCI进行交换

        3）ATM交换机：根据虚电路标识进行信元交换

        4）三层交换机：具有部分路由功能的交换机，实现了数据包的高速转发

5 路由器

   1）适用层次：网络层设备

   2）作用：连接多个逻辑上分开（独立网络地址）的网络（为经过他的数据帧寻找最佳传输路径并有效传送到目的地）

   3）每个端口是一个冲突域，每个端口是一个广播域

三 OSI网络参考模型

1）应用层

为用户服务，提供各类应用程序的接口和用户接口

如HTTP，Telent，FTP，SMTP等。

2）表示层

处理流经结点的数据编码的表示方法问题，保证系统应用层发出的信息可以被另一系统应用层独出

3）会话层

负责建立、管理和终止应用程序之间的会话

4）传输层

实现发送端和接收端的端到端的数据分组传送，负责保证实现数据包无差错、按顺序、无丢失和无冗余的传输。

   服务访问点：端口。

   代表性协议：TCP，UDP，SPX协议等

5）网络层

1）解决问题：路由选择、网络堵塞、异构网路互联。

   服务访问点：逻辑/网络地址。

   代表性协议：IP、IPX协议等

6）数据链路层

 1）用途：建立、维持和释放网络实体之间的数据链路，对网络层表现为一条无差错的信息。包括流量控制和差错控制。

 2）内部分层：MAC（决定传输介质材质）（媒介访问控制层）、LLC（逻辑链路控制层）

   服务访问点为MAC地址

7）物理层（最底层/第一层）

 1）用途：解决数据终端设备与通信线路上通信设备之间的接口问题

 2）4个技术特性：

   机械特性：规定DTE(数据终端设备)、DCE（数据通信设备）的连接器形式

   电气特性：规定发送器和接收器的电气参数及其他有关的电路特征，决定数据传送速率和距离

   功能特性：对各信号线给出具体规定（接口信号为：数据信号、控制信号、时钟信号）

   规程特性：规定DTE和DCE之间个接口信号线实现数据传输的操作过程/顺序

网络结构

1）总线拓扑结构：用总线把计算机连接起来（大河的支流）

  优：建网容易、增加节点方便、节省线路

  劣：重负载时通信效率不高

2）星型拓扑结构

每个终端或计算机以单独的线路与中央设备（交换价/集线器）相连（像自行车车轮），常用于局域网

  优：结构简单、建网容易、延迟小、便于管理

  劣：成本高、中心节点成为系统的瓶颈

3）环型拓扑结构

所有计算机和接口设备连接成一/多个环，常用于实时控制的局域网

4）树形拓扑结构

节点组织成树状结构，具有层次性。常用语政府、军事单位

5）网状/分布式拓扑结构

每个节点至少有两条路径与其他节点相连，常用于Internet骨干网4

 优：可靠性高，可改善线路的信息流量分配、可选择最佳路径，传输延迟小

 劣：控制复杂，线路成本高

IP地址 

1  特性：IP地址由32位二进制数，即4个字节（每个字段应在255内）组成，由网络号和主机号两个字段组成

          网络号决定了可以分配的网络数（2的n次方）

          主机号位数决定了网络中最大主机个数（2的(32-n)次方 -2）

2 IP地址分类

A类：0000000~0111111 0 ~ 127

B类：1000000~1011111 128~191

C类：1100000~1101111 192~223

....

   1） 特殊IP地址/保留地址

    网络地址：主机号全0（最后一个字段变为0）

    广播地址：主机号全1（（最后一个字段变为1））

    子网掩码：网络号部分全1，主机号部分全0，用于计算网络地址（IP地址和子网掩码做与操作）

     与1做与操作，为本身（如192与255，结果为192）。与0做与操作，为0（192与0，结果为0）

     保留地址：为满足内网需求，保留部分地址

3 子网及子网掩码

  1）两级IP缺点：IP地址空间利用率低，给每个物理网络分配网络号使路由表变得太大因而使网络性能变坏

  2）解决：各单位自己在其后增加字段：主机号

      172.68.160.12/22 

       22表示网络地址位数，所以主机位数为（2^10-2）

       子网掩码为255.255.252.0（11111111.11111111.11111100.00000000）(22位网络地址--22个 1）

解：将网络117.15.32.0/23划分成117.15.32.0/27

即 01110101.00001111.0010000.00000000变为 01110101.00001111.0010000.00000000.

所以子网个数为2^（27-23），各主机个数为（2^5）-2

[单选] A类网络是很大的网络，每个A类网络中可以有（2^24）个网络地址。实际使用中必须把A类网络划分为子网，如果指定的子网掩码为255.255.192.0，则该网络被划分为（C）个子网。

A . 128

B . 256

C . 1024

D . 2048

 参考解析

A类网络用第一个字节表示网络地址，最高位为0，余下的7位为真正的网络地址，而127.0.0.0网络地址有特殊的用途，A类网络地址可以支持126个网络。A类网络地址的后24位表示主机号，所以每个A类网络中可以有224个主机地址。子网掩码中全1部分对应于网络号，255.255.192.0的二进制表示为11111111.11111111.11000000.00000000，子网部分借用了A类网络主机号的前10位，所以可以确定该网络被划分为2=1024个子网。

4 路由汇聚

1）概念：把一组路由汇聚为一个单个的路由广播

2）优：缩小网络上的路由表的尺寸

3）方法：对比值不同字段，一般为第三段。将其化为二进制，对比相同长度；改变网络地址=16+相同长度。对应IP地址为网络地址补0（129-128）

IPv6协议

1）全称：互联网协议第6版

2）特点：地址（128位）、路由表更小、简化包头、流标志（包间关联）、身份验证和保密（IP身份证头、IP封装安全性净荷）

3）格式：2001:0da8:d001:0001:0000:0000:0000:0001

IPV6地址的128位以16位为一组（每组16位转换为4位的十六进制数字-2001）

分为八组，每组间用 : 隔开

4）压缩：2001:da8:d001:1:0:0:0:1 或 2001:da8:d001:1::1（：： 表示中间字段为0000）

5）内嵌IPv4地址的IPv6地址

     1）fe80::200:5efe:58.20.27.60    第一部分使用十六进制，第二部分（IPv4）使用10进制

     2）0000:0000:0000:0000:0000:FFFF:xxxx:xxxx（IPv4地址）

     3）0000:0000:0000:0000:0000:0000:xxxx:xxxx

6）地址类型

单播：唯一表示一个IPv6节点的接口

多播：标识一组IPv6节点的接口

泛播：派给多个节点的接口（一次性且满足就近原则（传递给离他最近的接口且不能再次传播））

7）IPv4向IPv6过渡

      双协议栈：两条路各用各的

      隧道技术：包装礼物（传送立方体），解开礼物（奇形怪状）

      NAT-PT：附带协议地址的网络地址转换器

常用网络协议

   1）TCP/IP协议：（从上往下）应用层、传输层、网际层、网络接口层

重点

   2）ARP（地址解析协议）

    IP地址是逻辑地址，不能被物理网络识别，将IP地址动态映射到MAC地址

   3）RARP（反向地址解析协议）

    有MAC，无IP地址，从服务器请求IP地址

    4）DNS域名系统

     完成域名到IP地址的转换（一对一/多），端口号53，运行在UDP之上

      解决网站负荷：1）升级软硬件

                               2）集群技术：如DNS负载均衡：在Windows的DNS服务器中通过启用循环，添         加每个Web服务器的主机记录

    5）DHCP（动态主机配置协议）

     为计算机自动分配一系列地址上网，使用UDP作为传输协议。主机发送请求到DHCP（67号端口），DHCP应答到主机（68号端口），默认租约期（8天（保质期（可变·）：50% 87.5%提示续约））

6）SNMP协议

     由administrator组成员配置

     默认权限（由高到低）：administrators>power users>users>everyone

Internet服务

1 DNS域名服务

 2 远程登录服务：Telnet协议支持，使用TCP端口（端口号23）

3  电子邮件服务

      利用计算机进行信息交换的电子媒体信件。

      地址格式：用户名@主机名，基于客户机/服务器模式

      报文格式：ASCII码

      所用协议：1）简单邮件传送协议（SMTP），接受收件（POP3协议），两者利用TCP端口（25、110）       

4  WWW服务：为用户提供超文本传输协议（HTTP）的用户界面，数据文件由超文本标记语言（HTML）描述，利用TCP端口（80）

5  文件传输服务：计算机间传输文件，基于客户机/服务器模式的服务系统

                            基于TCP端口：控制连接（21）、数据连接（20

网络安全

1 信息系统对安全的基本需求：保密性、完整性、可用性、可控性、可核查性

   网络的可用性：用户可利用网络时间的百分比

   网络的可靠性：在规定时间的条件下和制定的时间里，网络系统完成规定功能的能力

   负载：网络系统所能承受的数据通信量

2 网络安全威胁：物理威胁（硬件）、网络攻击、身份鉴别（口令、密码）、编程威胁（通过代码进行攻击）、系统漏洞（代码漏洞）

3 网络攻击手段：

    1）口令入侵、

    2）放置特洛伊木马（秘密潜伏、远程监控）

            快乐时光（vb，感染html等文件）、熊猫烧香（蠕虫病毒（复制自身，目标：互联网内所有计算机）、替换EXE图标）、X卧底（手机监控）、CIH病毒（破坏计算机系统）、宏病毒（文档/模板）

    3）Dos攻击（拒绝服务：计算机网络带宽攻击、连通性攻击（SYN Flooding攻击（一次TCP连接，3次握手）））

    4）端口扫描网络监听、

    5）欺骗攻击(Web欺骗、ARP欺骗、IP欺骗)、电子邮件攻击（大量邮件）

恶意攻击分为主动攻击和被动攻击

1）被动攻击指在不影响正常运行的情况下进行侦收、截获、窃取、破译和业务流量分析及电磁泄露等（暗地进行）。

2）主动攻击指有选择的破坏信息，如修改、删除、伪造、添加重放、乱序、冒充、制造病毒等

4 防火墙技术

1）概念：建立在内外网络边界上的过滤封锁机制

2）防火墙分区：（受保护程度）内网>DMZ(隔离区，内网与外网间的缓冲区)>外网

3）分类：包过滤型、应用代理网关、状态检测技术

5 加密与数字签名

  1 信息安全的核心：密码技术；需要隐藏的信息称为明文，产生的结果称为密文

  2 密码体制：

   1）对称密钥密码体制：双方使用相同/对称的密钥进行加/解密运算，常见对称加密算法：DES、     IDEA、TDEA、AES、RC2、RC4、RC5

   2）非对称密钥密码体制/公开密钥密码体制：每人一队密钥：公/私密钥，公钥（加密）公开，私     钥个人秘密保存（解密）；常用加密算法：ECC、RSA、DSA

        PGP：基于RSA的邮件加密软件

  3 数字签名

      1）概念：确认发送者身份和消息完整性的一个加密的消息摘要

         利用报文摘要算法生成报文摘要的目的：保证数据完整性

      2）实现：对称密钥体制、公钥密码体制、公正体制。最常用：公钥密码体制和散列函数算法的组合

           1）数字证书：一个经由CA（证书认证中心）数字签名（CA私钥）的、包含公开密钥拥有者信息、公开密钥的文件

            2）验证证书真伪：利用CA的公钥验证CA的数字签名

            3）验证M的真实性：利用拥有者（发送者）的公钥验证

            4）PKI保证证书不被篡改：采用CA的私钥对数字证书签名

4 身份验证安全：（安全级别高-低）集成Windows身份验证>摘要式身份验证>基本身份验证>匿名身份验证

5 漏洞扫描系统：用来自动检测远程或本地主机安全漏洞的程序

防火墙：软件和硬件设备组合而成，保护内部网免受侵入

入侵检测系统（IDS）：对网络传输进行及时监视，及时报警/采取行动

病毒防御系统：计算机防止黑客、病毒、木马的防御系统

部分命令

1）ipconfig/renew：DHCP客户端手工向服务器刷新请求，重新租用IP地址

2）ipconfig/flushdns：刷新本地DNS缓存内容

3）netstat：监控TCP/IP、显示网络接口设备等的状态信息、检验本机各端口的网络连接情况，netstat -r 用于显示路由表

4）arp：查看和修改地址解析协议（ARP）缓存中的项目，arp -a命令用于显示所有接口的当前ARP缓存表

部份协议

1 VOIP协议：在IP网络上使用IP协议以数据包的方式传输语音，使用UDP协议

2 SSL（安全套接层）及其继任者TLS(安全传输层)是为网络通信提供安全及数据完整性的安全协议。

    SSL协议分为：1）SSL记录协议（建立在TCP之上） 2）SSL握手协议（建立在SSL记录协议之上）

     TLS协议分为：1）TLS记录协议（建立在TCP之上） 2）TLS握手协议

3 HTTPS是以安全为目标的HTTP通道，基础是SSL

4 IPSex（协议安全性）：开放标准的框架结构，通过一系列举措在Internet协议网络上进行保密而安全的通信