Open System Interconnection Reference Model开放式系统互联通信参考模型:
一个试图使各种计算机在世界范围内互连为网络的标准框架。
7 . 应用层(Application Layer)
提供为应用软件而设的界面,以设置与另一应用软件之间的通信。
例如: HTTP,HTTPS,FTP,TELNET,SSH,SMTP,POP3等。
6 . 表示层 (Presentation Layer)
把数据转换为能与接收者的系统格式兼容并适合传输的格式。
5 . 会话层(Session Layer)
负责在数据传输中设置和维护电脑网络中两台电脑之间的通信连接
4 . 传输层 (Transport Layer)
把传输表头(TH)加至数据以形成数据包。传输表头包含了所使用的协议等发送信息。例如:传输控制协议义(TCP)等。
3 . 网络层 (Network Layer)
决定数据的路径选择和转寄,将网络表头(NH)加至数据包,以形成分组。网络表头包含了网络数据。例如:互联网协议(IP)等。
2 . 数据链路层 (Data Link Layer)
负责网络寻址、错误侦测和改错。当表头和表尾被加至数据包时,会形成了帧。数据链表头(DLH)是包含了物理地址和错误侦测及改错的方法。数据链表尾(DLT)是一串指示数据包末端的字符串。例如以太网、无线局域网(Wi-Fi)和通用分组无线服务(GPRS)等。
分为两种子层:logic link control sublayer & media access control sublayer
1 . 物理层 (Physical Layer)
在局部局域网上传送帧,它负责管理电脑通信设备和网络媒体之间的互通。包括了针脚、电压、线缆规范、集线器、中继器、网卡、主机适配器等
传输层安全协议(英语:Transport Layer Security,缩写:TLS),及其前身安全套接层(Secure Sockets Layer,缩写:SSL)是一种安全协议,目的是为互联网通信,提供安全及数据完整性保障。
How does HTTP work? How is HTTPS different from HTTP? This tutorial will teach you about SSL, HTTP and HTTPS.
HyperText Transfer Protocol (HTTP)超文本传输协议
Once everyone knew how to exchange information, intercepting拦截 on the Internet was not difficult. So knowledgeable administrators agreed upon a procedure to protect the information they exchanged. The protection relies on SSL Certificate to encrypt the online data. Encryption means that the sender and recipient agree upon a "code" and translate their documents into random-looking character strings.
The procedure for encrypting information and then exchanging it is called HyperText Transfer Protocol Secure (HTTPS).
With HTTPS if anyone in between the sender and the recipient could open the message, they still could not understand it. Only the sender and the recipient, who know the "code," can decipher解码 the message.
Humans could encode their own documents, but computers do it faster and more efficiently. To do this, the computer at each end uses a document called an "SSL Certificate" containing character strings that are the keys to their secret "codes."
SSL certificates contain the computer owner's "public key."
The owner shares the public key with anyone who needs it. Other users need the public key to encrypt messages to the owner. The owner sends those users the SSL certificate, which contains the public key. The owner does not share the private key with anyone.
The security during the transfer is called the Secure Sockets Layer (SSL) and Transport Layer Security (TLS).
The procedure for exchanging public keys using SSL Certificate to enable HTTPS, SSL and TLS is called Public Key Infrastructure (PKI).
public key 就是加密方法,private key就是解密方法,加密方法可以告诉任何人,但是解密方法只有终端机知道。
http和https的不同:
https传输过程中的东西是加密的;http就是原文传输的,所以抓包之后信息很容易泄漏。
簡單地講, HTTPS 是加過密的 HTTP。這樣,由於網路上傳輸的數據是加密的,在瀏覽網頁時,除了你自己可以看到你在看什麼網頁,第三方是無法得知你在幹什麼的。
1 . HTTP不仅容易泄露数据,也容易被注入数据
而一幫駭客們突然發現,有些東西雖然是明文在網上傳輸的,看著沒有什麼意思,但是我可以修改內容或者添加裡面的內容啊。這個有點像一個郵遞員每天都在投遞明信片,雖然明信片上的內容看起來並沒有什麼用。突然有一天,這個郵遞員想,其實我還可以修改明信片的內容啊, 比如加上一句「請立即向 XX 賬戶匯款 5000 元」 等等。
邮递员那个例子举的很好呀。
圖中某運營商的套餐售賣其實完全不是原網頁的內容,而是網頁數據經過運營商服務器時被強行注入的數據。
这个跟龙胜办公家具主页被注入广告是一个道理吧。
這個情況,業內叫「流量劫持」。
2、HTTP 不僅內容不加密,協議本身的(原語,頭部數據)也是不加密的,於是協議指令本身也可能被修改
駭客:協議也不加密是吧, 就不要怪我來花式破解了。
事實上, HTTP 協議已經被黑客們各種匪夷所思的破解得不成樣子了。比如傳說中的Cache poisoning
一系列的花式技巧讓你的瀏覽器緩存永遠不更新。什麼!服務器那邊股票價格已經跌停了?不過你看不到哦,因為,你的暫存沒法更新……
3、如果上面的資料不夠生猛,最後給你來個更生猛的:HTTP 傳輸的 Web 網頁中對於系統設備的授權是統一的。
想像一下這樣的場景: 用戶去訪問一個視訊聊天的網站,網頁需要訪問你手機上面的鏡頭,然後瀏覽器會詢問用戶是否同意授權,用戶選擇了同意。但是萬萬沒想到, 這個頁面在通過某個網路節點的時候,被黑客注入了一段 code。那麼這個時候,這個注入的腳本在瀏覽器看來,由於已經是原網頁的一部分,自動就有了對鏡頭的訪問權限。
於是,你在和別人視頻訊聊天的時候,剛剛注入的 code 就可以偷偷把你的英容笑貌上傳到駭客的服務器裡面。
後果當然取決於聊天的內容, 不過我目測一大波陳冠希事件會浮出水面。。
這裡可能有人就要問了, 如果都用 HTTPS, 那豈不是就沒法做網絡監視了,那我們的萬里長城的敏感詞部分豈不是…….(呃,這段當我沒有寫過)
https其实就是建构在SSL/TLS之上的 http协议,所以要比较https比http多用多少服务器资源,主要看SSL/TLS本身消耗多少服务器资源。
http使用TCP 三次握手建立连接,客户端和服务器需要交换3个包,https除了 TCP 的三个包,还要加上 ssl握手需要的9个包,所以一共是12个包。
网友评论