您當(dāng)前位置: 主頁(yè) > 資訊動(dòng)態(tài) > 艾銻分享 >
艾銻知識(shí) |網(wǎng)絡(luò)安全基礎(chǔ)之網(wǎng)絡(luò)協(xié)議與安全威脅的關(guān)系介紹
2020-03-18 21:23 作者:admin 瀏覽量:
無(wú)企業(yè),不上云
2015年我第一次參加阿里云杭州全球云棲大會(huì)時(shí),看到的是驚喜和無(wú)限的可能性。
“2015杭州云棲大會(huì)”于10月14日至15日在杭州云棲小鎮(zhèn)如期召開(kāi)。大會(huì)以“互聯(lián)網(wǎng)、創(chuàng)新、創(chuàng)業(yè)”為本屆主題,展現(xiàn)“互聯(lián)網(wǎng)+”時(shí)代下無(wú)處不在的云計(jì)算與各行各業(yè)的交錯(cuò)連接,介紹云計(jì)算為產(chǎn)業(yè)升級(jí)和改革創(chuàng)新提供的源源動(dòng)力,挖掘云計(jì)算助力下生生不息的創(chuàng)業(yè)激情和機(jī)遇。
2015年正式更名為“云棲大會(huì)”,阿里云的名字不再出現(xiàn)在會(huì)議名稱中,而是更加強(qiáng)調(diào)云計(jì)算、大數(shù)據(jù)生態(tài)的定位。量子計(jì)算、人工智能、生物識(shí)別、深度學(xué)習(xí)等前沿的科技創(chuàng)新力量首次在大會(huì)亮相。大會(huì)吸引了全球超過(guò)20個(gè)國(guó)家的21500名開(kāi)發(fā)者,參展企業(yè)達(dá)到219家,參與企業(yè)3000多家,現(xiàn)場(chǎng)參觀超過(guò)42584人次,全球直播收看人數(shù)超過(guò)127萬(wàn)人,成為全球最大規(guī)模的云計(jì)算峰會(huì)之一。
走進(jìn)會(huì)場(chǎng)別開(kāi)生面,豐富多彩,讓人忘掉了科技的冰冷,就像走進(jìn)了游樂(lè)園,有運(yùn)動(dòng),有演出,有游戲,有展示,有互動(dòng),4萬(wàn)多人把整個(gè)會(huì)場(chǎng)擠得水泄不通,來(lái)自全球的技術(shù)愛(ài)好者,企業(yè)家,科學(xué)家,政府官員,阿里云的合作伙伴,競(jìng)爭(zhēng)對(duì)手,閑雜人等五花八門,你能想到的人都聚齊了。
甚至還有票販子,是什么吸引了各路好漢齊聚一堂,擠破頭也要參加一場(chǎng)聽(tīng)起來(lái)非常專業(yè)性的云棲大會(huì)呢?
除了上面說(shuō)的阿里云的技術(shù)能力和運(yùn)營(yíng)能力以外,其實(shí)還有一個(gè)非常重要的原因,就是能親眼見(jiàn)到馬云馬老師,甚至還能有機(jī)會(huì)與他零距離接觸.
從2015到2018年,在這四年中馬老師每年都會(huì)參加杭州云棲大會(huì)的分享,而且還會(huì)出現(xiàn)在云棲現(xiàn)場(chǎng)的不同地方,這讓很多喜歡馬老師的伙伴興奮極了,你想你一生能有幾次親眼見(jiàn)到“外星人”呢.
2015年他在主會(huì)場(chǎng)20分鐘的分享表達(dá)了一個(gè)重要的觀點(diǎn),就是在未來(lái)5年無(wú)企業(yè),不上云。上云是企業(yè)戰(zhàn)略而不是戰(zhàn)術(shù),未來(lái)是一個(gè)萬(wàn)物互聯(lián)的時(shí)代,只有那些在云上的企業(yè)才能快速有效的抓住時(shí)代變化的先機(jī),才能使用計(jì)算的能力,才能利用好數(shù)據(jù)的價(jià)值.
當(dāng)時(shí)聽(tīng)了馬老師的演講,我當(dāng)刻就決定了和阿里云的合作,讓艾銻無(wú)限成為了阿里云的戰(zhàn)略合作伙伴,和阿里云一起為中小企業(yè)提供上云解決方案服務(wù)。
四年多過(guò)去了,馬老師當(dāng)年說(shuō)無(wú)企業(yè),不上云,如今,如果你不知道云,你的企業(yè)沒(méi)有用云,可能你在這次的疫情中根本就沒(méi)有戰(zhàn)斗力,你都不知道別人企業(yè)是如何贏得這次疫情戰(zhàn)斗勝利的.
企業(yè)上云不僅能為企業(yè)節(jié)省70%以上的成本,更能為企業(yè)提升500%以上的效率,甚至它的有些價(jià)值是無(wú)法計(jì)算的,這些年艾銻無(wú)限為上千家企業(yè)提供了上云服務(wù),親身經(jīng)歷了有一些企業(yè)上云變革后帶來(lái)的增長(zhǎng)和變化,我記得服務(wù)了一家裝修行業(yè)的領(lǐng)頭企業(yè),在2016年這家企業(yè)因人員場(chǎng)地和機(jī)房成本,讓這家公司舉步維艱,離破產(chǎn)僅一步之遙,我和這家企業(yè)的CEO是好朋友,有一天我去看他,聽(tīng)到他和我分享現(xiàn)在遇到的巨大困境,我問(wèn)了他幾個(gè)關(guān)鍵的問(wèn)題,最后確認(rèn)了是成本不斷提升,業(yè)績(jī)卻沒(méi)有提高,效率低下從而導(dǎo)致企業(yè)經(jīng)營(yíng)困難,后來(lái)艾銻無(wú)限的云解決方案團(tuán)隊(duì)幫助他出了三個(gè)解決方案:
第一, 把他們現(xiàn)有機(jī)房近百臺(tái)服務(wù)器遷到云上,釋放出近百平米的機(jī)房空間和硬件運(yùn)維升級(jí)成本,因?yàn)樵剖菑椥缘模梢愿鶕?jù)企業(yè)用量來(lái)支付費(fèi)用,這一下就幫他們減輕了一年上百萬(wàn)的硬件投入成本.
第二, 幫助他們打通各個(gè)管理系統(tǒng),讓企業(yè)內(nèi)部數(shù)據(jù)更透明,讓整體效率一下子就提升了上來(lái),而且當(dāng)他發(fā)現(xiàn)整個(gè)環(huán)節(jié)全部通透后,有1/3的人力是可以節(jié)省的,完全沒(méi)必要用這么多人,這一下讓他們每年節(jié)省了近200萬(wàn)的人力支出,這就是科技的力量,雖然對(duì)失業(yè)的員工有些殘忍,但對(duì)與一家商業(yè)企業(yè)來(lái)說(shuō)這是正確的選擇.
第三, 重建營(yíng)銷系統(tǒng),讓傳統(tǒng)的銷售模式重新變革,提升人員的產(chǎn)出比,讓全員進(jìn)行銷售,整體銷售額提高了200%,這個(gè)時(shí)代職責(zé)和名稱將會(huì)越來(lái)越模糊,誰(shuí)能為企業(yè)創(chuàng)造價(jià)值,誰(shuí)就是企業(yè)最重要的員工.
大家可以想象一下,一家企業(yè)人員降低原來(lái)的1/3,但銷售額卻提升原來(lái)的兩倍,這意味著盈利能力和盈利水平呈指數(shù)級(jí)的增長(zhǎng),這就是變革后的成果.
無(wú)企業(yè),不上云,你的企業(yè)上云了嗎?
如果你的企業(yè)還沒(méi)有下云也沒(méi)有關(guān)系,也許你的企業(yè)還沒(méi)有遇到挑戰(zhàn),假如你有和我朋友同樣的困境,那不妨與艾銻無(wú)限的云工程師和技術(shù)專家聊一聊,說(shuō)不定就讓你眼前一亮,打開(kāi)了你遇到的限制和困境,從而讓你的企業(yè)邁上了生長(zhǎng)的第二春。
艾銻知識(shí) |網(wǎng)絡(luò)安全基礎(chǔ)之網(wǎng)絡(luò)協(xié)議與安全威脅的關(guān)系介紹
網(wǎng)絡(luò)安全基礎(chǔ)之網(wǎng)絡(luò)協(xié)議與安全威脅介紹,首先我們要先了解一下網(wǎng)絡(luò)基礎(chǔ)究竟是什么,接下來(lái)的文章中小編將會(huì)從osi七層模型、TCP/IP協(xié)議、OSI模型與TCP/IP協(xié)議的對(duì)應(yīng)、數(shù)據(jù)傳輸?shù)膮f(xié)議單元以及數(shù)據(jù)封包和解包過(guò)程等方面進(jìn)行詳細(xì)的介紹,感興趣的朋友可以閱讀本文進(jìn)行參考。
OSI(OpenSystem Interconnect),即開(kāi)放式系統(tǒng)互聯(lián)。 一般都叫OSI參考模型,是ISO(國(guó)際標(biāo)準(zhǔn)化組織)組織在1985年研究的網(wǎng)絡(luò)互聯(lián)模型。
網(wǎng)絡(luò)協(xié)議的簡(jiǎn)介:
定義:協(xié)議是網(wǎng)絡(luò)中計(jì)算機(jī)或設(shè)備之間進(jìn)行通信的一系列規(guī)則集合。
什么是規(guī)則?
交通中的紅黃綠燈:紅燈停,綠燈行就是規(guī)則。
OSI七層模型
(1)物理層(Physical Layer)
物理層是OSI參考模型的最低層,它利用傳輸介質(zhì)為數(shù)據(jù)鏈路層提供物理連接。它主要關(guān)心的是通過(guò)物理鏈路從一個(gè)節(jié)點(diǎn)向另一個(gè)節(jié)點(diǎn)傳送比特流,物理鏈路可能是銅線、衛(wèi)星、微波或其他的通訊媒介。
(2)數(shù)據(jù)鏈路層(Data Link Layer)
數(shù)據(jù)鏈路層是為網(wǎng)絡(luò)層提供服務(wù)的,解決兩個(gè)相鄰結(jié)點(diǎn)之間的通信問(wèn)題,傳送的協(xié)議數(shù)據(jù)單元稱為數(shù)據(jù)幀。
(3)網(wǎng)絡(luò)層(Network Layer)
網(wǎng)絡(luò)層是為傳輸層提供服務(wù)的,傳送的協(xié)議數(shù)據(jù)單元稱為數(shù)據(jù)包或分組。
(4)傳輸層(Transport Layer)
傳輸層的作用是為上層協(xié)議提供端到端的可靠和透明的數(shù)據(jù)傳輸服務(wù),包括處理差錯(cuò)控制和流量控制等問(wèn)題。
傳輸層傳送的協(xié)議數(shù)據(jù)單元稱為段或報(bào)文。
(5)會(huì)話層(Session Layer)
會(huì)話層主要功能是管理和協(xié)調(diào)不同主機(jī)上各種進(jìn)程之間的通信(對(duì)話),即負(fù)責(zé)建立、管理和終止應(yīng)用程序之間的會(huì)話。
(6)表示層(Presentation Layer)
表示層處理流經(jīng)結(jié)點(diǎn)的數(shù)據(jù)編碼的表示方式問(wèn)題,以保證一個(gè)系統(tǒng)應(yīng)用層發(fā)出的信息可被另一系統(tǒng)的應(yīng)用層讀出。如果必要,該層可提供一種標(biāo)準(zhǔn)表示形式,用于將計(jì)算機(jī)內(nèi)部的多種數(shù)據(jù)表示格式轉(zhuǎn)換成網(wǎng)絡(luò)通信中采用的標(biāo)準(zhǔn)表示形式。數(shù)據(jù)壓縮和加密也是表示層可提供的轉(zhuǎn)換功能之一。
(7)應(yīng)用層(Application Layer)
應(yīng)用層是OSI參考模型的最高層,是用戶與網(wǎng)絡(luò)的接口。該層通過(guò)應(yīng)用程序來(lái)完成網(wǎng)絡(luò)用戶的應(yīng)用需求,如文件傳輸、收發(fā)電子郵件等。
TCP/IP協(xié)議
TCP/IP定義了電子設(shè)備如何連入因特網(wǎng),以及數(shù)據(jù)如何在它們之間傳輸?shù)臉?biāo)準(zhǔn)。協(xié)議采用了4層的層級(jí)結(jié)構(gòu),每一層都呼叫它的下一層所提供的協(xié)議來(lái)完成自己的需求。通俗而言:TCP負(fù)責(zé)發(fā)現(xiàn)傳輸?shù)膯?wèn)題,一有問(wèn)題就發(fā)出信號(hào),要求重新傳輸,直到所有數(shù)據(jù)安全正確地傳輸?shù)侥康牡亍6鳬P是給因特網(wǎng)的每一臺(tái)聯(lián)網(wǎng)設(shè)備規(guī)定一個(gè)地址。
OSI模型與TCP/IP協(xié)議的對(duì)應(yīng)
兩個(gè)模型的下四層是一一對(duì)應(yīng)的,而OSI模型的上三層對(duì)應(yīng)到TCPIP協(xié)議的應(yīng)用層,所以在談?wù)?ldquo;應(yīng)用層”概念的時(shí)候,要注意討論的是哪個(gè)模型。
數(shù)據(jù)傳輸?shù)膮f(xié)議單元
物理層為“位”(bit),即平常講的二進(jìn)制數(shù)位流,在物理傳輸介質(zhì)上以二進(jìn)制數(shù)字信號(hào)傳輸(簡(jiǎn)單的如高電平代表“1”,底電平代表“0”)。
物理層的傳輸介質(zhì)包括:
同軸電纜(coaxical cable):細(xì)纜和粗纜,目前已經(jīng)不常用;
雙絞線(twistedpair):UTP(Unshielded Twisted Paired , 非屏蔽雙絞線),這種即平時(shí)常用的網(wǎng)線;STP (Shielded Twisted Pair,屏蔽雙絞線),這種線適用于電磁干擾惡劣的工業(yè)環(huán)境;(這兩種線使用銅線做介質(zhì),到用戶家雖然看起來(lái)就一兩根,但在運(yùn)營(yíng)商的管線里是幾千條幾百條線在一起的大對(duì)線纜,經(jīng)常是偷銅者的目標(biāo))
光纖(OpticalFiber):使用光信號(hào)來(lái)傳播數(shù)字信號(hào)的介質(zhì),坐火車到處看到路邊寫的大標(biāo)語(yǔ):“光纖沒(méi)銅,挖了沒(méi)用”就是指這個(gè);
無(wú)線電波(wirelessradio);
數(shù)據(jù)鏈路層PDU名稱叫數(shù)據(jù)幀“Frame”,例如幀中繼技術(shù)名稱叫Frame Relay ,其數(shù)據(jù)單元名字叫“幀”,對(duì)以太網(wǎng)來(lái)說(shuō)是以太幀。
網(wǎng)絡(luò)層PDU的名稱叫數(shù)據(jù)包Packet, 因?yàn)镮P協(xié)議在這一層,所以互聯(lián)網(wǎng)上的數(shù)據(jù)一般被稱為IP數(shù)據(jù)包。
傳輸層PDU的名稱叫數(shù)據(jù)段Segment ,這個(gè)層面最著名的是傳輸控制協(xié)議TCP和用戶數(shù)據(jù)報(bào)協(xié)議UDP。
會(huì)話層Session 的PDU叫SPDU,會(huì)晤協(xié)議數(shù)據(jù)單元;
表示層Presentation的PDU叫PPDU,表示協(xié)議數(shù)據(jù)單元;
應(yīng)用層Application的PDU叫APDU,應(yīng)用協(xié)議數(shù)據(jù)單元;
數(shù)據(jù)封包和解包過(guò)程
路由器是跨越物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層的設(shè)備。
最簡(jiǎn)單的路由器的概念是一臺(tái)裝有兩塊網(wǎng)卡的主機(jī),主機(jī)內(nèi)部安裝的路由軟件可以根據(jù)IP地址在兩塊網(wǎng)卡間轉(zhuǎn)發(fā)IP數(shù)據(jù)包,兩塊網(wǎng)卡各有一個(gè)IP地址,具有兩個(gè)物理接口的路由器同這個(gè)道理是類似的。
由上圖圖四可以看到,IP地址的概念是屬于IP協(xié)議,IP協(xié)議是屬于OSI模型第三層網(wǎng)絡(luò)層的,所有跨越網(wǎng)絡(luò)層的設(shè)備都需要有IP地址。最左邊的主機(jī)同路由器的左側(cè)接口各有一個(gè)IP地址,使用IP協(xié)議通信;最右邊的服務(wù)器和路由器右側(cè)接口各有一個(gè)IP地址,使用IP協(xié)議通信;路由器的不同接口的IP地址是屬于不同的IP子網(wǎng)的,路由器就是在不同IP子網(wǎng)間傳送IP數(shù)據(jù)包的設(shè)備,路由是根據(jù)IP數(shù)據(jù)包里的地址選擇正確傳遞路徑的過(guò)程。
TCP/IP 四層模型
地址解析協(xié)議,即ARP(Address Resolution Protocol),是根據(jù)IP地址獲取物理地址的一個(gè)TCP/IP協(xié)議。
原理:
主機(jī)發(fā)送信息時(shí)將包含目標(biāo)IP地址的ARP請(qǐng)求廣播到網(wǎng)絡(luò)上的所有主機(jī),并接收返回消息,以此確定目標(biāo)的物理地址;收到返回消息后將該IP地址和物理地址存入本機(jī)ARP緩存中并保留一定時(shí)間,下次請(qǐng)求時(shí)直接查詢ARP緩存以節(jié)約資源。地址解析協(xié)議是建立在網(wǎng)絡(luò)中各個(gè)主機(jī)互相信任的基礎(chǔ)上的,網(wǎng)絡(luò)上的主機(jī)可以自主發(fā)送ARP應(yīng)答消息,其他主機(jī)收到應(yīng)答報(bào)文時(shí)不會(huì)檢測(cè)該報(bào)文的真實(shí)性就會(huì)將其記入本機(jī)ARP緩存。
網(wǎng)絡(luò)接口層的安全威脅
在典型的MAC flooding中,攻擊者能讓目標(biāo)網(wǎng)絡(luò)中的交換機(jī)不斷泛洪大量不同源MAC地址的數(shù)據(jù)包,導(dǎo)致交換機(jī)內(nèi)存不足以存放正確的MAC地址和物理端口號(hào)相對(duì)應(yīng)的關(guān)系表。如果攻擊成功,交換機(jī)會(huì)進(jìn)入failopen模式,所有新進(jìn)入交換機(jī)的數(shù)據(jù)包會(huì)不經(jīng)過(guò)交換機(jī)處理直接廣播到所有的端口(類似HUB集線器的功能)。攻擊者能進(jìn)一步利用嗅探工具(例如Wireshark)對(duì)網(wǎng)絡(luò)內(nèi)所有用戶的信息進(jìn)行捕獲,從而能得到機(jī)密信息或者各種業(yè)務(wù)敏感信息。
損壞:自然災(zāi)害、動(dòng)物破壞、老化、誤操作
干擾:大功率電器/電源線路/電磁輻射
電磁泄漏:傳輸線路電磁泄漏
搭線竊聽(tīng):物理搭線
欺騙:ARP欺騙
嗅探:常見(jiàn)二層協(xié)議是明文通信的(以太、arp等)
拒絕服務(wù):macflooding,arpflooding等
互聯(lián)網(wǎng)網(wǎng)絡(luò)層
TCP/IP定義了電子設(shè)備如何連入因特網(wǎng),以及數(shù)據(jù)如何在它們之間傳輸?shù)臉?biāo)準(zhǔn)。協(xié)議采用了4層的層級(jí)結(jié)構(gòu),每一層都呼叫它的下一層所提供的協(xié)議來(lái)完成自己的需求。通俗而言:TCP負(fù)責(zé)發(fā)現(xiàn)傳輸?shù)膯?wèn)題,一有問(wèn)題就發(fā)出信號(hào),要求重新傳輸,直到所有數(shù)據(jù)安全正確地傳輸?shù)侥康牡亍6鳬P是給因特網(wǎng)的每一臺(tái)聯(lián)網(wǎng)設(shè)備規(guī)定一個(gè)地址。
IP協(xié)議簡(jiǎn)介:
IP協(xié)議是用于將多個(gè)包交換網(wǎng)絡(luò)連接起來(lái)的,它在源地址和目的地址之間傳送一種稱之為數(shù)據(jù)包的東西,它還提供對(duì)數(shù)據(jù)大小的重新組裝功能,以適應(yīng)不同網(wǎng)絡(luò)對(duì)包大小的要求。
IP實(shí)現(xiàn)兩個(gè)基本功能:尋址和分段。IP可以根據(jù)數(shù)據(jù)包包頭中包括的目的地址將數(shù)據(jù)報(bào)傳送到目的地址,在此過(guò)程中IP負(fù)責(zé)選擇傳送的道路,這種選擇道路稱為路由功能。如果有些網(wǎng)絡(luò)內(nèi)只能傳送小數(shù)據(jù)報(bào),IP可以將數(shù)據(jù)報(bào)重新組裝并在報(bào)頭域內(nèi)注明。IP模塊中包括這些基本功能,這些模塊存在于網(wǎng)絡(luò)中的每臺(tái)主機(jī)和網(wǎng)關(guān)上,而且這些模塊(特別在網(wǎng)關(guān)上)有路由選擇和其它服務(wù)功能。對(duì)IP來(lái)說(shuō),數(shù)據(jù)報(bào)之間沒(méi)有什么聯(lián)系,對(duì)IP不好說(shuō)什么連接或邏輯鏈路。
互聯(lián)網(wǎng)層網(wǎng)絡(luò)安全威脅
以太網(wǎng)的MTU是1500,你可以用 netstat -i 命令查看這個(gè)值。如果IP層有數(shù)據(jù)包要傳,而且數(shù)據(jù)包的長(zhǎng)度超過(guò)了MTU,那么IP層就要對(duì)數(shù)據(jù)包進(jìn)行分片(fragmentation)操作,使每一片的長(zhǎng)度都小于或等于MTU。我們假設(shè)要傳輸一個(gè)UDP數(shù)據(jù)包,以太網(wǎng)的MTU為1500字節(jié),一般IP首部為20字節(jié),UDP首部為8字節(jié),數(shù)據(jù)的凈荷(payload)部分預(yù)留是1500-20-8=1472字節(jié)。如果數(shù)據(jù)部分大于1472字節(jié),就會(huì)出現(xiàn)分片現(xiàn)象。
IP分片攻擊
如果有意發(fā)送總長(zhǎng)度超過(guò)65535的IP碎片,一些老的系統(tǒng)內(nèi)核在處理的時(shí)候就會(huì)出現(xiàn)問(wèn)題,導(dǎo)致崩潰或者拒絕服務(wù)。另外,如果分片之間偏移量經(jīng)過(guò)精心構(gòu)造,一些系統(tǒng)就無(wú)法處理,導(dǎo)致死機(jī)。所以說(shuō),漏洞的起因是出在重組算法上。pingo‘ death是利用ICMP協(xié)議的一種碎片攻擊。攻擊者發(fā)送一個(gè)長(zhǎng)度超過(guò)65535的EchoRequest數(shù)據(jù)包,目標(biāo)主機(jī)在重組分片的時(shí)候會(huì)造成事先分配的65535字節(jié)緩沖區(qū)溢出,系統(tǒng)通常會(huì)崩潰或掛起。ping不就是發(fā)送ICMPEcho Request數(shù)據(jù)包的嗎?讓我們嘗試攻擊一下吧!不管IP和ICMP首部長(zhǎng)度了,數(shù)據(jù)長(zhǎng)度反正是多多益善,就65535吧
IP數(shù)據(jù)包
數(shù)據(jù)包的結(jié)構(gòu):數(shù)據(jù)包的結(jié)構(gòu)非常復(fù)雜,不是三言兩語(yǔ)能夠說(shuō)清的,在這里主要了解一下它的關(guān)鍵構(gòu)成就可以了,這對(duì)于理解TCP/IP協(xié)議的通信原理是非常重要的。數(shù)據(jù)包主要由“目的IP地址”、“源IP地址”、“凈載數(shù)據(jù)”等部分構(gòu)成,包括包頭和包體,包頭是固定長(zhǎng)度,包體的長(zhǎng)度不定,各字段長(zhǎng)度固定,雙方的請(qǐng)求數(shù)據(jù)包和應(yīng)答數(shù)據(jù)包的包頭結(jié)構(gòu)是一致的,不同的是包體的定義。數(shù)據(jù)包的結(jié)構(gòu)與我們平常寫信非常類似,目的IP地址是說(shuō)明這個(gè)數(shù)據(jù)包是要發(fā)給誰(shuí)的,相當(dāng)于收信人地址;源IP地址是說(shuō)明這個(gè)數(shù)據(jù)包是發(fā)自哪里的,相當(dāng)于發(fā)信人地址;而凈載數(shù)據(jù)相當(dāng)于信件的內(nèi)容。正是因?yàn)閿?shù)據(jù)包具有這樣的結(jié)構(gòu),安裝了TCP/IP協(xié)議的計(jì)算機(jī)之間才能相互通信。我們?cè)谑褂没赥CP/IP協(xié)議的網(wǎng)絡(luò)時(shí),網(wǎng)絡(luò)中其實(shí)傳遞的就是數(shù)據(jù)包。理解數(shù)據(jù)包,對(duì)于網(wǎng)絡(luò)管理的網(wǎng)絡(luò)安全具有至關(guān)重要的意義。
我們可以用一個(gè)形象一些的例子對(duì)數(shù)據(jù)包的概念加以說(shuō)明:我們?cè)卩]局郵寄產(chǎn)品時(shí),雖然產(chǎn)品本身帶有自己的包裝盒,但是在郵寄的時(shí)候只用產(chǎn)品原包裝盒來(lái)包裝顯然是不行的。必須把內(nèi)裝產(chǎn)品的包裝盒放到一個(gè)郵局指定的專用紙箱里,這樣才能夠郵寄。這里,產(chǎn)品包裝盒相當(dāng)于數(shù)據(jù)包,里面放著的產(chǎn)品相當(dāng)于可用的數(shù)據(jù),而專用紙箱就相當(dāng)于幀,且一個(gè)幀中只有一個(gè)數(shù)據(jù)包。“包”聽(tīng)起來(lái)非常抽象,那么是不是不可見(jiàn)的呢?通過(guò)一定技術(shù)手段,是可以感知到數(shù)據(jù)包的存在的。 就是用數(shù)據(jù)包捕獲軟件Iris捕獲到的數(shù)據(jù)包的界面圖,在此,大家可以很清楚地看到捕獲到的數(shù)據(jù)包的MAC地址、IP地址、協(xié)議類型端口號(hào)等細(xì)節(jié)。通過(guò)分析這些數(shù)據(jù),網(wǎng)管員就可以知道網(wǎng)絡(luò)中到底有什么樣的數(shù)據(jù)包在活動(dòng)了。
TCP/UDP協(xié)議
面向連接的TCP協(xié)議:
TCP(TransmissionControl Protocol,傳輸控制協(xié)議)是基于連接的協(xié)議,也就是說(shuō),在正式收發(fā)數(shù)據(jù)前,必須和對(duì)方建立可靠的連接。一個(gè)TCP連接必須要經(jīng)過(guò)三次“對(duì)話”才能建立起來(lái),也就是所謂的”TCP的三次握手”。
面無(wú)連接的UDP協(xié)議:
UDP(UserData Protocol,用戶數(shù)據(jù)報(bào)協(xié)議)是與TCP相對(duì)應(yīng)的協(xié)議。它是面向非連接的協(xié)議,它不與對(duì)方建立連接,而是直接就把數(shù)據(jù)包發(fā)送過(guò)去!
“面向連接”就是在正式通信前必須要與對(duì)方建立起連接。比如你給別人打電話,必須等線路接通了、對(duì)方拿起話筒才能相互通話。
TCP的三次握手:
其中的過(guò)程非常復(fù)雜,我們這里只做簡(jiǎn)單、形象的介紹,你只要做到能夠理解這個(gè)過(guò)程即可。我們來(lái)看看這三次對(duì)話的簡(jiǎn)單過(guò)程:主機(jī)A向主機(jī)B發(fā)出連接請(qǐng)求數(shù)據(jù)包:“我想給你發(fā)數(shù)據(jù),可以嗎?”,這是第一次對(duì)話;主機(jī)B向主機(jī)
A發(fā)送同意連接和要求同步(同步就是兩臺(tái)主機(jī)一個(gè)在發(fā)送,一個(gè)在接收,協(xié)調(diào)工作)的數(shù)據(jù)包:“可以,你什么時(shí)候發(fā)?”,這是第二次對(duì)話;主機(jī)A再發(fā)出一個(gè)數(shù)據(jù)包確認(rèn)主機(jī)B的要求同步:“我現(xiàn)在就發(fā),你接著吧!”,這是第三次對(duì)話。三次“對(duì)話”的目的是使數(shù)據(jù)包的發(fā)送和接收同步,經(jīng)過(guò)三次“對(duì)話”之后,主機(jī)A才向主機(jī)B正式發(fā)送數(shù)據(jù)。
“面向非連接”就是在正式通信前不必與對(duì)方先建立連接,不管對(duì)方狀態(tài)就直接發(fā)送。與手機(jī)短信非常相似:你在發(fā)短信的時(shí)候,只需要輸入對(duì)方手機(jī)號(hào)就OK了。
TCP:FTPHTTP POP IMAP SMTP TELNET SSH
UDP
Q聊天,在線視頻RTSP,網(wǎng)絡(luò)語(yǔ)音電話VoIP
傳輸層的安全威脅
在典型的MAC flooding中,攻擊者能讓目標(biāo)網(wǎng)絡(luò)中的交換機(jī)不斷泛洪大量不同源MAC地址的數(shù)據(jù)包,導(dǎo)致交換機(jī)內(nèi)存不足以存放正確的MAC地址和物理端口號(hào)相對(duì)應(yīng)的關(guān)系表。如果攻擊成功,交換機(jī)會(huì)進(jìn)入failopen模式,所有新進(jìn)入交換機(jī)的數(shù)據(jù)包會(huì)不經(jīng)過(guò)交換機(jī)處理直接廣播到所有的端口(類似HUB集線器的功能)。攻擊者能進(jìn)一步利用嗅探工具(例如Wireshark)對(duì)網(wǎng)絡(luò)內(nèi)所有用戶的信息進(jìn)行捕獲,從而能得到機(jī)密信息或者各種業(yè)務(wù)敏感信息。
拒絕服務(wù):syn flood/udp flood/Smurf欺騙:TCP會(huì)話劫持竊聽(tīng):嗅探偽造:數(shù)據(jù)包偽造
應(yīng)用層的安全威脅
相關(guān)文章
- [網(wǎng)絡(luò)服務(wù)]保護(hù)無(wú)線網(wǎng)絡(luò)安全的十大
- [網(wǎng)絡(luò)服務(wù)]無(wú)線覆蓋 | 無(wú)線天線對(duì)信
- [網(wǎng)絡(luò)服務(wù)]綜合布線 | 綜合布線發(fā)展
- [數(shù)據(jù)恢復(fù)服務(wù)]電腦運(yùn)維技術(shù)文章:win1
- [服務(wù)器服務(wù)]串口服務(wù)器工作模式-服務(wù)
- [服務(wù)器服務(wù)]串口服務(wù)器的作用-服務(wù)維
- [服務(wù)器服務(wù)]moxa串口服務(wù)器通訊設(shè)置參
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)運(yùn)維|如何臨時(shí)關(guān)閉
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)運(yùn)維|如何重置IE瀏覽
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)運(yùn)維|win10系統(tǒng)升級(jí)后
- [辦公設(shè)備服務(wù)]辦公設(shè)備:VPN簡(jiǎn)介
- [辦公設(shè)備服務(wù)]辦公設(shè)備:VPN技術(shù)的要求
IT電腦維護(hù)外包
關(guān)閉