《网络知识介绍复习课程》由会员分享,可在线阅读,更多相关《网络知识介绍复习课程(80页珍藏版)》请在金锄头文库上搜索。
1、网络知识介绍,U8咨询实施总部方案中心 徐正君 2020年7月,目录,1、网络基础 1.1 网络拓扑 1.2 网络设备 1.3 服务与协议 2、网络安全 3、网络调试,1.0 OSI 模型,数据在网络上的传输过程具有高度结构化的特点。OSI 模型(开放式系统互连模型)的七个层次清晰直观地阐释了这一点。OSI 模型将网络通信细分为多个过程,每个过程都是大型任务的一个组成部分。 帮助台收到网络连接问题报告时,可利用分层方法来排查故障。,OSI 模型的七个层次可分为两个部分:上层和下层。,1.0 OSI 模型,OSI 模型的上层处理应用程序功能,一般仅在软件中实现。最高的一层也是最接近最终用户的一层
2、为应用层 。 OSI 模型的下层处理数据传输功能。物理层和数据链路层通过硬件和软件实现。物理层最靠近物理网络介质(即网络布线)。物理层实际上将信息交给介质传输。,终端(例如客户端和服务器)通常会用到所有七个层次。网络设备则只关心下层。,步骤 2:第 4 层封装数据以进行端到端传输。发生在第 4 层上的问题可能是由于防火墙过滤列表配置错误所导致的。 步骤 3:第 3 层添加网络 IP 地址信息。如果源或目的地系统上的 IP 地址信息配置错误,则可能导致第 3 层上发生故障。由于路由器也会用到 IP 地址信息,因此路由器配置错误也会导致这一层发生故障。,1.0 OSI 模型,步骤 4:第 2 层添
3、加数据链路层报头和报尾。网卡驱动程序错误、接口卡本身的故障或交换机的硬件故障都可导致第 2 层出错。 步骤 5:第 1 层将数据转换为可以传输的比特。导致第 1 层故障的原因包括:电缆松脱、电缆类型错误、接口卡故障或电子干扰等。,1.0 OSI 模型,1.0 OSI 模型,1.1 网络拓扑图,1.1 网络拓扑图,1.1 网络的分层结构,层次式分层设计提高了效率,优化了功能,加快了速度。 层次式设计有三个基本层: 接入层 - 提供到本地以太网络中主机的连接。 分布层 - 相互连接较小的本地网络。 核心层 - 分布层设备之间的高速连接。,1.1 网络的分层结构,IP 通信量根据与以下各层相关的特性
4、和设备来管理:接入层、分布层 接入层为终端用户设备连接到网络提供连接点,允许多台主机通过网络设备(通常是集线器或交换机)连接到其它主机。和核心层。 分布层为不同的网络提供连接点,并且控制信息在网络之间的流动。它通常包含比接入层功能更强大的交换机,以及用于在网络之间路由的路由器。分布层设备控制从接入层流到核心层的通信量的类型和大小。 核心层是包含冗余(备份)连接的高速中枢层。它负责在多个终端网络之间传输大量的数据。核心层设备通常包含非常强大的高速交换机和路由器。核心层的主要目标是快速传输数据。,1.2 网络设备集线器,集线器是一种安装在以太网络接入层的网络设备。它具有多个端口,用于将主机连接到网
5、络。从一个端口接受电子信号,然后在所有其它端口重新生成(或重复)同一消息并发出。,1.2 网络设备交换机,以太网交换机是一种用于接入层的设备。像集线器一样,交换机也可将多台主机连接到网络。但与集线器不同的是,交换机可以转发消息到特定的主机。当一台主机发送消息到交换机上的另一台主机时,交换机将接受并解码帧,以读取消息的物理 (MAC) 地址部分。,交换机的主要作用是连接主机,例如最终用户工作站、服务器、IP 电话、Web 摄像头、接入点和路由器。,1.2 网络设备交换机,1.2网络设备路由器,路由器是一种用于连接不同本地网络的网络设备。在网络的分布层,路由器转发通信量和执行对网络有效运行至关重要
6、的其它功能。路由器与交换机一样,都可以解码和读取所收到的消息。但交换机只能解码(解封)包含 MAC 地址信息的帧,而路由器可以解码帧中封装的数据包。 数据包格式包含目的主机和源主机的 IP 地址,以及在它们之间发送的消息数据。路由器读取 IP 地址的网络部分,并用它来查找转发消息到目的主机的最佳途径。,路由器的功能:,1.2网络设备路由器,1.2 网络设备网络电缆,双绞线:现代的以太网技术一般使用称为双绞线 (TP) 的铜质电缆来连接设备。由于以太网是大多数局域网的基础,因此双绞线是最常见的网络布线类型。 同轴电缆:同轴电缆通常由铜或铝制成,有线电视公司使用了这种电缆来提供服务。它也可用于连接
7、组成卫星通讯系统的各个组件。 光纤:光纤由玻璃或塑料制成。其带宽很高,因此可承载大量的数据。光纤用于主干网络、大型企业环境以及大型数据中心。电话公司也广泛使用光纤。,1.2 网络设备虚拟局域网,在交换网络中,通过创建虚拟局域网 (VLAN) 来按照需要将广播限制在特定区域并将主机分组。,1.2 网络设备虚拟局域网,VLAN 之间需要第3层设备才能相互传输流量。 VLAN 成员身份对用户而言是完全透明的。 VLAN 成员的指定 - 静态 - 动态,1.3 服务和协议IP地址,1.3 服务和协议私有地址,只要组织中的主机不与 Internet 直接连接,这些主机就可以在内部使用私有地址。因此,多个
8、组织可以使用相同的私有地址集。私有地址不能在 Internet 上路由,因此会被 ISP 的路由器阻挡。 由于私有地址只在本地网络中可见,外部人员无法直接访问私有 IP 地址,因此使用它们可以作为一种安全措施。 还有一些私有地址可用于进行设备的诊断测试。此类私有地址称为环回地址。A 类 127.0.0.0 网络就是保留用作环回地址的,1.3 服务和协议常用服务,1.3 服务和协议 U8服务,1.3 服务和协议 TCP与UDP,TCP传输协议 TCP 将报文划分为较小的片段,称为数据段。 数据段按顺序编号。 如果发送方在规定时间内未收到确认,则会认为数据段已丢失并重新传输。 UDP传输协议 UD
9、P 不需要确认接收,是效率最高的传送机制。 无确认和重传机制。 UDP 是音频流、视频流和 IP 语音 (VoIP) 之类应用程序的首选。,1.3 服务和协议常用端口,客户端根据需要那种服务,从而发送到特定的目的端口 端口划分为三个类别,其范围介于 1 到 65,535 之间。 公认端口 与通用网络应用程序相关联的目的端口称为公认端口。这些端口的范围从 1 到 1023。 注册端口 端口 1024 到 49151 可作为源端口或目的端口使用。 组织可使用这些端口注册即时消息等应用程序。 私有端口 端口 49152 到 65535 通常作为源端口使用。,1.3 服务和协议 U8端口,80 IIS
10、服务 1433 SQL Server 3389 远程桌面 4630 加密服务 9023 报表服务器 11520 应用服务器,目录,1、网络基础 2、网络安全 2.1 网络威胁 2.2 攻击方式 2.3 安全策略 2.4 防火墙 3、网络调试,2.1.1 网络入侵者,计算机网络中,不速之客的入侵可能导致代价高昂的网络中断和工作成果的丢失。针对网络的攻击有时具有相当的破坏性,可能造成重要信息或资产的损坏或失窃,导致时间上和金钱上的损失。 入侵者可通过软件漏洞、硬件攻击甚至一些科技含量很低的方法(例如猜测某人的用户名和密码)来获得对网络的访问权。通过修改或利用软件漏洞来获取访问权的入侵者通常被称为黑
11、客。 一旦黑客取得网络的访问权,就可能给网络带来以下四种威胁:信息盗窃、身份盗窃、数据丢失/操纵、服务中断,2.1.2 网络入侵者的来源,网络入侵者造成的安全威胁可能来自网络内部和外部两个源头。 外部威胁是由组织外部活动的个人引起的。他们没有访问组织计算机系统或网络的权限。外部攻击者主要通过 Internet、无线链接或拨号访问服务器进入网络。 内部威胁是由具备授权用户帐户的个人,或能够实际接触网络设备的人员导致的。内部攻击者了解内部的政策和人员。他们往往清楚的知道,什么信息有价值而且易受攻击,以及怎么获得该信息。 然而,并不是所有内部攻击都是故意的。在某些情况下,一个受信任的员工在公司外部工
12、作时可能会感染上病毒或安全威胁,然后在不知情的情况下将它带到内部网络中,从而造成内部威胁。 许多公司都在防御外部攻击上花费了大量资源,但大多数威胁其实来自内部。据 FBI 调查显示,在报告的安全入侵事件中,约有 70% 都是因内部访问和计算机系统帐户使用不当造成的。,2.1.3 社会和网络钓鱼,对于内外两个源头的入侵者而言,要想获得访问权,最简单的一种方法就是利用人类行为的弱点。常见方法之一便是“社会工程”(Social Engineering)。 社会工程中最常用的三种技术有:假托、网络钓鱼和语音网络钓鱼。,2.1.3 社会和网络钓鱼,假托 (Pretexting) 是一种社会工程方式,攻击
13、者会对受害人编造虚假情景(假托),以使受害人泄漏信息或执行某种操作。通常是通过电话联系攻击目标。要使假托起作用,攻击者必须能够与目标人员或受害人建立合理联系。为此,攻击者一般需要预先进行一些了解或研究。例如,如果攻击者知道攻击目标的社会保险号码,他们就会使用该信息来获取攻击目标的信任。那么攻击目标便很有可能进一步泄漏信息。,2.1.3 社会和网络钓鱼,网络钓鱼是一种社会工程方式,网络钓鱼者将自己伪装为外部机构的合法人员。他们通常通过电子邮件联系攻击目标个人(网络钓鱼受害者)。网络钓鱼者可能会声称,为了避免某些糟糕的后果,要求攻击目标提供确认信息(例如密码或用户名)。,2.1.3 社会和网络钓鱼
14、,语音网络钓鱼/电话网络钓鱼 一种使用 IP 语音 (VoIP) 的新式社会工程被称为“语音网络钓鱼”(vishing)。在语音网络钓鱼攻击中,用户会收到一封语音邮件,邮件中指示他们拨打一个看上去像是正规电话银行服务的电话号码。随后,没有设防的用户拨打该号码时,通话会被窃贼截听。为了进行确认而通过电话输入的银行帐户号码或密码便被攻击者窃取。,2.2.1 病毒、蠕虫和特洛伊木马,其它类型的攻击,借助计算机软件的漏洞来执行。此类攻击技术包括:病毒、蠕虫和特洛伊木马。所有这些都是侵入主机的恶意软件。它们会损坏系统、破坏数据以及拒绝对网络、系统或服务的访问。它们还可将数据和个人详细信息从没有设防的 P
15、C 用户转发到犯罪者手中。在许多情况下,它们会自身复制,然后传播至连接到该网络的其它主机。 病毒是通过修改其它程序或文件来运行和传播的一种程序。病毒无法自行启动,而需要受到激活。有的病毒一旦激活,便会迅速自我复制并四处传播,但不会执行其它操作。这类病毒虽然很简单,但仍然非常危险,因为它们会迅速占用所有可用内存,导致系统停机。编写的更为恶毒的病毒可能会在传播前删除或破坏特定的文件。病毒可通过电子邮件附件、下载的文件、即时消息或磁盘、CD 或 USB 设备传输。,2.2.1 病毒、蠕虫和特洛伊木马,蠕虫类似于病毒,与病毒不同的是它无需将自身附加到现有的程序中。蠕虫使用网络将自己的副本发送到任何所连
16、接的主机中。蠕虫可独立运行并迅速传播,它并不一定需要激活或人类干预才会发作。自我传播的网络蠕虫所造成的影响可能比单个病毒更为严重,而且可迅速造成 Internet 大面积感染。 特洛伊木马是一种非自体复制型程序,它以合法程序的面貌出现,但实质上却是一种攻击工具。特洛伊木马依赖于其合法的外表来欺骗受害人启动该程序。它的危害性可能相对较低,但也可能包含可损坏计算机硬盘内容的代码。特洛伊木马还可为系统创建后门,从而使黑客获得访问权。,2.2.1 拒绝服务和暴力攻击,拒绝服务 (DoS) DoS 攻击是针对单个计算机或一组计算机执行的一种侵略性攻击,目的是拒绝为特定用户提供服务。DoS 攻击可针对最终用户系统、服务器、路由器和网络链接发起。 两种常见的 DoS 攻击为: SYN(并发)洪水攻击 向服务器发送大量请求客户端连接的数据包。这些数据包中包含无效的源 IP 地址。服务器会因为试图响应这些虚假请求而变得极为忙碌,导致无法响应合法请求。 死亡之 ping:向设备发送超过 IP 所允许的最大大小(65,535
