方式,主
机的命名机制,信息的传输规则,以及各种服务功能做了详细约定。
IP协议精确定义了传输数据报格式,并对数据报寻址和路由、分片和重组、差错控制和处理等做了具体规定。
5、IP 协议运行于互联层,屏蔽低层物理网络差异,为其高层用户提供:(1)不可靠的数据投递(2)面向无连接的
传输(3)尽最大努力投递服务。现行IP 协议版本号为4,数据分片后由目的主机的网卡进行重组,发送和接收地址与路由无关。
6、IP地址与子网屏蔽码: IP地址由两部分组成:网络号、主机号;只要两台主机具有相同的网络号,不论它们
物理位置,都属于同一逻辑网络。A 类IP 地址第一字节:1-126,网络地址7 位,用于大型网络;B 类:128-191,14
位,用于中______型网络;C 类:192-223,21 位,用于小规模网络,最多只能连接256 台设备;D 类IP 用于多目的地址发
送;E 类则保留为今后使用。再次划分IP地址的网络号和主机号部分用子网屏蔽码(即子网掩码)来区分。 7、特殊IP地址:直接广播地址:有效网络号和全1的主机号,如202.93.120.255;有限广播地址:32位全1,用
于本网广播,有掩码的将限制在子网内;回送地址:127.0.0.0,网络号必须是127;本地地址:10.x.x.x或192.168.x.x。
8、地址解析协议ARP,充分利用以太网广播能力,将IP地址与以太网物理地址(即MAC、硬件地址)进行动态绑定。
9、IP 数据报(总长度以8b 即一个字节为单位)可以分为报头区(以32b为单位,无选项填充时默认为5个单位)
和数据区两大部分,其中数据区包括高层需要传输的数据,报头区是为了正确传输高层数据而增加的控制信息。
生存周期:随时间递减,避免死循环;头部校验:保证IP 报头数据的完整性;无论如何,目的IP、源IP地址不变;
10、MTU即最大传输单元,决定是否分片和重组,由标识字段、标志字段(是否最后一个分片)、片偏移字段控制。
11、差错与控制报文:使用ICMP,提供差错报告:不享有特别优先权和可靠性;IP 软件使用“源站抑制”。 12、因特网中,需要路由选择的设备一般采用表驱动的路由选择算法。路由表有两种基本形式:(1)静态路由表
(小型2-10个网络、单路径、静态IP网络);(2)动态路由表。默认路由:只要不能直接投递就转发给默认路由。
13、路由选择算法:
RIP协议与向量-距离(V-D)算法:小到中型网络10-50个网络、多路径、动态网络;
OSPF协议与链路-状态(L-S)算法:大型特大型网络50 个以上网络、多路径、动态IP的互联网环境。 14、IPv6协议:采用128位地址长度,每16 位划分一个位段,每个位段用4个16 进制书表示,并用冒号隔开即
冒号十六进制表示法,支持零压缩法和前缀表示;超过3.4×1038个IP地址,分为单、组、任播、特殊地址;
15、TCP/IP 协议集中,传输控制协议TCP 和_______用户数据报协议UDP 运行于传输层,利用运行IP 协议的互联层提供的不可靠的数据包服务,提供端到端的可靠的(TCP)或端到端的不可靠的(UDP)服务。 TCP、UDP、IP 服务特点对比:TCP:(1)可靠的、端到端(2)面向连接(虚拟连接)(3)速度慢(4)全双工数
据流;采用三次握手法。
UDP:(1)不可靠、端到端(2)面向无连接 (3)速度快(4)应用程序承担可靠性的全部工作 IP:(1)不可靠(3)面向无连接 (3)尽最大努力投递
11、端口就是TCP 和UDP 为了识别一个主机上的多个目标而设计的,如HTTP 是80 端口、FTP 是21、Telnet 是23、DNS 是53 等。
第六章因特网基本服务主要几种基本服务
1、客户机/服务器(C/S)模型:分别指其上运行的应用程序,客户机向服务器发出服务请求,服务器做出响应。
该模型解决了互联网应用程序间同步问题;服务器(重复服务器,先进先出;并发服务器,实时灵活)能处理多个并发请求。
2、因特网的域名由TCP/IP 协议集中的域名系统进行定义。因特网中的这种命名结构只代表着一种逻辑的组织方
法,并不代表实际的物理连接。借助于一组既独立又协作的域名服务器来完成,因特网存在着大量域名服务器,每台
域名服务器保存着域中主机的名字与IP地址的对照表,这组名字服务器是解析系统的核心。实际的域名解析一般(但
不是必须)由本地主机高速缓存或本地域名服务器开始,每一服务器至少知道根服务器和父节点服务器的IP地址即可。
域名解析两种方式:1、递归解析(系统一次全部完成) 2、反复解析(一次请求一个服务器,不行再请求别的)。
3、因特网提供基本服务有:远程登录Telnet、文件传输FTP、电子邮件E-mail、WWW 服务,都采用客户机/服务器模式
4、远程登录服务,使用Telnet协议,是TCP/IP 协议的一部分,精确定义本地客户机与远程服务器间交互过程。
通过账户密码登录,可实现:①本地用户与远程计算机上运行程序相互交互;②用户登陆到远程计算机时,可
以执行远程计算机上的任何应用程序,并且能屏蔽不同计算机型号之间的差异。
网络虚拟终端(NVT)提供了一种标准的键盘定义,用来屏蔽不同计算机操作系统对键盘输入的差异性。 5、文件传输服务,使用FTP,采用C/S模式,数据连接模式:主动模式(PORT)、被动模式(PASV)。 匿名服务无特殊说明时,通常用annonymous为账号或用户名或ID,guest为口令或密码;
6、电子邮件采用C/S 工作模式。发送和接收邮件需要借助于客户机中的应用程序来完成。合法邮箱:***@***.***等形式。
电子邮件应用程序在向邮件服务器传送邮件时及邮件服务器间互相传输时采用SMTP协议,从邮件服务器读取时
候可以使用POP3协议或IMAP协议。电子邮件报文格式须符合RFC822或MIME协议(对RFC822二进制扩充)。
7、WWW服务采用C/S模式,以超文本标记语言HTML和超文本传输协议HTTP为基础。第一个浏览器是Mosaic。
HTTP 会话过程包括以下4 个步骤:连接、请求、应答、关闭。
URL(统一资源定位符)由三部分组成:协议类型,主机名、路径及文件名。
WWW 服务器所存储的页面是一种结构化的文档,采用超文本标记语言HTML书写而成。HTML 主要特点是可以包含指向其他文档的链
接项,即其他页面的URL;可以将声音,图象,视频等多媒体信息集合在一起,一般这些信息不集合在网页上,而在服务器或其他位置。
WWW 浏览器由客户、解释、控制单元组成;控制单元是浏览器中心,接收键盘或鼠标输入后,协调管理客户单元和解释单元。
8、WWW 的安全性:浏览器的安全性(SSL防止第三方)、Web 服务器的安全性(IP 地址限制、用户验证、Web 权限、NTFS 权限)
第七章网络管理与网络安全分析:这部分是次重点,一般6 道选择题和2~3 道填空题,约10-12 分。 注意问题:1、网络管理的五大功能:配置管理、故障管理、性能管理、计费管理和安全管理,及其各管理的作用。2、信息安全等
级,美国国防部安全准则中的A1 级是最高安全级。3、网络安全的基本要素:机密性、完整性、可用性和合法性,及相应的四个基本威
胁,以及常见的可实现的威胁:渗入威胁和植入威胁的相关知识。4、安全攻击是安全威胁的具体表现,中断、截取、修改和捏造。5、加
密技术相关知识的介绍。6、认证技术中的数字签名的原理,及它与消息认证的区别。7、防火墙只能防止外部网队内部网的侵犯。
1、网络管理包括五个功能:配置管理,故障管理,性能管理,计费管理和安全管理。
配置管理的负责网络的建立、业务的展开及配置数据的维护,功能:清单管理、资源开通、业务开通; 故障管理的主要任务是发现和排除网络故障,包括:检测、隔离、纠正故障;
计费管理的目标是跟踪个人和团体用户对网络资源的使用情况,对其收取合理的费用。
性能管理的目标是维护网络服务质量和网络运营效率。性能管理包括性能检测、性能分析、性能管理控制功能。
安全管理的目标是按照一定策略控制对网络资源的访问,保证重要的信息不被未授权用户访问,并防止网络遭到恶意或是无意的攻击。
2、管理者/代理模型:管理者实质上是运行在计算机操作系统之上的一组应用程序,管理者从各代理处收集信息,
进行处理,获取有价值的管理信息,达到管理的目的。代理位于被管理的设备内部,它把来自管理者的命令或信息请
求转换为本设备特有的指令,完成管理者的指示,或返回它所在设备的信息。管理者和代理之间的信息交换可以分为
两种:从管理者到代理的管理操作;从代理到管理者的事件通知。 3、网络管理协议是网络管理者和代理之间进行信息的规范。
网络管理协议是应用层协议,它建立在具体物理网络及其基础通信协议基础上,为网络管理平台服务。 网络管理协议包括:简单网络管理协议SNMPv1-v3,公共管理信息协议CMIP(针对OSI模型设计,电信管理网常用)
管理节点一般是面向工程应用的工作站级计算机,拥有很强的处理能力。代理节点可以是网络上任何类型的节点。SNMP 是一个应用层协议,它使用传输
层和网络层的服务向其对等层传输信息;SNMP采用轮循或基于中断方法。CMIP 的优点是安全性高,功能强大,不仅可用于传输管理数据,还可以执行一定的任 务。
4、信息安全性等级:
(1)美国国防部橘皮书准则(_STD):(D1 级计算机系统标准规定对用户没有验证,例如DOS、Windows3.X、
Windows95、Apple的System7.X;C1 级提供自主式安全保护,它通过将用户和数据分离,满足自主需求。C2 级为处理敏感信息
所需要的最低安全级别,进一步限制用户执行一些命令或访问某些文件的权限,且加入身份验证,例如UNIX 系统、
XENIX、Novell NetWare 3.0或更高版本、Windows NT;B1?;B2?;B3?;A1级最高安全级别,提供最全面的安全。)
(2)我国计算机信息安全等级:自主保护级、指导保护级、监督保护级、强制保护级、专控保护级。 5、网络安全
(1)目的:信息的存储安全和传输安全;基本要素是实现信息的机密性、完整性、可用性和合法性。 (2)安全攻击是某个人、物、事或概念对某个资源的机密性、完整性、可用性或合法性所造成的危害。 截取是未授权的实体得到了资源的访问权,是对机密性的攻击;修改是未授权的实体不仅得到了访问权,而且还篡改了资源,
是对完整性的攻击;中断是系统资源遭到破坏或变得不能使用,是对可用性的攻击;捏造是未授权的实体向系统中插入伪造的对象,是对
合法性的攻击。(此属于原来教材的内容,新教材没有涉及,不会考。)
(3)按是否影响系统资源,分为:主动攻击和被动攻击;按针对网络协议的分类:服务攻击与非服务攻击。
被动攻击的特点是窃听或监测,目的是获得正在传送的信息,有泄露信息内容和通信量分析等。 主动攻击涉及修改数据流或创建错误的数据流,它包括伪装,重放,修改信息、拒绝服务、(分布式)拒绝服务等。
服务攻击是针对某种特定网络服务(如E-mail(邮件炸弹)、telnet、FTP、HTTP等)的攻击。 非服务攻击不针对某项具体应用服务,而是利用网络层等低层协议或操作系统实现协议时的漏洞来达到攻击的目
的,是一种更有效的攻击手段,如源路由攻击和地址欺骗(如NetXBay软件)等。 6、加密技术
(1)几个相关术语:需要隐藏的消息叫做明文,明文被变换成的隐藏形式被称为密文,这种变换叫做加密,加密的
逆过程称为解密;对明文进行加密所采用的一组规则称为加密算法,对密文解密时采用的一组规则称为解密算法;加密算
法和解密算法通常是在一组密钥控制下进行的,加密算法所采用的密钥成为加密密钥,解密算法所使用的密钥叫做解密密
钥;密码编码学是加密所用,密码分析学(分析、穷举一般要尝试所有可能的一半)是解密所用,都是密码学范畴。
(2)加密方案是安全的两种情形:
一是破译密文的成本超过了加密信息本身的价值; 二是破译秘闻所要的时间超过了信息的有效期。 (3)密码基础:代换与置换技术,最简单的如凯撒密码、单表置换加密法等。 (4)对称加密体制的模型的组成部分:明文、加密算法、密钥、密文、解密算法。
对称加密又称为常规加密、单密钥加密、保密密钥加密,使用单个密钥对数据进行加密或解密; 其安全性取决于密钥的保密性,而不是算法的保密性。
数据加密标准:DES,算法本身被称为数据加密算法DEA,密钥长度56位(106次/秒,10h可破),分组长度64位;
其他常见对称加密算法:三重DES:密钥长度128位,如PGP、S/MINE;高级加密标准AES:密钥128/192/256位,
分组长度128位;Blowfish算法:可变密钥长度分组算法;RC-5:参数可变的分组算法;
(5)公钥密码又叫非对称加密,是建立在数学函数基础上的一种加密方法,而不是建立在代换或置换的位方式的
操作上。公钥加密算法的适用公钥密码体制有两个密钥:公钥和私钥。
常规加密使用的密钥叫做保密密钥。公钥加密使用的密钥对叫做公钥或私钥,私钥总是保密的。
RSA 算法基于大因数分解;第一个用于数据加密和数字签名的算法,但安全性未能在理论上证明; 其他公钥加密算法:ElGamal 算法(基于离散对数)、背包加密算法;公钥加密涉及高次幂运算,加密速度一般较慢,占空间大。
(6)密钥分发技术:通常KDC用于保密密钥分发,CA 用于公钥和保密密钥的分发。
7、认证是防止主动攻击的重要技术,是验证一个最终用户或设备的声明身份的过程。认证主要目的:验证信息的发送者是
真正的,而不是冒充的,这称为信源识别;验证信息的完整性。认证主要有:消息认证,身份认证和数字签名。
(1)消息认证是意定的接收者能够检验收到的消息是否真实的方法,又称完整性校验。
消息认证的内容包括为:①证实消息的信源和信宿;②消息内容是否完整,是否曾受到偶然或有意的篡改; ③消息的序号和时间性是否正确。
消息认证模式:单向认证、双向认证;认证函数:信息加密函数、信息认证码、散列函数(MD5,SHA-1等)
(2)数字签名类似模拟笔迹签名,应该满足:收方能确认发方签名但不能伪造;发方发出后就不能否认发过;收
方收到后不能否认,即收报认证;第三者可以确认收发双方的消息传送但不能伪造。
数字签名没有提供消息内容的机密性,最常用的数字签名算法有RSA算法和数字签名标准算法DSS。 (3)身份认证大致分为3类:①口令认证;②持证认证;③生物识别。
账户名/口令认证方法是被广泛使用的一种身份验证方法,比如一次性口令方案,常见的有S/Key 和令牌口令认证方案。
持证是个人所有物,比如磁卡等;生物识别指指纹、虹膜、脸像、掌纹、声音、签名、笔迹、手纹步态等生物特征。
常用的身份认证协议:一次一密机制;X.509认证协议;Kerberos协议。 8、安全技术应用:
(1)电子邮件的安全:PGP、S/MIME;
(2)网络层安全:IPSec,包括身份认证头AH协议和ESP协议;
(3)Web安全:网络级(IP 安全,IPSec)、传输级(SSL安全套接层,运输层安全)、应用级(SET) 9、两大最广泛的安全威胁:入侵者和病毒。
10、防火墙:为了保障网络安全,防止外部网对内部网的侵犯,常在内外网间设置防火墙。 (1)分类:数据包过滤,应用级网关、电路级网关、堡垒主机。
(2)防火墙的设计目标是:进出内部网的通信量必须通过防火墙,只有那些在内部网安全策略中定义了的合法的
通信量才能进出防火墙,防火墙自身应该能够防止渗透。 (3)防火墙的优缺点:
优点:保护脆弱的服务、控制对系统的访问、集中的安全管理、增强的保密性、记录和统计网络使用数据以及非法使用数据、策略执行。
缺点:无法阻止绕过防火墙的攻击;无法阻止来自内部的威胁;无法防止病毒感染程序或文件的传输。 (4)防火墙通常有两种设计策略:允许所有服务除非被明确禁止;禁止所有服务除非被明确允许。 (5)防火墙实现站点安全策略的技术:服务控制、方向控制、用户控制、行为控制。 11、病毒:共性:破坏、可自我复制;
常见病毒分类:宏病毒、电子邮件病毒、特洛伊木马、计算机蠕虫。病毒防治:检测、标识、清除。 第八章网络技术展望分析:这部分主要讨论网络技术的展望。一般会有3道选择和1-2 道填空约5-7 分。注意基本概念:
1、IP 组播技术:允许一个或多个发送方发送单一数据包到多个接收方的网络传输方式,不论组成员多少,