0%

网络基础知识学习笔记

p地址,在网络中对用户是透明的,用户感受不到存在。
路由器工作在网络层,根据ip地址寻址,还可以处理TCP/IP协议,具有分割广播的功能
交换机工作在数据链路层,根据MAC地址识别,完成封装、转化数据包的功能,不具备分割广播的功能。

TCP/IP和OSI模型

TCP/IP

从下到上:链路层–网络层–传输层–应用层
链路层封装、解封以太网首部;网络层封装、解封IP首部;传输层封装、解封TCP首部;应用层解封、封装应用协议。
TCP/IP模型

OSI

从下到上:物理层–数据链路层–网络层–运输层–会话层–表示层–应用层
在现在流行的网络体系中已经不再使用会话和表示层

TCP/UDP

TCP

TCP工作在运输层,为应用层提供通信功能,是面向连接的传输控制协议。在传送数据之前必须要先建立连接,数据传送结束后要释放连接,不提供广播和多播功能,连接的建立需要通过“三次握手”,断开连接需要通过“4次握手”。
通俗解释三次握手:

1
2
3
4
主机A--我要给你发数据,同意吗?syn/seq-->主机B
主机A<--同意,你发吧ack/syn--主机B
主机A--我收到答复,我要传数据了ack-->主机B
SYN Flood攻击发生在第二次握手,让主机B一直处于等待状态,直到超时

通俗解释四次握手:

1
2
3
4
主机A--FIN=1,数据传送完成,关闭-->主机B
主机A<--ACK=1,收到--主机B
主机A<--我的数据接收完成,FIN=1,关闭--主机B
主机A--收到,关闭,ACK=1-->主机B

UDP

UDP工作在运输层,是一种无连接的用户数据报协议,UDP在传送数据之前不需要先建立连接,使用尽最大努力交付,不保证可靠交付,比TCP使用更少的资源

路由选择协议

路由信息协议RIP

路由信息协议RIP是内部网关协议中最先得到广泛应用的,是一种分布式基于距离向量的路由选择协议,最大特点是简单。RIP协议要求网络中的每一个路由器都要维护从它自己到其他每个目的网络的距离记录。
从一路由器到直接连接的网络的距离定义为1,到非直接项链的网络的距离定义为所经过的路由器数加1,距离也称为跳数。
RIP允许一条路径最多包含15个路由器,距离达到16就相当于不可达,RIP协议适应于小型网络。
路由器R1到N1、N2网络的距离是1,到N3的距离是2,到N4的距离是3
N1—R1—N2—R2—N3—R3—N4
RIP协议中,路由器仅和相邻的路由器交换信息,交换的信息是当前本路由器中所知道的全部信息(自己的路由表),信息的交换有固定的时间间隔。
路由表中最重要的信息:到某个网络的最短距离,以及应经过的下一跳地址。路由表更新的原则是找出到每个目的网络的最短距离,这种算法被称为距离向量算法。
RIP协议存在一个问题:网络出现故障时,要经过比较长的时间才能将此信息传递到所有路由器。好消息传得快,坏消息传的慢。

开放最短路径优先协议OSPF

与RIP协议相比,OSPF协议具有以下特点:

  • 向本自治系统中的所有路由器发送信息,采用的是洪泛法(RIP是相邻的路由器)
  • 发送的信息是与本路由器相邻的所有路由器的链路状态(RIP是到所有网络的)
  • 只有当链路状态发生变化时,路由器才用洪泛法发送消息(RIP是固定间隔)
    OSPF协议中,每个路由器都由一个链路状态数据库,这个数据库就是全网的拓扑结构,这个拓扑结构在全网范围内是一致的(链路状态数据库的同步)。
    OSPF将一个自治系统再划分为若干个更小的范围,叫区域,每个区域由一个32bit的区域标识符,主干区域标识符用0.0.0.0表示。
    OSPF不使用UDP传输,直接用IP数据报传送,工作在网络层。

FW/IDS/WAF/IPS

防火墙是一种隔离技术,对流经的网络通信进行扫描,工作在网络层,用于过滤ip和协议类型,拦截低层攻击行为,但对应用层攻击无能为力。一般部署在外联出口或区域性出口位置,对内外流量进行安全隔离。
IDS入侵检测系统,基本以旁路为主,特点是不阻断任何网络访问,主要以提供报告和是后监督为主。
IPS入侵检测系统,解决了无法阻断的问题,基本一在线模式为主,系统提供多个端口,以头哦名模式工作,在防火墙中也会由提供该功能的产品,其特点是可以分析到数据包的内容,解决传统防火墙只能工作在4层以下的问题,IPS定义多种攻击模式,并通过模式匹配去阻断非法访问,缺点是不能主动学习攻击方式,对于不能识别的攻击模式,默认会允许。
IPS会被串联在主干路上,对内外网异常流量进行监控处理。
WAF是web应用防护系统,工作在应用层,一般放置在对外提供网站服务的DMZ区域或数据中心服务区域,位置应尽量靠近web服务器。
工作模式有:透明代理(网桥模式)、反向代理、路由代理、端口镜像,前三种称为在线模式,需要将WAF串行部署在web服务器前端,用于检测并阻断异常流量;端口镜像称为离线模式,将WAF旁路在web服务器上游的交换机中,只用于检测异常流量。

  • 透明模式(网桥模式)
    web客户端访问服务器时,连接请求被WAF拦截和监控,将会话分成2段,并基于桥模式进行转发,客户端感知不到WAF的存在,还可以开启基于硬件的Bypass功能,在WAF设备故障或掉电时不影响网络流量。在该模式下,所有流量都需要经过WAF,对WAF性能由要求,同时无法实现服务器负载均衡功能。
  • 反向代理模式
    反向代理是将真实服务器地址映射到反向代理服务器上,客户端访问的就是WAF,在收到请求后WAF再将请求转发给后端的真实服务器,可以实现负载均衡。使用该模式需要在WAF中配置IP映射关系,WAF设备的地址和路由。
  • 路由代理模式
    与网桥模式的区别是,工作在路由转发模块而非网桥模式,其他都一样,也不支持负载均衡。该模式需要为WAF的转发接口配置IP地址及路由,在该模式下可以直接作为web服务器的网站,但是存在单点故障问题,同时负责转发所有的流量。
  • 端口镜像模式
    使用交换机的端口镜像功能,WAF只进不出,只对http流量进行监控和报警,对网络不会由任何影响。

IPsec

IPSec是互联网安全协议,由2类协议组成:AH协议和ESP协议。

  • AH协议
    可以同时提供数据完整性确认、数据来源确认、防重方等安全特性,常用摘要算法:MD5、SHA1
  • ESP协议
    AH协议使用较少,因为其无法提供数据加密,所有数据传输时以明文传输,而ESP提供数据加密。
    VPN是IPSec的一种应用方式,提供site-to-site、end-to-site、end-to-end应用场景
    IPSec提供传输模式和隧道模式2种封装模式:
  • 传输模式在AH、ESP处理前后IP头部保持不变,主要用于end-to-end场景;
  • 隧道模式在AH、ESP处理后再封装了一个外网ip头,主要用于site-to-site场景;
  • 隧道模式可以用于任何场景,传输模式只能用于end-to-end
    在使用IPSec加密数据包前,需要限建立一个IPSec的SA,可以手工建立也可以使用IKE(密钥交换协议)建立。
    IKE密钥交换协议属于混合协议,由ISAKMP协议和OAKLEY/SKEME组成,IKE与ISAKMP不同之处:IKE真正定义了一个密钥交换过程,ISAKMP只是定义了一个通用的可以被任何密钥交换协议使用的框架。
    IPSec VPN构架过程:
  1. 开始会话,建立连接
  2. ISAKMP/IKE阶段一:协商阶段二的SA,建立IKE本身的安全信道
  3. ISAKMP/IKE阶段二:协商IPSec的SA,通过阶段一建立的安全信道交换IPSec通信中使用的SA
  4. 数据连接建立

————阶段一————–
有2种工作模式:主模式和积极模式,使用UDP:500端口

  • 主模式:3步双向交互过程,任何实体信息都可以免受攻击
    • SA交换:协商双方安全策略的过程
    • 密钥交换:位第一对消息中所协商的算法生成密钥,通过DH密钥交换算法生成公钥,并交换公钥及随机数(防止重发攻击)
    • ID交换及验证:进行身份验证和对整个SA交换进行验证
  • 积极模式:3次交换协商密钥和进行验证,速度快,但信息实体是明文
    ————阶段二————–
  • 快速模式
    协商IPSec SA使用的安全参数,创建IPSec SA使用AH或ESP来加密数据流