HSCSA-Security认证培训网络课程--数据通信网络技术概述v1.0

幻灯片 1

幻灯片 2

幻灯片 3

幻灯片 4

幻灯片 5

OSI模型的设计目的是成为一个开放网络互联模型，来克服使用众多网络模型所带来的互联困难和低效性。

OSI参考模型很快成为计算机网络通信的基础模型。在设计时遵循了以下原则：

各个层之间有清晰的边界，便于理解； 每个层实现特定的功能；

层次的划分有利于国际标准协议的制定；

幻灯片 11

如果某主机A要将应用程序中的某数据发送至服务器，数据首先传送至应用层。主机的应用层通过在数据上添加协议头来和服务器的应用层通信。所形成的信息单元包含协议头、数据、可能还有协议尾，被发送至传输层，传输层再添加为服务器的传输层所理解的控制信息的协议头。信息单元的大小随着每一层协议头和协议尾的添加而增加，这些协议头和协议尾包含了服务器的对应层要使用的控制信息。在物理层，整个信息单元通过网络介质传输。服务器中的物理层收到信息单元并将其传送至数据链路层；然后服务器中的数据链路层读取计算机A的数据链路层添加的协议头中的控制信息；然后去除协议头和协议尾，剩余部分被传送至网络层。每一层执行相同的动作：从对应层读取协议头

和协议尾，并去除，再将剩余信息发送至上一层。应用层执行完这些动作后，数据就被传送至服务器中的应用程序，这些数据和计算机A的应用程序所发送的完全相同。

幻灯片 12

应用层

FTP（文件传输协议）：为文件传输提供了途径，它允许数据从一台主机传送到另一台主机上。

HTTP（超文本传输协议）：用来访问在WWW服务器上的各种页面。 DNS（域名服务系统）：用于实现从主机域名到IP地址之间的转换。 TELNET（虚拟终端服务）：实现互联网中的工作站登陆到远程服务器的能力。

传输层

TCP （传输控制协议） ：为应用程序提供可靠的面向连接的通信服务，适用于要求得到响应的应用程序。目前，许多流行的应用程序都使用TCP。 UDP（用户数据报协议）：提供了无连接通信，且不对传送数据包进行可靠的保证。适合于一次传输小量数据，可靠性则由应用层来负责。 网络层

IP（互联网协议）：IP协议和路由协议协同工作, 寻找能够将数据包传送到目的端的最优路径。IP协议不关心数据报文的内容，提供无连接的、不可靠的服务。

ARP（地址解析协议）：把已知的IP地址解析为MAC地址。

RARP（反向地址解析协议）：用于数据链路层地址已知时，解析IP地址。 ICMP（网际控制消息协议）：定义了网络层控制和传递消息的功能。 IGMP（网际组管理协议）：一种组播应用协议，用于加入组播域。 数据链路层

数据链路层分为两个子层：逻辑链路控制子层（LLC, Logic Link Control Sublayer），介质访问控制子层（MAC, Media Access Control Sublayer）。 物理层

为了达到数据传输的目的，物理层定义了电压、接口、电缆标准、传输距离等。

幻灯片 13

在数据到达传输层以后，传输层首先会对数据分段以符合网络传输规格，分段之后，传输层会为每个数据段添加端口号信息以区分出不同协议的数据。 不同的应用会有不同的端口号，1024以下端口号为“famous”端口号，1024以上可以自行分配使用。当数据段传递到网络层时，网络层会为每个数据段封装IP包头，在IP包头中会包含数据所使用的协议信息(如TCP/UDP:6/17)和源IP地址以及目的IP地址信息。

所以，根据系统为数据所添加的三元组信息，我们可以很容易的区分出不同主机上的不同应用程序。我们把这样的三元组称为“套接字”。套接字分为两

种，一种是源套接字，源端口＋协议号＋源IP地址称为源套接字；一种是目的套接字，目的端口＋协议号＋源IP地址称为目的套接字。

幻灯片 14

TCP的连接建立是一个三次握手过程，目的是为了通信双方确认开始序号，以便后续通信的有序进行。

开始连接时，连接建立方(Client)发送SYN包，并包含了自己的初始序号a； 连接接受方(Server)收到SYN包以后会回复一个SYN包，其中包含了对上一个a包的回应信息ACK，回应的序号为下一个希望收到包的序号，即a＋1，然后还包含了自己的初始序号b；

连接建立方(Client)收到回应的SYN包以后，回复一个ACK包做响应，其中包含了下一个希望收到包的序号即b＋1。

经过此三次信息交换以后，TCP连接建立成功，就可以进行后续通信了。

幻灯片 15

TCP终止连接的四次握手过程如下：

首先进行关闭的一方（即发送第一个FIN）将执行主动关闭，而另一方（收到这个FIN）执行被动关闭。

当服务器收到这个FIN，它发回一个ACK，确认序号为收到的序号加1。和SYN一样，一个FIN将占用一个序号。

同时TCP服务器还向应用程序（即丢弃服务器）传送一个文件结束符。接着这个服务器程序就关闭它的连接，导致它的TCP端发送一个FIN。

客户必须发回一个确认，并将确认序号设置为收到序号加1。

幻灯片 16

IP欺骗

为了获得访问权，入侵者生成一个带有伪造源地址的报文。对于使用基于IP地址验证的应用来说，此攻击方法可以导致未被授权的用户可以访问目的系统，甚至是以root权限来访问。即使响应报文不能达到攻击者，同样也会造成对被攻击对象的破坏。这就造成IP Spoofing攻击。 SYN Flood攻击

由于资源的限制，TCP/IP栈的实现只能允许有限个TCP连接。而SYN Flood攻击正是利用这一点，它伪造一个SYN报文，其源地址是一个伪造的、或者不存在的地址，向服务器发起连接，服务器在收到报文后用SYN-ACK应答，而此应答发出去后，不会收到ACK报文，造成一个半连接。如果攻击者发送大量这样的报文，会在被攻击主机上出现大量的半连接，消耗尽其资源，使正常的用户无法访问，直到半连接超时。在一些创建连接不受限制的系统中，SYN Flood攻击将会消耗掉系统的内存等资源，使其不能响应合法的请求。

幻灯片 17

幻灯片 18

在以太网数据通信中，源主机发数据给目的主机，需要了解目的主机的IP地址和MAC地址进行数据封装。而往往在初始通讯时，源主机并不知道目的主机的MAC地址，故为了完成通信过程，需要一种查询目的主机MAC地址的技术，这就是ARP（地址解析协议，Address Resolution Protocol）用于将目的主机的IP地址和目的主机的以太网MAC地址映射关联起来。 ARP分为动态ARP和静态ARP

动态ARP是指ARP动态执行并自动寻找IP地址到MAC地址的映射，无需网络管理员的介入；

静态ARP是指IP地址和MAC地址之间有固定的映射关系，网络设备不能动态调整。静态ARP需要网络管理员手动配置映射表项。

在进行以太网数据通信时，源主机需要封装目的主机的MAC地址和IP地址，在知道对方的IP地址以后，使用ARP去请求对方的MAC地址。 过程如下：

源主机发送ARP-request，数据封装中源IP地址字段为源主机IP地址，源MAC地址字段为源主机的MAC地址，目的IP地址字段为目的主机IP地址，目的MAC地址被封装为FF-FF-FF-FF-FF-FF（广播MAC地址）。当交换机收到该信息以后就会广播该报文，在同一网段中的所有主机都能收到该报文。当主机收到该报文以后，查看报文中的目的IP地址和自己的IP地址是否匹配，若匹配，则记录下源主机的MAC地址和IP地址的对应关系，然后将自己的MAC地址封装进ARP-REPLY中单播给源主机，从而完成ARP“请求－应答”过程。而如果主机收到请求报文以后，报文中的目的IP地址和自己的IP地址匹配不上，则将会丢弃该请求信息。

幻灯片 22

端口缺省的模式为Access端口，缺省所有端口都属于VLAN 1，VLAN 1为缺省VLAN，既不能创建也不能删除。

幻灯片 23

接入链路指的是用于连接主机和交换机的链路。通常情况下主机并不需要知道自己属于哪些VLAN，主机的硬件也不一定支持带有VLAN标记的帧。主机要求发送和接收的帧都是没有打上标记的帧。

接入链路属于某一个特定的端口，这个端口属于一个并且只能是一个VLAN。这个端口不能直接接收其它VLAN的信息，也不能直接向其它VLAN发送信息。不同VLAN的信息必须通过三层路由处理才能转发到这个端口上。

干道链路是可以承载多个不同VLAN数据的链路。干道链路通常用于交换机间的互连，或者用于交换机和路由器之间的连接。干道链路的英文叫做“trunk link”。

数据帧在干道链路上传输的时候，交换机必须用一种方法来识别数据帧是属于哪个VLAN的。IEEE 802.1Q定义了VLAN帧格式，所有在干道链路上传输的帧都是打上标记的帧（tagged frame）。通过这些标记，交换机就可以确定哪些帧分别属于哪个VLAN。

和接入链路不同，干道链路是用来在不同的设备之间（如交换机和路由器之间、交换机和交换机之间）承载VLAN数据的，因此干道链路是不属于任何一个具体的VLAN的。通过配置，干道链路可以承载所有的VLAN数据，也可以配置为只能传输指定的VLAN的数据。

干道链路虽然不属于任何一个具体的VLAN，但是可以给干道链路配置一个pvid（port VLAN ID）。当干道链路不论因为什么原因，trunk链路上出现了没有带标记的帧，交换机就给这个帧增加带有pvid的VLAN标记，然后进行处理。

幻灯片 24

当Access端口收到帧时

如果该帧不包含802.1Q tag header，将打上端口的PVID；如果该帧包含802.1Q tag header，交换机不作处理，直接丢弃。 当Access端口发送帧时

剥离802.1Q tag header，发出的帧为普通以太网帧

本文来源：https://www.bwwdw.com/article/6z47.html