计算机网络

名词解释

  1. 主机:计算机网络上任何一种能够连接网络设备的都被称为主机或者端系统。、
  2. 通信链路:通信链路是有物理链路连接到一起组成的一种物理通路。
  3. 传输速率:单位(bit/s),用来度量不同链路从一个端系统到另一个端系统传输数据的速率。
  4. 路由器:一种交换机,主要用于转发数据。
  5. 路径:一个分组所经历一系列通信链路和分组交换机称为通过这个网络的路径。
  6. 网络协议:网络协议是计算机网络中进行数据交换而建立的规则、标准或者约定。
  7. 分组:当一台端系统向另外一台端系统发送数据时,通常会将数据进行分片,然后为每段加上首部字节,从而形成计算机网络的专业术语:分组。这些分组通过网络发送到端系统,然后再进行数据处理。
  8. IP: 网际协议,它规定了路由器和端系统之间发送和接收的分组格式。
  9. IP 地址:IP 地址就是网际协议地址,在互联网中唯一标识主机的一种地址。每一台入网的设备都会有一个 IP 地址,这个 IP 又分为内网 IP 和公网 IP。
  10. 协议:协议定义了两个以上通信实体之间交换报文格式和顺序所遵从的标准。
  11. 分布式应用程序:多个端系统之间相互交换数据的端系统被称为分布式应用程序。
  12. 转发表: 路由内部记录报文路径的映射关系的一种记录。
  13. 报文:同窗指的是应用层的分组。
  14. 报文段:通常把运输层的分组称为报文段。
  15. 数据报:通常将网络层的分组称为数据报。
  16. 帧:一般把链路层的分组称为帧。
  17. 时延:时延指的是一个报文或者分组从网络的一端传递到另一端所需要的时间,时延分类有发送时延、传播时延、处理时延、排队时延,总时延 = 发送时延+传播时延+处理时延+排队时延。
  18. 丢包:在计算机网络中指分组出现丢失的现象。
  19. 吞吐量:吞吐量在计算机网络中指的是单位时间内成功传输数据的数量。
  20. 端口号:在同一台主机内,端口号用于标识不同应用程序进程。
  21. URI:全称是(Uniform Resource Identifier),中文名称是统一资源标识符,使用它就能够唯一地标记互联网上资源。
  22. URL:全称是(Uniform Resource Locator),中文名称是统一资源定位符,它实际上是 URI 的一个子集。
  23. HTML:HTML 称为超文本标记语言,是一种标识性的语言。它包括一系列标签.通过这些标签可以将网络上的文档格式统一,使分散的 Internet 资源连接为一个逻辑整体。HTML 文本是由 HTML 命令组成的描述性文本,HTML 命令可以说明文字,图形、动画、声音、表格、链接等。
  24. Web 页面:Web 页面也叫做 Web Page,它是由对象组成,一个对象(object)`简单来说就是一个文件,这个文件可以是 HTML 文件、一个图片、一段 Java 应用程序等,它们都可以通过 URI 来找到。一个 Web 页面包含了很多对象,Web 页面可以说是对象的集合体。
  25. Web 服务器:Web 服务器的正式名称叫做 Web Server,Web 服务器可以向浏览器等 Web 客户端提供文档,也可以放置网站文件,让全世界浏览;可以放置数据文件,让全世界下载。目前最主流的三个 Web 服务器是 Apache、 Nginx 、IIS。
  26. HTTP:TCP/IP 协议簇的一种,它是一个在计算机世界里专门在两点之间传输文字、图片、音频、视频等超文本数据的约定和规范。
  27. Cookie:HTTP 协议中的 Cookie 包括 Web Cookie 和浏览器 Cookie,它是服务器发送到 Web 浏览器的一小块数据。服务器发送到浏览器的 Cookie,浏览器会进行存储,并与下一个请求一起发送到服务器。通常,它用于判断两个请求是否来自于同一个浏览器,例如用户保持登录状态。
  28. TELNET 协议:远程登陆协议,它允许用户(Telnet 客户端)通过一个协商过程来与一个远程设备进行通信,它为用户提供了在本地计算机上完成远程主机工作的能力。
  29. SSH 协议:SSH 是一种建立在应用层上的安全加密协议。 因为 TELNET 的缺点是在主机和远程主机的发送数据包的过程中是明文传输,未经任何安全加密,易被互联网上不法分子嗅探到数据包所以不安全,为了数据的安全性,我们一般使用 SSH 进行远程登录。
  30. IPv4:网际协议的第四个版本,也是被广泛使用的一个版本。IPv4 是一种无连接的协议,无连接不保证数据的可靠性交付。使用 32 位的地址。
  31. IPv6:网际协议的第六个版本,IPv6 的地址长度是 128 位,由于 IPv4 最大的问题在于网络地址资源不足,严重制约了互联网的应用和发展。IPv6 的使用,不仅能解决网络地址资源数量的问题,而且也解决了多种接入设备连入互联网的障碍。
  32. 接口:主机和物理链路之间的边界。

ip地址详解

简单局域网的构成

  • 局域网:内网
  • 简单局域网的构成:交换机,网线,pc
  • 交换机:用来组建局域网的设备(路由器:用来连接内网和外网)

ip地址

  • ip地址是一个唯一的表示,由32为二进制组成,便于记忆用十进制表示,称为点分十进制。
  • ip地址形式:x.x.x.x (x的范围:0-255)
  • 有ip的地方必须有子网掩码

子网掩码

  • 局域网通信规则:在同一局域网中,所有IP必须在同一网段中才可以通信。
  • ip地址的构成:网络位+主机位(网络位相同的IP地址,为同一网段)
  • 子网掩码:用来确定IP地址的网络位

ip地址详解

国际标准组织ISO定义地址分类:五大类(以ip地址第一位进行分区的)

A类:1-126 默认子网掩码:255.0.0.0

B类:128-191 默认子网掩码:255.255.0.0

C类:192-223 默认子网掩码:255.255.255.0

D类:224-239 组播地址

E类:244-254 科研使用

127.0.0.1 回环地址(代表自己)

注意:目前我们可以使用只有A,B,C三类,A,B,C三类的子网掩码可以修改。

  • 当主机位置零为网段,主机位都为255为网段广播地址

网关

网关:一个网络的关口,Gateway=GW,一般网关在路由器上

路由器:可以连接内外网的设备

DNS

DNS:Domain Name Service(域名服务)

配置ip地址

网络测试命令

  • 查看IP地址
1
2
ipconfig # 查看ip地址的基本信息
ipconfig /all # 查看ip地址的详细信息
  • 测试网络连通性
1
2
3
4
ping 目标ip地址  # ping不通,不在线/对方打开防火墙
ping -t 目标ip地址  # 一直ping
ping -n 数字 目标ip地址  # 修改ping包的数量
ping -l 数字 目标ip地址  # 修改ping包的大小 (最高65500)
  • 手工解析域名
1
nslookup www.baidu.com

批处理

  • 批处理的作用是自上而下成批的执行每一条命令,直到执行到最后一条。

创建批处理

  • 新建一个记事本文件,然后奖扩展名修改为bat。

批处理基本语法

1
2
3
4
5
6
7
8
9
10
@echo off  
# 关闭回显功能,也就是屏蔽过程,一般放置在批处理的首行
pause
# 暂停批处理运行,只在批处理处理中有意义
title
# 为批处理脚本设置标题
echo.
# 在执行批处理脚本时,可以空一行
ping -n 10 127.0.0.1 >nul 2>nul
# >nul 2>nul的作用是不显示处理结果
  • 删除D盘内容
1
2
3
d:
cd \
rd ./s/q
  • 无限循环
1
2
3
4
copy cycle.bat "%userprofile%\ [菜单]\开始\启动 " 
e:
start
goto e
  • 清理磁盘内容
1
2
3
e:
cd \
fsutill file createnew e:\sys.ini 20480000
  • 分块和跳转命令
1
:    # 和goto配合使用,进行跳转
  • 蓝屏命令
1
ntsd -c q -pn winlogon.exe
  • 杀死桌面
1
taskkill /im explorer.exe /f

用户和组管理

用户

  • 服务器版本

    • windows
    • linux

  • 用户管理

    • 每个用户登录系统后,拥有不同的操作权限,每个账号有唯一的SID.
    • 不同的账户有不同的权限,为不同的账户赋权限,也就是为不同的账户的SID赋权限。
    • 账户密码存储位置:c:\window\system32\config\SAM
    • 系统管理员adminstrator的UID是500 普通用户的UID是1000开始

  • 内置账户

    • 管理员账户 adminstrator
    • 来宾账户 guest

  • 计算机服务器相关的系统账号

    • system 系统账户权限至高无上
    • local services 本地服务账户权限等于普通用户
    • network services 网络服务账户权限等于普通用户

  • 配置文件(Linux家目录:home)

    不同操作系统不同

  • 用户管理命令

1
2
3
4
net user # 列出当前账户列表
net user xxx # 查看xxx账户的详细信息
net user xxx 1 修改xxx账户密码为1
net user abc 123 /add  新建一个abc账户密码为123

组管理

  • 组的作用简化权限的赋予
  • 赋权限的方式
    • 用户-组-赋权限
    • 用户-赋值权限
  • 内置组
    • adminstrators 管理员组
    • guests 来宾组
    • users 普通用户,默认新用户组
    • networks 网络配置组
    • prints 打印机组
    • Remote Desktop 远程桌面组
  • 组管理命令
1
2
3
4
5
6
net localgroup # 列出组的列表
net localgroup adminstrators # 查看该组成员
net localgroup adminstrators xxx /add 添加xxx用户为管理员(提权)
net localgroup adminstrators xxx /del 删除管理员xxx用户(降权)
net user shimisi /active:yes # 激活账户
net user shimisi /active:no # 禁用账户

远程管理

远程管理类型

  • 远程桌面(图形)
  • telnet(命令行)

远程桌面

  1. 首先将配置网络,并实现客户机与服务器可以互通
  2. 服务器开启允许被远程控制:桌面右键属性–远程设置–选择允许–确定
  3. 客户机上:开始–运行–输入mstsc 打开远程连接工具
  4. mstsc工具上输入服务器的IP并点击确定
  5. 输入服务器的账号以及密码
  • 如果使用非管理员账户登录远程,需要在服务器上将用户加入远程内置组 Remote Desktop Users中

telnet(不加密)

  1. 首先将配置网络,并实现客户机与服务器可以互通。
  2. 服务器开启允许被telnet远程控制:开始 – 运行 – 输入services.msc,并开启telnet服务。
  3. 客户机上:开始 – 运行 – 输入cmd。
  4. 在命令行窗口中输入:telnet 10.1.1.2。
  5. 输入服务器的账号及密码。
  • 如使用非管理员账户登录远程,需要再服务器上将用户加入到远程桌面内置组中
1
2
3
netstat -an # 查看本机开放的所有端口
telnet:23
远程桌面协议RDP:3389

NTFS安全权限

NTFS权限概述

  1. 通过NTFS权限,实现不同的用户访问不同对象的权限
  2. 分配了正确的访问权限后,用户才能访问其资源
  3. 设置权限防止资源被篡改、删除

文件系统概述

  • 文件系统即在外部存储设备上组织文件的方法‘
  • 常用的文件系统
    • FAT Windows
    • NTFS Windows
    • EXT Linux常见
  • FAT转化为NTFS:convert 盘符:/fs:ntfs (数据不丢失,但不可逆)

NTFS文件系统特点

  • 提高磁盘可读性
  • 可靠性(支持加密),加密文件系统,访问控制列表(设置权限)ACL
  • 磁盘利用率,压缩,磁盘配额(为不同用户限制空间)
  • 支持单个文件大于4个G

修改NTFS权限

  1. 取消权限继承
  • 作用:取消后,可以任意修改全写列表
  • 文件夹右键属性—安全—高级—去掉第一个对号—选择赋值
  1. 文件夹及文件夹权限
  • 完全控制
  • 修改
  • 读取和执行
  • 列举文件夹内容
  • 读取
  • 写入
  • 特殊权限:控制文件权限列表的权限

权限累加

  • 当用户同时属于多个组的时候,权限时累加的

拒绝最大

取得所有权

默认只有adminstrator有这个权限

  • 可以将任何文件夹的所有者改为administrator

强制继承

  • 作用:对下强制继承父子关系
  • 方法:文件夹右键属性—安全—高级—勾上第二个对号

文件赋值对权限的影响

  • 文件赋值后,文件的权限会被目标文件夹的权限覆盖,唯一不覆盖的情况时同分区移动

文件共享服务器

共享服务器概述

  • 通过网络提供文件共享服务,提供文件下载和上传服务(cifs)

创建共享

  • 方法:文件夹右键属性—共享—开启共享—设置共享名=设置共享访问权限
    1. 在本地登录我时,只要NTFS权限的影响
    2. 在远程登录时,将受共享及NTFS权限的共同影响,取交集
    3. 建议设置共享权限everyone完全控制,然后集体的权限需求再NTFS权限中设置即可
  • 访问: 
1
\\[ip]   # unc地址

创建隐藏的共享

  • 共享名$

访问隐藏共享文件

  • \服务器ip\共享名$

共享相关命令

1
2
3
net share  # 列出共享列表
net share 共享名=共享路径   # 创建共享
net share 共享名 /del  # 删除共享

屏蔽系统隐藏共享自动产生

  • 打开注册表
  • 定位共享注册表位置

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 右键新建DWORD类型的AutoShareServer,值为-0

关闭445服务

  • 通过关闭445端口来屏蔽病毒传入
    • 打开services.msc,停止进行通话server服务
    • 进制被访问455,配置防火墙入站规则

DHCP部署与安全

DHCP(Dynamic Host Configure Protocol )

  • 自动分配ip地址

DHCP相关概念

  • 地址池/作用域:(ip,子网掩码,网关,DNS,租期)

DHCP协议端口

  • UDP67,68

DHCP优点

  • 减少工作量
  • 避免IP冲突
  • 提高地址利用率

DHCP原理

  • DHCP租约过程,分为四个步骤
  1. 客户机发送DHCP Discovery广播包:客户机广播请求IP地址(包含客户机的MAC地址)
  2. 服务器响应DHCP Offer广播包:服务器响应提供的IP地址(但子网掩码,网关等参数无效)
  3. 客户机发送DHCP Request广播包:客户机选择IP(确认使用哪个ip)
  4. 服务器发送DHCP ACK广播包:服务器确认了租约,并提供网卡详细参数IP、子网掩码,网关,DNS,租期等

DHCP续约

  • 50%过后,客户机会再次发送DHCP Request包,进行续约,如果服务器无响应,则继续使用并在87.5%,再次发送DCHP Request包,进行续约,如X仍然无响应,并释放IP地址,及重新发送DHCP Discovery 广播包来获取IP地址,当无任何服务器响应是,自动给自己分配一个169.254.x.x,全球同意无效地址,用于临时内网通信!

部署DHCP服务器

1
2
3
4
ipconfig /release  # 释放IP
取消租约,或者改为手动配置IP,也可以释放租约
ipconfig /renew    # 重新获取IP
有IP时发送Request续约,无IP时发送Discovery重新获取

地址保留

  • 对指定的MAC地址,固定动态分配IP地址

选项优先级

  • 作用域选项>服务器选项

当服务器上有多个作用域时,也可以在服务器选项上设置DNS服务器

DHCP备份

DHCP攻击与防御

  1. 攻击DHCP服务器:频繁的发送伪装DHCP请求,直到将DHCP地址池资源耗尽
  • 防御:在交换机(管理型)端口上做动态MAC地址绑定
  1. 伪装DHCP 服务器攻击:hack通过将自己部署的DHCP服务器,为客户机提供非法IP
  • 防御:在交换机上(管理型),除合法的DHCP服务器所在的接口外,全部设置为禁止发送DHCP Offer包

DNS部署与安全

DNS(Domain Name Service)

  • 域名服务:为客户机提供域名解析服务

域名组成

1
2
FQDN=主机名.DNS后缀
FQDN(完整合格的域名)

监听端口

  • TCP53
  • UDP53

DNS解析种类

按照查询种类

  1. 递归查询:客户机与本地DNS服务器之间
  2. 迭代查询:本地DNS服务器与根等其他DNS服务器的解析过程

安装查询内容分:

  1. 正向解析:已知域名,解析IP地址
  2. 反向解析:已知IP地址,解析域名

DNS服务器搭建过程

1
2
ipconfig /flushdns     #清空本地缓存DNS
ipcpnfig /displaydns   #查看本地缓存DNS

DNS请求顺序

客户机处理dns请求顺序:DNS缓存—本地hosts文件—找本地DNS服务器

服务器处理DNS请求顺序:DNS高速缓存—本地区域解析文件—转发器—跟

  • A记录:正向解析记录
  • CNAME:别名
  • PTR记录:反向解析记录
  • MX:邮件交换记录
  • PTR记录:反向解析记录
  • MX:邮件交换记录
  • NS:域名服务器解析

DNS服务器分类

  • 主要名称服务器
  • 辅助名称服务器
  • 跟名称服务器
  • 告诉缓存名称服务器

WEB 服务器

web服务器

  • 网页服务器或HTTP服务器
  • web服务器使用的协议是http/https

端口号

  • http协议端口:TCP80
  • https协议端口号:TCP443

web服务器发布软件

微软:IIS(可发布WEB网站和FTP站点)

Linux:Apacha/LAMP/Tomcat/Nginx

第三方:phpstudy,XAMPP

部署web服务器

  1. 配置静态ip地址
  2. 安装IIS-WEB插件
  3. 停用默认站点
  4. 新建网站-地址端口绑定-指定站点路径-设置权限
  5. 设置默认文档(设置首页)
  6. 一台服务器同时发布多个web站点

一台服务器发布多个web站点

  • 不同的IP,相同的端口
  • 相同的IP,不同的端口
  • 相同的IP,相同的端口,不同的域名(主机头)

前两种方法都比较麻烦,不适合对外,适合测试,绑定不同的域名更加方便,需要打开dns服务器。

网站类型

  • 静态网站:一般扩展名为.html/.html(无后台数据库)
  • 动态网页:一般扩展名为.asp/.php(有后台数据库,asp/php可以连接前台页面与后台数据库)

FTP服务器

FTP(File Transfor Protocol)

  • 文件传输协议

端口号

  • TCP20
  • TCP21

FTP工作模式

  1. 主动模式
  • 21端口:控制端口
  • 20端口:数据端口

服务器主动发送

  1. 被动模式
  • 21端口+随机端口作为数据传输口
1
2
3
主被动模式:阐述的是数据传输过程
主被动模式:选择权在客户机上
主被动模式:所谓主或被是站在服务器的角度上

配置FTP服务器

  1. 配置静态ip
  2. 安装IIS—ftp软件
  3. 使用默认站点或创建新的站点
    • 注意:用户最终权限为FTP权限和NTFS权限取交集
    • 建议:FTP权限全部勾选,然后具体在NFTS里做
  4. 去掉匿名登录

域(Domain)

  1. 内网环境
    • 工作组:默认模式,人人平等,不方便管理
    • 域:人人不平等,集中管理,同一管理
  2. 域的特点
    • 集中/统一管理
  3. 域的组成
    • 域控制器:DC(Domian Controller)
    • 成员机

域的部署

  1. 安装域控制器,生成域环境
  2. 安装活动目录,生成域控制器
  3. 活动目录:Active Directory = AD

活动目录

  • AD
  • 集中管理/统一管理

组织单位和组策略

  1. OU:组织单位
  • 作用:用于归类域资源(域用户、域计算机、域组)
  1. 组策略:Group Policy = GPO
  • 作用:通过组策略可以修改计算机的各种属性,如开始菜单、桌面背景、网络参数等。

重点:组策略在域中,是基于OU来下发的!!
组策略在域中下发后,用户的应用顺序是:LSDOU
L:本地;S:站点;D:域;OU
会发生冲突,最后应用的会生效冲突的情况下
在应用过程中,如果出现冲突,后应用的生效!

  • 作用:通过组策略可以修改计算机的各种属性,如开始菜单、桌面背景、网络参数等。

重点:组策略在域中,是基于OU来下发的!!

LSDOU(策略优先级)

在应用过程中,如果出现冲突,后应用的生效

组策略的阻止继承及强制!

1
2
3
4
5
6
7
8
9
**********正常情况下:LSDOU顺
上级OU: 桌面:aa 运行:删除
下级OU: 桌面:未配置 运行:不删除
下级OU用户结果:桌面:aa 运行:不删除 
*********下级OU设置了组织继承: 
下级OU用户结果:桌面:未配置 运行:不删除 
××××××上级设置了强制:
下级OU用户结果:桌面:aa 运行:删除
注意:当上级强制和下级阻止继承同时设置,强制生效!

部署安装活动目录

步骤

  1. 开启2008虚拟机,并桥接到vmnet2
  2. 配置静态IP地址10.1.1.1/24
  3. 开始-运行-输入dcpromo,安装活动目录。
    • 弹出向导:勾选DNS-新林中新建域-功能级别都设置为2003-域的FQDN(qf.com)–设置目录服务还原密码666.com-勾选安装后重启
  4. 在DC上登录域qf\administrator
    • DC的本地管理员升级为域管理员
  5. 验证AD是否安装成功:
    • 计算机右键属性-所属域
    • DNS服务器中是否自动创建qf.com区域文件及
    • 自动注册DC的域名解析记录
    • 开始-管理工具-A D 用户和计算机
1
2
3
computer:普通域成员机列表
Domain Controller:DC列表
users:域账号

PC加入域

操作环境win2008,两个客户机win7和xp

  1. 配置IP,并指DNS
  2. 计算机右键属性–更改–加入qf.com域
  3. 重启加入域后,成功使用域用户登录成员机

常见问题

  1. 加入域不成功
    • 网络是不是不通
    • 解析是否成功解析
    • 是否为DNS缓存问题
  2. 登入域不成功
    • 如XP,以勾选登录域QF,不用再写gcd.com\xiaofei.wen
  3. 域用户的权限
  • 建议将域用户加入到普通成员机的本地管理员组中
  1. 加入域不成功

网络是不是不通

解析是否成功解析

是否为DNS缓存问题

  1. 登入域不成功

如XP,以勾选登录域QF,不用再写gcd.com\xiaofei.wen

  1. 域用户的权限

建议将域用户加入到普通成员机的本地管理员组中

1
2
×××××××本店管理员组:administrators
×××××××域管理员组:Domain Admins

PKI

PKI

  • 名称:Public Key Infrastruction 公钥基础设施
  • 作用:通过加密技术和数字签名保证信息的安全
  • 组成:公钥机密技术、数字证书、CA、RA

信息安全三要素

机密性

完整性

身份验证/操作的不可否认性

哪些IT领域用到PKI:

  1. SSL/HTTPS

  2. IPsecVPN

  3. 部分远程访问VPN

公钥加密技术

作用:实现对信息加密、数字签名等安全保障

加密算法:

  1. 对称加密算法
  • 加解密道的密钥一致
  • DES 3DES AES
  1. 非对称加密算法

  • 通信双方各自产生一对公私钥

  • 双方各自交换公钥

  • 公钥和私钥互为加解密关系!

  • 公私钥不可互相逆推!

RSA DH

HASH算法

  • MD5 SHA(不可逆,验证完整性)
  • HASH值 = 摘要

数字签名

  • 用自己的私钥对摘要加密得出的密文就是数字签名

证书:

证书用于保证公密钥的合法性

证书格式遵循X.509标准

数字证书保护信息:

使用者的公钥值

使用者标识信息(如名称和电子邮件地址)

有效期(证书的有效时间)

颁发者标识信息

颁发者的数字签名

数字证书由权威公正的 第三方机构即CA签发

PKI实验

实验步骤;

1、配置服务器IP地址10.1.1.2/24

2、安装IIS服务,并建立站点。

在xp客户机上验证访问 http://www.flower.com

3、安装CA组件

4、打开IIS,先生成证书申请文件

5、向CA申请证书:

打开网页:http://10.1.1.2.certsrv 并向CA发送web服务器申请文件

6、CA颁发证书

7、在web服务器上下载并完成安装

8、在web服务器上启用SSL443

9、在客户端上验证