6.网络服务与应用

发表于 更新于 分类于 阅读次数: 本文字数: 2.7k 阅读时长 ≈ 10 分钟

Ⅰ - DNS(域名系统)

1.DNS域名系统

  • DNS的基本作用是把域名转换为IP地址。

  • DNS/DHCP服务器的IP地址必须设置为静态IP地址,WEB/FTP可以设置为动态IP地址。

  • Linux系统中提供DNS服务的组件为bind,主配置文件为named.conf

  • 诊断域名系统基础结构的信息和查看DNS服务器的IP地址的命令是nslookup

2.DNS域名结构

DNS域名结构

3.DNS记录类型

记录类型 说明 备注
SOA SOA叫起始授权机构记录,SOA记录用于在众多NS记录中哪一台是主服务器。 SOA记录还设置一些数据版本和更新以及过期时间的信息。
A 把主机名解析为IP地址 www.test.com → 1.1.1.1
指针PTR 反向查询,把IP地址解析为主机 1.1.1.1 → www.test.com
名字服务器NS 为一个域指定授权域名服务器,该域的所有子域也被委派给这个服务器 比如某个区域由ns1.domain.com进行解析。
邮件服务器MX 指明区域的邮件服务器及优先级 建立电子邮箱服务,需要MX记录将指向邮件服务器地址。
别名CNAME 指定主机名的别名
把主机名解析为另一个主机名		 www.test.com别名为webserver12.test.com

4.DNS查询过程

DNS查询过程1

DNS查询过程2

5.DNS查询方式

  • 递归查询(老好人):

    域名服务器帮助用户进行名字解析,并返回最后的结果。

  • 迭代查询(踢皮球):

    域名服务器进行迭代访问,反复多次,直到最后找到结果。

Ⅱ - PGP与邮件协议

1.PGP与邮件协议

  • 发送邮件协议SMTP,接收邮件协议POP3/IMAP4
  • POP3协议的一个特点就是只要用户从POP3服务器读取了邮件,POP3服务器就将该邮件删除了。
  • IMAP是一个联机协议。当用户PC上的IMAP客户程序打开IMAP服务器的邮箱时,用户可以看到邮件的首部。用户打开某个邮件时,那个邮件才传到用户的计算机上,所以用户可以在不同的地方使用不同的计算机反复阅读自己的邮件,直到用户发出删除邮件的命令,IMAP服务器邮箱中的邮件会一直保存着。
  • 邮件保密使用PGP协议,PGP的功能包括加密、鉴别、电子签名和压缩等技术,这些功能保证了电子邮件的安全性、报文完整性和发送方鉴别。

2.IMAP与POP3对比

操作位置 操作内容 IMAP POP3
收件箱 阅读、标记、移动、删除邮件等 客户端与邮箱更新同步 仅客户端内
发件箱 保存到已发送 客户端与邮箱更新同步 仅客户端内
创建文件夹 新建自定义的文件夹 客户端与邮箱更新同步 仅客户端内
草稿 保存草稿 客户端与邮箱更新同步 仅客户端内
垃圾文件夹 接收误移入垃圾文件夹的邮件 支持 不支持
广告邮件 接收被移入广告邮件夹的邮件 支持 不支持

Ⅲ - 文件传输协议

1.FTP/TFTP

  • FTP的主要功能是减少或消除在不同操作系统下处理文件的不兼容性(如Windows系统和Linux系统之间互传文件)。

  • FTP是一个交互会话系统,在进行文件传输时,FTP的客户与服务器之间需要建立两个TCP链接,分别是控制连接(21端口)数据连接(20端口)

  • FTP的常用命令:

    1
    2
    3
    4
    5
    get //下载
    mget //批量下载
    put //上传
    mput //批量上传
    ls //列表

2.TFTP

  • TFTP是一个很小且易于实现的文件传送协议,它的工作方式也采用C/S模式,但传输层使用UDP69端口,所以TFFTP需要在应用层有自己的差错改正措施。

  • TFTP只支持文件传输而不支持交互,TFTP没有一个庞大的命令集,没有ls功能,也不能对用户进行身份鉴别。

  • TFTP主要特点:

    因为工作在停止等待方式,每个报文需要应答,UDP报文固定512B长,可对文件进行读或写。

Ⅳ - 远程登录与HTTP

1.远程登陆协议

  • telnet远程登陆设备如交换机路由器,进行设备管理和配置,使用TCP 23端口,他是明文传输,不安全
  • telnet相对的管理协议SSH,使用TCP 22端口,加密传输
  • Windows远程登陆协议RDP(远程桌面),使用TCP 3389端口

2.HTTP与HTTPS协议

  • WWW是一种分布式的超媒体系统,它是超文本(HyperText)系统的扩充,一个超文本由多个信息
    源链接成。利用一个链接可使用户找到另一个文档,这些文档可以位于世界上任何一个接在因特
    网上的超文本系统中,超文本是万维网的基础
    • HTTPS不是一个单独的协议,而是两个协议的结合,即在加密的安全套接层或传输层安全(TLS)上进行普通的HTTP交互传输,这种方式提供了一种免于窃听者或中间人攻击的合理保护。
    • HTTPS端口是443,HTTP默认端口80。
    • S-HTTP 安全的超文本传输协议(Security HTTP)。
    • S-HTTP语法与HTTP一样,而报文头有所区别,进行了加密。

3.Cookie、Session与Web缓存

类型 功能描述
Cookie 提供一种在Web应用程序中存储用户特定信息的方法。当用户访问站点时,Cookie存储用户信息,当该用户再次访问该网站时,可以检索以前存储的信息。Cookie存储于客户端硬盘上,与用户相关,在一定时间内持久化存储,可以跨浏览器共享数据,需要被序列化,发生服务器-客户端数据传输
Session 为当前用户会话提供信息。提供对可用于存储信息的会话范围的缓存的访问,以及控制如何管理会话的方法。存储在服务器的内存中,因此与在数据库中存储和检索信息相比,它的执行速度更快。会话状态应用于单个的用户和会话。在会话的整个生存期中存在即不会被主动丢弃,不被序列化,不发生服务器-客户端数据传输
Cache 存储于服务器的内存中,允许自定义缓存项以及将缓存多长时间。它不与会话相关,所以它是多会话共享的,因此使用它可以提高网站性能,但是可能泄露用户的安全信息。另外,在服务器缺乏内存时可能会自动移除Cache,因此需要在每次获取数据时检测该Cache项是否还存在。Cache与会话无关,根据服务器内存资源的状况随时可能被丢弃,不被序列化,不发生服务器-客户端数据传输

4.Cookie、Session和Cache对比

Cookie Session Cache
存储位置 客户端 服务器 服务器
是否会被主动丢弃 不会 不会
与会话相关
是否被序列化
是否发生服务器-客户端传输
是否被加密

5.其他安全协议

  • S/MIME(Security/Multipurpose Internet Mail Extensions)提供电子邮件安全服务(注:MIME不具备安全功能)。
  • SET(Secure Electronic Transaction)安全的电子交易,用于保障电子商务安全。
  • Kerberos是用于身份认证的安全协议,支持AAA认证、授权、审计。

Ⅴ - DHCP

1.DHCP基础

  • DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)。
  • Linux系统DHCP服务配置文件为 /etc/dhcpd.conf
  • DHCP地址租约默认8天,当租期超过一半时,进行续约,续约完后还是8天,续约发送的报文是DHCP Request,如果第一次续约失败,87.25% 时再次续约。
  • 自动续约失败,DHCP获取失败会获得一个169.254.0.0/16的特殊IP地址。

2.DHCP报文类型

  • 发现阶段:

    DHCP客户端在网络中广播发送DHCP Discover请求报文,发现DHCP服务器,请求IP地址租约。

  • 提供阶段:

    DHCP服务器通过DHCP Offer报文向DHCP客户端提供IP地址分配。

  • 选择阶段:

    DHCP客户端通过DHCP Request报文确认选择一个DHCP服务器为它提供IP的地址。

  • 确认阶段:

    DHCP服务器通过DHCP ACK报文把把客户端请求的IP地址分配给用户,并更新租用等信息。

  • 如果客户端检测到被分配的地址冲突,向服务器发送DHCP Decline信息,拒绝使用该地址。

  • 当租期到 50% 时,客户端发DHCP Request续约,续约失败,87.5% 再次续约,到期未完成续约,重新进行DHCP过程。

  • 续约失败,客户端会获得一个特殊的IP地址:169.254.0.0/16。

  • 注意:思科DHCP服务器的回包是广播,华为DHCP服务器回包是单播。

DHCP服务流程

3.DHCP中继

DHCP中继是在DHCP服务器不同又需要申请DHCP服务的网络内,设置 一个中继器用来在该网络中代替DHCP服务器接收客户端的请求,并将DHCP客户端发送给DHCP服务器的报文以单播的形式发送给DHCP服务器,实现了在不同的网络中运行DHCP。

Ⅵ - 代理与NAT

1.网络地址转换NAT

  • NAT有三种类型:

    静态NAT、动态地址NAT、端口地址转换PAT。

    • 静态NAT:

      内部网络中的每个主机都被永久映射成某全球地址。

    • 动态地址NAT:

      以地址池的方式。地址池中有多个全球地址用来对内部地址进行映射,但不固定绑定。

    • 端口地址转换PAT:

      一个外网地址可以和多个内网地址(如一个网段)进行映射,同时在该地址上加上一个由NAT设备指定的TCP/UDP的端口号来进行区分,通过使用PAT可以让成百上千的本地地址节点使用个全球地址访问Internet,PAT普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面,通过这种方式把内部主机隐藏起来,从而实现了内部主机的安全性。