(*长期更新)软考网络工程师学习笔记——Section 9 应用层
目錄
- 一、DNS
- (一)DNS的組成
- (二)DNS的資源記錄類型
- (三)域名解析
- (四)DNS安全
- 二、DHCP
- (一)DHCP的基本概念
- (二)DHCP的相關端口
- (三)DHCP的優點
- (四)DHCP的工作流程
- (五)DHCP的更新租約和管理
- 三、FTP和TFTP
- (一)FTP的基本概念和相關端口
- (二)FTP的工作方式
- (三)TFTP
- 三、WWW和HTTP
- (一)WWW的構成
- (二)HTTP
- (三)HTTPS
- 四、電子郵件協議
- (一)SMTP
- (二)POP
- (三)IMAP
- 五、SNMP
- (一)OSI定義的網絡管理
- (二)CMIS/CMIP
- (三)網絡管理系統
- (四)SNMP的組成
- (五)SNMP PDU
- (六)SNMP版本
- (七)管理信息庫(MIB)
- 七、Telnet
- 八、SSL
- (一)SSL的定義
- (二)SSL協議的工作流程
一、DNS
(一)DNS的組成
域名系統是用于將主機域名解析為IP地址的系統,由解析器和域名服務器組成,DNS主要基于UDP協議,較少情況下使用TCP協議,端口號均為53。
可從三部分來解釋域名系統:DNS名字空間、域名服務器和DNS客戶機。
1、DNS名字空間
DNS名字空間是樹狀結構,連接在Internet上的主機或路由器都有唯一的層次結構名稱,也稱為域名。
不同級別的域名通過“.”隔開,根域處于Internet三域名結構的最高,提供根域名服務,其中根域名也是通過“.”來表示,域名的完整結構如下:
主機.三級域名.二級域名.頂級域名.
主機屬于最低層域名,處于域名樹的葉子端,代表各類主機提供的服務,而頂級域名處于根域名之下,它可分為國家頂級域名、通用頂級域名和國際頂級域名三大類。
2、域名服務器
域名服務器運行模式為客戶機/服務器模式(C/S模式),以下通過域名空間層次和域名服務器的作用可分類如下:
(1)按域名空間層次可分為根域名服務器、頂級域名服務器、權限域名服務器和本地域名服務器四種。
(2)按域名服務器的作用可分為主域名服務器、輔域名服務器、緩存域名服務器和轉發域名服務器。
| 主域名服務器 | 具有域名數據庫,一個域只有一個主域名服務器 |
| 輔域名服務器 | 具有域名數據庫,可進行主域名服務器備份,使負載均衡 |
| 緩存域名服務器 | 無域名數據庫,有高速緩沖,其獲取解析結果耗時最短 |
| 轉發域名服務器 | 具有域名數據庫,負責非本地和緩存中無法查到的域名轉發 |
其中緩存域名服務器沒有域名數據庫,它向其他域名服務器進行域名查詢,將查詢的結果保存在緩存中的域名服務器。
(二)DNS的資源記錄類型
1、資源記錄的格式
域名數據庫中包括DNS服務器所使用的一個或多個區域文件,每個區域都有一組結構化的資源記錄,DNS的資源記錄格式為:
其中TTL通常為空,表示生存周期在授權資源記錄開始中指定,指定網絡的地址類時對于TCP/IP網絡使用IN。
2、常見的資源記錄
| A | 指明一個域名對應的IP地址(將DNS域名映射到IPv4的32位地址) |
| AAAA | 指明一個域名對應的IP地址(將DNS域名映射到IPv6的128位地址) |
| CNAME | 規范名資源記錄,也就是別名記錄,允許多個名稱對應同一個主機(常見別名記錄之前必須先創建A記錄) |
| MX | 指明郵件服務器的IP地址和優先級 |
| NS | 定義區域的授權服務器,指明域名由哪臺服務器來解析 |
| PTR | 指針,定義了區域的反向搜索,用于將一個IP地址映射為一個主機名 |
通常不需要設置NS記錄,因為域名解析是通過ISP提供的域名服務器解析的,若用戶需要自己用DNS服務器來解析自己的域名,則需創建NS記錄,并將域名服務器的IP地址告訴給ISP進行登記。
(三)域名解析
將域名解析為IP地址,也就是域名解析,域名解析分為遞歸查詢和迭代查詢兩種。
1、遞歸查詢
遞歸查詢是主要的域名查詢方式,當主機有域名解析的需求時,首先查詢本地域名服務器,如果成功,則由本地域名服務器反饋結果;如果查詢失敗,則查詢上一級域名服務器,然后由上一級域名服務器完成查詢,即通過該查詢方式,發送的域名請求只有1條。
2、迭代查詢
當主機有域名解析的需求時,和遞歸查詢一樣,也是首先查詢本地域名服務器,如果成功,由本地域名服務器反饋結果;如果查詢失敗,則本地域名服務器直接向根域名服務器發起查詢請求,然后本地域名服務器直接向頂級域名服務器發起查詢請求,依次迭代下去,直到得到結果IP,這種查詢方式發送的域名請求有多條。
3、DNS服務器在解析過程中的查詢順序
在一般情況下,DNS客戶端先查找hosts文件中的配置,然后再通過DNS查詢,具體的查找順序如下:
客戶機首先查找DNS緩存,若無法找到,則根據本機的配置確定查找HOSTS文件或者是DNS服務器。
(四)DNS安全
DNS系統的是網絡運行的前提,可以通過設置防火墻控制對DNS的訪問、避免DNS的主機信息被竊取、限制區域傳輸等方式確保DNS的安全。
另外,DNS通知是一種安全機制,即只有被通知的輔助服務器才能進行區域復制,從而防止未授權的服務器非法區域復制,它也是一種推進機制,用于輔助服務器及時更新區域的信息。
二、DHCP
(一)DHCP的基本概念
動態主機配置協議是基于BOOTP上的改進所來的主機配置協議,通過該協議,DHCP服務器為DHCP客戶端進行動態IP地址分配,即不必指明DHCP服務器的IP地址就能獲得DHCP服務。
(二)DHCP的相關端口
當需要跨越多個網段提供DHCP服務時,要通過DHCP中繼代理獲取外網IP地址,從而在DHCP客戶和服務器之間轉發DHCP消息的主機或路由器。
DHCP服務端使用UDP(用戶數據報協議)的67號端口來監聽和接收客戶請求消息,而客戶端通過UDP的68號端口接收來自DHCP服務器的消息回復,而當DHCP客戶端無法找到對應的服務器、獲取合法IP地址失敗的前提下,此時獲取的IP地址為169.254.X.X(window系統中)。
(三)DHCP的優點
通過采用DHCP分配IP地址可以合理地分配IP地址資源(超過租約或由用戶釋放的IP地址會被服務器收回,并重新分配給其它的主機)、減少網絡管理人員的工作量(由于其自動獲取服務器提供的配置參數)和減少IP地址分配出錯的可能(服務器對地址池的管理防止出錯)等等,但不能提高域名解析的速度。
(四)DHCP的工作流程
1、第一步,DHCP客戶端發送IP租用請求(發送一個DHCPDISCOVER廣播消息),其封包的源地址為0.0.0.0,目標地址為255.255.255.255,即DHCP客戶端在啟動時會向網絡發出一個DHCPDISCOVER包來請求IP地址為0.0.0.0。
2、第二步,收到后,DHCP服務器提供IP租用服務,通過UDP的67號端口向DHCP客戶端回應一個DHCPOFFER信息,其中包括一個還沒被分配的有效IP地址。
3、第三步,IP租用選擇,由于同一子網中可能有多臺DHCP服務器,在一般情況下,客戶端會采用最先到達的DHCP服務器并分配IP地址,即此時不止一臺DHCP服務器收到DHCPOFFER信息,所以客戶端選擇最先到達的DHCPOFFER并發送DHCPREQUEST消息包。
4、第四步,IP租用確認,DHCP服務器向客戶端發送一個DHCPACK確認信息,其中包括IP地址、子網掩碼、默認網關、DNS服務器地址以及IP地址的租約期限(默認為8天)。
5、第五步,獲取后DHCP客戶端重新登錄(即重新聯網),直接發送包含之前分配的地址信息的DHCPREQUEST請求(依然是通過廣播方式),DHCP服務器收到請求后,若該地址可用,則返回DHCPACK信息確認,若不可用則發送DHCPNACK信息否認(此時客戶端就需從頭開始申請IP地址)。
(五)DHCP的更新租約和管理
1、DHCP的更新租約
DHCP服務器向DHCP客戶端發送的IP地址都有一個租用期限(默認為8天),在期限到達時,DHCP會收回出租的IP地址,若想延長租約則需更新IP租約,而若沒有延長租約從而超過租約期限或由用戶自己釋放的IP地址會被DHCP服務器收回,并重新分配給其它的主機。
在DHCP客戶端啟動時和IP租約期過一半(50%)時,DHCP客戶端會自動向DHCP服務器發送更新IP租約的信息,若沒有響應,則在IP的使用時間到達租約期的87.5%時會再次請求更新。
2、DHCP的管理
通過使用DHCP可將所有獲取IP地址的主機劃分為不同的類別進行管理,對于頻繁變化的、使用遠程訪問的筆記本和移動設備則需提供較短的租約時間,例如移動用戶適合劃分到租約期較短的類別,固定用戶適合劃分到租約期較長的類別,遠程訪問用戶適合劃分到默認路由類別,服務器適合劃分到固定IP地址的類別。
三、FTP和TFTP
(一)FTP的基本概念和相關端口
文件傳輸協議,用于在Internet上控制文件的傳輸,FTP的默認傳輸層端口號為21號,其中通過TCP(傳輸控制協議)的20號端口建立的連接是數據連接,通過TCP的21號端口建立的連接是控制連接,若客戶端應用進程的命令端口為N,則數據傳輸端口為N+1(N≥1024)。
(二)FTP的工作方式
FTP有兩種工作方式,分為主動式和被動式。
1、主動式
當需要傳輸數據時,客戶端從一個任意的非系統端口N(N≥1024)連接到FTP服務器的21號端口(控制連接),隨后開始監聽端口N+1發送FTP命令至FTP服務器,服務器會從20號數據端口向客戶端指定的N+1號端口發送連接請求,并建立一條數據鏈路來傳輸數據。
2、被動式
當需要傳輸數據時,被動式與主動式一樣,連接到FTP服務器的21號端口,隨后客戶端發送PASV命令,且服務器響應,然后服務器開啟一個任意的非系統端口Y(Y≥1024),客戶端從端口N+1連接到FTP服務器的Y號端口。
(三)TFTP
TFTP與FTP類似,相對于FTP其小而簡單,基于UDP協議,一般用于路由器、交換機、防火墻配置文件傳輸。
三、WWW和HTTP
(一)WWW的構成
WWW,即萬維網,基于URL進行定位,通過HTTP(超文本傳送)協議傳送給用戶,由HTML(超文本標記語言)進行文檔的展現。
1、URL
統一資源標識符是為萬維網上資源定位的系統,它由四個部分組成:
<協議>://表示使用的哪種協議來獲取文檔,比如http、https、ftp等等;主機表示資源主機的域名,端口表示主機服務端口(有時候可省略),路徑表示資源在主機中的具體位置(有時候可省略)。
2、HTTP
HTTP是一種網絡傳輸協議,所有的 WWW 文件都必須遵守這個標準。
3、HTML
HTML語言用于描述網頁文檔,WWW采用客戶機/服務器(C/S)的工作模式,首先用戶使用瀏覽器或其它程序建立客戶機與瀏覽器的連接,并發送瀏覽請求,Web服務器接收到請求后返回信息到客戶機,通信完成后關閉連接。
(二)HTTP
1、HTTP協議的相關端口
HTTP協議通過使用TCP的80號端口提供服務,它工作在客戶機/服務器(C/S)的模式下,客戶端發起一個到服務器上指定端口(默認端口為80)的HTTP請求,收到請求后服務器向客戶端發回響應消息,其中客戶端請求和連接端口需大于1024。
HTTP使用TCP協議的原因是,通過TCP協議提供傳輸控制,可用對數據進行順序組織且可以對錯序數據進行糾正。
2、HTTP報文
HTTP報文分為請求報文和響應報文,前者是客戶端向服務器發送的請求報文,而后者是服務器應答客戶端的報文。
常見的請求報文如下:
| GET | 讀網頁,請求讀取URL標識的信息 |
| HEAD | 讀網頁頭,請求讀取URL標識的信息首部 |
| POST | 推送網頁信息,將消息加載到指定網頁上 |
| PUT | 指明URL常見或修改資源,用于上傳資源 |
| DELETE | 刪除URL所指定的資源 |
| OPTION | 請求一些參數信息 |
| TRACE | 進行環路測試 |
| CONNECT | 用于代理服務器 |
(三)HTTPS
HTTP有很大的安全缺陷,由于其數據的明文傳送和消息完整性檢測的缺乏,所以在HTTP 的基礎上加入SSL(安全套接層協議),通過傳輸加密和身份認證,相比于HTTP,HTTPS(安全超文本傳輸協議)保證了傳輸過程的安全性,可防止數據在傳輸過程中被竊取、改變,確保數據的完整性。
HTTPS使用SSL對信息內容進行加密,使用TCP的443端口發送和接收報文。
HTTPS的安全機制工作在傳輸層,而S-HTTP的安全體制工作在應用層。
四、電子郵件協議
常見的電子郵件協議有:簡單郵件傳輸協議(SMTP)、郵局協議(POP,目前版本是POP3)和Internet郵件訪問協議(IMAP,目前版本是IMAP4)三種協議。
(一)SMTP
簡單郵件傳輸協議負責底層的郵件系統,將郵件從一臺主機發送至另一臺主機,它基于TCP協議的25號端口。
(二)POP
郵局協議是將郵件從郵件服務器中傳輸至用戶計算機的協議,它基于TCP協議的110號端口,客戶端軟件與POP3服務器建立TCP連接,由于使用了客戶端軟件,所以可看作采用C/S模式。
(三)IMAP
Internet郵件訪問協議是POP的一種替代協議,提供了郵件檢索和郵件處理的新功能,它增強了電子郵件的靈活性,它基于TCP協議的143號端口。
五、SNMP
(一)OSI定義的網絡管理
OSI定義的網絡管理有五大功能域:性能管理、配置管理、故障管理、安全管理和計費管理。
(二)CMIS/CMIP
公共管理信息服務/協議是OSI模型提供的網絡管理協議簇,CMIS定義了每個網絡組成部件提供的網絡管理服務,而CMIP是實現CMIS服務的協議。
(三)網絡管理系統
網絡管理系統主要包括四大部分:至少一個網絡管理站、多個被管代理、網管協議(如SNMP、CMIP),以及至少一個網管信息庫。一個代理由多個管理站管理,一個管理進程可以聯系多個代理,一個代理也可以給多個管理進程提供信息。
在SNMPv3中,網絡管理站和代理統一叫做SNMP實體,SNMP實體由一個SNMP引擎和一個或多個SNMP應用程序組成。
1、網絡管理站
網絡管理站位于網絡系統主干或靠近主干的工作站,是網絡管理系統的核心,駐留在網絡管理的服務器上,負責管理代理和管理信息庫,實施網絡管理功能,作為網絡管理員與網絡管理系統的接口。
2、代理
代理位于被管理設備內部,在網絡管理系統中,主機、網橋、路由器及集線器可作為被管代理工作,負責收集被管理設備的各種信息和響應管理站的命令或請求,并將其傳輸至MIB數據庫中。
3、管理信息庫(MIB)
一個虛擬數據庫,提供有關被管理網絡各類系統和設備的信息,屬于分布式數據庫。
4、網絡管理協議
網絡管理協議用于在管理站和代理之間傳遞、交互信息,比如SNMP和CMIS/SMIP。
(四)SNMP的組成
簡單網絡管理協議是一組標準,它基于UDP協議,SNMP協議實體發送請求和應答報文的默認端口號是161,SNMP代理發送陷阱報文(Trap)的默認端口號是162,由SNMP協議、管理信息庫(MIB)和管理信息結構(SMI)三項組成,它是進行網絡設備間通信的管理協議,可以進行網絡狀態監視、網絡參數設定、網絡流量統計與分析、發現網絡故障等等。
(五)SNMP PDU
SNMP規定了五個重要的協議數據單元PDU,也稱為SNMP報文,可分為從管理站到代理的SNMP報文和代理到管理站的SNMP報文。
如下表,兩種SNMP報文:
(六)SNMP版本
SNMP版本由SNMPv1、SNMPv2、SNMPv3三個版本,SNMPv1易于實現,同一團體的管理站和代理才能互相作用;SNMPv2可以實現分布和集中兩種方式的管理,它較于SNMPv1增加管理站之間的信息交換,且增加多協議支持,引入了信息模塊的概念;SNMPv3采用模塊化設計,提供安全的支持,基于用戶的安全模型。
(七)管理信息庫(MIB)
目前的管理信息庫版本為MIB-2,每個MIB-2信息包括若干個MIB變量,常見的MIB-2信息類別有:
MIB中被管對象的訪問方式有只讀、讀寫、只寫和不可訪問四種方式。
七、Telnet
Telnet即TCP/IP終端仿真協議,它是一種基于TCP協議端口號為23的虛擬終端通信協議,采用的工作方式也是C/S(客戶端/服務器)的工作方式,通過網絡虛擬終端(NVT)實現客戶端和服務器的數據傳輸,NVT代碼中包含了標準ASCII字符集和Telnet命令集,是本機終端和遠程主機之間的網絡接口,從而實現遠程登錄、遠程管理交換機和路由器等功能。
八、SSL
(一)SSL的定義
SSL(安全套接層)協議是一種可靠的、為遠程登錄會話以及其他網絡服務提供安全性的協議,,它是位于應用層和傳輸層基礎之間的安全協議,通過SSH協議闊以對所有傳輸的數據進行加密,同時防止DNS欺騙和IP欺騙,所以通過SSL協議可以實現安全網站訪問,另外它由于傳輸的數據是經過壓縮的所以可以加快傳輸的速度。
SSL工作在TCP的默認端口443,它主要包括SSL記錄協議、SSL握手協議、SSL告警協議、SSL修改密文協議等等。
(二)SSL協議的工作流程
SSL協議的工作流程可分為以下幾步:
1、發送請求信息
2、返回請求信息
3、檢查可信CA表
4、產生對稱密鑰
5、報文確認
總結
以上是生活随笔為你收集整理的(*长期更新)软考网络工程师学习笔记——Section 9 应用层的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: (*长期更新)软考网络工程师学习笔记——
- 下一篇: (*长期更新)软考网络工程师学习笔记——