什么是因特网

因特网的具体构成

端系统

所有连接到因特网的设备都称作主机或端系统端系统通过通信链路和分组交换机连接在一起，链路的传输速率以 bit/s(或bps) 度量当一台端系统向另一台端系统发送数据时，发送端系统将数据分段，并为每段加上首部字节（标识），这称为分组

分组交换机

两种最著名的类型是路由器和链路层交换机，前者用于网络核心中，后者用于接入网中

英特网服务提供商(ISP)

端系统通过**ISP(Internet Service Provider)**接入因特网，例：住在ISP、大学ISP等每个ISP自身就是一个由多台分组交换机和多段通信链路组成的网络每个ISP之间必须互联较低层的ISP通过叫高层ISP互联起来

协议

端系统、分组交换机和其他因特网部件都要运行一系列协议，这些协议控制因特网中信息的接收和发送TCP（传输控制协议）和IP（网络协议）是因特网中两个最为重要的协议，IP协议定义了在路由器和端系统之间发送和接收的分组格式。

因特网的服务描述

分布式应用程序

Web、移动智能手机和平板电脑应用程序，其中包括即时讯息、与事实道路流量信息的映射、来自云的音乐流、电影和电视流、在线社交网络、视频会议、多人游戏以及基于位置的推荐系统。运行于端系统上

套接字

与英特网相连的端系统提供了一个套接字接口，该接口规定了运行在一个端系统上的程序请求因特网基础设施向运行在另一个端系统上的特定目的地程序交付程序的方式（主流编程语言都有对应开发接口）。

什么是协议

人类行为类比图

网际协议

**协议（protocol）**定义了在两个或多个通信实体之间交换的报文的格式和顺序，以及报文发送和/或接收一条报文或其他事情所采取的动作。

网络边缘

主机（端系统）有时又被进一步划分为两类：客户机、服务器

客户通常是桌面PC、移动手机等，服务器通常作为数据中心，用于存储和发布应用程序，例如阿里云、腾讯云、华为云等。

接入网

将端系统物理连接到其边缘服务器的网络边缘路由器是端系统到任何其他远程端系统的第一台路由器

家庭接入

数字用户线（DSL）

用户的本地电话公司是它的ISP。

DSL调制器使用现有的电话线（双绞铜线）

家庭电话先同时承载了数据和传统的电话信号，它们用不同的频率进行编码

高速下行：50kHz ~ 1mHz中速上行：4kHz ~ 50kHz双向电话通道：0 ~ 4kHz 电缆

电缆因特网接入需要特殊的调制解调器，这种调制和解调器称为电缆调制解调器

电缆因特网接入的一个重要特征是共享广播媒体：由头端发送的分组想下行经每段链路到每个家庭；每个家庭发送的每个分组经上行通道向头部传输。

光纤到户（FTTH）

提供更高速的新兴技术，从本地中心局召家庭有几种竞争性的分布方案：

有源光纤网络与无源光纤网络

FTTP提供给用户不同的速率选择，当然与价格成正比。

企业（和家庭）接入：以太网和WIFI

以太网到目前为止是公司、大学和家庭网络中最为流行的接入技术

标准的组成：

一台漫游的便携机和一台有线PC一个与无线PC和家中其他无线设备通信的基站一个提供与英特网宽带接入的电缆调制解调器一台互联了基站机带有电缆调制解调器的固定PC的路由器

广域无线接入：3/4/5G 和 LTE

移动设备应用了无线基础设施（芯片），通过蜂窝网提供商运营的基站来发送和接收分组。与WIFI的不同之处在于有信号的范围仅需要位于基站的数万米之内。

物理媒介

导引型媒介

电波沿着固体媒介前进，如光缆、双绞铜线或同轴电缆

非导引型媒介

电波在空气或外层空间中传播

网络核心

分组交换

在各种网络应用中，端系统彼此交换报文，报文能够包含协议设计者需要的任何东西

存储转发传输

多数分组交换机在链路的输入端使用这种传输方式：

在交换机能够开始想输出链路传输改分组的第一个比特之前，必须接收到整个分组

通过由 N 条速率均为R、长度均为L的链路组成的路径（所以在源和目的地之间由 N - 1 台服务器），从源到目的地发送一个分组，则端时延是：

d=NLRd = N\frac{L}{R} d=NRL​

排队时延

如果到达的分组需要传输到某条链路，但发现该链路正忙于传输其他分组，该到达分组必须在输出缓存中等待，这就产生了排队时延。

路由选择

在英特网中，每个端系统具有一个称为IP地址的地址，当一个分组到达网络中的路由器时，路由器检查该分组的目的地址的IP，搜索转发表，选择适当的出链路。

电路交换

在电路交换网络中，在端系统间通信会话期间，预留了端系统间沿路径所需要的资源（缓存，链路传输速率）。在分组交换网络中，这些资源不是预留的。因此电路交换网络永远不会阻塞，分组交换网络则可能阻塞，这里引用书中一个生动形象的例子：

有两家餐馆，一家需要顾客预定，而另一家不需要预定，但不保证能安排顾客。对于需要预定的那家餐馆，我们在离开家之前必须承受先打电话预定的麻烦，但当我们到达该餐馆时，原则上我们能够立即入座并点菜。对于不需要预定的那家餐馆，我们不必麻烦地预定餐桌，但当我们到达该餐馆时，也许不得不先等待一张餐桌空闲后才能入座。

电路交换的细节这里不做深究。

网络的网络

因特网是由数以亿计的用户构成的，接入的ISP之间必须互联，才能保证信息正常传输。

年复一年，构建因特网的“网络的网络“已经演化成为一个非常复杂的结构，这里仅讨论网络结构五

网络结构五描述如今的因特网

其中，第一层ISP为全球性的，且大多由国家控制，比较熟悉的有：中国移动、中国联通与中国电信，仔细观察，内容提供商也位于第一层，这样就可以绕过第一层ISP，极大减少了因流量产生而需支付费用。谷歌是当前这样的内容提供商网络的一个突出例子，谷歌专用网络仅承载出入谷歌服务器的流量，由于许多接入的ISP仅能通过第一层ISP的传输到达，因此内容提供商也需连接第一层ISP，并定期向他们支付这些用户产生的流量的费用，总结：

减少了向顶层ISP支付的费用对其服务最终如何交付给端用户有了更多的控制

分组交换网络

时延

当分组从一个节点（主机或路由器）沿着这条路径到后继节点，该分组在沿途的每个节点经受了几种不同类型的时延。这些时延总体累加起来是节点总时延

处理时延

检查分组首部和决定将该分组导向何处所需要的时间、检查比特级别的差错等需要的时间。

排队时延

在队列中，当分组在链路上等待传输时所需要的时间

传输时延

当所有已经到达的分组被传输后，才能传输刚到达的分组。传输时延是将所有分组的比特推向链路（传输、发射）所需要的时间。

传播时延

一旦一个比特被推向链路，该比特需要向路由B传播。从该链路的起点到路由器B传播所需要的时间是传播时延。

端到端时延

假定在源主机和目的主机之间有 N-1 台路由器，并且此时网络是无阻塞的，在每台路由器和源主机上的处理时延是d_proc，每台路由器和源主机的输出速率是 R bps，每条链路的传播时延是d_prop。节点时延加起来，得到端到端时延：

dend−end=N(dproc+dtrans+dprop)d_{end-end} = N(d_{proc}+d_{trans}+d_{prop}) dend−end​=N(dproc​+dtrans​+dprop​)

端系统、应用程序和其他时延

除了处理时延、传输时延和传播时延，端系统中还有其他一些重要时延。

丢包

当到达的分组发现一个满的队列，由于没有地方存储这个分组，路由器将丢弃该分组，这种情况在直播时较容易发生，一般直播平台都会提供给主播监控丢包率的软件。

吞吐量

假设一台主机正在下载一个1080p视频到本地，我们知道这可能有几个G，在任何时间的瞬时吞吐量是主机接收到该文件的速率（bps）。如果该文件由F比特组成，主机接收到所有比特用去T秒，则文件的平均吞吐量。

协议层次及其服务模型

分层的体系结构

所有的协议组成了协议栈，越靠近底层对开发者越不透明。

应用层

协议

应用层是网络应用程序及它们的应用层协议留存的地方，包括许多协议：

HTTP：它提供了Web文档的请求和传送SMTP：它提供了电子邮件报文的传输FTP：它提供两个端系统之间的文件传送

报文

一个端系统中的应用程序使用协议与另一个端系统中的应用程序交换信息分组，我们把这种位于应用层的信息分组称为报文。

运输层

因特网的运输层在应用程序端点之间传送应用层报文。在因特网中，有两种运输协议：

TCP：向它的应用程序提供了面向连接的服务UDP：向它的应用程序提供无连接的服务

他们之间的区别在于是否安全可靠、提供流量控制、提供拥塞控制

利用其中的任何一个都能运输应用层报文，运输层的分组又称为报文段

网络层

负责将称为数据报的网络层分组从一台主机移动到另一台主机。

链路层

因特网的网络层通过源和目的地之间的一系列路由器路由数据报。为了将分组从一个节点移动到路径上的下一个节点，网络层必须依靠该链路层的服务。在每个节点，网络层将数据报下传给链路层，链路层沿着路径将数据报传递给下一个节点。在下一个节点，链路层将数据报上传给网络层。

物理层

将一个个比特从一个节点移动到下一个节点

OSI 模型

上面提及的因特网协议栈不是唯一的协议栈

由OSI模型提出两个新的层次分别为：

表示层：使通信的应用程序能够解释交换数据的含义。这些服务包括数据压缩、数据加密和数据描述（这使得应用程序不必担心在各台计算机中表示存储的内部格式不同的问题）。会话层：提供了数据交换的定界和同步功能，包括了建立检查点和恢复方案的方法。

这两个层次的服务不是必须的，应用程序开发者决定一个服务是否重要，如果该服务重要，应用程序开发者就应该在应用程序中构建该功能。

TCP/IP 四层模型

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WaSNcEAk-1650705042583)(/home/coldairance/桌面/李星龙/source/image-0422190625305.png)]

TCP/IP 体系结构不严格遵循 OSI 分层概念，应用层可能会直接使用 IP 层或者网络接口层。

由图可知，各层有条不紊的工作着。

网络安全

网络攻击

对于今天的许多机构而言，因特网已经成为与其使命密切相关的一部分了，同时也存在大量的不法分子通过各种方式攻击庞大的互联网。

网络攻击

加密

概述

加密，是以某种特殊的算法改变原有的信息数据，使得未授权的用户即使获得了已加密的信息，但因不知解密的方法，仍然无法了解信息的内容。

对称加密

对称加密是最快速、最简单的一种加密方式，加密（encryption）与解密（decryption）用的是同样的密钥（secret key）。对称加密有很多种算法，由于它效率很高，所以被广泛使用在很多加密协议的核心当中。

特点

优点：算法简单，加密解密容易，效率高，执行快。缺点：相对来说不算特别安全，只有一把钥匙，密文如果被拦截，且密钥也被劫持，那么，信息很容易被破译。

对称加密算法

DES

ES全称为Data Encryption Standard，即数据加密标准，是一种使用密钥加密的块算法，1977年被美国联邦政府的国家标准局确定为联邦资料处理标准（FIPS），并授权在非密级政府通信中使用，随后该算法在国际上广泛流传开来。

AES

AES，高级加密标准，在密码学中又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES，已经被多方分析且广为全世界所使用。

非对称加密

非对称加密算法需要两个密钥来进行加密和解密，这两个密钥是公开密钥（public key，简称公钥）和私有密钥（private key，简称私钥）。

非对称加密算法在使用时需要同时拥有公开密钥和私有密钥，公开密钥与私有密钥相对应，如果在对数据的加密过程中使用了公开密钥，那么只有使用相对应的私有密钥才能解密；反之，如果在对数据进行加密时使用了私有密钥，也只有使用与之相对应的公开密钥才能解密。

优点

安全性高。密钥分配简单。可以完成数字签名和数字鉴别。可以满足互不相识的人之间进行私人谈话时的保密性要求。

缺点

公钥密码是对大数进行操作，计算量特别浩大，速度远比不上私钥密码体制。公钥是暴露的，存在被破解的风险。

非对称加密算法

RSA

RSA 是一种目前应用非常广泛、历史也比较悠久的非对称秘钥加密技术，在1977年被麻省理工学院的罗纳德·李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）三位科学家提出，由于难于破解，RSA 是目前应用最广泛的数字加密和签名技术，比如国内的支付宝就是通过RSA算法来进行签名验证。

DSA

既 Digital Signature Algorithm，数字签名算法，他是由美国国家标准与技术研究所（NIST）与1991年提出。和 RSA 不同的是 DSA 仅能用于数字签名，不能进行数据加密解密，其安全性和RSA相当，但其性能要比RSA快。

ECDSA

Elliptic Curve Digital Signature Algorithm，椭圆曲线签名算法，是ECC（Elliptic curve cryptography，椭圆曲线密码学）和 DSA 的结合，椭圆曲线在密码学中的使用是在1985年由Neal Koblitz和Victor Miller分别独立提出的，相比于RSA算法，ECC 可以使用更小的秘钥，更高的效率，提供更高的安全保障，据称256位的ECC秘钥的安全性等同于3072位的RSA秘钥，和普通DSA相比，ECDSA在计算秘钥的过程中，部分因子使用了椭圆曲线算法。

不可逆加密

概述

不可逆加密算法的特征是加密过程中不需要使用密钥，输入明文后由系统直接经过加密算法处理成密文，这种加密后的数据是无法被解密的，只有重新输入明文，并再次经过同样不可逆的加密算法处理，得到相同的加密密文并被系统重新识别后，才能真正解密。这种加密算法通常应用于数字签名，系统登录校验。

缺点

明文过于简单可能被暴力破解。解决方法为带盐加密：

生成一个随机串(盐)，然后对盐+明文加密，盐和密文分开存储。解密时，分别找到盐和密文，对盐+明文加密，再进行比对。

非对称加密算法

MD5：由麻省理工学院的 Ronald Rivest 发明。SHA1：由美国国家标准和技术学会开发的加密散列算法。

数字签名

概述

只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同事也是对信息的发送者的真实性的一个有效证明。

消息摘要

消息摘要（message digest）是数据块的数字指纹，具有两个重要的基本属性：

如果数据的1位或者几位改变了，那么消息摘要也将改变。拥有给定消息的伪造者无法创建与原信息相同摘要的假消息。

消息摘要的一般流程为：

发送者使用不可逆加密算法对消息进行加密。发送者将加密后密文与未加密的明文、加密算法分开发送给接受者。接受者使用加密算法对明文加密，与原密文比较，一样则说明消息没有被篡改。

消息签名

如果摘要和消息同时被截获了，对消息进行修改，再重新计算摘要，就是一件很容易的事。数字签名解决了这个问题。它的一般流程为：

Alice使用私有密钥对消息摘要签名（加密）。Alice将公有密钥、签名+消息发送给Bob。Bob用公有密钥对签名校验。

如果通过了校验，则接受者可以确定以下两个事实：

原始消息没有被篡改过。该消息是由Alice签名的，她是私有密钥的持有者。

数字证书

如果签名、消息、摘要同时被陌生人截获，陌生人用他自己的签名、消息、摘要进行替换再发给你，还是会造成问题。这种确定发送者身份的问题称为“认证问题”。

解决方式：

假设陌生人和你有一个你们俩都值得信赖的共同熟人。假设陌生人亲自约见了该熟人，将包含公共密钥的磁盘交给了他。后来，你的熟人与你见面，向你保证他与该陌生人见了面，并且该陌生人确实在那家著名的软件公司工作，然后将磁盘交给你。这样一来，你的熟人就证明了陌生人身份的真实性。这个熟人就是 CA中心（电子商务中心）

总结

数字摘要解决了消息被拦截篡改的问题。数字签名解决了消息和消息摘要同时被拦截的问题。数字证书解决了发送者身份认证的问题。

面试题

为什么网络要分层？

各层之间相互独立。提高整体灵活性。符合分治法思想。越到底层对开发人员越不透明，有利于减少开发中遇到的问题。

说一下计算机网络体系结构

ISO七层模型

应用层：为计算机用户提供服务。

表示层：数据处理。

会话层：建立、管理、终止回话。

传输层：为两台主机进程之间的通信提供通用的数据传输服务。

网络层：路由和寻址。

数据链路层：管理相邻节点直接的数据通信。

物理层：利用传输介质为数据链路层提供支持。

五层体系结构

应用层：对应ISO模型的应用层、表示层、会话层。传输层。网络层。数据链路层。物理层。

TCP/IP 四层模型

应用层：对应于对应ISO模型的应用层、表示层、会话层。传输层。网际层：对应OSI模型的网络层。网络接口层：对应OSI模型的数据链路层、物理层。

什么是协议

协议(protocol)定义了在两个或多个通信实体之间交换的报文的格式和顺序，以及报文发送和/或接收一条报文或其他事情所采取的动作。

WebSocket 与 Socket的区别

Socket 是网络编程的标准接口。WebSocket泛指应用层通信协议。

常见网络攻击

SQL注入

Web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在事先定义好的未经过预处理的SQL语句上添加额外的SQL语句。

解决方式：预处理SQL语句，权限校验。

DOS攻击

制造大流量无用数据，造成通往被攻击主机的网络阻塞，使被攻击主机无法正常和外界通信。利用被攻击主机提供服务或传输协议处理重复连接的缺陷，反复高频的发出攻击性的重复服务请求，使被攻击主机无法及时处理其它正常的请求。

解决方式：定期扫描漏洞、配置防火墙、优化服务器端口、部署高防服务器。

CSRF攻击

跨站请求伪造，是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。

Tom 登陆银行，没有退出，浏览器包含了Tom在银行的身份认证信息。黑客Jerry将伪造的转账请求，包含在在帖子。Tom在银行网站保持登陆的情况下，浏览帖子。将伪造的转账请求连同身份认证信息，发送到银行网站。银行网站看到身份认证信息，以为就是Tom的合法操作，最后造成Tom资金损失。

解决方式：添加校验token 。

Xss攻击

跨站脚本攻击，利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序，攻击者可能获得用户隐私。

解决方式：对表单提交数据进行过滤。

什么是数字摘要？什么是数字签名？什么是数字证书？分别解决了什么问题？

…

加密方式有几种？常见的加密算法？

对称加密：DES、AES。非对称加密：RSA、DSA。不可逆加密：MD5、SHA1。

参考

《计算机网络 自顶向下方法》

《Java 核心技术 卷二》

http://www.cyc.xyz/%E8%AE%A1%E7%AE%97%E6%9C%BA%E5%9F%BA%E7%A1%80/%E7%BD%91%E7%BB%9C%E5%9F%BA%E7%A1%80/%E8%AE%A1%E7%AE%97%E6%9C%BA%E7%BD%91%E7%BB%9C%20-%20%E6%A6%82%E8%BF%B0

/s?id=1707212969156040996&wfr=spider&for=pc

/item/%E7%BD%91%E7%BB%9C%E6%94%BB%E5%87%BB/2412930?fr=aladdin

/item/%E6%95%B0%E5%AD%97%E7%AD%BE%E5%90%8D/212550?fr=aladdin

/item/%E5%8A%A0%E5%AF%86/752748?fr=aladdin

/item/%E5%AF%B9%E7%A7%B0%E5%8A%A0%E5%AF%86%E7%AE%97%E6%B3%95/211953?fr=aladdin

/item/%E9%9D%9E%E5%AF%B9%E7%A7%B0%E5%8A%A0%E5%AF%86/9874417?fr=aladdin

CSDN博客不再维护，移至：