網上防黑指南
減小字體
增大字體2009年04月20日 星期一 中午 12:26 Internet之普及為我們之生活帶來了很多方便。但是你可能并不知道,連接到因特網上之電腦,其系統之安全效能將會受到嚴格之考驗。如果不加防范,電腦上之重要資料、文件等信息將會完全暴露。雖然目前在網上,大多數進行惡意攻擊之人只會用幾個黑客程序亂撞亂試,但是你也可能受到具有很高電腦水準之黑客之攻擊。如果你粗心一些,他就可能悄悄地侵入你之系統。下面筆者就為大家介紹一些防范黑客之基本知識,讓大家能夠更好地保護自己。
防范針對IP地址之攻擊
現在常見之這類攻擊工具有:Nuke、Winnuke、Teardrop、Ssiping等。它們主要利用Windows95/NT下NetBIOS網絡協定之例行處理程序OOB之漏洞,將一個資料封以OOB方式,放在某個IP地址之某個開啟之端口上(通常為139、138、137、113),就可能使你之電腦突然死機。遭受此類攻擊之對象主要是采用Windows95操作系統之電腦,Windows98操作系統在這方面之防御能力已經加強。如果有人之電腦安裝之是Windows95操作系統,可以通過在注冊表/HKEY-LOCAL-MACHINE/System/CurrentControlSet/Services/VxD/MSTCP中新建字串值“BSDUrgeNT”,將此鍵值設置為“0”,并將\\Windows\\System中之Vnbt.386更名為Vnbt.bak來防范攻擊。
另外,大家還可以使用Nocrash、Antinuke、Nukenab等程序來防范攻擊。
特洛伊木馬程序之防范
“特洛伊木馬程序”技術是黑客常用之攻擊方法。它通過在你之電腦系統隱藏一個會在Windows啟動時悄悄運行之程序,采用服務器/客戶機之運行方式,從而達到在你上網時控制你之電腦之目之。黑客可以利用它竊取你之口令、瀏覽你之驅動器、修改你之文件、登錄注冊表等等。
對付此類黑客程序,我們可以采用LockDown等線上黑客監視程序加以防范,還可以配合使用Cleaner、Sudo99等工具軟件。當然,你也可以用下面介紹之一些方法手動檢查并清除相應之黑客程序:
手工檢查和清除
1.BackOrifice(BO)
檢查注冊表\\HEKY-LOCAL-MACHINE
\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices中有沒有.exe鍵值。如有,則將其刪除,并進入MS-DOS方式,將\\Windows\\System中之.exe文件刪除。
2.BackOrifice2000(BO2000)
檢查注冊表
\\HEKY-LOCAL-MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices中有沒有Umgr32.exe之鍵值,如有,則將其刪除。重新啟動電腦,并將\\Windows\\System中之Umgr32.exe刪除。
3.Netspy
檢查注冊表
\\HEKY-LOCAL-MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run中有沒有鍵值Spynotify.exe和Netspy.exe。如有將其刪除,重新啟動電腦后將\\Windows\\System中之相應文件刪除。
4.Happy99
此程序首次運行時,會在熒幕上開啟一個名為“Happynewyear1999”之窗口,顯示美麗之煙花,此時該程序就會將自身復制到Windows95/98之System目錄下,更名為Ska.exe,創建文件Ska.dll,并修改Wsock32.dll,將修改前之文件備份為Wsock32.ska,并修改注冊表。
用戶可以檢查注冊表
\\HEKY-LOCAL-MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce中有沒有鍵值Ska.exe。如有,將其刪除,并刪除\\Windows\\System中之Ska.exe和Ska.dll兩個文件,將Wsock32.ska更名為Wscok32.dll。
5.Picture
檢查Win.ini系統配置文件中“load=”是否指向一個可疑程序,清除該項。重新啟動電腦,將指向之程序刪除即可。
6.Netbus
用“Netstat-an”查看12345端口是否開啟,在注冊表相應位置中是否有可疑文件。首先清除注冊表中之Netbus之主鍵,然后重新啟動電腦,刪除可執行文件即可。
后,我還要提醒大家注意以下幾點:
1.不要輕易運行來歷不明和從網上下載之軟件。
即使通過了一般反病毒軟件之檢查也不要輕易運行。對于此類軟件,要用如Cleaner、Sudo99等專門之黑客程序清除軟件檢查。
2.保持警惕性,不要輕易相信熟人發來之E-Mail就一定沒有黑客程序,如Happy99就會自動加在E-Mail附件當中。
3.不要在聊天室內公開你之Email地址,對來歷不明之
E-Mail應立即清除。
4.不要隨便下載軟件(特別是不可靠之FTP站點)。
防范NetBIOS漏洞攻擊之五種方法
稍微懂點電腦知識之朋友都知道,NetBIOS是計算機局域網領域流行之一種傳輸方式,但你是否還知道,對于連接互聯網之機器來講,NetBIOS是一大隱患。
漏洞描述
NetBIOS(Network Basic Input Output System,網絡基本輸入輸出系統),是一種應
用程序接口(API),系統可以利用WINS服務、廣播及Lmhost文件等多種模式將NetBIOS名解析為相應IP地址,實現信息通訊,所以在局域網內部使用NetBIOS協議可以方便地實現消息通信及資源之共享。因為它占用系統資源少、傳輸效率高,尤為適于由20到200臺計算機組成之小型局域網。所以微軟之客戶機/服務器網絡系統都是基于NetBIOS之。
當安裝TCP/IP協議時,NetBIOS也被Windows作為默認設置載入,我們之計算機也具有了NetBIOS本身之開放性,139端口被打開。某些別有用心之人就利用這個功能來攻擊服務器,使管理員不能放心使用文件和打印機共享。
利用NetBIOS漏洞攻擊
1.利用軟件查找共享資源
利用NetBrute Scanner軟件掃描一段IP地址(如10.0.13.1~10.0.13.254)內之共享資源,就會掃描出默認共享。
2.用PQwak破解共享密碼
雙擊掃描到之共享文件夾,如果沒有密碼,便可直接打開。當然也可以在IE之地址欄直接輸入掃描到之帶上共享文件夾之IP地址,如“\10.0.13.191”(或帶C$,D$等查看默認共享)。如果設有共享密碼,會要求輸入共享用戶名和密碼,這時可利用破解網絡鄰居密碼之工具軟件,如PQwak,破解后即可進入相應文件夾。
關閉NetBIOS漏洞
發現機器被人改動,作為管理員之我氣壞了。經過仔細研究,終于找出了關閉NetBIOS協議解決辦法。
1.解開文件和打印機共享綁定
鼠標右擊桌面上[網絡鄰居]→[屬性]→[本地連接]→[屬性],去掉“Microsoft網絡之文件和打印機共享”前面之勾,解開文件和打印機共享綁定。這樣就會禁止所有從139和445端口來之請求,別人也就看不到本機之共享了。
2.利用TCP/IP篩選
鼠標右擊桌面上[網絡鄰居]→[屬性]→[本地連接]→[屬性],打開“本地連接屬性”對話框。選擇[Internet協議(TCP/IP)]→[屬性]→[高級]→[選項],在列表中單擊選中“TCP/IP篩選”選項。單擊[屬性]按鈕,選擇“只允許”,再單擊[添加]按鈕,填入除了139和445之外要用到之端口。這樣別人使用掃描器對139和445兩個端口進行掃描時,將不會有任何回應。
3.使用IPSec安全策略阻止對端口139和445之訪問
選擇[我之電腦]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略,在本地機器],在這里定義一條阻止任何IP地址從TCP139和TCP445端口訪問IP地址之IPSec安全策略規則,這樣別人使用掃描器掃描時,本機之139和445兩個端口也不會給予任何回應。
4.停止Server服務
選擇[我之電腦]→[控制面板]→[管理工具]→[服務],進入服務管理器,關閉Server服務。這樣雖然不會關閉端口,但可以中止本機對其他機器之服務,當然也就中止了對其他機器之共享。但是關閉了該服務會導致很多相關之服務沒有法啟動,如機器中如果有IIS服務,則不能采用這種方法。
5.使用防火墻防范攻擊
在防火墻中也可以設置阻止其他機器使用本機共享。如在“天網個人防火墻”中,選擇一條空規則,設置數據方向為“接收”,對方IP地址選“任何地址”,協議設定為“TCP”,本地端口設置為“139到139”,對方端口設置為“0到0”,設置標志位為“SYN”,動作設置為“攔截”, 后單擊[確定]按鈕,并在“自定義IP規則”列表中勾選此規則即可啟動攔截139端口攻擊了。
以上五種方法你可以根據自身之具體情況選擇。關閉了共享,雖然沒有法使用共享來管理機器,但是為避免別有用心者來竊取我機器之文件或是作修改,這點損失還是值得之。
子網掩碼和ip地址之關系
子網掩碼是用來判斷任意兩臺計算機之IP地址是否屬于同一子網絡之根據。
為簡單之理解就是兩臺計算機各自之IP地址與子網掩碼進行AND運算后,如果得出之結果是相同之,則說明這兩臺計算機是處于同一個子網絡上之,可以進行直接之通訊。就這么簡單。
請看以下示例:
運算演示之一:aa I P 地址 192.168.0.1 子網掩碼 255.255.255.0 AND運算
轉化為二進制進行運算: I P 地址 11010000.10101000.00000000.00000001 子網掩碼 11111111.11111111.11111111.00000000 AND運算
11010000.10101000.00000000.00000000 轉化為十進制后為:
192.168.0.0
運算演示之二: I P 地址 192.168.0.254 子網掩碼 255.255.255.0 AND運算
轉化為二進制進行運算: I P 地址 11010000.10101000.00000000.11111110 子網掩碼 11111111.11111111.11111111.00000000 AND運算
11000000.10101000.00000000.00000000 轉化為十進制后為:
192.168.0.0
運算演示之三: I P 地址 192.168.0.4 子網掩碼 255.255.255.0 AND運算
轉化為二進制進行運算: I P 地址 11010000.10101000.00000000.00000100 子網掩碼 11111111.11111111.11111111.00000000 AND運算
11000000.10101000.00000000.00000000 轉化為十進制后為:
192.168.0.0
通過以上對三組計算機IP地址與子網掩碼之AND運算后,我們可以看到它運算結果是一樣之。均為192.168.0.0
所以計算機就會把這三臺計算機視為是同一子網絡,然后進行通訊之。我現在單位使用之代理服務器,內部網絡就是這樣規劃之。
也許你又要問,這樣之子網掩碼究竟有多少了IP地址可以用呢?你可以這樣算。 根據上面我們可以看出,局域網內部之ip地址是我們自己規定之(當然和其他之ip地址是一樣之),這個是由子網掩碼決定之通過對255.255.255.0之分析。可得出: 前三位IP碼由分配下來之數字就只能固定為192.168.0 所以就只剩下了 后之一位了,那么顯而易見了,ip地址只能有(2之8次方-1),即256-1=255一般末位為0或者是255之都有其特殊之作用。
那么你可能要問了:如果我之子網掩碼不是255.255.255.0呢?你也可以這樣做啊假設你之子網掩碼是255.255.128.0
那么你之局域網內之ip地址之前兩位肯定是固定之了(什么,為什么是固定之?你看上邊不就明白了嗎?·#¥)
這樣,你就可以按照下邊之計算來看看同一個子網內到底能有多少臺機器
1、十進制128 = 二進制1000 0000
2、IP碼要和子網掩碼進行AND運算
3、 I P 地址 00010000.01001001.1*******.******** 子網掩碼 11111111.11111111.10000000.00000000 AND運算
00010000.01001001.10000000.00000000 轉化為十進制后為:
16 . 73 . 128 . 0
4、可知我們內部網可用之IP地址為:
00010000.01001001.10000000.00000000 到 00010000.01001001.11111111.11111111
5、轉化為十進制:
16.73.128.0 到 16.73.255.255
6、0和255通常作為網絡之內部特殊用途。通常不使用。
7、于是 后之結果如下:我們單位所有可用之IP地址為: 192.168.128.1-192.168.128.254 192.168.129.1-192.168.129.254 192.168.130.1-192.168.130.254 192.168.131.1-192.168.131.254 . . . . . . . . . . . . . 192.168.139.1-192.168.139.254 192.168.140.1-192.168.140.254 192.168.141.1-192.168.141.254 192.168.142.1-192.168.142.254 192.168.143.1-192.168.143.254 . . . . . . . . . . . . . 192.168.254.1-192.168.254.254 192.168.255.1-192.168.255.254
8、總數為(255-128+1)*(254-1+1) =128 * 254 = 32512
FAINT!!!!@#!@把我們公司都買了還買不了這么多之機器呢!·¥!·#
9、看看之結果是否正確
(1)、設定IP地址為192.168.128.1
Ping 192.168.129.233通過測試
訪問http://192.168.129.233可以顯示出主頁
(2)、設定IP地址為192.168.255.254
Ping 192.168.129.233通過測試
訪問http://192.168.129.233可以顯示出主頁
10、結論
以上證明我們之結論是對之。
現在你就可以看你之子網中能有多少臺機器了
255.255.255.128 分解: 11111111.11111111.11111111.1000000 所以你之內部網絡之ip地址只能是 xxxxxxxx.xxxxxxxx.xxxxxxxx.0??????? 到 xxxxxxxx.xxxxxxxx.xxxxxxxx.01111111
OSI七層模型介紹
物理層
物理層是OSI之第一層,它雖然處于 底層,卻是整個開放系統之基礎。物理層為設備之間之數據通信提供傳輸媒體及互連設備,為數據傳輸提供可靠之環境。
媒體和互連設備 物理層之媒體括架空明線、平衡電纜、光纖、沒有線信道等。通信用之互連設備指DTE和DCE間之互連設備。DTE既數據終端設備,又稱物理設備,如計算機、終端等都括在內。而DCE則是數據通信設備或電路連接設備,如調制解調器等。數據傳輸通常是經過DTE──DCE,再經過DCE──DTE之路徑。互連設備指將DTE、DCE連接起來之裝置,如各種插頭、插座。LAN中之各種粗、細同軸電纜、T型接、插頭,接收器,發送器,中繼器等都屬物理層之媒體和連接器。 物理層之主要功能
為數據端設備提供傳送數據之通路,數據通路可以是一個物理媒體,也可以是多個物理媒體連接而成.一次完整之數據傳輸,括激活物理連接,傳送數據,終止物理連接.所謂激活,就是不管有多少物理媒體參與,都要在通信之兩個數據終端設備間連接起來,形成一條通路. 傳輸數據.物理層要形成適合數據傳輸需要之實體,為數據傳送服務.一是要保證數據能在其上正確通過,二是要提供足夠之帶寬(帶寬是指每秒鐘內能通過之比特(BIT)數),以減少信道上之擁塞.傳輸數據之方式能滿足點到點,一點到多點,串行或并行,半雙工或全雙工,同步或異步傳輸之需要. 完成物理層之一些管理工作. 物理層之一些重要標準物理層之一些標準和協議早在OSI/TC97/C16 分技術委員會成立之前就已制定并在應用了,OSI也制定了一些標準并采用了一些已有之成果.下面將一些重要之標準列出,以便讀者查閱.ISO2110:稱為"數據通信----25芯DTE/DCE接口連接器和插針分配".它與EIA(美國電子工業協會)之"RS-232-C"基本兼容。ISO2593:稱為"數據通信----34芯DTE/DCE----接口連接器和插針分配"。ISO4092:稱為"數據通信----37芯DTE/DEC----接口連接器和插針分配".與EIARS-449兼容。CCITT V.24:稱為"數據終端設備(DTE)和數據電路終接設備之間之接口電路定義表".其功能與EIARS-232-C及RS-449兼容于100序列線上. 數據鏈路層
數據鏈路可以粗略地理解為數據通道。物理層要為終端設備間之數據通信提供傳輸媒體及其連接.媒體是長期之,連接是有生存期之.在連接生存期內,收發兩端可以進行不等之一次或多次數據通信.每次通信都要經過建立通信聯絡和拆除通信聯絡兩過程.這種建立起來之數據收發關系就叫作數據鏈路.而在物理媒體上傳輸之數據難免受到各種不可靠因素之影響而產生差錯,為了彌補物理層上之不足,為上層提供沒有差錯之數據傳輸,就要能對數據進行檢錯和糾錯.數據鏈路之建立,拆除,對數據之檢錯,糾錯是數據鏈路層之基本任務。
鏈路層之主要功能鏈路層是為網絡層提供數據傳送服務之,這種服務要依靠本層具備之功能來實現。鏈路層應具備如下功能:
鏈路連接之建立,拆除,分離。 幀定界和幀同步。鏈路層之數據傳輸單元是幀,協議不同,幀之長短和界面也有差別,但沒有論如何必須對幀進行定界。 順序控制,指對幀之收發順序之控制。 差錯檢測和恢復。還有鏈路標識,流量控制等等.差錯檢測多用方陣碼校驗和循環碼校驗來檢測信道上數據之誤碼,而幀丟失等用序號檢測.各種錯誤之恢復則常靠反饋重發技術來完成。 數據鏈路層之主要協議數據鏈路層協議是為發對等實體間保持一致而制定之,也為了順利完成對網絡層之服務。主要協議如下:
ISO1745--1975:"數據通信系統之基本型控制規程".這是一種面向字符之標準,利用10個控制字符完成鏈路之建立,拆除及數據交換.對幀之收發情況及差錯恢復也是靠這些字符來完成.ISO1155, ISO1177, ISO2626, ISO2629等標準之配合使用可形成多種鏈路控制和數據傳輸方式. ISO3309--1984:稱為"HDLC 幀結構".ISO4335--1984:稱為"HDLC 規程要素 ".ISO7809--1984:稱為"HDLC 規程類型匯編".這3個標準都是為面向比特之數據傳輸控制而制定之.有人習慣上把這3個標準組合稱為高級鏈路控制規程. ISO7776:稱為"DTE數據鏈路層規程".與CCITT X.25LAB"平衡型鏈路訪問規程"相兼容. 鏈路層產品獨立之鏈路產品中 常見之當屬網卡,網橋也是鏈路產品。MODEM之某些功能有人認為屬于鏈路層,對些還有爭議.數據鏈路層將本質上不可靠之傳輸媒體變成可靠之傳輸通路提供給網絡層。在IEEE802.3情況下,數據鏈路層分成了兩個子層,一個是邏輯鏈路控制,另一個是媒體訪問控制。下圖所示為IEEE802.3LAN體系結構。
AUI=連接單元接口 PMA=物理媒體連接 MAU=媒體連接單元 PLS=物理信令 MDI=媒體相關接口 網絡層
網絡層之產生也是網絡發展之結果.在聯機系統和線路交換之環境中,網絡層之功能沒有太大意義.當數據終端增多時.它們之間有中繼設備相連.此時會出現一臺終端要求不只是與唯一之一臺而是能和多臺終端通信之情況,這就是產生了把任意兩臺數據終端設備之數據鏈接起來之問題,也就是路由或者叫尋徑.另外,當一條物理信道建立之后,被一對用戶使用,往往有許多空閑時間被浪費掉.人們自然會希望讓多對用戶共用一條鏈路,為解決這一問題就出現了邏輯信道技術和虛擬電路技術.
網絡層主要功能網絡層為建立網絡連接和為上層提供服務,應具備以下主要功能:
路由選擇和中繼 激活,終止網絡連接 在一條數據鏈路上復用多條網絡連接,多采取分時復用技術 差錯檢測與恢復 排序,流量控制 服務選擇 網絡管理 網絡層標準簡介網絡層之一些主要標準如下:
ISO.DIS8208:稱為"DTE用之X.25分組級協議" ISO.DIS8348:稱為"CO 網絡服務定義"(面向連接) ISO.DIS8349:稱為"CL 網絡服務定義"(面向沒有連接) ISO.DIS8473:稱為"CL 網絡協議" ISO.DIS8348:稱為"網絡層尋址" 除上述標準外,還有許多標準。這些標準都只是解決網絡層之部分功能,所以往往需要在網絡層中同時使用幾個標準才能完成整個網絡層之功能.由于面對之網絡不同,網絡層將會采用不同之標準組合. 在具有開放特性之網絡中之數據終端設備,都要配置網絡層之功能.現在市場上銷售之網絡硬設備主要有網關和路由器.
傳輸層
傳輸層是兩臺計算機經過網絡進行數據通信時,第一個端到端之層次,具有緩沖作用。當網絡層服務質量不能滿足要求時,它將服務加以提高,以滿足高層之要求;當網絡層服務質量較好時,它只用很少之工作。傳輸層還可進行復用,即在一個網絡連接上創建多個邏輯連接。 傳輸層也稱為運輸層.傳輸層只存在于端開放系統中,是介于低3層通信子網系統和高3層之間之一層,但是很重要之一層.因為它是源端到目之端對數據傳送進行控制從低到高之 后一層.
有一個既存事實,即世界上各種通信子網在性能上存在著很大差異.例如電話交換網,分組交換網,公用數據交換網,局域網等通信子網都可互連,但它們提供之吞吐量,傳輸速率,數據延遲通信費用各不相同.對于會話層來說,卻要求有一性能恒定之界面.傳輸層就承擔了這一功能.它采用分流/合流,復用/介復用技術來調節上述通信子網之差異,使會話層感受不到.
此外傳輸層還要具備差錯恢復,流量控制等功能,以此對會話層屏蔽通信子網在這些方面之細節與差異.傳輸層面對之數據對象已不是網絡地址和主機地址,而是和會話層之界面端口.上述功能之 終目之是為會話提供可靠之,沒有誤之數據傳輸.傳輸層之服務一般要經歷傳輸連接建立階段,數據傳送階段,傳輸連接釋放階段3個階段才算完成一個完整之服務過程.而在數據傳送階段又分為一般數據傳送和加速數據傳送兩種。傳輸層服務分成5種類型.基本可以滿足對傳送質量,傳送速度,傳送費用之各種不同需要.傳輸層之協議標準有以下幾種:
ISO8072:稱為"面向連接之傳輸服務定義" ISO8072:稱為"面向連接之傳輸協議規范" 會話層
會話層提供之服務可使應用建立和維持會話,并能使會話獲得同步。會話層使用校驗點可使通信會話在通信失效時從校驗點繼續恢復通信。這種能力對于傳送大之文件極為重要。會話層,表示層,應用層構成開放系統之高3層,面對應用進程提供分布處理,對話管理,信息表示,恢復 后之差錯等. 會話層同樣要擔負應用進程服務要求,而運輸層不能完成之那部分工作,給運輸層功能差距以彌補.主要之功能是對話管理,數據流同步和重新同步。要完成這些功能,需要由大量之服務單元功能組合,已經制定之功能單元已有幾十種.現將會話層主要功能介紹如下.
為會話實體間建立連接。為給兩個對等會話服務用戶建立一個會話連接,應該做如下幾項工作:
將會話地址映射為運輸地址 選擇需要之運輸服務質量參數(QOS) 對會話參數進行協商 識別各個會話連接 傳送有限之透明用戶數據 數據傳輸階段這個階段是在兩個會話用戶之間實現有組織之,同步之數據傳輸.用戶數據單元為SSDU,而協議數據單元為SPDU.會話用戶之間之數據傳送過程是將SSDU轉變成SPDU進行之. 連接釋放連接釋放是通過"有序釋放","廢棄","有限量透明用戶數據傳送"等功能單元來釋放會話連接之.會話層標準為了使會話連接建立階段能進行功能協商,也為了便于其它國際標準參考和引用,定義了12種功能單元.各個系統可根據自身情況和需要,以核心功能服務單元為基礎,選配其他功能單元組成合理之會話服務子集.會話層之主要標準有"DIS8236:會話服務定義"和"DIS8237:會話協議規范". 表示層
表示層之作用之一是為異種機通信提供一種公共語言,以便能進行互操作。這種類型之服務之所以需要,是因為不同之計算機體系結構使用之數據表示法不同。例如,IBM主機使用EBCDIC編碼,而大部分PC機使用之是ASCII碼。在這種情況下,便需要會話層來完成這種轉換。 通過前面之介紹,我們可以看出,會話層以下5層完成了端到端之數據傳送,并且是可靠,沒有差錯之傳送.但是數據傳送只是手段而不是目之, 終是要實現對數據之使用.由于各種系統對數據之定義并不完全相同, 易明白之例子是鍵盤,其上之某些鍵之含義在許多系統中都有差異.這自然給利用其它系統之數據造成了障礙.表示層和應用層就擔負了消除這種障礙之任務.
對于用戶數據來說,可以從兩個側面來分析,一個是數據含義被稱為語義,另一個是數據之表示形式,稱做語法.像文字,圖形,聲音,文種,壓縮,加密等都屬于語法范疇.表示層設計了3類15種功能單位,其中上下文管理功能單位就是溝通用戶間之數據編碼規則,以便雙方有一致之數據形式,能夠互相認識.ISO表示層為服務,協議,文本通信符制定了DP8822,DP8823,DIS6937/2等一系列標準.
應用層
應用層向應用程序提供服務,這些服務按其向應用程序提供之特性分成組,并稱為服務元素。有些可為多種應用程序共同使用,有些則為較少之一類應用程序使用。應用層是開放系統之 高層,是直接為應用進程提供服務之。其作用是在實現多個系統應用進程相互通信之同時,完成一系列業務處理所需之服務.其服務元素分為兩類:公共應用服務元素CASE和特定應用服務元素SASE.CASE提供 基本之服務,它成為應用層中任何用戶和任何服務元素之用戶,主要為應用進程通信,分布系統實現提供基本之控制機制.特定服務SASE則要滿足一些特定服務,如文卷傳送,訪問管理,作業傳送,銀行事務,訂單輸入等.
這些將涉及到虛擬終端,作業傳送與操作,文卷傳送及訪問管理,遠程數據庫訪問,圖形核心系統,開放系統互連管理等等.應用層之標準有DP8649"公共應用服務元素",DP8650"公共應用服務元素用協議",文件傳送,訪問和管理服務及協議.
如何選擇局域網中之通信協議
做過網絡人都知道,要實現網絡間之也很通信就必需選擇合適之通信協議,否則輕則就會造成網絡之接入速度太慢,工作不穩定,重則根本沒有法接通。今天我把我實際工作積累之此方面經驗與大家分享,希望對還在迷茫中之您所有幫助!
由于一些誤導,有很多朋友誤認為通信協議就是TCP/IP協議,只要安裝了它任何網絡都可也很連通,認為其它協議沒有用,事實上,不同之網絡協議都有其存在之必要。每一協議都有它所依賴之主要操作系統,不能隨便選取。在一個網絡中運行良好之協議,在另一個卻未必能行得通,下面就本人這么幾年來在局域網組建中選擇網絡通信協議之經驗談一談各種主流操作系統下協議之選擇與配置
防范針對IP地址之攻擊
現在常見之這類攻擊工具有:Nuke、Winnuke、Teardrop、Ssiping等。它們主要利用Windows95/NT下NetBIOS網絡協定之例行處理程序OOB之漏洞,將一個資料封以OOB方式,放在某個IP地址之某個開啟之端口上(通常為139、138、137、113),就可能使你之電腦突然死機。遭受此類攻擊之對象主要是采用Windows95操作系統之電腦,Windows98操作系統在這方面之防御能力已經加強。如果有人之電腦安裝之是Windows95操作系統,可以通過在注冊表/HKEY-LOCAL-MACHINE/System/CurrentControlSet/Services/VxD/MSTCP中新建字串值“BSDUrgeNT”,將此鍵值設置為“0”,并將\\Windows\\System中之Vnbt.386更名為Vnbt.bak來防范攻擊。
另外,大家還可以使用Nocrash、Antinuke、Nukenab等程序來防范攻擊。
特洛伊木馬程序之防范
“特洛伊木馬程序”技術是黑客常用之攻擊方法。它通過在你之電腦系統隱藏一個會在Windows啟動時悄悄運行之程序,采用服務器/客戶機之運行方式,從而達到在你上網時控制你之電腦之目之。黑客可以利用它竊取你之口令、瀏覽你之驅動器、修改你之文件、登錄注冊表等等。
對付此類黑客程序,我們可以采用LockDown等線上黑客監視程序加以防范,還可以配合使用Cleaner、Sudo99等工具軟件。當然,你也可以用下面介紹之一些方法手動檢查并清除相應之黑客程序:
手工檢查和清除
1.BackOrifice(BO)
檢查注冊表\\HEKY-LOCAL-MACHINE
\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices中有沒有.exe鍵值。如有,則將其刪除,并進入MS-DOS方式,將\\Windows\\System中之.exe文件刪除。
2.BackOrifice2000(BO2000)
檢查注冊表
\\HEKY-LOCAL-MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices中有沒有Umgr32.exe之鍵值,如有,則將其刪除。重新啟動電腦,并將\\Windows\\System中之Umgr32.exe刪除。
3.Netspy
檢查注冊表
\\HEKY-LOCAL-MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run中有沒有鍵值Spynotify.exe和Netspy.exe。如有將其刪除,重新啟動電腦后將\\Windows\\System中之相應文件刪除。
4.Happy99
此程序首次運行時,會在熒幕上開啟一個名為“Happynewyear1999”之窗口,顯示美麗之煙花,此時該程序就會將自身復制到Windows95/98之System目錄下,更名為Ska.exe,創建文件Ska.dll,并修改Wsock32.dll,將修改前之文件備份為Wsock32.ska,并修改注冊表。
用戶可以檢查注冊表
\\HEKY-LOCAL-MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce中有沒有鍵值Ska.exe。如有,將其刪除,并刪除\\Windows\\System中之Ska.exe和Ska.dll兩個文件,將Wsock32.ska更名為Wscok32.dll。
5.Picture
檢查Win.ini系統配置文件中“load=”是否指向一個可疑程序,清除該項。重新啟動電腦,將指向之程序刪除即可。
6.Netbus
用“Netstat-an”查看12345端口是否開啟,在注冊表相應位置中是否有可疑文件。首先清除注冊表中之Netbus之主鍵,然后重新啟動電腦,刪除可執行文件即可。
后,我還要提醒大家注意以下幾點:
1.不要輕易運行來歷不明和從網上下載之軟件。
即使通過了一般反病毒軟件之檢查也不要輕易運行。對于此類軟件,要用如Cleaner、Sudo99等專門之黑客程序清除軟件檢查。
2.保持警惕性,不要輕易相信熟人發來之E-Mail就一定沒有黑客程序,如Happy99就會自動加在E-Mail附件當中。
3.不要在聊天室內公開你之Email地址,對來歷不明之
E-Mail應立即清除。
4.不要隨便下載軟件(特別是不可靠之FTP站點)。
防范NetBIOS漏洞攻擊之五種方法
稍微懂點電腦知識之朋友都知道,NetBIOS是計算機局域網領域流行之一種傳輸方式,但你是否還知道,對于連接互聯網之機器來講,NetBIOS是一大隱患。
漏洞描述
NetBIOS(Network Basic Input Output System,網絡基本輸入輸出系統),是一種應
用程序接口(API),系統可以利用WINS服務、廣播及Lmhost文件等多種模式將NetBIOS名解析為相應IP地址,實現信息通訊,所以在局域網內部使用NetBIOS協議可以方便地實現消息通信及資源之共享。因為它占用系統資源少、傳輸效率高,尤為適于由20到200臺計算機組成之小型局域網。所以微軟之客戶機/服務器網絡系統都是基于NetBIOS之。
當安裝TCP/IP協議時,NetBIOS也被Windows作為默認設置載入,我們之計算機也具有了NetBIOS本身之開放性,139端口被打開。某些別有用心之人就利用這個功能來攻擊服務器,使管理員不能放心使用文件和打印機共享。
利用NetBIOS漏洞攻擊
1.利用軟件查找共享資源
利用NetBrute Scanner軟件掃描一段IP地址(如10.0.13.1~10.0.13.254)內之共享資源,就會掃描出默認共享。
2.用PQwak破解共享密碼
雙擊掃描到之共享文件夾,如果沒有密碼,便可直接打開。當然也可以在IE之地址欄直接輸入掃描到之帶上共享文件夾之IP地址,如“\10.0.13.191”(或帶C$,D$等查看默認共享)。如果設有共享密碼,會要求輸入共享用戶名和密碼,這時可利用破解網絡鄰居密碼之工具軟件,如PQwak,破解后即可進入相應文件夾。
關閉NetBIOS漏洞
發現機器被人改動,作為管理員之我氣壞了。經過仔細研究,終于找出了關閉NetBIOS協議解決辦法。
1.解開文件和打印機共享綁定
鼠標右擊桌面上[網絡鄰居]→[屬性]→[本地連接]→[屬性],去掉“Microsoft網絡之文件和打印機共享”前面之勾,解開文件和打印機共享綁定。這樣就會禁止所有從139和445端口來之請求,別人也就看不到本機之共享了。
2.利用TCP/IP篩選
鼠標右擊桌面上[網絡鄰居]→[屬性]→[本地連接]→[屬性],打開“本地連接屬性”對話框。選擇[Internet協議(TCP/IP)]→[屬性]→[高級]→[選項],在列表中單擊選中“TCP/IP篩選”選項。單擊[屬性]按鈕,選擇“只允許”,再單擊[添加]按鈕,填入除了139和445之外要用到之端口。這樣別人使用掃描器對139和445兩個端口進行掃描時,將不會有任何回應。
3.使用IPSec安全策略阻止對端口139和445之訪問
選擇[我之電腦]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略,在本地機器],在這里定義一條阻止任何IP地址從TCP139和TCP445端口訪問IP地址之IPSec安全策略規則,這樣別人使用掃描器掃描時,本機之139和445兩個端口也不會給予任何回應。
4.停止Server服務
選擇[我之電腦]→[控制面板]→[管理工具]→[服務],進入服務管理器,關閉Server服務。這樣雖然不會關閉端口,但可以中止本機對其他機器之服務,當然也就中止了對其他機器之共享。但是關閉了該服務會導致很多相關之服務沒有法啟動,如機器中如果有IIS服務,則不能采用這種方法。
5.使用防火墻防范攻擊
在防火墻中也可以設置阻止其他機器使用本機共享。如在“天網個人防火墻”中,選擇一條空規則,設置數據方向為“接收”,對方IP地址選“任何地址”,協議設定為“TCP”,本地端口設置為“139到139”,對方端口設置為“0到0”,設置標志位為“SYN”,動作設置為“攔截”, 后單擊[確定]按鈕,并在“自定義IP規則”列表中勾選此規則即可啟動攔截139端口攻擊了。
以上五種方法你可以根據自身之具體情況選擇。關閉了共享,雖然沒有法使用共享來管理機器,但是為避免別有用心者來竊取我機器之文件或是作修改,這點損失還是值得之。
子網掩碼和ip地址之關系
子網掩碼是用來判斷任意兩臺計算機之IP地址是否屬于同一子網絡之根據。
為簡單之理解就是兩臺計算機各自之IP地址與子網掩碼進行AND運算后,如果得出之結果是相同之,則說明這兩臺計算機是處于同一個子網絡上之,可以進行直接之通訊。就這么簡單。
請看以下示例:
運算演示之一:aa I P 地址 192.168.0.1 子網掩碼 255.255.255.0 AND運算
轉化為二進制進行運算: I P 地址 11010000.10101000.00000000.00000001 子網掩碼 11111111.11111111.11111111.00000000 AND運算
11010000.10101000.00000000.00000000 轉化為十進制后為:
192.168.0.0
運算演示之二: I P 地址 192.168.0.254 子網掩碼 255.255.255.0 AND運算
轉化為二進制進行運算: I P 地址 11010000.10101000.00000000.11111110 子網掩碼 11111111.11111111.11111111.00000000 AND運算
11000000.10101000.00000000.00000000 轉化為十進制后為:
192.168.0.0
運算演示之三: I P 地址 192.168.0.4 子網掩碼 255.255.255.0 AND運算
轉化為二進制進行運算: I P 地址 11010000.10101000.00000000.00000100 子網掩碼 11111111.11111111.11111111.00000000 AND運算
11000000.10101000.00000000.00000000 轉化為十進制后為:
192.168.0.0
通過以上對三組計算機IP地址與子網掩碼之AND運算后,我們可以看到它運算結果是一樣之。均為192.168.0.0
所以計算機就會把這三臺計算機視為是同一子網絡,然后進行通訊之。我現在單位使用之代理服務器,內部網絡就是這樣規劃之。
也許你又要問,這樣之子網掩碼究竟有多少了IP地址可以用呢?你可以這樣算。 根據上面我們可以看出,局域網內部之ip地址是我們自己規定之(當然和其他之ip地址是一樣之),這個是由子網掩碼決定之通過對255.255.255.0之分析。可得出: 前三位IP碼由分配下來之數字就只能固定為192.168.0 所以就只剩下了 后之一位了,那么顯而易見了,ip地址只能有(2之8次方-1),即256-1=255一般末位為0或者是255之都有其特殊之作用。
那么你可能要問了:如果我之子網掩碼不是255.255.255.0呢?你也可以這樣做啊假設你之子網掩碼是255.255.128.0
那么你之局域網內之ip地址之前兩位肯定是固定之了(什么,為什么是固定之?你看上邊不就明白了嗎?·#¥)
這樣,你就可以按照下邊之計算來看看同一個子網內到底能有多少臺機器
1、十進制128 = 二進制1000 0000
2、IP碼要和子網掩碼進行AND運算
3、 I P 地址 00010000.01001001.1*******.******** 子網掩碼 11111111.11111111.10000000.00000000 AND運算
00010000.01001001.10000000.00000000 轉化為十進制后為:
16 . 73 . 128 . 0
4、可知我們內部網可用之IP地址為:
00010000.01001001.10000000.00000000 到 00010000.01001001.11111111.11111111
5、轉化為十進制:
16.73.128.0 到 16.73.255.255
6、0和255通常作為網絡之內部特殊用途。通常不使用。
7、于是 后之結果如下:我們單位所有可用之IP地址為: 192.168.128.1-192.168.128.254 192.168.129.1-192.168.129.254 192.168.130.1-192.168.130.254 192.168.131.1-192.168.131.254 . . . . . . . . . . . . . 192.168.139.1-192.168.139.254 192.168.140.1-192.168.140.254 192.168.141.1-192.168.141.254 192.168.142.1-192.168.142.254 192.168.143.1-192.168.143.254 . . . . . . . . . . . . . 192.168.254.1-192.168.254.254 192.168.255.1-192.168.255.254
8、總數為(255-128+1)*(254-1+1) =128 * 254 = 32512
FAINT!!!!@#!@把我們公司都買了還買不了這么多之機器呢!·¥!·#
9、看看之結果是否正確
(1)、設定IP地址為192.168.128.1
Ping 192.168.129.233通過測試
訪問http://192.168.129.233可以顯示出主頁
(2)、設定IP地址為192.168.255.254
Ping 192.168.129.233通過測試
訪問http://192.168.129.233可以顯示出主頁
10、結論
以上證明我們之結論是對之。
現在你就可以看你之子網中能有多少臺機器了
255.255.255.128 分解: 11111111.11111111.11111111.1000000 所以你之內部網絡之ip地址只能是 xxxxxxxx.xxxxxxxx.xxxxxxxx.0??????? 到 xxxxxxxx.xxxxxxxx.xxxxxxxx.01111111
OSI七層模型介紹
物理層
物理層是OSI之第一層,它雖然處于 底層,卻是整個開放系統之基礎。物理層為設備之間之數據通信提供傳輸媒體及互連設備,為數據傳輸提供可靠之環境。
媒體和互連設備 物理層之媒體括架空明線、平衡電纜、光纖、沒有線信道等。通信用之互連設備指DTE和DCE間之互連設備。DTE既數據終端設備,又稱物理設備,如計算機、終端等都括在內。而DCE則是數據通信設備或電路連接設備,如調制解調器等。數據傳輸通常是經過DTE──DCE,再經過DCE──DTE之路徑。互連設備指將DTE、DCE連接起來之裝置,如各種插頭、插座。LAN中之各種粗、細同軸電纜、T型接、插頭,接收器,發送器,中繼器等都屬物理層之媒體和連接器。 物理層之主要功能
為數據端設備提供傳送數據之通路,數據通路可以是一個物理媒體,也可以是多個物理媒體連接而成.一次完整之數據傳輸,括激活物理連接,傳送數據,終止物理連接.所謂激活,就是不管有多少物理媒體參與,都要在通信之兩個數據終端設備間連接起來,形成一條通路. 傳輸數據.物理層要形成適合數據傳輸需要之實體,為數據傳送服務.一是要保證數據能在其上正確通過,二是要提供足夠之帶寬(帶寬是指每秒鐘內能通過之比特(BIT)數),以減少信道上之擁塞.傳輸數據之方式能滿足點到點,一點到多點,串行或并行,半雙工或全雙工,同步或異步傳輸之需要. 完成物理層之一些管理工作. 物理層之一些重要標準物理層之一些標準和協議早在OSI/TC97/C16 分技術委員會成立之前就已制定并在應用了,OSI也制定了一些標準并采用了一些已有之成果.下面將一些重要之標準列出,以便讀者查閱.ISO2110:稱為"數據通信----25芯DTE/DCE接口連接器和插針分配".它與EIA(美國電子工業協會)之"RS-232-C"基本兼容。ISO2593:稱為"數據通信----34芯DTE/DCE----接口連接器和插針分配"。ISO4092:稱為"數據通信----37芯DTE/DEC----接口連接器和插針分配".與EIARS-449兼容。CCITT V.24:稱為"數據終端設備(DTE)和數據電路終接設備之間之接口電路定義表".其功能與EIARS-232-C及RS-449兼容于100序列線上. 數據鏈路層
數據鏈路可以粗略地理解為數據通道。物理層要為終端設備間之數據通信提供傳輸媒體及其連接.媒體是長期之,連接是有生存期之.在連接生存期內,收發兩端可以進行不等之一次或多次數據通信.每次通信都要經過建立通信聯絡和拆除通信聯絡兩過程.這種建立起來之數據收發關系就叫作數據鏈路.而在物理媒體上傳輸之數據難免受到各種不可靠因素之影響而產生差錯,為了彌補物理層上之不足,為上層提供沒有差錯之數據傳輸,就要能對數據進行檢錯和糾錯.數據鏈路之建立,拆除,對數據之檢錯,糾錯是數據鏈路層之基本任務。
鏈路層之主要功能鏈路層是為網絡層提供數據傳送服務之,這種服務要依靠本層具備之功能來實現。鏈路層應具備如下功能:
鏈路連接之建立,拆除,分離。 幀定界和幀同步。鏈路層之數據傳輸單元是幀,協議不同,幀之長短和界面也有差別,但沒有論如何必須對幀進行定界。 順序控制,指對幀之收發順序之控制。 差錯檢測和恢復。還有鏈路標識,流量控制等等.差錯檢測多用方陣碼校驗和循環碼校驗來檢測信道上數據之誤碼,而幀丟失等用序號檢測.各種錯誤之恢復則常靠反饋重發技術來完成。 數據鏈路層之主要協議數據鏈路層協議是為發對等實體間保持一致而制定之,也為了順利完成對網絡層之服務。主要協議如下:
ISO1745--1975:"數據通信系統之基本型控制規程".這是一種面向字符之標準,利用10個控制字符完成鏈路之建立,拆除及數據交換.對幀之收發情況及差錯恢復也是靠這些字符來完成.ISO1155, ISO1177, ISO2626, ISO2629等標準之配合使用可形成多種鏈路控制和數據傳輸方式. ISO3309--1984:稱為"HDLC 幀結構".ISO4335--1984:稱為"HDLC 規程要素 ".ISO7809--1984:稱為"HDLC 規程類型匯編".這3個標準都是為面向比特之數據傳輸控制而制定之.有人習慣上把這3個標準組合稱為高級鏈路控制規程. ISO7776:稱為"DTE數據鏈路層規程".與CCITT X.25LAB"平衡型鏈路訪問規程"相兼容. 鏈路層產品獨立之鏈路產品中 常見之當屬網卡,網橋也是鏈路產品。MODEM之某些功能有人認為屬于鏈路層,對些還有爭議.數據鏈路層將本質上不可靠之傳輸媒體變成可靠之傳輸通路提供給網絡層。在IEEE802.3情況下,數據鏈路層分成了兩個子層,一個是邏輯鏈路控制,另一個是媒體訪問控制。下圖所示為IEEE802.3LAN體系結構。
AUI=連接單元接口 PMA=物理媒體連接 MAU=媒體連接單元 PLS=物理信令 MDI=媒體相關接口 網絡層
網絡層之產生也是網絡發展之結果.在聯機系統和線路交換之環境中,網絡層之功能沒有太大意義.當數據終端增多時.它們之間有中繼設備相連.此時會出現一臺終端要求不只是與唯一之一臺而是能和多臺終端通信之情況,這就是產生了把任意兩臺數據終端設備之數據鏈接起來之問題,也就是路由或者叫尋徑.另外,當一條物理信道建立之后,被一對用戶使用,往往有許多空閑時間被浪費掉.人們自然會希望讓多對用戶共用一條鏈路,為解決這一問題就出現了邏輯信道技術和虛擬電路技術.
網絡層主要功能網絡層為建立網絡連接和為上層提供服務,應具備以下主要功能:
路由選擇和中繼 激活,終止網絡連接 在一條數據鏈路上復用多條網絡連接,多采取分時復用技術 差錯檢測與恢復 排序,流量控制 服務選擇 網絡管理 網絡層標準簡介網絡層之一些主要標準如下:
ISO.DIS8208:稱為"DTE用之X.25分組級協議" ISO.DIS8348:稱為"CO 網絡服務定義"(面向連接) ISO.DIS8349:稱為"CL 網絡服務定義"(面向沒有連接) ISO.DIS8473:稱為"CL 網絡協議" ISO.DIS8348:稱為"網絡層尋址" 除上述標準外,還有許多標準。這些標準都只是解決網絡層之部分功能,所以往往需要在網絡層中同時使用幾個標準才能完成整個網絡層之功能.由于面對之網絡不同,網絡層將會采用不同之標準組合. 在具有開放特性之網絡中之數據終端設備,都要配置網絡層之功能.現在市場上銷售之網絡硬設備主要有網關和路由器.
傳輸層
傳輸層是兩臺計算機經過網絡進行數據通信時,第一個端到端之層次,具有緩沖作用。當網絡層服務質量不能滿足要求時,它將服務加以提高,以滿足高層之要求;當網絡層服務質量較好時,它只用很少之工作。傳輸層還可進行復用,即在一個網絡連接上創建多個邏輯連接。 傳輸層也稱為運輸層.傳輸層只存在于端開放系統中,是介于低3層通信子網系統和高3層之間之一層,但是很重要之一層.因為它是源端到目之端對數據傳送進行控制從低到高之 后一層.
有一個既存事實,即世界上各種通信子網在性能上存在著很大差異.例如電話交換網,分組交換網,公用數據交換網,局域網等通信子網都可互連,但它們提供之吞吐量,傳輸速率,數據延遲通信費用各不相同.對于會話層來說,卻要求有一性能恒定之界面.傳輸層就承擔了這一功能.它采用分流/合流,復用/介復用技術來調節上述通信子網之差異,使會話層感受不到.
此外傳輸層還要具備差錯恢復,流量控制等功能,以此對會話層屏蔽通信子網在這些方面之細節與差異.傳輸層面對之數據對象已不是網絡地址和主機地址,而是和會話層之界面端口.上述功能之 終目之是為會話提供可靠之,沒有誤之數據傳輸.傳輸層之服務一般要經歷傳輸連接建立階段,數據傳送階段,傳輸連接釋放階段3個階段才算完成一個完整之服務過程.而在數據傳送階段又分為一般數據傳送和加速數據傳送兩種。傳輸層服務分成5種類型.基本可以滿足對傳送質量,傳送速度,傳送費用之各種不同需要.傳輸層之協議標準有以下幾種:
ISO8072:稱為"面向連接之傳輸服務定義" ISO8072:稱為"面向連接之傳輸協議規范" 會話層
會話層提供之服務可使應用建立和維持會話,并能使會話獲得同步。會話層使用校驗點可使通信會話在通信失效時從校驗點繼續恢復通信。這種能力對于傳送大之文件極為重要。會話層,表示層,應用層構成開放系統之高3層,面對應用進程提供分布處理,對話管理,信息表示,恢復 后之差錯等. 會話層同樣要擔負應用進程服務要求,而運輸層不能完成之那部分工作,給運輸層功能差距以彌補.主要之功能是對話管理,數據流同步和重新同步。要完成這些功能,需要由大量之服務單元功能組合,已經制定之功能單元已有幾十種.現將會話層主要功能介紹如下.
為會話實體間建立連接。為給兩個對等會話服務用戶建立一個會話連接,應該做如下幾項工作:
將會話地址映射為運輸地址 選擇需要之運輸服務質量參數(QOS) 對會話參數進行協商 識別各個會話連接 傳送有限之透明用戶數據 數據傳輸階段這個階段是在兩個會話用戶之間實現有組織之,同步之數據傳輸.用戶數據單元為SSDU,而協議數據單元為SPDU.會話用戶之間之數據傳送過程是將SSDU轉變成SPDU進行之. 連接釋放連接釋放是通過"有序釋放","廢棄","有限量透明用戶數據傳送"等功能單元來釋放會話連接之.會話層標準為了使會話連接建立階段能進行功能協商,也為了便于其它國際標準參考和引用,定義了12種功能單元.各個系統可根據自身情況和需要,以核心功能服務單元為基礎,選配其他功能單元組成合理之會話服務子集.會話層之主要標準有"DIS8236:會話服務定義"和"DIS8237:會話協議規范". 表示層
表示層之作用之一是為異種機通信提供一種公共語言,以便能進行互操作。這種類型之服務之所以需要,是因為不同之計算機體系結構使用之數據表示法不同。例如,IBM主機使用EBCDIC編碼,而大部分PC機使用之是ASCII碼。在這種情況下,便需要會話層來完成這種轉換。 通過前面之介紹,我們可以看出,會話層以下5層完成了端到端之數據傳送,并且是可靠,沒有差錯之傳送.但是數據傳送只是手段而不是目之, 終是要實現對數據之使用.由于各種系統對數據之定義并不完全相同, 易明白之例子是鍵盤,其上之某些鍵之含義在許多系統中都有差異.這自然給利用其它系統之數據造成了障礙.表示層和應用層就擔負了消除這種障礙之任務.
對于用戶數據來說,可以從兩個側面來分析,一個是數據含義被稱為語義,另一個是數據之表示形式,稱做語法.像文字,圖形,聲音,文種,壓縮,加密等都屬于語法范疇.表示層設計了3類15種功能單位,其中上下文管理功能單位就是溝通用戶間之數據編碼規則,以便雙方有一致之數據形式,能夠互相認識.ISO表示層為服務,協議,文本通信符制定了DP8822,DP8823,DIS6937/2等一系列標準.
應用層
應用層向應用程序提供服務,這些服務按其向應用程序提供之特性分成組,并稱為服務元素。有些可為多種應用程序共同使用,有些則為較少之一類應用程序使用。應用層是開放系統之 高層,是直接為應用進程提供服務之。其作用是在實現多個系統應用進程相互通信之同時,完成一系列業務處理所需之服務.其服務元素分為兩類:公共應用服務元素CASE和特定應用服務元素SASE.CASE提供 基本之服務,它成為應用層中任何用戶和任何服務元素之用戶,主要為應用進程通信,分布系統實現提供基本之控制機制.特定服務SASE則要滿足一些特定服務,如文卷傳送,訪問管理,作業傳送,銀行事務,訂單輸入等.
這些將涉及到虛擬終端,作業傳送與操作,文卷傳送及訪問管理,遠程數據庫訪問,圖形核心系統,開放系統互連管理等等.應用層之標準有DP8649"公共應用服務元素",DP8650"公共應用服務元素用協議",文件傳送,訪問和管理服務及協議.
如何選擇局域網中之通信協議
做過網絡人都知道,要實現網絡間之也很通信就必需選擇合適之通信協議,否則輕則就會造成網絡之接入速度太慢,工作不穩定,重則根本沒有法接通。今天我把我實際工作積累之此方面經驗與大家分享,希望對還在迷茫中之您所有幫助!
由于一些誤導,有很多朋友誤認為通信協議就是TCP/IP協議,只要安裝了它任何網絡都可也很連通,認為其它協議沒有用,事實上,不同之網絡協議都有其存在之必要。每一協議都有它所依賴之主要操作系統,不能隨便選取。在一個網絡中運行良好之協議,在另一個卻未必能行得通,下面就本人這么幾年來在局域網組建中選擇網絡通信協議之經驗談一談各種主流操作系統下協議之選擇與配置
Tags:
作者:佚名
中查找“網上防黑指南”更多相關內容
中查找“網上防黑指南”更多相關內容- ·上一篇文章:系統文件非法利用的解決方法
- ·下一篇文章:要很好地選擇與配置協議
