首先需要回顧:TCP與UDP的區(qū)別予弧、差異鼓寺、以及應(yīng)用場景
TCP對應(yīng)的協(xié)議和UDP對應(yīng)的協(xié)議
TCP對應(yīng)的協(xié)議:
(1) FTP(21):定義了文件傳輸協(xié)議丑搔,使用21端口勾缭。常說某某計(jì)算機(jī)開了FTP服務(wù)便是啟動(dòng)了文件傳輸服務(wù)疏遏。下載文件脉课,上傳主頁,都要用到FTP服務(wù)财异。
(2) Telnet(23):(遠(yuǎn)程登陸協(xié)議)它是一種用于遠(yuǎn)程登陸的端口倘零,用戶可以以自己的身份遠(yuǎn)程連接到計(jì)算機(jī)上,通過這種端口可以提供一種基于DOS模式下的通信服務(wù)戳寸。如以前的BBS是-純字符界面的呈驶,支持BBS的服務(wù)器將23端口打開,對外提供服務(wù)疫鹊。
(3) SMTP(25):定義了簡單郵件傳送協(xié)議袖瞻,現(xiàn)在很多郵件服務(wù)器都用的是這個(gè)協(xié)議,用于發(fā)送郵件拆吆。如常見的免費(fèi)郵件服務(wù)中用的就是這個(gè)郵件服務(wù)端口聋迎,所以在電子郵件設(shè)置-中常看到有這么SMTP端口設(shè)置這個(gè)欄锈拨,服務(wù)器開放的是25號(hào)端口砌庄。
(4) POP3(110):它是和SMTP對應(yīng),POP3用于接收郵件。通常情況下娄昆,POP3協(xié)議所用的是110端口佩微。也是說,只要你有相應(yīng)的使用POP3協(xié)議的程序(例如Fo-xmail或Outlook)萌焰,就可以不以Web方式登陸進(jìn)郵箱界面哺眯,直接用郵件程序就可以收到郵件(如是163郵箱就沒有必要先進(jìn)入網(wǎng)易網(wǎng)站,再進(jìn)入自己的郵-箱來收信)扒俯。
(5)HTTP(80)協(xié)議:是從Web服務(wù)器傳輸超文本到本地瀏覽器的傳送協(xié)議奶卓。
UDP對應(yīng)的協(xié)議:
(1) DNS(53):用于域名解析服務(wù),將域名地址轉(zhuǎn)換為IP地址撼玄。DNS用的是53號(hào)端口夺姑。
(2) RIP:路由信息協(xié)議,端口520
(2) SNMP(161):簡單網(wǎng)絡(luò)管理協(xié)議掌猛,使用161號(hào)端口盏浙,是用來管理網(wǎng)絡(luò)設(shè)備的。由于網(wǎng)絡(luò)設(shè)備很多荔茬,無連接的服務(wù)就體現(xiàn)出其優(yōu)勢废膘。
(3) TFTP(69)(Trival File Transfer Protocal),簡單文件傳輸協(xié)議慕蔚,該協(xié)議在熟知端口69上使用UDP服務(wù)丐黄。
HTTP協(xié)議是TCP對應(yīng)協(xié)議之一,主要用于web超文本網(wǎng)絡(luò)訪問孔飒。
DNS是UDP隊(duì)員協(xié)議之一灌闺,主要用于域名解析
Http request的幾種類型
HTTP協(xié)議中共定義了八種方法或者叫“動(dòng)作”來表明對Request-URI指定的資源的不同操作方式,具體介紹如下:
GET:向特定的資源發(fā)出請求十偶。
【1】GET請求的數(shù)據(jù)會(huì)附在URL之后(就是把數(shù)據(jù)放置在HTTP協(xié)議頭中)菩鲜,以?分割URL和傳輸數(shù)據(jù),參數(shù)之間以&相連惦积,所以相對安全性低接校,可以直接從包頭來分析數(shù)據(jù)。且傳送的數(shù)據(jù)量較小狮崩,不能大于2KB蛛勉。注意在FORM(表單)中,Method默認(rèn)為"GET"睦柴。
POST:向指定資源提交數(shù)據(jù)進(jìn)行處理請求(例如提交表單或者上傳文件)诽凌。數(shù)據(jù)被包含在請求體中。POST請求可能會(huì)導(dǎo)致新的資源的創(chuàng)建和/或已有資源的修改坦敌。 .POST把提交的數(shù)據(jù)則放置在是HTTP包的包體中侣诵,相對安全性高痢法,且數(shù)據(jù)量一般不受限制(所以基本都用post來請求,先post json字段自證身份杜顺,然后接收回來的信息)财搁。
PUT:向指定資源位置上傳其最新內(nèi)容。
DELETE:請求服務(wù)器刪除Request-URI所標(biāo)識(shí)的資源躬络。
HEAD:請求讀取由URL所標(biāo)志的信息的首部尖奔。
OPTIONS:返回服務(wù)器針對特定資源所支持的HTTP請求方法。也可以利用向Web服務(wù)器發(fā)送'*'的請求來測試服務(wù)器的功能性穷当。
TRACE:回顯服務(wù)器收到的請求提茁,主要用于測試或診斷。
CONNECT:HTTP/1.1協(xié)議中預(yù)留給能夠?qū)⑦B接改為管道方式的代理服務(wù)器馁菜。
電腦上訪問一個(gè)網(wǎng)頁茴扁,整個(gè)過程是怎么樣的:DNS、HTTP火邓、TCP丹弱、OSPF、IP铲咨、ARP
- 瀏覽器分析連接指向的頁面URL(http://www.baidu.com)
- 瀏覽器向DNS請求www.baidu.com.的IP地址(需要了解DNS是UDP的對應(yīng)協(xié)議之一)
- 域名系統(tǒng)DNS解析出百度官網(wǎng)的服務(wù)器IP地址
- 瀏覽器與該服務(wù)器建立TCP連接(默認(rèn)端口80)(需要了解TCP三次握手連接過程)
- 瀏覽器發(fā)出HTTP請求獲取指定頁面。(需要了解HTTP與HTTPS的區(qū)別)
- 服務(wù)器通過HTTP響應(yīng)把文件對應(yīng)頁面發(fā)送給瀏覽器蜓洪。
- TCP連接釋放纤勒。
- 瀏覽器將文件進(jìn)行解析,并將web網(wǎng)頁顯示給用戶隆檀。(需要了解本地解析方式)
HTTPS要了解SSL
SSL協(xié)議及完整交互過程
SSL是Netscape公司所提出的安全保密協(xié)議摇天,在瀏覽器(如Internet Explorer、Netscape Navigator)和Web服務(wù)器(如Netscape的Netscape Enterprise Server恐仑、ColdFusion Server等等)之間構(gòu)造安全通道來進(jìn)行數(shù)據(jù)傳輸泉坐,SSL運(yùn)行在TCP/IP層之上、應(yīng)用層之下裳仆,為應(yīng)用程序提供加密數(shù)據(jù)通道腕让,它采用了RC4、MD5 以及RSA等加密算法歧斟,使用40 位的密鑰纯丸,適用于商業(yè)信息的加密。
開始加密通信之前静袖,客戶端和服務(wù)器首先必須建立連接和交換參數(shù)觉鼻,這個(gè)過程叫做握手(handshake)。
1 客戶端發(fā)出請求(ClientHello)
首先队橙,客戶端(通常是瀏覽器)先向服務(wù)器發(fā)出加密通信的請求坠陈,這被叫做ClientHello請求萨惑。在這一步,客戶端主要向服務(wù)器提供以下信息仇矾。
(1) 支持的協(xié)議版本庸蔼,比如TLS 1.0版。
(2) 一個(gè)客戶端生成的隨機(jī)數(shù)若未,稍后用于生成"對話密鑰"朱嘴。
(3) 支持的加密方法,比如RSA公鑰加密粗合。
(4) 支持的壓縮方法萍嬉。
4.2 服務(wù)器回應(yīng)(SeverHello)
服務(wù)器收到客戶端請求后,向客戶端發(fā)出回應(yīng)隙疚,這叫做SeverHello壤追。服務(wù)器的回應(yīng)包含以下內(nèi)容:
(1) 確認(rèn)使用的加密通信協(xié)議版本,比如TLS 1.0版本供屉。如果瀏覽器與服務(wù)器支持的版本不一致行冰,服務(wù)器關(guān)閉加密通信。
(2) 一個(gè)服務(wù)器生成的隨機(jī)數(shù)伶丐,稍后用于生成"對話密鑰"悼做。
(3) 確認(rèn)使用的加密方法,比如RSA公鑰加密哗魂。
(4) 服務(wù)器證書肛走。(公鑰)
4.3 客戶端回應(yīng)
客戶端收到服務(wù)器回應(yīng)以后,首先驗(yàn)證服務(wù)器證書录别。如果證書不是可信機(jī)構(gòu)頒布朽色、或者證書中的域名與實(shí)際域名不一致、或者證書已經(jīng)過期组题,就會(huì)向訪問者顯示一個(gè)警告葫男,由其選擇是否還要繼續(xù)通信。
如果證書沒有問題崔列,客戶端就會(huì)從證書中取出服務(wù)器的公鑰梢褐。然后,向服務(wù)器發(fā)送下面三項(xiàng)信息峻呕。
(1) 一個(gè)隨機(jī)數(shù)利职。該隨機(jī)數(shù)用服務(wù)器公鑰加密,防止被竊聽瘦癌。
(2) 編碼改變通知猪贪,表示隨后的信息都將用雙方商定的加密方法和密鑰發(fā)送。
(3) 客戶端握手結(jié)束通知讯私,表示客戶端的握手階段已經(jīng)結(jié)束热押。這一項(xiàng)同時(shí)也是前面發(fā)送的所有內(nèi)容的hash值西傀,用來供服務(wù)器校驗(yàn)。
上面第一項(xiàng)的隨機(jī)數(shù)桶癣,是整個(gè)握手階段出現(xiàn)的第三個(gè)隨機(jī)數(shù)拥褂,又稱"pre-master key"。有了它以后牙寞,客戶端和服務(wù)器就同時(shí)有了三個(gè)隨機(jī)數(shù)饺鹃,接著雙方就用事先商定的加密方法,各自生成本次會(huì)話所用的同一把"會(huì)話密鑰"间雀。(會(huì)話秘鑰是采用對稱加密方式悔详,而這里的公鑰是采用非對稱加密)
4 服務(wù)器的最后回應(yīng)
服務(wù)器通過私鑰解密收到客戶端的第三個(gè)隨機(jī)數(shù)pre-master key之后,計(jì)算生成本次會(huì)話所用的"會(huì)話密鑰"惹挟。然后茄螃,向客戶端最后發(fā)送下面信息。
(1)編碼改變通知连锯,表示隨后的信息都將用雙方商定的加密方法和密鑰發(fā)送归苍。
(2)服務(wù)器握手結(jié)束通知,表示服務(wù)器的握手階段已經(jīng)結(jié)束运怖。這一項(xiàng)同時(shí)也是前面發(fā)送的所有內(nèi)容的hash值拼弃,用來供客戶端校驗(yàn)。
至此摇展,整個(gè)握手階段全部結(jié)束肴敛。接下來,客戶端與服務(wù)器進(jìn)入加密通信吗购,就完全是使用普通的HTTP協(xié)議,只不過用"會(huì)話密鑰"加密內(nèi)容砸狞。
https處理的一個(gè)過程捻勉,對稱加密和非對稱加密
這里之前有面試官問過,用RSA以及AES兩個(gè)算法刀森,設(shè)計(jì)一套簡單的加密通信邏輯踱启,當(dāng)時(shí)回答的就是這個(gè)。
- SSL原理很簡單研底。當(dāng)你的瀏覽器向服務(wù)器請求一個(gè)安全的網(wǎng)頁(通常是 https://)
- 服務(wù)器就把它的證書和公匙發(fā)回來
- 瀏覽器檢查證書是不是由可以信賴的機(jī)構(gòu)頒發(fā)的埠偿,確認(rèn)證書有效和此證書是此網(wǎng)站的。
- 瀏覽器使用公鑰加密了一個(gè)隨機(jī)對稱密鑰榜晦,包括加密的URL一起發(fā)送到服務(wù)器冠蒋。
- 服務(wù)器用自己的私匙解密了你發(fā)送的鑰匙。然后用這把對稱加密的鑰匙給你請求的URL鏈接解密乾胶。
- 服務(wù)器用你發(fā)的對稱鑰匙給你請求的網(wǎng)頁加密抖剿。你也有相同的鑰匙就可以解密發(fā)回來的網(wǎng)頁了
之前那個(gè)問題朽寞,簡單說就是因?yàn)镽SA非對稱加密,公鑰是假定所有人都知道的也可以獲取斩郎,密鑰則不行脑融。
所以你我雙方通信,我有RSA公鑰無私鑰缩宜,我作為客戶端肘迎。
則先拋開證書,假定你的RSA公鑰是可信的锻煌,所以就是我先用RSA的公鑰加密一段數(shù)據(jù)(里面包含我設(shè)置的AES的密鑰)妓布,發(fā)送給你。
你拿私鑰解密炼幔,得到AES的密鑰秋茫,然后你有了AES的對稱密鑰,就可以進(jìn)行加密通信了乃秀。
原理是一樣肛著,但是要說清楚~
