实验一/ipconfig
实作一
实作二
实验二/ping
实作一
实作二
实验三/tracert
实作一
实作二
实验四/ARP
实作一
实作二
实作二
实验五/DHCP
实作一
实验六/netstat
实作一
实作二
实验七/DNS
实作一
实作二
实作二
实验八/cache
实作一
实作二
总结
实验一/ipconfig
实验目的
使用 ipconfig/all
查看自己计算机的网络配置,尽可能明白每行的意思,特别注意 IP
地址、子网掩码 Subnet Mask
、网关Gateway
。
实验原理
ipconfig:显示所有当前的 TCP/IP 网络配置值,并刷新动态主机配置协议 (DHCP) 和域名系统 (DNS) 设置。 使用不带参数的 ipconfig Internet 协议第四版 (IPv4) IPv6 地址、子网掩码以及所有适配器的默认网关。
参数—/all:显示所有适配器的完整 TCP/IP 配置。 适配器可表示物理接口(例如已安装的网络适配器)或逻辑接口(如拨号连接)
实作一
主机名:本机的hostname,即计算机名,用来标识计算机在“网上邻居”的身份的,这样其他用户在网上邻居里就可以找到想要查看的计算机,然后查看他共享的资料了。可以在自己的电脑属性里自行进行设置,相关操作在右击“我的电脑”,选择“属性”,然后就可以重命名自己的计算机名了。
主DNS后缀:默认是没有的,也就是本地解析;如果此项不为空时,是会在主机名后自动添加此项所指定的后缀,这时就会通过DNS服务器来解析,也就是说DNS后缀是用来解析主机名用的,如果填上DNS后缀,在PING主机名时,DNS服务器会来解析。
节点类型:在全球因特网中,每台主机和路由的每个接口都必须有一个全球唯一的IP地址。然而,这些地址不能以随意的方式自由选择,一个接口的IP地址的组成部分需要由其所连接的子网来决定。网络设备上的接口可设为access接入,trunk中继,hybrid混合三种类型,接口设为哪一种类型取决于相应接口的用途,access用于直接接入网络终端,trunk用于网络设备之间级联,hybrid同时具备前面两种类型的特性。这与网速没有直接关系。
IP路由已启用:路由是把信息从源穿过网络传递到目的的行为,在路上,至少遇到一个中间节点。路由通常与桥接来对比,在粗心的人看来,它们似乎完成的是同样的事。它们的主要区别在于桥接发生在OSI参考协议的第二层(链接层),而路由发生在第三层(网络层)。这一区别使二者在传递信息的过程中使用不同的信息,从而以不同的方式来完成其任务。“否”表示该机未提供路由服务。
Wins代理已启用:WINS全称Windows Internet Name Service,即Windows互联网名称服务。它和DNS一样,都是用来将主机名转换成IP地址的。但在互联网解析主机名的是DNS,事实上WINS主要的是用在局域网内缓解网络风暴。
无线局域网适配器 本地连接*2:无线网卡,连wifi用的,2表示设置了两个宽带连接。
媒体状态:就是当前是否接入该网卡。
连接特定的DNS后缀:DNS服务器在解析主机名,如没有显示则无。
描述:网卡的品牌型号。
物理地址:以太网适配器(网卡)的物理地址。
DHCP已启用:DHCP是动态分配ip的协议,ip自动获取时会启用。
自动配置已启用:同DHCP。
因为我的pc机器装了vmware虚拟机(vmware里面装了ubuntu和centos),所以默认出现这两块虚拟网卡,相当于我的机器装了多块网卡,这些虚拟网卡是与我的虚拟机相连的(如果我把虚拟网卡的IP地址和虚拟机系统里的IP地址改为同一网段,那么我的真实机与我的虚拟机将能够互相访问,并且能够实现资源与文件的共享)。
VMnet8提供NAT和DHCP服务,VMnet1提供DHCP服务。vmnet8是让主机和虚拟机通讯用的,如果需要访问虚拟机上的相关网络服务,才需要vmnet8。
连接的DNS后缀:略。
描述:虚拟网卡名称。
物理地址:虚拟网卡的MAC地址。
DHCP已启用:略。
自动配置已启用:略。
本地链接 IPv6 地址:ipv6表示法的ip地址,%后面的数字是网络号的个数。
IPv4 地址:本地在局域网内的ip地址。
子网掩码:化成二进制,全面是1的表示为网络号,后面为0的表示为主机号。
获得租约的时间:此ip地址的开始使用时间。
租约过期的时间:此ip地址的到期时间。
默认网关:默认网关ip地址,意思是一台主机如果找不到可用的网管,就把数据包发给默认指定的网关,由这个网关来处理数据包。也就是你路由器的地址。
DHCP服务器:DHCP服务器地址,提供DHCP服务的电脑的IP地址。
DHCPv6 IAID:身份关联标识符 (Identity Association Identifier, IAID)。
DHCPv6客户端 DUID:DHCP 唯一标识符 (DHCP Unique Identifier, DUID)。
TCPIP 上的 NetBIOS:当安装TCP/IP协 议时,NetBIOS 也被Windows作为默认设置载入,我们的计算机也具有了NetBIOS本身的开放性。
无线局域网适配器 WLAN:无线局域网络适配器。
DNS 服务器:域名解析服务器的地址,将网址翻译成IP地址。
以太网适配器 以太网:适配器就是网卡,以太网适配器是有线网的网卡,网卡连网线用的。
实作二
我使用 ipconfig/all
查看了教室内另一位同学的计算机的网络配置,如下图所示。
由上图可以可以看出旁边的计算机的网络配置与我的IP地址、子网掩码、MAC地址、默认网关、DHCP服务器、DNS服务器都是不相同的。
✎ 问题
你的计算机和旁边的计算机是否处于同一子网,为什么?
由于我旁边的同学未使用校园网进行上网,而是使用手机热点进行连接电脑进行上网,可以发现我们的网络号不同,由此可得出我和我旁边的计算机不处于同一子网下。并且通过子网掩码也可看出二者不在同一子网。
实验二/ping
实验原理
PING
(Packet Internet Groper),因特网包探索器,用于测试网络连接量的程序 。ping
是工作在 TCP/IP 网络体系结构中应用层的一个服务命令, 主要是向特定的目的主机发送 ICMP(Internet Control Message Protocol 因特网报文控制协议)Echo 请求报文,测试目的站是否可达及了解其有关状态。
实作一
bytes(字节)值:数据包大小,也就是字节(Byte)。
time(时间)值:响应时间,这个时间越小,说明你连接这个地址速度越快。
TTL值:Time To Live,表示DNS记录在DNS服务器上存在的时间,它是IP协议包的一个值,告诉路由器该数据包何时需要被丢弃或者你可以理解成到目的地址经历了多少跳。可以通过Ping返回的TTL值大小,粗略地判断目标系统类型是Windows系列还是UNIX/Linux系列。
实作二
✎ TroubleShooting
假设你不能
ping
通某计算机或 IP,但你确定该计算机和你之间的网络是连通的,那么可能的原因是什么?该如何处理能保证ping
通?
原因:网络是连通的,但是不能ping通,可能原因是:首先,有可能输入的ip地址输入错误了,不能找到;其次,可能两者不属于同一个子网;还有可能由于对方设立了防火墙,防火墙阻止了ping连接。也有可能是因为对方设置了某种防止ping的手段,例如,对方对我们发的ping的指令保持沉默,不回复不应答。
解决办法:首先,ping 127.0.0.1
,测试自己计算机的状态,如果 OK,那么说明本机网络软件硬件工作正常,否则,问题在本机,检查本机 TCP/IP 配置即网卡状态等;其次,ping旁边的计算机,测试到旁边计算机的连通性,如果OK,那么说明本子网内部工作正常,否则,问题在本机网络出口到交换机之间,检查本机网卡到交换机的连线等;如果还是不行,南无就ping网关地址,测试到网关的连通性,如果 OK,那么说明本子网出口工作正常,否则,问题在网关,这是你无能为力的事情,报告给网管。
📬 秘籍
当你的网络出现故障不能访问某计算机如
14.215.177.39
(百度的 IP 地址之一 ) 时,我们一般可采用由近及远的连通性测试来确定问题所在。现假设你的 IP 是192.168.1.89
,你旁边计算机的 IP 是192.168.1.64
,网关的 IP 是192.168.1.1
,那么过程如下:
ping 127.0.0.1
,测试自己计算机的状态,如果 OK,那么说明本机网络软件硬件工作正常,否则,问题在本机,检查本机 TCP/IP 配置即网卡状态等ping 192.168.1.64
,测试到旁边计算机的连通性,如果OK,那么说明本子网内部工作正常,否则,问题在本机网络出口到交换机之间,检查本机网卡到交换机的连线等ping 192.168.1.1
,测试到网关的连通性,如果 OK,那么说明本子网出口工作正常,否则,问题在网关,这是你无能为力的事情,报告给网管ping 14.215.177.39
,测试到百度的连通性,如果 OK,那就 OK,否则,问题在网关以外,这也是你无能为力的事情,报告给网管或者李彦宏?
✎ TroubleShooting
假设在秘籍中进行的网络排查中,
ping
百度的 IP 即ping 14.215.177.39
没问题,但ping
百度的域名即ping www.baidu.com
不行,那么可能的原因是什么?如何进行验证和解决?另外,经常有同学问到的:“能上 QQ,但不能上网” 跟这个问题的原因是相似的。
原因:ping百度的IP可以,但是ping域名有问题,由此可以得出是相关的域名解析出现问题,即问题出现在DNS域名解析服务器,可能是DNS设置错误,域名不能解析到对应的ip。
验证和解决:可以检查下自己电脑的DNS配置是否有任何问题,没有问题的话,我们首先先清空一下DNS缓存,然后设置电脑的DNS,然后再ping,或者搜索当地的dns服务器地址,检查当前dns服务器设置是否正确; 如果还是ping不通则可联系给域名服务的服务商。而对于能上QQ,不能上网是因为QQ是不需要DNS解析域名的,DNS再怎么出问题也不会影响QQ登录。
课外浏览
ping
这个程序曾经是有 bug 的,比如使对方缓冲区溢出导致死机,或死ping
对方以达到耗费对方主机的系统和网络资源等,请查阅相关资料了解。
一般,每次向目标主机发送Ping命令测试数据包时,目标主机都需要耗费一定的系统资源进行应答回复,Ping攻击就是不断向指定的IP地址发送不接收回复的数据包,这种攻击通过发送大于65536字节的ICMP包使操作系统崩溃;通常不可能发送大于65536个字节的ICMP包,但可以把报文分割成片段,然后在目标主机上重组;最终会导致被攻击目标缓冲区溢出,直至目标主机有限系统资源被消耗殆尽。
网络中的许多病毒或黑客常常会通过上述方法来对目标主机实施Ping命令攻击,从而导致目标主机发生瘫痪故障。
实现代码 ping -l size -a IP地址 -t
实验三/tracert
实验原理
TRACERT
(Trace Route 的组合缩写),也称为路由追踪,该命令行程序可用于跟踪 Internet 协议 (IP) 数据包传送到目标地址时经过的路径。
实作一
从图中我们可以看出, 最左侧的,1,2,3,4~12,这标明在我使用的宽带上,经过12个路由节点,可以到达百度的服务。
中间这三列,单位是ms,是表示我们连接到每个路由节点的速度,返回速度和多次链接反馈的平均值。
后面的IP,就是每个路由节点对应的IP。
显示返回消息是超时,这表示这个路由节点和当前我们使用的宽带,是无法联通的。至于原因,就有很多种了。比如:特意在路上上做了过滤限制;比如确实是路由的问题等,具体问题具体分析。
实作二
✎ 问题一
tracert
能告诉我们路径上的节点以及大致的延迟等信息,那么它背后的原理是什么?本问题可结合第二部分的 Wireshark 实验进行验证。
tracert是利用增加存活时间(TTL)值来实现其功能的。每当数据包经过一个路由器,其存活时间就会减1。当其存活时间是0时,主机便取消数据包,并发送一个ICMP TTL数据包给原数据包的发出者。程序发出的首3个数据包TTL值是1,之后3个是2,如此类推,它便得到一连串数据包路径。首先发出 TTL=1 的数据包,第一个路由器将 TTL 减1得0后就不再继续转发此数据包,而是返回一个 ICMP 逾时报文,主叫方从逾时报文中即可提取出数据包所经过的第一个网关地址。然后又发出一个 TTL=2 的 ICMP 数据包,可获得第二个网关地址,依次递增 TTL 便获取了沿途所有网关地址。
与 Wireshark 实验中网络层的实作三的实验原理相同。
✎ 问题二
在以上两个实作中,如果你留意路径中的节点,你会发现无论是访问百度还是棋歌教学网,路径中的第一跳都是相同的,甚至你应该发现似乎前几个节点都是相同的,你的解释是什么?
因为你发的包要想出去的话就要先通过你所在的子网的网关,由网关将你要发的包发送到外面去。因此,只要是访问Internet就要先通过网关,所以路径中的第一跳都是相同的。
✎ 问题三
在追踪过程中,你可能会看到路径中某些节点显示为 * 号,这是发生了什么?
tracert的实现原理是多个ping的组合,如果对方开放火墙拦截ping,则无法获得该节点的时间等信息,然后就显示*,而且,很慢,就是这个原因(等待超时)
📬 秘籍
另外,提供一个全球地图,可视化的显示追踪路径也值得你前往(因为使用了 Google 地图,需要科学上网)
Visual Traceroute
实验四/ARP
实验原理
ARP(Address Resolution Protocol)即地址解析协议,是用于根据给定网络层地址即 IP 地址,查找并得到其对应的数据链路层地址即 MAC地址的协议。 ARP 协议定义在 1982 年的 RFC 826。
实作一
运行
arp -a
命令查看当前的 arp 缓存, 请留意缓存了些什么。
由上图可知,ARP缓存表中缓存了IP地址到MAC地址的映射关系。即查询了目标IP对应的MAC地址。
然后
ping
一下你旁边的计算机 IP(注意,需保证该计算机的 IP 没有出现在 arp 缓存中,或者使用arp -d *
先删除全部缓存),再次查看缓存,你会发现一些改变,请作出解释。
由于删除了ARP缓存表中的映射关系,故当重新查询时,ARP缓存表中的数据全部发生变化,本机将重新从网络中获取正确的ARP信息,达到局域网间互访和正常上网的目的。
实作二
请使用
arp /?
命令了解该命令的各种选项。
实作三
一般而言,arp 缓存里常常会有网关的缓存,并且是动态类型的。
假设当前网关的 IP 地址是
192.168.0.1
,MAC 地址是5c-d9-98-f1-89-64
,请使用arp -s 192.168.0.1 5c-d9-98-f1-89-64
命令设置其为静态类型的。
🗣 TroubleShooting
你可能会在实作三的操作中得到 “ARP 项添加失败: 请求的操作需要提升” 这样的信息,表示命令没能执行成功,你该如何解决?
权限不够,需要以管理员的身份进行操作,进入windows\system32文件夹找到cmd.exe,右键“以管理员身份运行”,然后输入相关命令即可。
✎ 问题
在实作三中,为何缓存中常常有网关的信息?
ARP在发数据包前会先发广播包,问谁是目的IP,然后得到对应的MAC地址,访问外网,你要先到网关那,也就要知道网关的MAC。
我们将网关或其它计算机的 arp 信息设置为静态有什么优缺点?
我们将网关或其他计算机的arp信息设置为静态优点是便于管理,特别是在根据ip地址限制网络流量的局域网中,以固定的ip地址或ip地址分组产生的流量为依据管理,可以免除在按用户方式计费时用户每次上网都必须进行的身份认证的繁琐过程。静态分配ip地址的缺点是合法用户分配的地址可能被非法盗用,不仅对网络的正常使用造成影响,同时由于被盗用的地址往往具有较高的权限,因而也容易给合法用户造成损失和潜在的安全隐患。
课外浏览
ARP 协议在制定之初是没有考虑安全性的,导致现在广泛提及的"网络扫描"、“内网渗透”、“中间人拦截”、“局域网流控”、"流量欺骗"等等其实都跟 ARP 欺骗有关。
那么什么是 ARP 欺骗,发生ARP 欺骗后会有什么后果,我们该如何进行防范?
ARP欺骗又叫做ARP病毒,首先我们用通俗易懂的话讲解一下其含义。两人各“情意绵绵”的恋人,通过写信进行沟通感情。它们委托一个人给两人来回间进行传递信件,就像邮局的功能。然后这位仁兄“狗粮”吃多了,心有不忿,中间把信件拆开把内容进行涂改,再密封好送回去。两人得到的都不是原来的信件,是修改过后的。最终因为言语不和而分手了,那个始作俑者还暗暗偷笑,这就是ARP欺骗。ARP欺骗则会扰乱网络设备间的正常通信。通过伪造IP地址和MAC地址实现ARP欺骗,对网络的正常传输和安全都是一个很严峻的考验。
发生ARP欺骗会使我们的主机瘫痪,或者数据丢失等问题,典型的ARP欺骗攻击有中间人攻击、广播攻击、拒绝服务攻击(DOS)、会话劫持等。
防御方法:
- 在客户端使用arp命令绑定网关的IP/MAC(例如arp -s192.168.1.1 00-e0-eb-81-81-85),在主机绑定网关MAC与IP地址为静态(默认为动态),命令:arp -s 网关IP 网关MAC
- 在交换机上做端口与MAC地址的静态绑定。
- 在路由器上做IP/MAC地址的静态绑定。
- 使用arp服务器定时广播网段内所有主机的正确IP/MAC映射表。
- 及时升级客户端的操作系统和应用程序补丁。
- 升级杀毒软件及其病毒库。
- 使用ARP防火墙
实验五/DHCP
实验原理
DHCP(Dynamic Host Configuration Protocol)即动态主机配置协议,是一个用于 IP 网络的网络协议,位于 OSI 模型的应用层,使用 UDP 协议工作,主要有两个用途:
- 用于内部网或网络服务供应商自动分配 IP 地址给用户
- 用于内部网管理员对所有电脑作中央管理
简单的说,DHCP 可以让计算机自动获取/释放网络配置。
实作一
一般地,我们自动获取的网络配置信息包括:IP 地址、子网掩码、网关 IP 以及 DNS 服务器 IP 等。使用 ipconfig/release
命令释放自动获取的网络配置,并用 ipconfig/renew
命令重新获取,了解 DHCP 工作过程和原理。
由上图可知,释放后和重新获取后,IP 地址、子网掩码、网关 IP等数据进行了重新获取。
🗣 TroubleShooting
如果你没能成功的释放,请思考有哪些可能的原因并着手进行解决?
原因:没有开启DHCP客户端服务
解决办法:在 “ 运行 ” 中输入 “ sc config DHCP start= AUTO
” 并且再次重启
✎ 问题
在Windows系统下,如果由于某种原因计算机不能获取 DHCP 服务器的配置数据,那么Windows将会根据某种算法自动配置为 169.254.x.x 这样的 IP 地址。显然,这样的 IP 以及相关的配置信息是不能让我们真正接入 Internet 的,为什么?既然不能接入 Internet,那么Winodws系统采用这样的方案有什么意义?
因为自动配置的IP地址和信息只是短暂性的解决计算机不能获取 DHCP 服务器的配置数据的问题,要真正的接入Internet还是得本身计算机的正确IP地址。
意义:计算机都采用了 DHCP 来获得网络配置。假如某天因 DHCP 服务器问题从而不能获得网络配置,那么我们可以查看隔壁教室计算机的配置信息来手动进行网络配置,从而使该计算机能够接入 Internet。
📬 秘籍
在我校不少地方如教室,计算机都采用了 DHCP 来获得网络配置。假如某天因 DHCP 服务器问题从而不能获得网络配置,那么我们可以查看隔壁教室计算机的配置信息来手动进行网络配置,从而使该计算机能够接入 Internet。
经常的,在一个固定地方的网络配置我都喜欢采用 静态/手动配置,而不是动态 DHCP 来进行。你能想到是什么原因吗?
因为 DHCP 维护的地址池是有限的,那么我可以不停的发出 DHCP 请求,从而导致 DHCP 地址耗尽,然后我自己再运行一个 DHCP 服务器来提供虚假的网络信息,特别是伪造的网关和 DNS 信息。手动配置没有自动请求分配地址的时间延迟网络连接更迅速;每台机器IP固定,更便于网络管理和使用。
实验六/netstat
实验原理
无论是使用 TCP 还是 UDP,任何一个网络服务都与特定的端口(Port Number)关联在一起。因此,每个端口都对应于某个通信协议/服务。
netstat
(Network Statistics)是在内核中访问网络连接状态及其相关信息的命令行程序,可以显示路由表、实际的网络连接和网络接口设备的状态信息,以及与 IP、TCP、UDP 和 ICMP 协议相关的统计数据,一般用于检验本机各端口的网络服务运行状况。
实作一
Windows 系统将一些常用的端口与服务记录在 C:\WINDOWS\system32\drivers\etc\services
文件中,请查看该文件了解常用的端口号分配。
常用的端口号分配图下表所示,其中0-1023为知名端口,1024-65535为动态端口。
端口 | 作用 |
---|---|
21 | FTP文件传输 |
22 | SSH 远程连接 |
23 | TELNET 远程登录 |
25 | SMTP 简单邮件传输 |
53 | DNS 域名解析 |
80 | HTTP 超文本传输,用于网页浏览 |
109 | POP3服务器开放此端口,用于接收邮件 |
443 | HTTPS 加密的超文本传输 |
3306 | MYSQL数据库 |
6379 | Redis数据库端口 |
8080 | Tomcat端口 |
8888 | Nginx代理服务器的端口 |
27017 | mongoDB数据库默认端口 |
实作二
使用 netstat -an
命令,查看计算机当前的网络连接状况。
📬 秘籍
打开的计算机端口,就是向 Internet 打开的一个通道。通过
netstat
命令,我们可以了解当前计算机哪些端口是打开的,从而找出一些恶意后台程序,分析其所作所为,并且可以进一步将相关端口关闭,降低安全风险。
其他参数使用:
-
-a 选项会列出 tcp, udp 和 unix 协议下所有套接字的所有连接。
-
-t 选项列出 TCP 协议的连接
-
-u 选项列出 UDP 协议的连接
-
默认情况下 netstat 会通过反向域名解析查找每个 IP 地址对应的主机名,会降低查找速度。n 选项可以禁用此行为,并且用户 ID 和端口号也优先使用数字显示
-
-p 选项可以查看进程信息
实验七/DNS
实验原理
DNS(Domain Name System)即域名系统,是互联网的一项服务。它作为将域名和 IP 地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS 使用 TCP 和 UDP 的 53 号端口。
实作一
Windows 系统将一些固定的/静态的 DNS 信息记录在 C:\WINDOWS\system32\drivers\etc\hosts
文件中,如我们常用的 localhost
就对应 127.0.0.1
。请查看该文件看看有什么记录在该文件中。
其中配置的有我之前学习eureka集群时的域名解析,还有一些与虚拟机相关的配置信息。
实作二
解析过的 DNS 记录将会被缓存,以利于加快解析速度。请使用 ipconfig /displaydns
命令查看。我们也可以使用 ipconfig /flushdns
命令来清除所有的 DNS 缓存。
只截取一部分展示,DNS缓存较多,不多进行展示了。
当我们清楚DNS缓存后,再进行查看,发现已经少了很多缓存数据,如下图所示。
实作三
使用 nslookup qige.io
命令,将使用默认的 DNS 服务器查询该域名。当然你也可以指定使用 CloudFlare
(1.1.1.1
)或 Google
(8.8.8.8
) 的全球 DNS 服务器来解析,如:nslookup qige.io 8.8.8.8,当然,由于你懂的原因,这不一定会得到正确的答案。
🗣 TroubleShooting
上面秘籍中我们提到了使用插件或自己修改
hosts
文件来屏蔽广告,思考一下这种方式为何能过滤广告?如果某些广告拦截失效,那么是什么原因?你应该怎样进行分析从而能够成功屏蔽它?
hosts文件通过屏蔽广告地址来屏蔽广告页面的弹出,其被用来将指定网址映射到指定ip地址,优先级比DNS高。在解析域名的时候,系统会在检查DNS之前检查hosts文件,如果有就不用请求DNS去解析这个网址了。
课外浏览
我们常说的 DNS 欺骗、DNS 劫持、DNS 毒化等都与 DNS 的安全性相关。请查阅相关资料了解其发生原因以及如何进行防范。
原因:
DNS由于早期设计上的缺陷为日后的应用埋下了安全隐患。因为过于强调对网络的适应性,采用了面向非连接的UDP协议,但UDP协议本身是不安全的。而且从体系结构上来看,DNS采用树形结构,虽然便于查询操作,但是单点故障非常明显,也使得安全威胁加剧。
另外,绝大多数DNS服务器都是基于BIND这个软件,但是BIND在提供高效服务的同时也存在着众多的安全性漏洞。这里构成严重威胁的主要有两种漏洞:一种是缓冲区溢出漏洞,如BIND4和BIND8中存在一个远程缓冲溢出缺陷,该缺陷使得攻击者可以在DNS上运行任意指令。另一种是拒绝服务漏洞,受攻击后DNS服务器不能提供正常服务,使得其所辖的子网无法正常工作。
防范:
- DNS安全增强方案
- 根域名服务器的安全管理
- DDoS 攻击的防范
- DNS 清洗服务
- DNS 服务器的冗余备份
另外考虑去一些大的 Internet 服务公司购买一个属于自己的域名,构建自己的 Internet 空间。
下面是我自己的域名
实验八/cache
实验原理
cache 即缓存,是 IT 领域一个重要的技术。我们此处提到的 cache 主要是浏览器缓存。
浏览器缓存是根据 HTTP 报文的缓存标识进行的,是性能优化中简单高效的一种优化方式了。一个优秀的缓存策略可以缩短网页请求资源的距离,减少延迟,并且由于缓存文件可以重复利用,还可以减少带宽,降低网络负荷。
实作一
打开 Chrome 或 Firefox 浏览器,访问 https://qige.io ,接下来敲 F12
键 或 Ctrl + Shift + I
组合键打开开发者工具,选择 Network
面板后刷新页面,你会在开发者工具底部看到加载该页面花费的时间。请进一步查看哪些文件被 cache了,哪些没有。
实作二
接下来仍在 Network
面板,选择 Disable cache
选项框,表明当前不使用 cache,页面数据全部来自于 Internet,刷新页面,再次在开发者工具底部查看加载该页面花费的时间。你可比对与有 cache 时的加载速度差异。
由上述2图可得,缓存能够加快我们对网页的访问速度。
📬 秘籍
你的计算机可能还在使用 XX 管家,XX 卫士之类的垃圾软件,那么它可能就会在某些时候提示你计算机的垃圾文件有多少多少,请清理(其实是它本身应该被清理!)之类的弹窗。如果你查看一下它判断的所谓垃圾文件,你会发现大多都是浏览器的缓存,而你已经明白了这些缓存文件的作用。所以,清理吗?
不用,因为该缓存可以缩短网页请求资源的距离,减少延迟,并且由于缓存文件可以重复利用,还能减少带宽,降低网络负荷。
课外浏览
刚才我们使用了浏览器的开发者工具,这个异常强大的工具也非常有助于我们学习计算机网络。请前往学习:
- Firefox开发者工具使用指南
- Chrome开发者工具使用指南
总结
通过计算机网络验证码实验的完成,我了解到了Windows中cmd的许多命令用法以及一些命令的用法,并且学习到了关于计算机网络的基础配置以及信息查看,如MAC地址、IP地址、基本网络配置等等以及他们命令相关背后的原理,通过实际的操作使其对关于一些协议如DHCP、ARP理解更加深刻。