当前位置：首页 > news >正文

网络安全简介

news 2025/7/20 12:12:47

网络安全：

网络安全攻击分为被动攻击和主动攻击。

1. 被动攻击：是指攻击者从网络上窃取了他人的通信内容，通常把这类的攻击称为截获，被动攻击只要有2种形式：消息内容泄漏攻击和流量分析攻击。由于攻击者没有修改数据，使得这种攻击很难被检测到。

2. 主动攻击：直接对现有的数据和服务造成影响，常见的主动攻击类型包括：

1. 篡改：攻击者故意篡改网络上发送的报文，升值把完全伪造的报文发送给接收服务器。
2. 恶意程序：恶意程序种类法躲，包括：计算机病毒，蠕虫，木马，流氓软件
3. 拒绝服务Dos：攻击者向服务器不停地发送报文，使服务器无法提供正常的服务。

DNS劫持：

DNS劫持即域名劫持，通过将原域名对应的iP地址进行替换，从而是用户访问到错误的网站，使用户无法访问正确的网站。

预防：

1.直接通过IP访问

2.域名劫持只能在特定的网络范围，所以直接配置公用的DNS服务器：8.8.8.8

CSRF：跨站请求伪造，挟持用户在当前已登录的web应用程序上执行非本意的操作的来进行攻击。

预防：

1.检查referer字段：referer字段只能是同一个服务器IP

2.添加校验token，检验请求中的token是否是正确的

3.敏感操作的多重认证校验：对于一些敏感操作，需要多重校验

XSS攻击：跨站脚本攻击，

预防：对输入的字段进行过滤，对于一些连接禁止跳转，限制输入长度

对称加密和非对称加密有什么区别：

1.对称加密：是指加密和解密用的是同一个秘钥，优点是运算速度较快，缺点是如何安全的将秘钥发送给另一方，常见的对称加密：DES，AES。

2.非对称加密：加密和解密使用的是不同的秘钥（公钥和私钥）。公钥和私钥是成对存在的，如果使用了公钥进行加密，那么必须使用对应的私钥进行解密。常见的非对称加密算法：RSA。

AES和DES比较；https://md5.cn

DES：美国加密标准，只有64位

AES：高级加密标准。能对128,192,256在内的各种长度文本加密，

http，https，ftp：都是在应用层

tcp/udp是在传输层

网络综合：

websocket和socket的区别：

socket具体来说是一套标准，他完成了对于TCP/IP的高度封装，屏蔽网络细节，方便开发者进行网络编程。他等于IP地址+端口+协议

websocket是一个持久化的协议，用来解决Http不支持持久化连接的问题。

GET和POST区别：

1. get请求时把请求参数放在路径上，相对于POST请求把请求参数放入Body中，post请求更安全点，并且url有长度限制，请求体对于大小没有限制。
2. get请求其实是只用于查看信息，不会改变服务器上的信息，POST可以用来改变服务器上信息。所以从数据库层面上来看，GET符合幂等性和安全性。
3. get请求时能够被缓存

URL长度本身是没有限制的，真正限制URL长度的是web浏览器。

http1.0默认的是短连接，http1.1默认是长连接，https是使用SSL/TLS加密(也是三次握手)，http2.0存在重传等问题，http3使用UDP和QUIC（quick UDP Connections）

HTTP和HTTPS区别：

1. HTTP超文本传输协议都是明文进行传输，存在安全风险。HTTPS使用的SSL/TLS安全协议，报文能够加密传输
2. HTTP连接建立相对简单只需要TCP的三次握手，而HTTPS不仅是TCP三次握手，还需要进行SSL/TLS的三次握手验证，才能进行报文加密传输
3. http端口80，HTTPS端口443，
4. https需要向CA申请数字证书，保证服务器的身份是可信的。

http协议是无状态的，

三次握手中每一次没收到报文会发生什么情况？

1.第一次握手，服务端没有抽到SYN请求报文，服务端不做任何动作。而客户端在一段时间内因为没有到服务端返回的确认报文，会在等待一段时间后再重新发送SYN报文，如果一直没有接收到服务端响应报文，会重复一直发，直到到达最大重发次数，返回建立连接失败。

2.第二次握手，客户端未收到服务端发送过来的ACK报文，会导致可会断一直发送重传，直至次数限制，服务端会一直阻塞在等待客户端给返回的ACK报文

3.第三次握手，Client 确认了：自己发送、接收正常，对方发送、接收正常；Server 确认了：自己发送、接收正常，对方发送、接收正常

网络安全简介

相关文章：

网络安全简介

【Docker】.NET Core 6.0 webapi 发布上传到Docker Desktop并启动运行访问，接口返回数据乱码解决方法

【Android Gradle 插件】自定义 Gradle 插件模块 ⑤ ( 完整总结 )

浅析现代计算机启动流程

七月论文审稿GPT第2.5和第3版：分别微调GPT3.5、Llama2 13B以扩大对GPT4的优势

Android Studio导入项目下载gradle很慢或连接超时

如何使用VSCode上运行Jupyter，详细案例过程出可视化图

Linux中有名管道和无名管道

[SWPUCTF 2021 新生赛]easyupload1.0

【Linux网络编程三】Udp套接字编程(简易版服务器)

【Rust】字符串，看这篇就够了

单片机和 ARM 的区别

JavaScript从入门到精通系列第三十一篇：详解JavaScript中的字符串和正则表达式相关的方法

23、数据结构/查找相关练习20240205

【VSTO开发-WPS】下调试

git 的基本概念

《统计学习方法：李航》笔记从原理到实现（基于python）-- 第6章逻辑斯谛回归与最大熵模型（1）6.1 逻辑斯谛回归模型

Go 中如何检查文件是否存在？可能产生竞态条件？

红日靶场1搭建渗透

ChatGPT之搭建API代理服务

日语学习-日语知识点小记-构建基础-JLPT-N4阶段（33）：にする

定时器任务——若依源码分析

TRS收益互换：跨境资本流动的金融创新工具与系统化解决方案

【OSG学习笔记】Day 16: 骨骼动画与蒙皮（osgAnimation）

Linux C语言网络编程详细入门教程：如何一步步实现TCP服务端与客户端通信

【无标题】路径问题的革命性重构：基于二维拓扑收缩色动力学模型的零点隧穿理论

解析奥地利 XARION激光超声检测系统：无膜光学麦克风 + 无耦合剂的技术协同优势及多元应用

pikachu靶场通关笔记19 SQL注入02-字符型注入(GET)

关于easyexcel动态下拉选问题处理

协议转换利器，profinet转ethercat网关的两大派系，各有千秋