1. 網(wǎng)絡(luò)協(xié)議概述

網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)上兩個(gè)或多個(gè)設(shè)備使用的一組規(guī)則，用于描述傳輸順序和數(shù)據(jù)結(jié)構(gòu)。網(wǎng)絡(luò)協(xié)議充當(dāng)數(shù)據(jù)包中信息附帶的指令。這些指令告訴接收設(shè)備如何處理數(shù)據(jù)。協(xié)議就像一種通用語言，讓世界各地的設(shè)備能夠相互通信和理解。

盡管網(wǎng)絡(luò)協(xié)議在網(wǎng)絡(luò)通信中發(fā)揮著重要作用，但安全分析師仍應(yīng)了解其相關(guān)的安全隱患。某些協(xié)議存在可被惡意攻擊者利用的漏洞。例如，惡意攻擊者可以使用將網(wǎng)址解析為 IP 地址的域名系統(tǒng) (DNS) 協(xié)議將流量從合法網(wǎng)站轉(zhuǎn)移到包含惡意軟件的惡意網(wǎng)站。

2. 網(wǎng)絡(luò)協(xié)議分為三類

網(wǎng)絡(luò)協(xié)議可分為三大類：通信協(xié)議、管理協(xié)議和安全協(xié)議。有幾十種不同的網(wǎng)絡(luò)協(xié)議，但對(duì)于入門級(jí)安全分析師來說，您不需要記住所有協(xié)議。然而，了解本文列出的協(xié)議對(duì)您來說很重要。

2.1 通信協(xié)議

通信協(xié)議控制著網(wǎng)絡(luò)傳輸中的信息交換。它們規(guī)定了數(shù)據(jù)在設(shè)備之間的傳輸方式以及通信時(shí)間。它們還包括恢復(fù)傳輸中丟失的數(shù)據(jù)的方法。以下是其中幾種。

1. 傳輸控制協(xié)議 (TCP)是一種互聯(lián)網(wǎng)通信協(xié)議，允許兩個(gè)設(shè)備建立連接并傳輸數(shù)據(jù)。TCP 使用三次握手過程。首先，設(shè)備向服務(wù)器發(fā)送同步 (SYN) 請(qǐng)求。然后，服務(wù)器以 SYN/ACK 數(shù)據(jù)包響應(yīng)以確認(rèn)收到設(shè)備的請(qǐng)求。一旦服務(wù)器收到來自設(shè)備的最終 ACK 數(shù)據(jù)包，就會(huì)建立TCP 連接。在 TCP/IP 模型中，TCP 發(fā)生在傳輸層。

2. 用戶數(shù)據(jù)報(bào)協(xié)議 (UDP)是一種無連接協(xié)議，在傳輸之前不會(huì)在設(shè)備之間建立連接。這使得它不如 TCP 可靠。但這也意味著它非常適合需要快速到達(dá)目的地的傳輸。例如，UDP 的一個(gè)用途是向本地 DNS 服務(wù)器發(fā)送 DNS 請(qǐng)求。在 TCP/IP 模型中，UDP 出現(xiàn)在傳輸層。

3. 超文本傳輸??協(xié)議 (HTTP)是一種應(yīng)用層協(xié)議，它提供了一種客戶端和網(wǎng)站服務(wù)器之間的通信方法。HTTP 使用端口 80。HTTP 被認(rèn)為是不安全的，因此大多數(shù)網(wǎng)站正在用一種稱為 HTTPS 的安全版本取代它，該版本使用 SSL/TLS 加密進(jìn)行通信。但是，仍有許多網(wǎng)站使用不安全的 HTTP 協(xié)議。在 TCP/IP 模型中，HTTP 發(fā)生在應(yīng)用層。

4. 域名系統(tǒng) (DNS)是一種將互聯(lián)網(wǎng)域名轉(zhuǎn)換為 IP 地址的協(xié)議。當(dāng)客戶端計(jì)算機(jī)希望使用其互聯(lián)網(wǎng)瀏覽器訪問網(wǎng)站域時(shí)，查詢將發(fā)送到專用 DNS 服務(wù)器。然后，DNS 服務(wù)器查找與網(wǎng)站域?qū)?yīng)的 IP 地址。DNS 通常在端口 53 上使用 UDP。但是，如果 DNS 對(duì)請(qǐng)求的回復(fù)很大，它將切換到使用 TCP 協(xié)議。在 TCP/IP 模型中，DNS 發(fā)生在應(yīng)用程序?qū)印?/p>

2.2 管理協(xié)議

下一類網(wǎng)絡(luò)協(xié)議是管理協(xié)議。管理協(xié)議用于監(jiān)控和管理網(wǎng)絡(luò)上的活動(dòng)。它們包括錯(cuò)誤報(bào)告和優(yōu)化網(wǎng)絡(luò)性能的協(xié)議。

1. 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 (SNMP)是一種用于監(jiān)控和管理網(wǎng)絡(luò)上設(shè)備的網(wǎng)絡(luò)協(xié)議。SNMP 可以重置網(wǎng)絡(luò)設(shè)備上的密碼或更改其基本配置。它還可以向網(wǎng)絡(luò)設(shè)備發(fā)送請(qǐng)求，以報(bào)告網(wǎng)絡(luò)帶寬的使用情況。在 TCP/IP 模型中，SNMP 發(fā)生在應(yīng)用層。

2. 互聯(lián)網(wǎng)控制消息協(xié)議 (ICMP)是設(shè)備用來相互通報(bào)網(wǎng)絡(luò)上數(shù)據(jù)傳輸錯(cuò)誤的互聯(lián)網(wǎng)協(xié)議。接收設(shè)備使用 ICMP 向發(fā)送設(shè)備發(fā)送有關(guān)數(shù)據(jù)傳輸?shù)膱?bào)告。ICMP 通常用作快速排除網(wǎng)絡(luò)連接和延遲故障的方法，方法是在 Linux 操作系統(tǒng)上發(fā)出“ping”命令。在 TCP/IP 模型中，ICMP 發(fā)生在互聯(lián)網(wǎng)層。

2.3 安全協(xié)議

安全協(xié)議是確保數(shù)據(jù)在網(wǎng)絡(luò)上安全發(fā)送和接收的網(wǎng)絡(luò)協(xié)議。安全協(xié)議使用加密算法來保護(hù)傳輸中的數(shù)據(jù)。以下是一些常見的安全協(xié)議。

1. 超文本傳輸??協(xié)議安全 (HTTPS)是一種網(wǎng)絡(luò)協(xié)議，它為客戶端和網(wǎng)站服務(wù)器之間的通信提供了一種安全的方法。HTTPS 是 HTTP 的安全版本，它對(duì)所有傳輸使用安全套接字層/傳輸層安全性 (SSL/TLS) 加密，以便惡意行為者無法讀取所包含的信息。HTTPS 使用端口 443。在 TCP/IP 模型中，HTTPS 發(fā)生在應(yīng)用程序?qū)印?/p>

2. 安全文件傳輸協(xié)議 (SFTP)是一種安全協(xié)議，用于通過網(wǎng)絡(luò)將文件從一臺(tái)設(shè)備傳輸?shù)搅硪慌_(tái)設(shè)備。SFTP 使用安全外殼 (SSH)，通常通過 TCP 端口 22。SSH 使用高級(jí)加密標(biāo)準(zhǔn) (AES) 和其他類型的加密來確保非預(yù)期收件人無法攔截傳輸。在 TCP/IP 模型中，SFTP 發(fā)生在應(yīng)用程序?qū)印FTP 經(jīng)常與云存儲(chǔ)一起使用。每次用戶從云存儲(chǔ)上傳或下載文件時(shí)，都會(huì)使用 SFTP 協(xié)議傳輸文件。

注意：上述加密協(xié)議不會(huì)隱藏網(wǎng)絡(luò)流量的源或目標(biāo) IP 地址。這意味著惡意行為者如果攔截網(wǎng)絡(luò)流量，仍然可以了解有關(guān)網(wǎng)絡(luò)流量的一些基本信息。

3. 其他網(wǎng)絡(luò)協(xié)議

1. 動(dòng)態(tài)主機(jī)配置協(xié)議
   動(dòng)態(tài)主機(jī)配置協(xié)議 (DHCP) 屬于管理網(wǎng)絡(luò)協(xié)議系列。DHCP 是網(wǎng)絡(luò)上用于配置設(shè)備的應(yīng)用層協(xié)議。它與路由器配合使用，為每個(gè)設(shè)備分配唯一的 IP 地址，并為每個(gè)設(shè)備提供適當(dāng)?shù)?DNS 服務(wù)器和默認(rèn)網(wǎng)關(guān)的地址。DHCP 服務(wù)器在 UDP 端口 67 上運(yùn)行，而 DHCP 客戶端在 UDP 端口 68 上運(yùn)行。

2. 地址解析協(xié)議
   到目前為止，您已經(jīng)熟悉了 IP 和 MAC 地址。您已經(jīng)了解到網(wǎng)絡(luò)上的每個(gè)設(shè)備都有一個(gè)公共 IP 地址、一個(gè)私有 IP 地址和一個(gè) MAC 地址，用于在網(wǎng)絡(luò)上標(biāo)識(shí)它。設(shè)備的 IP 地址可能會(huì)隨時(shí)間而變化，但其 MAC 地址是永久的，因?yàn)樗鼘?duì)于設(shè)備的網(wǎng)絡(luò)接口卡是唯一的。MAC 地址用于與同一網(wǎng)絡(luò)內(nèi)的設(shè)備進(jìn)行通信，但有時(shí) MAC 地址是未知的。這就是為什么需要地址解析協(xié)議 (ARP)。ARP 主要是 TCP/IP 模型中的網(wǎng)絡(luò)訪問層協(xié)議，用于將數(shù)據(jù)包中找到的 IP 地址轉(zhuǎn)換為硬件設(shè)備的 MAC 地址。
   網(wǎng)絡(luò)上的每個(gè)設(shè)備都執(zhí)行 ARP 并在 ARP 緩存中跟蹤匹配的 IP 和 MAC 地址。ARP 沒有特定的端口號(hào)，因?yàn)樗堑?2 層協(xié)議，端口號(hào)與第 7 層應(yīng)用層相關(guān)聯(lián)。

3. 遠(yuǎn)程登錄
   Telnet 是一種應(yīng)用層協(xié)議，用于連接遠(yuǎn)程系統(tǒng)。Telnet 以明文形式發(fā)送所有信息。它使用命令行提示符來控制另一個(gè)設(shè)備，類似于安全外殼 (SSH)，但 Telnet 不如 SSH 安全。Telnet 可用于連接本地或遠(yuǎn)程設(shè)備，并使用 TCP 端口 23。

4. 安全外殼
   安全外殼協(xié)議 (SSH) 用于與遠(yuǎn)程系統(tǒng)建立安全連接。此應(yīng)用層協(xié)議為安全身份驗(yàn)證和加密通信提供了替代方案。SSH 通過 TCP 端口 22 運(yùn)行，可替代安全性較低的協(xié)議（例如 Telnet）。

5. 郵局協(xié)議
   郵局協(xié)議 (POP) 是一種應(yīng)用層（TCP/IP 模型的第 4 層）協(xié)議，用于管理和檢索來自郵件服務(wù)器的電子郵件。POP3 是最常用的 POP 版本。許多組織在網(wǎng)絡(luò)上都有專用的郵件服務(wù)器，用于處理網(wǎng)絡(luò)上用戶的收發(fā)郵件。用戶設(shè)備將向遠(yuǎn)程郵件服務(wù)器發(fā)送請(qǐng)求并在本地下載電子郵件。如果您曾經(jīng)刷新過電子郵件應(yīng)用程序，并且收件箱中出現(xiàn)了新郵件，那么您就體驗(yàn)到了 POP 和互聯(lián)網(wǎng)消息訪問協(xié)議 (IMAP) 的作用。未加密的純文本身份驗(yàn)證使用 TCP/UDP 端口 110，加密電子郵件使用 TCP/UDP 端口 995 上的安全套接字層/傳輸層安全性 (SSL/TLS)。使用 POP 時(shí)，郵件必須在本地設(shè)備上完成下載后才能閱讀。下載后，郵件可能會(huì)或可能不會(huì)從郵件服務(wù)器中刪除，因此它不能保證用戶可以在多個(gè)設(shè)備上同步同一封電子郵件。

6. 互聯(lián)網(wǎng)消息訪問協(xié)議 (IMAP)
   IMAP 用于接收電子郵件。它會(huì)下載電子郵件標(biāo)題和郵件內(nèi)容。內(nèi)容也會(huì)保留在電子郵件服務(wù)器上，這樣用戶便可以從多個(gè)設(shè)備訪問電子郵件。IMAP 使用 TCP 端口 143 來接收未加密的電子郵件，并使用 TLS 協(xié)議上的 TCP 端口 993。使用 IMAP 可以讓用戶在電子郵件下載完成之前閱讀部分內(nèi)容。由于郵件保存在郵件服務(wù)器上，因此用戶可以在多個(gè)設(shè)備之間同步電子郵件。

7. 簡(jiǎn)單郵件傳輸協(xié)議
   簡(jiǎn)單郵件傳輸協(xié)議 (SMTP) 用于將電子郵件從發(fā)件人傳輸和路由到收件人的地址。SMTP 與消息傳輸代理 (MTA) 軟件配合使用，后者搜索 DNS 服務(wù)器以將電子郵件地址解析為 IP 地址，以確保電子郵件到達(dá)其預(yù)定目的地。SMTP 使用 TCP/UDP 端口 25 來發(fā)送未加密的電子郵件，使用 TLS 來發(fā)送加密的電子郵件。大量垃圾郵件通常會(huì)使用 TCP 端口 25。SMTP 通過調(diào)節(jié)源一次可以發(fā)送的電子郵件數(shù)量來幫助過濾垃圾郵件。