计算机网络基础(三)
一、URL 基础结构URL统一资源定位符是用于定位互联网上资源的地址完整结构如下中括号【】内为可选部分协议// 主机名IP地址【端口号】/[路径]【查询参数】【#片段标识符】详细说明协议规定客户端与服务器之间的通信规则常见的有HTTP、HTTPS、FTP等。主机名IP地址服务器的标识主机名是域名如www.baidu.com可通过DNS解析为IP地址如180.101.49.11二者均可作为主机名使用。端口号可选用于区分服务器上的不同服务默认端口无需填写HTTP默认80端口HTTPS默认443端口非默认端口需手动指定如http://www.example.com:8080。路径指定服务器上具体资源的位置如https://www.navicat.com.cn/store/navicat-premium其中“/store/navicat-premium”即为路径。查询参数可选用于向服务器传递额外信息以“”开头多个参数用“”分隔如之前解析的?p_codeNPRE-XNCS-ESDqty10。片段标识符可选以“#”开头用于定位页面内的具体位置如网页内的锚点仅在客户端生效不会发送到服务器。二、HTTP 协议HTTP超文本传输协议是一种基于TCP/IP协议的应用层协议核心作用是实现客户端如浏览器与服务器之间的超文本文字、图片、视频等传输是互联网最基础的通信协议之一。一核心特点简单灵活协议格式简洁请求和响应报文结构清晰易于实现和扩展支持多种数据类型文本、图片、音频等。无状态协议服务器不保留客户端之前的请求信息每次请求都是相互独立的。这意味着服务器无法主动识别客户端的身份需通过Cookie、Session等技术补充状态管理如登录状态保持。明文传输客户端与服务器之间的所有数据包括账号、密码等敏感信息均以明文形式传输无任何加密处理极易被攻击者拦截、窃取和篡改这是HTTP最大的安全隐患。基于请求-响应模式由客户端主动发送请求服务器接收请求后处理并返回响应响应完成后连接断开。二HTTP 报文HTTP请求报文是客户端向服务器发送请求时传递的数据格式由4部分组成结构如下1HTTP 请求报文http GET /s?wd网络知识 HTTP/1.1 # 起始行 Host: www.baidu.com # 头部字段Host目标服务器域名 User-Agent: Chrome/114.0.0.0 # 头部字段客户端浏览器信息 Accept: text/html # 头部字段可接收的资源格式 空行分隔头部和实体主体 实体主体GET 请求无主体POST 请求存放表单数据等请求行报文的第一行包含请求方法、请求URL、HTTP版本是请求报文的核心。请求方法常见的有GET获取资源、POST提交数据、PUT修改资源、DELETE删除资源其中GET请求参数暴露在URL中POST请求参数隐藏在请求体中。示例GET /index.html HTTP/1.1表示用GET方法请求服务器上的index.html资源使用HTTP/1.1版本。请求头位于请求行之后用于传递客户端的相关信息如浏览器类型、请求时间、Cookie等格式为“键: 值”多个请求头用换行分隔。常见请求头User-Agent浏览器标识、Cookie客户端状态信息、Host目标服务器主机名、Accept客户端可接收的数据类型。空行请求头与请求体之间的空行用于分隔请求头和请求体是HTTP协议的规定格式不可省略。请求体可选主要用于POST请求存放需要提交给服务器的数据如表单数据、JSON数据GET请求无请求体。2HTTP 响应报文http HTTP/1.1 200 OK # 起始行HTTP 版本状态码状态描述 Content-Type: text/html # 头部字段响应数据格式 Content-Length: 1024 # 头部字段响应数据长度 Server: Apache # 头部字段服务器软件信息 空行分隔头部和实体主体 !DOCTYPE htmlhtml.../html # 实体主体网页 HTML 内容起始行包含 HTTP 版本、状态码、状态描述核心是状态码头部字段传递服务器信息、响应数据属性等如 Content-Type、Server空行分隔头部和实体主体实体主体服务器返回的具体资源如 HTML、图片二进制数据。三HTTP 状态码状态码是服务器对客户端请求的响应状态标识由3位数字组成分为5大类以下是最常用的3个状态码200 OK请求成功服务器已正常处理客户端的请求并返回相应的资源如网页、数据是最常见的成功状态码。404 Not Found服务器无法找到客户端请求的资源可能是URL路径错误、资源已删除是最常见的错误状态码。500 Internal Server Error服务器内部出现错误无法正常处理请求如服务器代码报错、数据库异常与客户端请求无关。302 重定向请求的资源临时跳转至其他地址403 禁止访问服务器拒绝客户端的请求无访问权限401 未授权需要登录后才能访问三、代理和VPN代理和VPN均能实现“隐藏源地址”或“跨网络访问”但核心原理、作用场景完全不同具体区别如下一代理核心是“中间服务器”客户端发送请求时先将请求发送到代理服务器再由代理服务器转发请求至目标服务器服务器的响应也会先返回给代理服务器再由代理服务器转发给客户端。核心作用隐藏客户端的真实IP地址避免目标服务器直接获取客户端信息。缓存资源代理服务器可缓存常用资源再次请求时直接返回缓存提高访问速度。过滤请求可拦截恶意请求、限制访问特定网站如企业内网代理。注意普通代理不加密数据仅转发请求若传输敏感数据仍可能被拦截窃取。二VPN核心是“加密隧道”通过加密技术在客户端与VPN服务器之间建立一条安全的虚拟通道所有数据通过该通道传输且传输过程中会进行加密处理。核心作用加密传输解决普通代理不加密的问题确保数据在传输过程中的机密性和完整性防止被拦截、篡改。跨网络访问可突破地域限制访问被限制的网络资源如企业内网、境外合规网站。隐藏真实IP客户端的请求通过VPN服务器转发目标服务器仅能获取VPN服务器的IP无法获取客户端真实IP。关键区别代理侧重“转发”不加密VPN侧重“加密隧道”兼顾转发和安全适合传输敏感数据。四、Burp SuiteBurp Suite简称BP是一款功能强大的Web安全测试工具核心定位是“中间人代理工具”广泛应用于Web漏洞挖掘、渗透测试需在合法授权环境下使用。一核心作用拦截HTTP/HTTPS流量作为中间人拦截客户端与服务器之间的所有请求和响应可手动控制是否放行如拦截恶意请求、修改请求数据。查看流量详情清晰展示请求/响应报文的完整结构请求行、请求头、请求体、响应行、响应头、响应体方便分析数据传输过程。修改流量数据可实时修改请求/响应的参数、头信息、数据内容用于测试Web应用的漏洞如SQL注入、XSS跨站脚本。其他功能包含扫描器自动检测Web漏洞、 repeater重复发送请求、intruder暴力破解等模块满足Web安全测试的多种需求。二安装和使用时的问题和解决1.安装Java环境后未配置环境变量快捷方式无法打开配置环境变量Windows系统右键“此电脑”→“属性”→“高级系统设置”→“环境变量”新建“JAVA_HOME”填写JDK安装路径编辑“Path”添加“%JAVA_HOME%\bin”保存后重启电脑。三重要说明合规提示Burp Suite仅用于合法授权的渗透测试、Web安全学习、企业安全建设严禁用于未授权的网站、服务器测试违反《中华人民共和国网络安全法》将承担法律责任。BP解密HTTPS流量的原理HTTPS本身是加密传输BP能解密是因为我们手动将Burp Suite生成的根证书安装到了客户端如浏览器并信任该证书。此时BP作为“可信中间人”可解密客户端与服务器之间的加密数据用于测试分析。五、HTTPS 协议HTTPS超文本传输安全协议是HTTP的安全增强版核心是“HTTP 加密层TLS/SSL”在HTTP和TCP之间建立安全通道专门解决HTTP明文传输的安全隐患是目前互联网通信的安全标准如网银、支付、电商等敏感场景均强制使用。一层级定位HTTPS位于TCP/IP模型的“应用层”和“传输层”之间作为中间层处理加密逻辑传输层TCP协议负责建立可靠的连接保障数据传输的稳定性。HTTPS中间层负责对应用层的HTTP数据进行加密、解密处理身份验证。应用层HTTP协议负责处理请求和响应的业务逻辑无需关心加密细节。二核心作用解决HTTP明文传输的安全问题实现三大核心目标机密性客户端发送数据前通过加密算法对数据进行加密服务器收到后再解密确保数据在传输过程中不会被第三方窃取即使被拦截也无法解析出原始数据。完整性通过哈希算法和数字签名确保数据在传输过程中不会被篡改若数据被篡改服务器会检测到异常拒绝处理。身份认证通过数字证书验证服务器的真实身份防止客户端被虚假服务器欺骗如钓鱼网站。三加密方式HTTPS采用“对称加密 非对称加密”结合的方式兼顾安全性和传输效率单独使用一种加密方式均存在缺陷。(1) 对称加密定义加密和解密使用同一把密钥也称“私钥”的加密方式通信双方需共享同一把密钥才能完成数据的加密和解密。优点加密、解密速度快效率高适合传输大量数据如网页、视频。问题挑战密钥分发困难。通信双方首次建立连接时需要传递密钥若密钥在传输过程中被攻击者窃取整个加密体系将失去意义攻击者可使用窃取的密钥解密所有数据。(2)非对称加密定义使用一对密钥公钥 私钥公钥和私钥相互对应特点是“公钥加密的内容只能用对应的私钥解密私钥加密的内容只能用对应的公钥解密”实现了加密和解密的分离。核心流程客户端与服务器通信服务器生成一对密钥公钥公开可传播可发送给任意客户端和私钥保密仅服务器自身持有绝不泄露。客户端向服务器发起HTTPS连接请求服务器将自己的公钥发送给客户端。客户端收到公钥后用公钥对自己要发送的敏感数据如登录密码进行加密然后将加密后的数据发送给服务器。服务器收到加密数据后用自己的私钥进行解密获取客户端发送的原始数据服务器响应数据时用私钥加密客户端用公钥解密。优点解决了对称加密的密钥分发问题公钥可公开传播无需担心被窃取即使公钥被窃取攻击者也无法用公钥解密数据因为解密需要私钥。问题中间人攻击。客户端无法验证收到的公钥是否真的来自目标服务器攻击者可拦截客户端与服务器的通信伪装成服务器向客户端发送自己的公钥同时伪装成客户端向服务器发送目标服务器的公钥导致通信双方的信任链断裂攻击者可窃取、篡改数据。四解决中间人攻击——CA机构与数字证书为解决非对称加密中的中间人攻击引入“CA机构”数字证书认证机构核心是通过“数字证书”证明服务器公钥的真实性和有效性建立客户端与服务器之间的信任链。1. 数字证书数字证书相当于“服务器的身份证”由CA机构颁发包含以下核心信息服务器的公钥核心内容用于客户端加密数据。服务器的域名信息证明该公钥属于哪个网站如www.taobao.com。CA机构的数字签名用于验证证书的真实性防止证书被篡改。证书的有效期证书有时间限制过期后需重新申请。作用证明服务器公钥的真实性告诉客户端“这个公钥确实是目标服务器的不是攻击者伪造的”从而避免中间人攻击。2. 数字签名数字签名是CA机构对数字证书的“签名”核心作用是确保数字证书的完整性和真实性防止数字证书被攻击者篡改确保证书来源可靠来自合法的CA机构。数字签名的生成与验证流程服务器向CA机构提交申请材料包括服务器公钥、域名信息等CA机构对材料的真实性进行审核确认服务器确实是该域名的所有者。CA机构对审核通过的材料进行哈希运算生成“信息摘要”哈希运算的特点是原始数据不变摘要不变原始数据被篡改摘要会发生巨大变化。CA机构用自己的私钥对信息摘要进行加密生成数字签名将数字签名附在数字证书中颁发给服务器。客户端向服务器发起HTTPS连接时服务器将自己的数字证书发送给客户端。客户端获取数字证书后先用CA机构的公钥客户端默认内置主流CA机构的公钥如Verisign、Let’s Encrypt解密数字签名获取CA机构生成的信息摘要。客户端对数字证书中的服务器信息公钥、域名等重新进行哈希运算生成新的信息摘要。客户端对比两次信息摘要若一致说明数字证书未被篡改且来自合法CA机构服务器公钥真实有效若不一致说明证书被篡改或来源非法客户端会提示风险拒绝建立连接。六、中间人攻击HTTP/HTTPS场景中间人攻击是一种常见的网络攻击方式攻击者拦截客户端与服务器之间的通信伪装成双方的“中间人”窃取、篡改数据且通信双方均未察觉。以下重点讲解HTTP场景的攻击流程以及HTTPS场景的防御手段。一攻击流程以HTTP为例由于HTTP是明文传输中间人攻击极易实施完整流程如下客户端向服务器发送请求如登录请求包含账号密码请求数据在传输过程中被攻击者拦截因明文传输攻击者可直接查看数据。攻击者伪装成客户端向服务器发送伪造的请求可篡改请求参数如修改登录账号、添加恶意指令。服务器接收伪造请求后进行处理并返回响应如登录成功的响应、敏感数据响应数据再次被攻击者拦截。攻击者篡改响应数据如植入恶意代码、修改返回结果然后伪装成服务器将篡改后的响应发送给客户端。客户端与服务器均未察觉攻击行为客户端接收篡改后的响应服务器处理伪造的请求攻击者成功窃取如账号密码或篡改了通信数据。二防护手段中间人攻击的核心防御思路是“加密传输 身份认证”重点依托HTTPS协议具体防护手段如下强制使用HTTPS协议HTTPS的加密通道和数字证书验证可有效阻止中间人攻击。攻击者即使拦截到加密数据也无法解密无对应私钥同时数字证书可验证服务器身份攻击者无法伪造合法的数字证书无法伪装成目标服务器。验证数字证书的合法性客户端如浏览器会自动验证服务器数字证书的有效性若证书过期、被篡改、来源非法非正规CA机构颁发会提示“此网站不安全”“证书无效”等风险用户需立即拒绝访问避免被攻击。避免在公共网络传输敏感数据在咖啡厅、机场、商场等公共WiFi环境下网络易被监听和攻击公共WiFi可能被攻击者控制成为中间人尽量不登录银行、支付、电商等敏感网站不输入账号、密码、身份证号等敏感信息。安装正规CA根证书客户端浏览器、手机默认内置主流CA机构的根证书不要随意安装未知来源的根证书避免被攻击者利用如伪造CA根证书实施中间人攻击。启用证书pinning证书绑定企业级应用可启用证书绑定将服务器的数字证书与应用绑定即使客户端信任了伪造的CA根证书也无法与服务器建立连接进一步提升安全性。重要声明本文为学习笔记整理如有错误或不足欢迎大家在评论区指正交流一起进步本文所涉及的网络攻击、渗透测试、漏洞验证、流量分析等技术内容仅限在合法授权的私有靶场、实验环境、教学平台内进行学习与研究。严禁将任何攻击手段、工具、思路用于未获得明确书面授权的真实网站、服务器、网络设备及个人设备。未经许可对他人系统、网络、数据进行扫描、入侵、破坏、窃取或干扰均属于违法行为。一切测试与学习行为必须严格遵守《中华人民共和国网络安全法》《中华人民共和国刑法》《中华人民共和国数据安全法》等相关法律法规恪守网络安全职业道德与底线。坚守白帽底线维护网络空间安全做合法合规的安全从业者与学习者。

相关新闻

深空探测数据接口篇(四):LVDS接口

深空探测数据接口篇(四):LVDS接口

目录 前言 1. LVDS 技术概述 2. 物理层架构与工作原理 2.1 差分信号与低摆幅机制 2.2 电流驱动模式 2.3 终端匹配的重要性 3.常见的LVDS传输架构 4. 典型协议芯片及 SerDes 技术 4.1 驱动器与接收器:SN65LVDS / DS90LV 系列 4.2 串行/解串器 (SerDes) 4.…

2026/5/17 9:24:00 阅读更多 →
Claude Code 小白快速入门学习指南

Claude Code 小白快速入门学习指南

一、核心需求本文为仅掌握软件基础的小白设计,围绕“先搭框架、再重实操、快速落地”思路,系统梳理Claude Code的学习路径。核心框架为“需求拆解→精准Prompt编写→代码生成与解读→本地调试优化→落地复用”四步闭环;实操重点推荐从自动化&…

2026/7/3 13:33:19 阅读更多 →
原创作者必看!可信时间戳全流程保护作品攻略及司法维权策略

原创作者必看!可信时间戳全流程保护作品攻略及司法维权策略

最近有短视频创作者向行业媒体反映,耗时三个月打磨的成片发布不到一天就被他人搬运,侵权内容的播放量甚至超过原作,由于缺乏有效的权属证明,维权过程陷入被动。这样的场景在数字创作领域屡见不鲜,据抖音电商安全与信任…

2026/7/3 11:04:42 阅读更多 →

最新新闻

百考通:AI精准赋能期刊论文写作,让学术创作更高效,满足多元研究场景

百考通:AI精准赋能期刊论文写作,让学术创作更高效,满足多元研究场景

在学术研究领域,期刊论文的撰写是成果输出的关键环节,却也让众多科研工作者与学生倍感压力:选题迷茫、逻辑梳理困难、格式规范复杂、内容提炼耗时,严重拖慢了学术成果的发表节奏。百考通(https://www.baikaotongai.com…

2026/7/3 17:33:57 阅读更多 →
GPT-5.5插件系统开发怎么做?手写自定义工具调用教程与选型攻略

GPT-5.5插件系统开发怎么做?手写自定义工具调用教程与选型攻略

在大模型应用开发中,让AI调用外部API(即Function Calling/工具调用)是实现“智能Agent”的关键步骤。随着 GPT-5.5 的推出,其插件系统的底层调用逻辑和稳定性得到了显著提升。为了更便捷地测试和联调这类多模型插件,不…

2026/7/3 17:33:57 阅读更多 →
基于51/STM32单片机空气质量监测系统/环境气体检测/WiFi传输/APP21(设计源文件+万字报告+讲解)(支持资料、图片参考_相关定制)_

基于51/STM32单片机空气质量监测系统/环境气体检测/WiFi传输/APP21(设计源文件+万字报告+讲解)(支持资料、图片参考_相关定制)_

基于51/STM32单片机空气质量监测系统/环境气体检测/WiFi传输/APP21(设计源文件万字报告讲解)(支持资料、图片参考_相关定制)_ 温湿度光照风扇声光报警 版本一:DHT11温湿度传感器采集当前环境温度和湿度光敏采集当前环境光照强度OLED液晶显示当…

2026/7/3 17:33:57 阅读更多 →
射阳燃气灶维修检查点火和风门

射阳燃气灶维修检查点火和风门

在日常生活中,燃气灶是厨房的核心设备,长期使用后容易出现点火故障、燃烧状态异常等问题,如果处理不及时还可能带来安全隐患。在射阳燃气灶维修场景中,点火和风门问题是最常见的故障类型,掌握基础排查方法,…

2026/7/3 17:31:56 阅读更多 →
如何用10个终极Adobe Illustrator自动化脚本实现设计效率革命

如何用10个终极Adobe Illustrator自动化脚本实现设计效率革命

如何用10个终极Adobe Illustrator自动化脚本实现设计效率革命 【免费下载链接】illustrator-scripts Some powerfull JSX scripts for extending Adobe Illustrator 项目地址: https://gitcode.com/gh_mirrors/ill/illustrator-scripts Adobe Illustrator自动化脚本是每…

2026/7/3 17:31:56 阅读更多 →
C++容器——vector的基本实现(下)

C++容器——vector的基本实现(下)

在上一篇博客中已经讲述了vector的基本使用方法。为了更好的理解其底层原理和提高一定的代码能力,本篇博客将针对vector进行一个简单的基础实现。一.vector的基础实现由于vector是模板类,所以类内函数的定义和声明不能分开编写,否则会出现编译…

2026/7/3 17:29:55 阅读更多 →

日新闻

Nginx防御TLS重协商攻击实战:从原理到配置与监控

Nginx防御TLS重协商攻击实战:从原理到配置与监控

1. 项目概述:为什么TLS重协商攻击至今仍需警惕十多年前的CVE-2011-1473,一个关于TLS/SSL协议重协商机制的漏洞,现在提起来还有必要吗?很多运维和开发朋友可能会觉得,这都老掉牙了,现代服务器和客户端不都默…

2026/7/3 0:03:59 阅读更多 →
华为防火墙双通道远程管理实战:Web与SSH配置详解

华为防火墙双通道远程管理实战:Web与SSH配置详解

1. 项目概述:为什么需要双通道远程管理防火墙?在任何一个稍具规模的企业网络里,防火墙都是那个默默守护在边界的关键角色。作为网络工程师,我们不可能每次都跑到机房,插上console线去配置它。远程管理能力,…

2026/7/3 0:03:59 阅读更多 →
AD74413R与PIC18F65K40的高精度工业数据采集方案

AD74413R与PIC18F65K40的高精度工业数据采集方案

1. 项目概述:AD74413R与PIC18F65K40的协同工作在工业自动化和精密测量领域,同时实现高精度模数转换(ADC)和数模转换(DAC)功能是许多复杂系统的核心需求。AD74413R作为一款四通道可配置模拟输入/输出器件,与PIC18F65K40微控制器的组合&#xf…

2026/7/3 0:05:59 阅读更多 →

周新闻

月新闻