网络端口

1、定义：防火墙是由软件和硬件组成的系统，它处于安全的网络（通常是内部局域网）和不安全的网络之间，根据由系统管理员设置的访问控制规则，对数据流进行过滤。 2、防火墙对数据流有三种处理方式：1）允许数据流通过；2）拒绝数据流通过；3）将这些数据流丢弃。当数据流被拒绝时，防火墙要向发送者回复一条消息进行提示。当数据流被丢弃时，防火墙不会对这些数据包进行任何处理，也不会向发送者发送任何提示信息。 3、防火墙的要求：1）所有进出网络的数据流都必须经过防火墙；2）只允许经过授权的数据流通过防火墙；3）防火墙自身对入侵是免疫的。 4、根据防火墙在网络协议栈中的过滤层次不同，通常把防火墙分为3种：包过滤防火墙、电路级网关防火墙和应用级网关防火墙。 5、防火墙对开放系统互联模型（OSI）中各层协议所产生的数据流进行检查。要知道防火墙是哪种类型的结构，关键是要知道防火墙工作于OSI模型中的哪一层。防火墙工作于OSI模型的层次越高，其检查数据包中的信息就越多，因此防火墙所消耗的处理器工作周期就越长，所提供的安全保护等级就越好。 6、网络地址转换 1）静态网络地址转换：在进行网络映射时，内部网络地址与外部的Internet IP地址是一一对应的关系。在这种情况下，不需要NAT盒在地址转换时记录转换信息。 2）动态网络地址转换：可用的Internet IP地址限定在一个范围

frp https://github.com/fatedier/frp/ frp 是一个可用于内网穿透的高性能的反向代理应用，支持 tcp, udp 协议，为 http 和 https 应用协议提供了额外的能力，且尝试性支持了点对点穿透 跨平台支持linux，win，mac 类似于ngrok，运维、开发人员经常使用它管理内网机器和调试程序，例如将内网的22，3389转发到公网，开发人员将本地web服务转发到公网调试，msf/rat远控的内网上线，可以代替前几年流行的”内网通”服务 优点：不需要免杀，支持加密传输 在有公网ip的vps上部署服务端，然后在目标的内网机器上运行客户端即可反连公网机器，根据配置把内网中的目的端口转发到公网的那台机器上。网上也有一些免费和收费frp服务，可以免去自己部署服务端。 简单示例： 服务端和客户端均支持配置文件ini运行和命令行运行，下面示例为命令行。 12 服务端：./frps -p <服务监听端口> -t <token>客户端：./frpc tcp -s <服务端ip>:<服务端端口> -r <在服务端监听的对应端口> -i <内网地址> -l <内网端口> -t <token> --ue --uc 例如通过webshell转发出该机器的3389端口 12 你的机器：./frps -p 7890 -t woshitokenWebshell:

所有程序都需要编写检查错误的代码 一.基础知识 客户端与服务器之间将展开一段结构化对话，叫协议。 在C语言中，如果写一个与网络通信的程序，就需要新的数据流-套接字，套接字是双向的，既可以输入也可以输出 1.使用socket()函数创建一个套接字数据流 #include <sys/socket.h> int xxxx = socket(PF_INET, SOCK_STREAM, 0); xxxx是套接字名字 套接字与客户端程序通信，服务器需要经历，绑定端口，监听，接受连接，开始通信，四个阶段 服务启动时，服务器会为每项服务分配一个端口，服务器启动时，需要告诉操作系统将要使用哪个端口，这个过程叫做端口绑定。 2.这些代码将创建一个表示"互联网xxx端口"的套接字名 #include <arpa/inet.h> struct sockeaddr_in xxxx; xxxx.sin_family = PF_INET; xxxx.sin+port = (in_port_t)htons(端口号); xxxx.sin_addr.s_addr = htonl(INADDR_ANY); int x = bind (套接字名字, (struct sockaddr * ) &xxxx, sizeof(name)); 3.设置客户端连接服务器的排队数量 listen(套接字名字, xx) xx为人数

一、华为防火墙NAT的六个分类 华为防火墙的NAT分类： NAT No-PAT：类似于Cisco的动态转换，只转换源IP地址，不转换端口，属于多对多转换，不能节约公网IP地址，使用情况较少。 NAPT（Network Address and Port Translation，网络地址和端口转换）：类似于Cisco的PAT转换，NAPT即转换报文的源地址，又转换源端口。转换后的地址不能是外网接口IP地址，属于多对多或多对一转换，可以节约公网IP地址，使用场景较多。 出接口地址（Easy-IP）：因其转换方式非常简单，所以也被称为Easy-IP、和NAPT一样，即转换源IP地址，又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址，属于多对一转换，可以节约IP地址。 NAT Server：静态一对一发布，主要用于内部服务器需要对Internet提供服务时使用，。 Smart NAT（智能转换）：通过预留一个公网地址进行NAPT转换，而其他的公网地址用来进行NAT No-PAT转换，该方式不太常用。 三元组NAT：与源IP地址、源端口和协议类型有关的一种转换，将源IP地址和源端口转换为固定公网IP地址和端口，能解决一些特殊应用在普遍NAT中无法实现的问题。主要应用于外部用户访问局域网的一些P2P应用。 二、解决NAT转换时的环路及无效ARP

一、案例分析 1、案例概述 在ESXi的虚拟机之间确保正常通信的基础是网络服务，通常在物理网络中需要使用不同的物理设备进行连接才能组建出稳定高效的网络服务，而在虚拟网络中，需要不同的虚拟设备为其提供服务。本案例主要介绍Vmware虚拟化体系中的另一个重要成员――网络服务。 二、案例前知识点 1、ESXi网络概述 1）物理网络 物理网络是在ESXi主机上运行的虚拟机之间为了互相通信而相互逻辑连接所形成的网络。ESXi主机可以有多个物理网卡，虚拟机也可以创建多个虚拟网卡，将其同时连接到虚拟交换机可实现虚拟机之间的互相通信。 2）虚拟网络 虚拟网络是在ESXi主机上运行的虚拟机之间为了互相通信而相互逻辑连接所形成的网络。ESXi主机可以有多个物理网卡，虚拟机也可以创建多个虚拟网卡，将其同时连接到虚拟交换机可实现虚拟机之间的相互通信。 2、ESXi网络组件 1）物理网卡 物理网卡简称vmnic，如下图所示，ESXi内核的第一块称为vmnic0，第二块称为vmnic1，以此类推。ESXi主机可以有多个vmnic连接不同的物理网络设备，如交换机、路由器、iSCSI存储等。 2）虚拟网卡 虚拟网卡简称vNIC，每台虚拟机都可以有多个虚拟网卡，用于连接虚拟交换机，确保相互之间的正常通信。如下图所示，可以看出每台虚拟机都有自己的虚拟网卡。 3）虚拟交换机 虚拟交换机简称vSwitch

一． tag： VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点： 网络设备的移动、添加和修改的管理开销减少；可以控制广播活动。 传统的数据包转发，交换机查看数包的mac地址，根据mac地址表转发。在配置了Vlan的以太网环境中，当交换机从pc处接收了一个原始的数据包，会在源MAC地址与type字段汇中插入 4Byte 的802.1Q字段用来标识Vlan-tag。 1. 802.1Q报文： ① Tag Protocol：2字节，tag标签规范，用来定义tag标签标准，华为默认使用0x8100 ② User Priority：3bit，用户优先级，用来表明数据包优先级值，QOS使用 ③ CFI：1bit，规范格式指示，0表示规范格式，应用于以太网；1表示非规范格式，应用于Token Ring（令牌环网） 802.1Q 抓包： 2. Vlan有效值：

防火墙的五元组：源 IP ，目的 IP ，源端口，目的端口，协议。 防火墙配置文件中一个策略中都有什么，有哪些元素：源地址，源端口，目的地址，目的端口，源 zone ，目的 zone ，服务，时间，状态，描述。其中 zone 、时间、状态都是唯一的其他均可多个。 源地址： 地址簿： IP 地址具体展现的几种方式： IP /掩码： 10.1 . 1.1 / 16 或者 10.1 . 1.1 255.255 . 0.0 ip 范围： 10.1 . 1.1 - 10.1 . 1.100 或 range 引用地址簿： ɽʯ eg : address FCI - 10.1 . 89.14 ip 10.1 . 89.14 / 32 exit address FCI - 10.1 . 89.15 ip 10.1 . 89.15 / 32 exit 地址组： 同上地址簿的 IP 地址：具体差别需要看手册文档 引用地址簿： 引用地址组： ɽʯ eg ： address DNS - DENY - G member 10.1 . 88.74 / 32 member DOC - 10.1 . 88.7 member FAQS - 10.1 . 88.6 member intra - 10.1 . 88.12 member RPTS - 10.1 . 88.1 member SUMMIT - 10.1 .

补充一下端口复用的知识 端口复用也是很老的后门技术，主要是劫持 web服务器相关进程/服务的内存空间、系统API甚至劫持网络驱动 去达到目的， 在winsocket的实现中，对于服务器的绑定是可以多重绑定的，在确定多重绑定使用谁的时候，根据一条原则是谁的指定最明确则将包递交给谁，而且没有权限之分。这种多重绑定便称之为端口复用。 这里总结的是基于web服务组合HTTP.sys驱动进行端口服用后门维权。 参考：https://docs.microsoft.com/zh-cn/dotnet/framework/wcf/feature-details/configuring-the-net-tcp-port-sharing-service https://docs.microsoft.com/zh-cn/dotnet/framework/wcf/feature-details/net-tcp-port-sharing 简单来说，刚引入TCP/IP协议的时候，TCP/IP 通过为每一个应用程序协议分配一个唯一的 16 位端口号，从而 使用端口号来区分应用程序 。 不同的应用共享相同的web服务器端口 。 在 HTTP.SYS 模型中，许多不同的 HTTP 应用程序的通信中将多路 复用 这为防火墙管理员提供了一个公共控制点

博文大纲： 一、什么是MSTP？ 二、MSTP的基本原理是什么？ 1.MSTP的网络层次。 2.MST域。 3.MSTI。 4.端口角色。 5.MSTP的端口状态。 三、MSTP的保护功能。 1.BPDU保护。 2.根保护。 3.环路保护。 4.TC保护。 四、MSTP的配置过程。 一、什么是MSTP？ MSTP是一个共有的生成树协议，在实际生产环境中得到广泛的应用。 MSTP（Multiple Spanning tree Algorithm and protocol）是多生成树技术，允许在一个交换环境中运行多个生成树，每个生成树称为一个实例（instance）。实例时间的生成树彼此独立，如一个实例下的阻塞接口在另一个实例上可能是一个转发端口。和Cisco私有的PVST技术不同，MSTP允许多个vlan运行一个生成树实例，相比较Cisco的PVST技术，这是一个优势，因为在Cisco交换机中，运行PVST技术，是一个实例一棵树，实例越多，生成树越多，交换机维护这些生成树，也是需要消耗硬件资源及网络开销的。大部分情况下，运行多个生成树实例的好处就在于链路的负载分担，但是当只有一条冗余链路时，运行两个生成树实例完全可以实现负载均衡，同时又能节约系统开销，如下图所示： 上图的网络环境中存在两个生成树实例，不同实例的根网桥在不同的物理交换机上，不但可以实现负载分担

QinQ技术〔也称Stacked VLAN 或Double VLAN〕。标准出自IEEE 802.1ad,其实现将用户私网VLAN Tag封装在公网VLAN Tag中，使报文带着两层VLAN Tag穿越运营商的骨干网络（公网）。 IEEE802.1Q中定义的VLAN Tag域中只有12个比特位用于表示VLAN ID，所以设备最多可以支持4094个VLAN。在实际应用中，尤其是在城域网中，需要大量的VLAN来隔离用户，4094个VLAN远远不能满足需求。 设备提供的端口QinQ特性是一种简单、灵活的二层VPN技术，它通过在运营商网络边缘设备上为用户的私网报文封装外层VLAN Tag，使报文携带两层VLAN Tag穿越运营商的骨干网络（公网）。 在公网中，设备只根据外层VLAN Tag对报文进行转发，并将报文的源MAC地址表项学习到外层Tag所在VLAN的MAC地址表中，而用户的私网VLAN Tag在传输过程中将被当作报文中的数据部分来进行传输。 QinQ特性使得运营商可以用一个VLAN为含有多个VLAN的用户网络服务。如图1所示，用户网络A的私网VLAN为VLAN 1～10，用户网络B的私网VLAN为VLAN 1～20。运营商为用户网络A分配的VLAN为VLAN 3，为用户网络B分配的VLAN为VLAN 4。当用户网络A的带VLAN Tag的报文进入运营商网络时