OSI
網路七層協定(Open System Interconnection),簡稱OSI,是一個開放性的通行系統互連參考模型,他是一個定義的非常好的協定規範。OSI模型有7層結構,每層都可以有幾個子層。 OSI的7層從上到下分別是 7 套用層 6 表示層 5 會話層 4 傳輸層 3 網路層 2 數據鏈路層 1 物理層 其中高層,即7、6、5、4層定義了應用程式的功能,下面3層,即3、2、1層主要面向通過網路的端到端的數據流。
簡述
會話層,
表示層,
套用層構成開放系統的高3層,面對套用進程提供分布處理,對話管理,信息表示,恢復最後的差錯等. 會話層同樣要擔負套用進程服務要求,而
運輸層不能完成的那部分工作,給運輸層功能差距以彌補.主要的功能是對話管理,
數據流同步和重新同步。要完成這些功能,需要由大量的服務單元功能組合,已經制定的功能單元已有幾十種.。如果您想要用儘量少的詞來記住這第5層,那就是“對話和交談”。
主要功能
⑴為會話實體間建立連線
為給兩個對等會話服務用戶建立一個會話連線,應該做如下幾項工作.
① 將會話地址映射為運輸地址.
② 選擇需要的運輸服務質量參數(QOS).
③ 對會話參數進行協商.
④ 識別各個會話連線.
⑤ 傳送有限的透明用戶數據.
⑵數據傳輸階段
這個階段是在兩個會話用戶之間實現有組織的,同步的數據傳輸.用戶數據單元為SSDU,而協定數據單元為SPDU.會話用戶之間的數據傳送過程是將SSDU轉變成SPDU進行的.
⑶連線釋放
連線釋放是通過"有序釋放","廢棄","有限量透明用戶數據傳送"等功能單元來釋放會話連線的。
會話層標準為了使會話連線建立階段能進行功能協商,也為了便於其它國際標準參考和引用,定義了12種功能單元。各個系統可根據自身情況和需要,以核心功能服務單元為基礎,選配其他功能單元組成合理的會話服務子集。
其他
會話層的主要標準有"DIS8236:會話服務定義"和"DIS8237:會話協定規範".
會話層(SESSION LAYER)允許不同機器上的用戶之間建立會話關係。會話層循序進行類似的
傳輸層的普通數據的傳送,在某些場合還提供了一些有用的增強型服務。允許用戶利用一次會話在遠端的分時系統上登入,或者在兩台機器間傳遞檔案。 會話層提供的服務之一是管理對話控制。會話層允許信息同時雙向傳輸,或任一時刻只能單向傳輸。如果屬於後者,類似於物理信道上的半雙工模式,會話層將記錄此時該輪到哪一方。一種與對話控制有關的服務是令牌管理(token management)。有些協定會保證雙方不能同時進行同樣的操作,這一點很重要。為了管理這些活動,會話層提供了令牌,令牌可以在會話雙方之間移動,只有持有令牌的一方可以執行某種關鍵性操作。另一種會話層服務是同步。如果在平均每小時出現一次大故障的網路上,兩台機器簡要進行一次兩小時的檔案傳輸,試想會出現什麼樣的情況呢?每一次傳輸中途失敗後,都不得不重新傳送這個檔案。當網路再次出現大故障時,可能又會半途而廢。為解決這個問題,會話層提供了一種方法,即在數據中插入同步點。每次網路出現故障後,僅僅重傳最後一個同步點以後的數據(這個其實就是斷點下載的原理)。
會話劫持與安全
會話劫持
由於會話層傳輸數據的特點所以在發生會話時可能會出現會話劫持。會話劫持發生在攻擊者試圖接管兩台計算機間所建立的TCP會話的時候。會話劫持的基本步驟包括:尋找會話、猜測序號、迫使用戶掉線、接管會話。會話劫持的目的是竊取有效系統的一個授權連線。如果黑客成功了,那么他就可以執行本地命令。如果他劫持了一個特權帳戶,那么黑客就擁有了與特權用戶一樣的訪問許可權。會話劫持之所以會如此的危險是因為它允許控制現有的帳號,這使得攻擊就幾乎沒有痕跡。兩種可用於會話劫持的工具是Ettercap和Hunt。
阻止和檢測會話劫持
有兩種主要的機制可以解決劫持的問題:阻止和檢測。阻止的方法包括限制到達的連線數,以及配置網路拒絕來自網際網路但卻宣稱來自於本地地址的數據包。
加密也會有所幫助。如果你必須允許來自外部的可信任主機的連線,那么要使用Kerberos或IPsec進行加密。FTP和Telnet是相當脆弱的,我們需要使用更安全的協定。SecureShell(SSH)是一個很好的選擇。SSH在本地和遠程主機上建立一個加密的通道。使用IDS或IPS系統可以改進檢測。使用交換機、諸如SSH的安全協定,以及更加隨機的初始序列號都將增加會話劫持的難度。