实训第三天

Posted 2023-04-21 蛩音不响

实训第二天 网络层——传输层

网络层

基础知识（补充）

IP分片 实际过程中，要减少IP分片 传输层1460+网络层20+数据链路层20 总共 1500字节

IP头部字段：每32bit一行，第一行：版本 1100 / 1000 首部长度4bit，服务类型4bit，总长度16bit
第二行：标识 16bit 标志 3bit 片偏移 13bit
第三行：生成时间（TTL） 8bit 协议 8bit 首部检验和 16bit
源IP地址： 32bit
目标iP地址 ： 32bit

ip配套协议： ARP（还有代理ARP和RARP协议） 和 ICMP（ping 主机存活探测）

arp报文：解析ip和mac地址的对应关系，映射关系会在一定时间后映射超时删除，然后重新询问。不询问，直接接收到响应也会更新自己的MAC地址表。
arp -a

icmp报文： 0-7 Type 7-15 Code 15-31 Checksum
icmp和arp都是请求和回应

网络层安全

smurf攻击：攻击者向受害者的局域网内持续大量的发送ICMP报文，目标地址为广播域。局域网下的所有主机都会相互回应，流量放大。造成DOS攻击

防御：禁止路由器，交换机转发来自外部网络的广播流量。等等

ICMP重定向：攻击者向目标发送伪造的ICMP重定向报文，目标接收到之后会更新自己的路由表，指向新的路由器（攻击者自身），然后实行信息窃取

IP Header: 
Source IP: 192.168.1.5   # 攻击者IP
Destination IP: 192.168.1.1 # 受害主机IP

ICMP Header:
Type: 5 (Redirect Message)
Code: 1 (Redirect for network) 
Checksum: 0x1234  
Gateway IP Address: 192.168.1.5 # 攻击者指定的新"默认路由器"

Original IP Header:
Source IP: 192.168.1.1  # 受害主机IP 
Destination IP: 10.0.0.1   

ICMP不可达攻击：攻击者伪造ICMP报文，声称某一主机或网络现在已经不可达。接收者会将此主机或网络在其路由表中标记为不可达，进而停止访问。

IP Header:
Source IP: 192.168.1.5   # 攻击者IP
Destination IP: 192.168.1.1 # 路由器IP

ICMP Header: 
Type: 3 (Destination Unreachable Message)
Code: 0 (Net Unreachable)
Checksum: 0x1234

Original IP Header:
Source IP: 10.0.0.1
Destination IP: 192.168.2.1 

IP欺骗攻击

ARP攻击实验

环境搭建

win7 NAT模式 192.168.80.137

kali NAT模式 192.168.80.136

网关 192.168.80.2

设置kali开启路由转发
echo 1 > /proc/sys/net/ipv4/ip_forward

实验过程

nmap探测局域网存活主机

arpspoof -i eth0 -t 192.168.80.136 192.168.80.2 -r

查看win7 arp -a

可以看到，网关的物理地址已经和kali物理地址一样了。

但是试了好多次，图像都出不来........

防御

使用静态ARP表，将网关地址与ip地址绑定。
使用ARP防火墙

传输层

学校的计算机网络课程正好讲玩 传输层 所以传输层和应用层的知识点 都很熟，笔记可能会粗略

基础知识

端口： 通过tcp/udp发送syn或其它的报文到主机的某个端口，看其是否响应来判断端口是否打开

tcp报文格式

udp报文格式更简单

tcp的 三次握手和四次挥手
三次握手 syn=1 syn=1 ack=1 ack=1
四次挥手 C:fin=1 ack=1 S:ack=1 S: fin=1 ack=1 C:ack=1
fin 和 cin 都是控制位里面的标识符

分段和重组

传输层安全

TCP拒绝服务 SYN洪水攻击

UDP拒绝服务

SYN半开连接攻击：攻击者伪造虚假的源ip向目标发送syn包，建立连接，由于是虚假的ip地址，第二次握手的包到达不了，会等待超时然后删除
防御：缩短SYN等待队列超时时间与清空周期,加快释放半开连接的速度,降低占用资源的数量。

DOS攻击，DDOS攻击，CC攻击，都是那么一回事

SYN洪水攻击

环境

kali 192.168.100.128
win7 192.168.100.129

攻击过程

kali运行

hping3 -q -n -a 192.168.100.128 -S -s 80 --keep -p 445 --flood 192.168.100.129

javaweb实训第三天上午——Servlet

文章目录

• Servlet基础
• 1.Servlet基础
• • 1.1.什么是Servlet
  • 1.2.如何开发一个Servlet
  • 1.3.Servlet执行流程
  • 1.4.Servlet生命周期
  • 1.5.ServletConfig
  • 1.6.Get请求与Post请求的区别
  • 1.7.处理请求的方式
  • 1.8.HttpServletRequest对象
  • 1.9.HttpServletResponse对象
  • 1.10.乱码问题
• 2.课程总结
• • 2.1.重点
  • 2.2.难点
  • 2.3.如何掌握
  • 2.4.排错技巧
• 3.常见问题
• 4.课后练习
• 5.扩展知识或课外阅读推荐（可选）
• • 5.1.扩展知识

Servlet基础

课程介绍

Servlet基础； （掌握）
基本结构
生命周期
执行流程
接收参数
响应数据

1.Servlet基础

1.1.什么是Servlet

1.这是一个接口，一个规范（sun公司并没有去实现它），它的实现就是由各大服务器厂商（Tomcat）去实现；
2.Tomcat是一个javaweb服务器，也是一个Servlet容器；
3.Servlet容器是管理所有Servlet对象的创建，运行，销毁的容器。而Servlet对象也只有在Servlet容器中才能使用。所以如果我们写了一个Servlet, 那么一定要记住，把这个Servlet交给Tomcat去管理；
4.Servlet接受web请求

1.2.如何开发一个Servlet

1.创建一个web项目；
2.导入Servlet的jar （servlet-api.jar）包，可以去Tomcat目录的lib目录中复制：

3.新建一个类去实现Servlet接口或者去继承HttpServlet类（建议），并实现或重写service业务方法：

4.在web.xml中注册Servlet，即让Tomcat知道有这么一个Servlet要交给它去管理：

5.匹配请求

6.配置完成后，我们可以进行访问，浏览器中输入地址：
http://ip地址<:端口>/<上下文路径>/我们自己映射的路径
http://localhost:80/servlet/hello
注意：常见错误
1.部署web项目后启动Tomcat时会加载项目中的web.xml文件，如果部署会问题，说明web.xml中出现问题；
2.自定义的Servlet一定要提供一个公共无参的构造方法；
3.web.xml中url-pattern这里一定要有/；
4.自定义的Servlet一定要写完全限定名；
5.Tomcat服务配置文件server.xml中的配置中docBase路径不要写错；
6.classes（eclipse生成的.class文件路径）配置正确；

1.3.Servlet执行流程

注：访问之前一定要确保Tomcat服务要开启，并且要将项目部署到Tomcat，否则出现404错误；
1.用户在浏览器端输入地址。例如：http://localhost:80/servlet/hello
2.这个请求访问的是本地（localhost）端口号为80的程序，即tomcat；
3.Tomcat会到webapps中去找到servlet这个程序或者到server.xml中根据上下文路径（）中的找到对应的项目：

这个对应的就是我们路径中的：http://localhost:80/servlet/hello
4.然后Tomcat会去找到该项目的配置文件web.xml，然后查看有没有hello这个请求；

5.请求：http://localhost:80/servlet/hello

注意：当我们找到这个 /hello的时候，也就相应的找到了Servlet的名字(servlet-name) : hello
6.Tomcat会根据请求hello去匹配web.xml中的中的值：
(1)如果没有匹配上就去找这个项目默认web路径下有没有hello这个页面（html或jsp）：
①如果没有，404；
②如果有这个页面，显示页面的内容；
(2)如果匹配上了会根据标签找到相应的Servlet类：

7.找到相应的类之后，到缓存区里面去看这个类有没有相应的实例：
(1)如果没有，通过反射创建一个实例，并将这个实例放到缓存区：
①执行构造方法
②执行初始化方法
(2)如果有，直接拿到这个实例；
8.调用实例的service方法执行业务逻辑处理；
9.如果正常关闭的话，会执行destroy方法；

1.4.Servlet生命周期

人的生命周期：出生 – 取名上户(初始化) – 为人民服务 – 死亡
Servlet生命周期：
1.Servlet容器调用无参构造创建对象 – 第一次访问 或 项目部署的时候
2.Servlet容器调用初始化方法（init()） – 第一次访问 或 项目部署的时候
3.Servlet容器调用服务方法（service()、doGet()、doPost()） – 第n次访问
4.对于Tomcat来说，Servlet只有一个（它是单例的，每次创建的Servlet实例都会缓存起来）
5.当我们正常关闭Tomcat的时候，Servlet容器会自动调用销毁方法（destory()）
构造方法 --> init方法 --> service【每次请求都会执行】 --> destory【正常关闭才执行】

注意：也可以将Servlet实例化和初始化的时机提前到项目部署或服务器开启的时候，只需要加上标签即可：

1.5.ServletConfig

1.ServletConfig这个对象是由Tomcat为我们创建好的，我们可以在init中可以拿到它。它是Servlet的配置对象；
2.API：
config.getServletContext()：拿到的上下文对象（先不管）
config.getServletName()：拿到Servlet的名字

config.getInitParameter(String name): 根据名称拿到初始化参数

1.6.Get请求与Post请求的区别

1.get请求时，请求参数放在请求地址url后面，而post提交方式时，请求参数是放在请求数据包中的实体内容中传递；
2.由于地址栏的数据有长度限制，所以Get请求传输的数据量小，一般不能大于2kb，Post请求传输的数据大小没有限制。所以一般文件上传下载使用的是Post请求；
3.Post安全性相对Get较高；
注意：
1.什么时候发get请求？
(1)直接输入网址
(2)点击链接
(3)设置表单的提交方式为get或表单的默认提交
2.什么时候发post请求？
(1)设置表单提交方式为post（method=“post”）

1.7.处理请求的方式

前言：之前学过请求方式或方法有很多，主要掌握：get和post两种，下面的这种写法太麻烦：

为了提高开发效率，一般采用下面的几种方式处理不同的请求方式：
第一种：在doGet中调用doPost

第二种：在doPost中调用doGet

第三种：service方法（底层会判断是get还是post调用相应的方法处理）

1.8.HttpServletRequest对象

1.HttpServletRequest对象是Servlet的请求对象，可以获取请求数据包/报文中的所有信息；
2.常用方法：

(1)String getContextPath()：获取上下文路径，<Context path="上下文" ../>；
(2)String getHeader(String headName)：根据指定的请求头获取对应的请求头的值；
(3)String getRequestURI()：返回当期请求的资源路径URI（上下文路径/资源名）；
(4)StringBuffer getRequestURL()：返回浏览器请求地址URL；
(5)String getRemoteAddr()：返回请求服务器的客户端的IP；
(6)String getServletPath()：返回请求，<url-pattern>中的值；
(7)==String getParameter(String name)：==根据参数名称,获取对应参数的值；
(8)String[] getParameterValues(String name)：根据参数名称,获取该参数的多个值；
(9)Map<String,String[]> getParameterMap()：返回请求参数组成的Map集合；
(10)void req.setCharacterEncoding("UTF-8")：能够正确获取post请求的中文参数而不出现乱码；
(11)String getProtocol())：获取协议版本HTTP/1.1
(12)String getMethod())：获取请求方式（GET or POST）
(13)int getServerPort()：获取端口号

1.9.HttpServletResponse对象

1.HttpServletResponse对象是Servlet的响应对象，可以设置响应的文件格式和编码格式，还可以获取输出流；
2.常用方法：
(1)获取流：
①方法1：OutputStream getOutputStream(); 获取字节输出流（上传下载用）
②方法2：resp.getWriter(); 获取字符输出流
(2)响应页面的文件格式和编码格式：resp.setContextType(“text/html;charset=UTF-8”);

1.10.乱码问题

1.向页面输出中文
(1)resp.setContentType(“text/html;charset=utf-8”);//能够向页面输出中文
(2)注意：""中的内容不要写错，否则浏览器不认识响应的类型，就会将问题抛给用户；
2.获取表单提交的中文数据
(1)针对post请求（请求参数是在实体内容中）
①第一种：req.setCharacterEncoding(“utf-8”);
②第二种：转码：name = new String(name.getBytes(“iso-8859-1”), “utf-8”);//转码缺点:太麻烦，每个数据都要转
③注意：两种只能用其一；
3.针对get请求（请求参数是在地址栏上），tomcat8不做处理，如果是tomcat7及其以前：
(1)第一种：转码：name = new String(name.getBytes(“iso-8859-1”), “utf-8”);
(2)第二种：修改服务器中的配置conf – server.xml – 标签中最后加上属性URIEncoding=“utf-8”
(3)注意：两种只能用其一 ，以后服务器换了，还需重新配置一次；
4.注意：
(1)tomcat8.x之前的默认编码集为ISO-8859-1，tomcat8.x之后默认编码集为UTF-8；
(2)对于tomcat8.x以及之后的get请求不需要转码或配置，而Tomcat7需要配置；

2.课程总结

2.1.重点

1.get和post区别；
2.Sevlet开发；
3.Servlet生命周期；

2.2.难点

1.Web项目搭建和部署；
2.Servlet开发；
3.乱码问题；
4.Servlet生命周期理解；

2.3.如何掌握

1.课上认真听课；
2.完成课后练习；
3.抓住课程重点；

2.4.排错技巧

1.通过异常和错误找出问题，分析问题，解决问题；
2.如果tomcat点了没有反应，可能是在eclipse 里面配置有问题；
3.如果已经启动了tomcat，再次启动会报错端口号被占用；
4.不熟悉Servlet开发流程；

3.常见问题

1.错误信息：A child container failed during start
(1)原因1：请求的写法不规范
(2)原因2：请求重复了，Servlet的请求不能重复
2.错误信息：ClassNotFoundException - 我们自己写的类找不到
(1)原因1：类的完全限定名写错
(2)原因2：eclipse自动编译出问题，切换到navigator视图发现classes中没有字节码文件 – 解决，重启eclipse，有可能eclipse在执行其他任务时卡住了
3.Tomcat启动时进入Debug模式
(1)如果Javaweb项目运行时，设置了断点【有时候并不是自己设置的，tomcat自动设置的】，那么启动时就会停止 – 解决，清除所有的断点，然后重新启动tomcat
4.Tomcat启动时报错
(1)包含第一个错误
(2)找配置【web.xml or server.xml】找注解@WebServlet

4.课后练习

1.课堂代码1-2遍；
2.完成一个页面输入账号和密码，后台连接数据库查询是否有该用户
如果有返回登陆成功
如果没有返回 亲,账号和密码错误

5.扩展知识或课外阅读推荐（可选）

5.1.扩展知识

@WebServlet注解
@WebServlet(name="", urlPatterns={""}, loadOnStartup=1,initParams={@WebInitParam(name="",value="")})
public class FirstServlet extends HttpServlet{ … }
注：如果添加了web.xml，需要设置metadata-complete=”false”或者说不写这个属性，那么上述注解才有用：