會話層

OSI參考模型的第5層

會話層(Session)所屬現代詞,是建立在傳輸層之上,利用傳輸層提供的服務,使應用建立和維持會話,並能使會話獲得同步。會話層使用校驗點可使通信會話在通信失效時從校驗點繼續恢復通信。這種能力對於傳送大的文件極為重要。

OSI


網路七層協議(Open System Interconnection),簡稱OSI,是一個開放性的通行系統互連參考模型,他是一個定義的非常好的協議規範。OSI模型有7層結構,每層都可以有幾個子層。 OSI的7層從上到下分別是 7 應用層 6 表示層 5 會話層 4 傳輸層 3 網路層 2 數據鏈路層 1 物理層 其中高層,即7、6、5、4層定義了應用程序的功能,下面3層,即3、2、1層主要面向通過網路的端到端的數據流。

定義


會話層,表示層,應用層構成開放系統的高3層,面對應用進程提供分佈處理,對話管理,信息表示,恢復最後的差錯等。會話層同樣要擔負應用進程服務要求,而運輸層不能完成的那部分工作,給運輸層功能差距以彌補。
主要的功能是對話管理,數據流同步和重新同步。要完成這些功能,需要由大量的服務單元功能組合,已經制定的功能單元已有幾十種。

主要功能


介紹如下:
⑴為會話實體間建立連接
為給兩個對等會話服務用戶建立一個會話連接,應該做如下幾項工作。
① 將會話地址映射為運輸地址。
② 選擇需要的運輸服務質量參數(QOS)。
③ 對會話參數進行協商。
④ 識別各個會話連接。
⑤ 傳送有限的透明用戶數據。
⑵數據傳輸階段
這個階段是在兩個會話用戶之間實現有組織的,同步的數據傳輸。用戶數據單元為SSDU,而協議數據單元為SPDU.會話用戶之間的數據傳送過程是將SSDU轉變成SPDU進行的。
⑶連接釋放
連接釋放是通過"有序釋放","廢棄","有限量透明用戶數據傳送"等功能單元來釋放會話連接的。
會話層標準為了使會話連接建立階段能進行功能協商,也為了便於其它國際標準參考和引用,定義了12種功能單元。各個系統可根據自身情況和需要,以核心功能服務單元為基礎,選配其他功能單元組成合理的會話服務子集。
會話層的主要標準有"DIS8236:會話服務定義"和"DIS8237:會話協議規範"。

其他


會話層的主要標準有"DIS8236:會話服務定義"和"DIS8237:會話協議規範".
會話層(SESSION LAYER)允許不同機器上的用戶之間建立會話關係。會話層循序進行類似的傳輸層的普通數據的傳送,在某些場合還提供了一些有用的增強型服務。允許用戶利用一次會話在遠端的分時系統上登陸,或者在兩台機器間傳遞文件。會話層提供的服務之一是管理對話控制。會話層允許信息同時雙向傳輸,或任一時刻只能單向傳輸。如果屬於後者,類似於物理通道上的半雙工模式,會話層將記錄此時該輪到哪一方。一種與對話控制有關的服務是令牌管理(token management)。有些協議會保證雙方不能同時進行同樣的操作,這一點很重要。為了管理這些活動,會話層提供了令牌,令牌可以在會話雙方之間移動,只有持有令牌的一方可以執行某種關鍵性操作。另一種會話層服務是同步。如果在平均每小時出現一次大故障的網路上,兩台機器簡要進行一次兩小時的文件傳輸,試想會出現什麼樣的情況呢?每一次傳輸中途失敗后,都不得不重新傳送這個文件。當網路再次出現大故障時,可能又會半途而廢。為解決這個問題,會話層提供了一種方法,即在數據中插入同步點。每次網路出現故障后,僅僅重傳最後一個同步點以後的數據(這個其實就是斷點下載的原理)。

劫持與安全


會話劫持
由於會話層傳輸數據的特點所以在發生會話時可能會出現會話劫持。會話劫持發生在攻擊者試圖接管兩台計算機間所建立的TCP會話的時候。會話劫持的基本步驟包括:尋找會話、猜測序號、迫使用戶掉線、接管會話。會話劫持的目的是竊取有效系統的一個授權連接。如果黑客成功了,那麼他就可以執行本地命令。如果他劫持了一個特權帳戶,那麼黑客就擁有了與特權用戶一樣的訪問許可權。會話劫持之所以會如此的危險是因為它允許控制現有的帳號,這使得攻擊就幾乎沒有痕迹。兩種可用於會話劫持的工具是Ettercap和Hunt。
阻止和檢測會話劫持
有兩種主要的機制可以解決劫持的問題:阻止和檢測。阻止的方法包括限制到達的連接數,以及配置網路拒絕來自網際網路但卻宣稱來自於本地地址的數據包。
加密也會有所幫助。如果你必須允許來自外部的可信任主機的連接,那麼要使用Kerberos或IPsec進行加密。FTP和Telnet是相當脆弱的,我們需要使用更安全的協議。SecureShell(SSH)是一個很好的選擇。SSH在本地和遠程主機上建立一個加密的通道。使用IDS或IPS系統可以改進檢測。使用交換機、諸如SSH的安全協議,以及更加隨機的初始序列號都將增加會話劫持的難度。