會話層

網絡七層協議（Open System Interconnection），簡稱OSI，是一個開放性的通行系統互連參考模型，他是一個定義的非常好的協議規範。OSI模型有7層結構，每層都可以有幾個子層。 OSI的7層從上到下分別是 7 應用層 6 表示層 5 會話層 4 傳輸層 3 網絡層 2 數據鏈路層 1 物理層 其中高層，即7、6、5、4層定義了應用程序的功能，下面3層，即3、2、1層主要面向通過網絡的端到端的數據流。 ^[1] 

會話層,表示層,應用層構成開放系統的高3層，面對應用進程提供分佈處理，對話管理,信息表示,恢復最後的差錯等. 會話層同樣要擔負應用進程服務要求，而運輸層不能完成的那部分工作,給運輸層功能差距以彌補.主要的功能是對話管理，數據流同步和重新同步。要完成這些功能,需要由大量的服務單元功能組合,已經制定的功能單元已有幾十種.。如果您想要用盡量少的詞來記住這第5層，那就是“對話和交談”。

為給兩個對等會話服務用户建立一個會話連接,應該做如下幾項工作.

① 將會話地址映射為運輸地址.

② 選擇需要的運輸服務質量參數(QOS).

③ 對會話參數進行協商.

④ 識別各個會話連接.

⑤ 傳送有限的透明用户數據.

這個階段是在兩個會話用户之間實現有組織的,同步的數據傳輸.用户數據單元為SSDU,而協議數據單元為SPDU.會話用户之間的數據傳送過程是將SSDU轉變成SPDU進行的.

連接釋放是通過"有序釋放","廢棄"，"有限量透明用户數據傳送"等功能單元來釋放會話連接的。

會話層標準為了使會話連接建立階段能進行功能協商，也為了便於其它國際標準參考和引用,定義了12種功能單元。各個系統可根據自身情況和需要，以核心功能服務單元為基礎,選配其他功能單元組成合理的會話服務子集。 ^[2] 

會話層的主要標準有"DIS8236:會話服務定義"和"DIS8237:會話協議規範".

會話層（SESSION LAYER）允許不同機器上的用户之間建立會話關係。會話層循序進行類似的傳輸層的普通數據的傳送，在某些場合還提供了一些有用的增強型服務。允許用户利用一次會話在遠端的分時系統上登陸，或者在兩台機器間傳遞文件。 會話層提供的服務之一是管理對話控制。會話層允許信息同時雙向傳輸，或任一時刻只能單向傳輸。如果屬於後者，類似於物理信道上的半雙工模式，會話層將記錄此時該輪到哪一方。一種與對話控制有關的服務是令牌管理（token management）。有些協議會保證雙方不能同時進行同樣的操作，這一點很重要。為了管理這些活動，會話層提供了令牌，令牌可以在會話雙方之間移動，只有持有令牌的一方可以執行某種關鍵性操作。另一種會話層服務是同步。如果在平均每小時出現一次大故障的網絡上，兩台機器簡要進行一次兩小時的文件傳輸，試想會出現什麼樣的情況呢？每一次傳輸中途失敗後，都不得不重新傳送這個文件。當網絡再次出現大故障時，可能又會半途而廢。為解決這個問題，會話層提供了一種方法，即在數據中插入同步點。每次網絡出現故障後，僅僅重傳最後一個同步點以後的數據（這個其實就是斷點下載的原理）。

由於會話層傳輸數據的特點所以在發生會話時可能會出現會話劫持。會話劫持發生在攻擊者試圖接管兩台計算機間所建立的TCP會話的時候。會話劫持的基本步驟包括：尋找會話、猜測序號、迫使用户掉線、接管會話。會話劫持的目的是竊取有效系統的一個授權連接。如果黑客成功了，那麼他就可以執行本地命令。如果他劫持了一個特權賬户，那麼黑客就擁有了與特權用户一樣的訪問權限。會話劫持之所以會如此的危險是因為它允許控制現有的賬號，這使得攻擊就幾乎沒有痕跡。兩種可用於會話劫持的工具是Ettercap和Hunt。

有兩種主要的機制可以解決劫持的問題：阻止和檢測。阻止的方法包括限制到達的連接數，以及配置網絡拒絕來自因特網但卻宣稱來自於本地地址的數據包。

加密也會有所幫助。如果你必須允許來自外部的可信任主機的連接，那麼要使用Kerberos或IPsec進行加密。FTP和Telnet是相當脆弱的，我們需要使用更安全的協議。SecureShell(SSH)是一個很好的選擇。SSH在本地和遠程主機上建立一個加密的通道。使用IDS或IPS系統可以改進檢測。使用交換機、諸如SSH的安全協議，以及更加隨機的初始序列號都將增加會話劫持的難度。