OSI 模型把网络通信分成 7 层,每一层只关心自己的事。数据从上往下封装(加报头),到对端从下往上解封装。
| # | 层 | 关键词 | 对应协议/设备 |
|---|---|---|---|
| 7 | 应用层 | 用户看到的东西 | HTTP、FTP、SMTP、DNS |
| 6 | 表示层 | 编码/压缩/加密 | SSL/TLS、JPEG、ASCII |
| 5 | 会话层 | 建立/维护会话 | NetBIOS、RPC |
| 4 | 传输层 | 端口 + 可靠/不可靠传输 | TCP(可靠)、UDP(快) |
| 3 | 网络层 | IP 地址 + 路由 | IP、ICMP、路由器 |
| 2 | 数据链路层 | MAC 地址 + 帧 | 交换机、ARP、以太网 |
| 1 | 物理层 | 比特流 / 光电信号 | 网线、光纤、集线器 |
OSI 就像快递:你写信(应用层)→装进信封写地址(传输/网络层)→贴标签放到传送带(数据链路层)→实际在路上跑(物理层)。到了对面,再一层层拆开,最终还原成你写的信。
| 设备 | 层 | 原理 | 安全 |
|---|---|---|---|
| 集线器 Hub | L1 | 广播——收到的信号发给所有端口 | ❌ 能嗅探全部流量 |
| 交换机 Switch | L2 | 学习 MAC 地址,只发给目标端口 | ✅ 隔离了流量 |
| 路由器 Router | L3 | 根据 IP 地址选路 | ✅ 隔离广播域 |
集线器像大喇叭:对着所有人喊(谁都能听到,不安全)。交换机像前台:知道张三坐 3 号位,直接把信送到 3 号(别人听不到)。路由器像邮局:知道不同地址该走哪条路。
VLAN 在交换机上逻辑隔离不同部门的流量,无需物理拆分。好处:减小广播域、增强安全。跨 VLAN 通信必须经过路由器(或三层交换)。
以太网帧结构:帧报头(含源/目标 MAC 地址)+ 数据 + FCS 校验。MAC 地址 48 位,前 24 位是厂商编号(OUI),后 24 位是设备编号。
| 类别 | 范围 | 私有地址 |
|---|---|---|
| A 类 | 1.0.0.0 – 126.x.x.x | 10.0.0.0/8 |
| B 类 | 128.0.0.0 – 191.x.x.x | 172.16.0.0/12 |
| C 类 | 192.0.0.0 – 223.x.x.x | 192.168.0.0/16 |
子网掩码把 IP 分成网络部分 + 主机部分。网络部分相同的 IP 在同一子网,可以直接通信;不同子网必须走路由器。
| TCP | UDP | |
|---|---|---|
| 连接 | 面向连接(三次握手) | 无连接 |
| 可靠性 | ✅ 确认重传 | ❌ 不保证送达 |
| 速度 | 较慢 | 快 |
| 场景 | HTTP、FTP、邮件 | DNS 查询、视频流、VoIP |
甲:"我想跟你说话"(SYN)→ 乙:"好的我听到了,你能听到我吗?"(SYN-ACK)→ 甲:"能听到"(ACK)→ 连接建立。
DNS 把域名(www.google.com)翻译成 IP 地址。查询流程:递归查询(本地 DNS 帮你一路问到底)或迭代查询(本地 DNS 只告诉你"去问谁")。
| 攻击 | 原理 | 层 |
|---|---|---|
| SYN 泛洪 | 发海量 SYN 不完成握手,耗尽服务器半开连接资源 | L4 |
| Smurf 攻击 | 伪造源 IP 发 ICMP 广播→大量回复涌向受害者 | L3 |
| ARP 欺骗 | 伪造 ARP 应答 → 中间人 | L2 |
| 嗅探 Sniffing | 在集线器/镜像口抓包窃听 | L2 |
| 圣诞树扫描 | 设置 FIN+URG+PSH 标志探测端口 | L4 |
| 点击劫持 | 隐藏层覆盖在合法页面上,用户点的其实是恶意按钮 | L7 |
你打电话过去,对方接了说"你好",你不说话就挂了,然后疯狂重拨。对方的线路全被你占了,真正的来电打不进去——这就是 SYN 泛洪的 DoS 原理。
| 技术 | 说明 |
|---|---|
| IPsec VPN | 在网络层加密,适合站点到站点(Site-to-Site) |
| SSL VPN | 在应用层加密,适合远程接入(浏览器即可) |
| 防火墙 | 默认"防外不防内",规则基于 IP/端口/协议 |
| 蜜罐 Honeypot | 故意暴露的诱饵系统,引诱攻击者 → 收集攻击信息 |
蜜罐就像在银行放了一个假金库,里面没真钱,但有摄像头和传感器。小偷进去偷→被全程录像→安保了解了小偷的手法。