【读懂原理】网络模型详解(彻底明白OSI七层与TCP/IP四层模...

csx

【读懂原理】网络模型详解(彻底明白OSI七层与TCP/IP四层模型关系)全网寻找志同道合喜欢写文章的小伙伴，并且致力于写好文章的写原理文章的小伙伴，一起学习进步">全网寻找志同道合喜欢写文章的小伙伴，并且致力于写好文章的写原理文章的小伙伴，一起学习进步
摘要

说明：本文您将了解到

• 网络为什么划分层次？
• OSI七层模型与五层模型的历史渊源。彻底搞懂网络模型历史。
• 了解五层模型
• 了解五层模型中的每一层的攻击防御手段一.网络模型详解
  

1.什么是网络分层1.1 为什么要分层

当我们讨论一个比较复杂的系统时，总是将复杂的系统划分为多个小的、功能相对独立的模块或者子系统。这样我们就可以将注意力集中在这个复杂系统的某个特定的部分，这就是模块化的思想。因为计算机网络要解决的问题非常大，非常复杂，所以需要利用模块化的思想将其划分为多个模块来处理和设计。人们发现层次式的模块划分方法特别适合网络系统，因此目前所有的网络系统都采用分层的体系结构。

2.2 OSI七层模型与TCP/IP四层模型历史渊源

==早期的网络体系结构：==
1974年，美国的IBM公司宣布了它研制的系统网络体系结构SNA(System Network Architecture)，这个著名的网络标准就是按照分层的方法制定的。不久后，其他—些公司也相继推出本公司的一套体系结构。这些网络体系结构的共同点是都采用层次结构模型，但是层次划分和功能分配均不相同。

---

==国际机构开始队网络结构规范化管理：==
为了使不同体系结构的计算机网络都能互联，国际标准化组织(International Organization for Standardization ISO)于1977年成立了专门机构研究该问题。不久，他们就提出一个试图使用各种计算机在世界范围内互联成网的标准框架。即著名的开放系统互连基本参考模型OSI/RM(Opensystems Interconnection Reference Model)简称为OSI。“开放”是指：只要遵循OSI标难，一个系统就可以和位于世界上任何地方的、也遵循这同一标准的其他任何系统进行通信。在1983年形成了开放系统互连基本参考模型的正式文件，即著名的ISO 7498国际标准，也就是所谓的七层协议的体系结构。

---

==TCP/IP成为不是标准的标准：==
在OSI模型之前，TCP/IP协议簇已经在运行了，并且逐步演变为TCP/IP参考模型，虽然整套的OSI国际标准都已经制定出来了，但这时因特网已抢先在全世界覆盖了相当大的范围，因此得到最广泛应用的不是法律上的国际标准OSI，而是非国际标准TCP/IP。这样，TCP/IP就被称为是事实上的国际标准，法律上的标准还是OSI。
这也从侧面说明了，谁有市场谁才是标准。

---
==为什么出现五层协议模型：==
TCP/IP是一个四层结构，OSI是一个七层结构，所以在学习的时候我们使用的是折中的方法，采用一种五层协议的原理体系结构，这样既简洁又能将概念阐述清楚。

                               
登录/注册后可看大图

                               
登录/注册后可看大图

                               
登录/注册后可看大图

---

==什么是协议：==
那么每一层是如何解析的呢？比如我发送一个10，如果我们用十进制解码那这个就是我们十进制的10，如果是二进制解码那就是1和0，但是如果我们提前规定好，1表示“你” 0表示“好”，那么我们达成这个协议，那么当传来10是你就会翻译为“你好”。那么网络中也是一样的，每一层都会有不同的功能和不同的协议。

                               
登录/注册后可看大图

---

==总结：==
通过以上可以看出对应的每一层都有对应的协议与功能，而且这些协议与功能都是人设置的，对安全漏洞的解释中说了这样一句话：“一切由人类实现的系统中都会不同程度的存在实现和设置上的各种潜在错误。因而在所有系统中必定存在某些安全漏洞，无论这些漏洞是否已被发现，也无论该系统的理论安全级别如何。”那么在我们把网络分为这么多的层级，每个层级又对应着各种各样的协议和功能，那么就会产生各种各样的安全隐患。下面我们来简单看一下各个层次所面临的安全隐患以及对应防护手段。

二.什么是网络分层安全隐患1. 物理层

● 攻击手段：
a. 破坏光纤网线
b. 实时电子信号的干扰等
● 防范手段：
a. 物理设备的接入采用双线、双设备接入，保证物理线路和物理设备的可靠性，并处于监管的状态
b. 使用网屏的网线，也就是屏蔽网线
c. 接口处使用屏蔽的水晶头等

2. 数据链路层

● 攻击手段
a. MAC泛洪攻击
泛洪攻击的实现方法就是通过伪造大量的未知MAC地址进行通信，交换机进行不断的学习，很快MAC表就会被充满，这样正常的主机的MAC地址在经过老化之后，就无法再添加到mac地址表中，导致之后的数据都变成了广播。
b. 基于mac地址的伪装欺骗
● 防范手段：
a. 限制交换机学习MAC地址的数量
b. 把交换机端口与主机MAC进行动态绑定

3. 网络层

● 攻击手段：
a. IP分片攻击、ping of death（死亡之ping）、IP欺骗伪造攻击，其通性都是通过制造大量的无用数据包，对目标服务器或者主机发动攻击，使得目标对外拒绝服务，可以理解为DDOS或者是类DDOS攻击。
b. ARP欺骗
ARP（地址解析协议）是根据IP地址获取物理地址的一个TCP/IP协议。通常情况下，在IP数据包发送过程中会存在一个子网或者多个子网主机利用网络级别第一层，而ARP则充当源主机第一个查询工具，在未找到IP地址相对应的物理地址时，将主机和IP地址相关的物理地址信息发送给主机。与此同时，源主机将包括自身IP地址和ARP检测的应答发送给目的主机。如果ARP识别链接错误，这样的话ARP直接应用可疑信息，那么可疑信息就会很容易进入目标主机当中。ARP协议没有状态，不管有没有收到请求，主机会将任何受到的ARP相应自动缓存。如果信息中带有病毒，采用ARP欺骗就会导致网络信息安全泄露。因此，在ARP识别环节，应加大保护，建立更多的识别关卡，不能只简单通过IP名进行识别，还需充分参考IP相关性质等。
c. ICMP欺骗
ICMP协议也是因特网控制报文协议，主要用在主机与路由器之间进行控制信息传递。通过这一协议可对网络是否通畅、主机是否可达、路由是否可用等信息进行控制。一旦出现差错，数据包会利用主机进行即时发送，并自动返回描述错误的信息。该协议在网络安全当中是十分重要的协议。但由于自身特点的原因，其极易受到入侵，通常而言，目标主机在长期发送大量ICMP数据包的情况下，会造成目标主机占用大量CPU资源，最终造成系统瘫痪。
● 防范手段
a. 对于一些洪攻击，启动限流策略,例如：针对同一IP限制ICMP报文的数量，超过数据就进行丢弃。
b. 对于ARP欺骗可以在终端设备与路由器上使用双向MAC地址绑定的方式解决、也可以通过PPPoE认证

4. 传输层

针对传输层的攻击主要是利用TCP/UDP协议进行攻击，而利用TCP协议攻击主要是利用TCP协议的三次握手机制，向目标主机或者服务器发送大量连接请求但是不对其进行响应，使得占用大量目标服务器主机资源，造成瘫痪的攻击方式。
● 攻击手段
a. SYN Flood攻击
b. ACK Flood攻击
c. UDP Flood攻击
● 防护方式
a. 针对SYN Flood攻击，可以使用对SYN包进行监视、延缓TCB分配方法等方式
b. 对ACK Flood攻击，可以ACK报文速率进行统计，当ack报文速率超过阈值启动源认证防御
c. 对于UDP Flood攻击，可以使用特征匹配进行拦截

5. 应用层

● 攻击手段
a. DNS Request Flood攻击、Reply Flood攻击、缓存投毒攻击
b. CC攻击
c. 缓存溢出攻击
d. 针对WEB应用的攻击：CSRF、SQL注入、网页篡改等
● 防护手段：
a. 针对DNS攻击，可以进行IP地址和MAC地址的绑定、对DNS数据包进行监测
b. 对于软件开发，要规范开发与测试的流程，预防常见漏洞发生并及时更新升级软件修复BUG
c. 在代码中需要对用户提交的数据进行合规校验

以上是我们介绍的网络层次结构模型，以及每一层对应的协议、功能、攻击手段以及防护手段。