第二章:网络安全基础——网络分层模型与常见攻击
各位同学好,我是老张。今天咱们聊聊网络安全的基础——网络分层模型。说实话,这玩意儿看着理论,但你要是真搞懂了,后面看攻击和防御会通透很多。
2.1 网络分层模型:OSI与TCP/IP
先说说OSI七层模型。很多教材把它讲得特别玄乎,其实没那么复杂。我个人习惯把它想象成一个快递系统:
- 物理层:就是快递车、马路——传输比特流
- 数据链路层:快递员怎么把包裹送到你家门口——帧的传输
- 网络层:包裹从北京到上海走哪条路——IP路由
- 传输层:确认包裹有没有丢件——TCP/UDP
- 会话层:谁跟谁在通话——建立连接
- 表示层:包裹里的东西要不要翻译——数据加密/压缩
- 应用层:你打开包裹看到的东西——HTTP、FTP
但实际工作中,我们更常用的是TCP/IP四层模型。为什么?因为OSI太理想化了,TCP/IP才是互联网真正跑的东西。
核心区别:OSI是理论模型,TCP/IP是实战模型。我建议你重点掌握TCP/IP,OSI了解即可。
这里我画了一张图,帮你理清这两个模型的关系:
2.2 常见网络攻击类型
2.2.1 DDoS攻击——分布式拒绝服务
说白了,就是一群人堵你店门口,让真正的顾客进不来。我在项目中遇到过最狠的一次,对方用了10万台肉鸡同时发起SYN Flood,直接把我们的核心交换机打瘫了。
DDoS攻击常见手法:
- SYN Flood:发送大量半连接请求,耗尽服务器资源
- UDP Flood:用大量UDP包冲击带宽
- HTTP Flood:模拟正常请求,但量级巨大
- DNS Amplification:利用DNS服务器放大流量
避坑指南:我曾经以为买了云厂商的DDoS高防就万事大吉。结果有一次攻击流量没到阈值,云厂商没触发清洗,我们自己的服务器先挂了。后来我学乖了——本地也要做限流和熔断。
2.2.2 中间人攻击(MITM)
你想想看,你在咖啡厅连了个免费WiFi,然后登录网银。这时候有个黑客就在你和银行之间,他能看到你发的所有数据。这就是中间人攻击。
常见的MITM手法:
- ARP欺骗:伪造MAC地址,拦截局域网通信
- DNS劫持:把域名解析到恶意IP
- SSL剥离:把HTTPS降级成HTTP
- WiFi钓鱼:搭建同名热点诱骗用户连接
我的建议:所有敏感操作必须走HTTPS,并且开启HSTS。另外,别在公共WiFi上做任何涉及钱的事。这个坑我踩过,教训深刻。
2.3 防火墙与入侵检测
2.3.1 防火墙——你的第一道防线
防火墙说白了就是个门卫。它根据规则决定放行还是拦截。但门卫也有不同种类:
| 类型 | 工作层次 | 特点 | 适用场景 |
|---|---|---|---|
| 包过滤防火墙 | 网络层 | 检查IP、端口,速度快 | 边界防护 |
| 状态检测防火墙 | 传输层 | 跟踪连接状态,更安全 | 企业网络 |
| 应用层防火墙 | 应用层 | 深度包检测,能识别应用 | Web应用防护 |
| 下一代防火墙 | 全层次 | 集成IPS、防病毒、URL过滤 | 综合防护 |
嗯,这里要注意:防火墙不是万能的。它防不住内部威胁,也防不住加密流量里的恶意内容。
2.3.2 入侵检测与防御系统(IDS/IPS)
防火墙是门卫,IDS就是监控摄像头。它不直接拦人,但发现异常会报警。IPS更狠一点——它直接动手抓人。
IDS的检测方式:
- 基于签名:匹配已知攻击特征,准确率高但漏报多
- 基于异常:建立基线,偏离就报警,能发现未知攻击
- 基于行为:分析行为模式,适合检测APT攻击
实战经验:我建议你部署混合方案。用签名检测处理已知威胁,用异常检测发现未知攻击。我曾经帮一个客户调优IDS规则,把误报率从每天2000条降到了20条以下。关键就是——别开所有规则,只开你真正需要的。
最后说一句:网络安全的本质是信任管理。分层模型给了我们清晰的边界,攻击者总在找边界上的缝隙。你的任务就是——把这些缝隙堵死。
一句话总结:理解分层模型,你就能看懂攻击发生在哪一层;看懂攻击,你才知道该在哪一层设防。别指望一层搞定所有问题,纵深防御才是王道。