第二章:网络安全基础——网络分层模型与常见攻击

各位同学好,我是老张。今天咱们聊聊网络安全的基础——网络分层模型。说实话,这玩意儿看着理论,但你要是真搞懂了,后面看攻击和防御会通透很多。

2.1 网络分层模型:OSI与TCP/IP

先说说OSI七层模型。很多教材把它讲得特别玄乎,其实没那么复杂。我个人习惯把它想象成一个快递系统:

  • 物理层:就是快递车、马路——传输比特流
  • 数据链路层:快递员怎么把包裹送到你家门口——帧的传输
  • 网络层:包裹从北京到上海走哪条路——IP路由
  • 传输层:确认包裹有没有丢件——TCP/UDP
  • 会话层:谁跟谁在通话——建立连接
  • 表示层:包裹里的东西要不要翻译——数据加密/压缩
  • 应用层:你打开包裹看到的东西——HTTP、FTP

但实际工作中,我们更常用的是TCP/IP四层模型。为什么?因为OSI太理想化了,TCP/IP才是互联网真正跑的东西。

核心区别:OSI是理论模型,TCP/IP是实战模型。我建议你重点掌握TCP/IP,OSI了解即可。

这里我画了一张图,帮你理清这两个模型的关系:

OSI 七层模型 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 TCP/IP 四层模型 应用层 (HTTP, FTP, SMTP) 传输层 (TCP/UDP) 网络层 (IP) 网络接口层 (以太网, WiFi)

2.2 常见网络攻击类型

2.2.1 DDoS攻击——分布式拒绝服务

说白了,就是一群人堵你店门口,让真正的顾客进不来。我在项目中遇到过最狠的一次,对方用了10万台肉鸡同时发起SYN Flood,直接把我们的核心交换机打瘫了。

DDoS攻击常见手法:

  • SYN Flood:发送大量半连接请求,耗尽服务器资源
  • UDP Flood:用大量UDP包冲击带宽
  • HTTP Flood:模拟正常请求,但量级巨大
  • DNS Amplification:利用DNS服务器放大流量

避坑指南:我曾经以为买了云厂商的DDoS高防就万事大吉。结果有一次攻击流量没到阈值,云厂商没触发清洗,我们自己的服务器先挂了。后来我学乖了——本地也要做限流和熔断。

2.2.2 中间人攻击(MITM)

你想想看,你在咖啡厅连了个免费WiFi,然后登录网银。这时候有个黑客就在你和银行之间,他能看到你发的所有数据。这就是中间人攻击。

常见的MITM手法:

  • ARP欺骗:伪造MAC地址,拦截局域网通信
  • DNS劫持:把域名解析到恶意IP
  • SSL剥离:把HTTPS降级成HTTP
  • WiFi钓鱼:搭建同名热点诱骗用户连接

我的建议:所有敏感操作必须走HTTPS,并且开启HSTS。另外,别在公共WiFi上做任何涉及钱的事。这个坑我踩过,教训深刻。

2.3 防火墙与入侵检测

2.3.1 防火墙——你的第一道防线

防火墙说白了就是个门卫。它根据规则决定放行还是拦截。但门卫也有不同种类:

类型 工作层次 特点 适用场景
包过滤防火墙 网络层 检查IP、端口,速度快 边界防护
状态检测防火墙 传输层 跟踪连接状态,更安全 企业网络
应用层防火墙 应用层 深度包检测,能识别应用 Web应用防护
下一代防火墙 全层次 集成IPS、防病毒、URL过滤 综合防护

嗯,这里要注意:防火墙不是万能的。它防不住内部威胁,也防不住加密流量里的恶意内容。

2.3.2 入侵检测与防御系统(IDS/IPS)

防火墙是门卫,IDS就是监控摄像头。它不直接拦人,但发现异常会报警。IPS更狠一点——它直接动手抓人。

IDS的检测方式:

  • 基于签名:匹配已知攻击特征,准确率高但漏报多
  • 基于异常:建立基线,偏离就报警,能发现未知攻击
  • 基于行为:分析行为模式,适合检测APT攻击

实战经验:我建议你部署混合方案。用签名检测处理已知威胁,用异常检测发现未知攻击。我曾经帮一个客户调优IDS规则,把误报率从每天2000条降到了20条以下。关键就是——别开所有规则,只开你真正需要的。

最后说一句:网络安全的本质是信任管理。分层模型给了我们清晰的边界,攻击者总在找边界上的缝隙。你的任务就是——把这些缝隙堵死。

一句话总结:理解分层模型,你就能看懂攻击发生在哪一层;看懂攻击,你才知道该在哪一层设防。别指望一层搞定所有问题,纵深防御才是王道。


专注资料整理