是个笔记
安装实验环境
安装VMware,安装kali和centos7虚拟机
网络基础
OSI网络参考模型
| 层次 | 名称 | 核心功能 |
|---|---|---|
| 7 | 应用层 | 连通两个应用 |
| 6 | 表示层 | 数据处理,数据格式转换、加密解密、压缩 |
| 5 | 会话层 | 登录状态,管理应用程序间的会话(建立、管理和终止主机间的会话) |
| 4 | 传输层 | 端到端的可靠或不可靠传输,流量控制与错误校正 |
| 3 | 网络层 | 路由,根据ip地址来找,端到端 |
| 2 | 数据链路层 | 相邻节点间可靠传输帧,MAC 寻址和差错检测 |
| 1 | 物理层 | 在物理介质上传输原始比特流,比特流是由0,1组成的二进制数字序列 |
数据流通过程
数据流通过程
客户端发送数据报文,加目标端口号封装成段
加目标ip地址封装成包
ARP广播找到网关
然后用网关的MAC地址封装成帧
之后转成比特流传播
之后网关收到后转成帧,目标mac地址是网关的,网关就解帧,然后重新封装帧
重新封装的MAC地址写下一跳网关的MAC地址
直到到目标服务器的网关地址,网关重新封装就写目标服务器的mac地址
返回也是这样公网的ip地址唯一,私网的ip地址不唯一,网关重新封装还会将源ip从私有ip改成网关的公网ip再发出去
AI生成部分
一、发送端:封装过程(从第7层到第1层)
-
应用层(数据)
用户应用程序(如浏览器)产生原始数据。例如输入网址、请求网页内容,本层生成HTTP请求报文,交给表示层。 -
表示层(数据)
负责数据“翻译”,可能做三件事:
格式转换(如将文本从ASCII转为一种通用编码)
数据压缩
数据加密(如SSL/TLS加密)
处理后,加上表示层头部,传给会话层。
-
会话层(数据)
管理通信会话,在数据流中插入检查点(同步点),以方便中断后恢复。加上会话层头部,交给传输层。 -
传输层(段 Segment)
将上层数据分段(若数据太大),每个段编上序号。
加上传输层头部,内含源端口号和目的端口号(用于识别具体应用进程)、序号、确认号、窗口大小等控制信息。
如果使用TCP协议,还提供可靠传输、流量控制和错误恢复机制;若用UDP,则仅添加端口和校验和,不做可靠保证。
形成的协议数据单元称为段(TCP)或数据报(UDP),传给网络层。
- 网络层(包 Packet)
接收传输层段,添加上网络层头部,形成数据包(或叫分组、IP数据报)。
头部主要包含:源IP地址和目的IP地址(逻辑地址,用于跨网路由)、生存时间(TTL)、协议类型(指示上层是TCP还是UDP等)、分片信息等。
网络层还负责路由选择,决定包从哪条路径发往目的网络,交给数据链路层。
- 数据链路层(帧 Frame)
将网络层交来的包封装成帧。
添加帧头,包含目的MAC地址和源MAC地址(物理地址,用于同一网络内的寻址),可能还包含类型字段(如0x0800表示IPv4)。
添加帧尾(FCS,帧检验序列),用于接收方进行CRC错误检测。
这一层保证了在相邻节点间的可靠传输,交给物理层。
- 物理层(比特流 Bits)
将帧转换成最适合传输介质的比特流(一串0101…)。
定义电气特性、光特性或无线电特性,通过电缆、光纤或无线信道,把比特一位一位地发出去。
二、中间设备(如路由器)的处理
数据在物理网络上传输时,会经过交换机、路由器等设备。以路由器为例:
从物理层收到比特流,向上解封到网络层(路由器会剥离帧头帧尾,读取IP包头)。
根据目的IP地址查找路由表,重新封装新的帧(将原帧的源/目的MAC地址替换为路由器出接口的MAC和下一跳的MAC),再从物理层发出去。
也就是说,路由器会把网络层以下的内容全部替换,但网络层及以上保持不变(TTL等字段会递减),实现不同网段之间的转发。
三、接收端:解封装过程(从第1层到第7层)
过程与发送端正相反,一层一层剥离添加的头部和尾部,并做相应校验和处理。
-
物理层
接收介质上的信号,将模拟信号或光信号还原为比特流(0101…),传给数据链路层。 -
数据链路层
将比特流组装成帧。
检查帧尾FCS,若发现错误则丢弃帧(根据协议可能请求重传)。
检查目的MAC地址,确认是否发给自己(或广播/多播),如果是,剥离帧头和帧尾,取出数据包交给网络层。
- 网络层
检查目的IP地址,确认本机是不是最终目的地。
如果是,剥离IP头部,根据协议字段将载荷交给对应的上层协议(如TCP或UDP)。
若数据包之前被分片,还需先重组。
- 传输层
根据端口号将段交给正确的应用进程。
若为TCP,检查段序号、重组数据、发送确认,保证数据完整有序;UDP则直接交应用层。
拆除传输层头部,获得原始分段数据。
- 会话层
管理会话重建,利用发送方插入的同步点来恢复对话。
剥离会话层头部,数据交给表示层。
- 表示层
完成数据解密、解压缩和格式逆转换(如将通用格式转回应用可识别的格式)。
拆除表示层头部,数据交给应用层。
- 应用层
得到原始数据,呈现给用户(如浏览器显示网页内容)。
TCP/IP协议栈
概念
TCP/IP协议栈,规定了数据从你的应用程序发出,到最终通过网络到达另一台设备,每一步要遵循什么规则。
-
TCP/IP:指以 TCP(传输控制协议)和 IP(网际协议)为代表的一系列协议族,并不只有这两个协议。
-
协议栈:采用分层结构,每一层各司其职,下层为上层服务。发送数据时逐层封装(加头部),接收数据时逐层解封装。
四层结构
| 层次 | 主要功能 | 常见协议 |
|---|---|---|
| 应用层 | 为应用程序提供网络服务接口 | HTTP、HTTPS、DNS、FTP、SMTP、SSH 等 |
| 传输层 | 负责端到端(进程到进程)的数据传输 | TCP(可靠、面向连接)、UDP(不可靠、无连接) |
| 网络层(网际层) | 处理数据包的路由和寻址,把包从源主机送到目标主机 | IP(IPv4/IPv6)、ICMP、ARP、OSPF 等 |
| 网络接口层 | 负责在物理链路上实际传输比特流,处理硬件地址(MAC) | 以太网、Wi-Fi、PPP 等 |
实际互联网使用的就是 TCP/IP 协议栈,OSI 模型主要用于教学和设计参考。
碎碎念
感觉TCP/IP就是OSI网络模型简化了一下,把上三层和下两层合并了一下而已,没什么区别
封装和解封装
网络传输
-
集线器 :泛洪,收到的包发给所有端口
-
交换机 :集线器升级版,有MAC地址表。
MAC地址表没有记录时,泛洪,得知目标MAC地址对应的端口,记录进表,第二次访问同个地址,可以直接访问 -
路由器 :连接不同网段。
看作设备,接在交换机上
有路由表,记录了目标IP地址和其对应的端口。 -
设备 :有ARP表,记录了IP地址和其对应的MAC地址,如果知道IP地址,但是不知道MAC地址就会发出ARP广播(同一网段广播,对比IP,找到目标IP对应的MAC地址)
跨网段传输
1.设备1要跨网段传输给设备3
2.设备1先判断与设备3是否在同一个网段,是就直接通过交换机发过去,不是,就去找网关,把目标mac地址设置为网关的mac地址(IP仍是设备3的IP),通过交换机发给网关
3.路由器解封装,发现目标IP在另一个网段,查路由表,找到目标IP在的出接口或是下一跳路由器的出接口
4.如果路由表有目标网段的端口号,就要发到目标网段去,要重新封装包,需要得知目标IP的MAC地址,路由器发出ARP广播(路由器直接看成一个设备,路由器是一个连接了目标网段的设备),路由器通过交换机给这个网段所有设备发去广播,问这个设备3IP的MAC地址是多少,获取到设备3MAC地址
5.重新封装,源MAC地址,改成路由器出口端口的MAC地址,目标的MAC地址改成设备3的MAC地址,
6.如果目标IP的网段不在路由表中,路由器就根据路由表里的默认路由或匹配条目,把包发到下一跳路由器,直到找到直连目标网段的路由器。(路由器1连下一跳路由器2,可能路由器1直接连着路由器2的。也有可能是路由器1通过交换机连着路由2)
封装和解封装
封装
| 步骤 | 层次 | 操作 | 形成的数据单元 |
|---|---|---|---|
| 1 | 应用层 | 浏览器生成请求报文 | 原始数据 |
| 2 | 传输层 | 加上 TCP 头部(端口号、序列号等) | 数据段 |
| 3 | 网络层 | 加上 IP 头部(IP 地址、生存时间等) | 数据包 |
| 4 | 网络接口层 | 加上 帧头(MAC 地址)和帧尾,转为物理信号 | 数据帧 → 比特流 |
解封装
| 步骤 | 层次 | 操作 |
|---|---|---|
| 1 | 网络接口层 | 收到电信号,还原成帧,校验无误后去掉帧头帧尾,上交 |
| 2 | 网络层 | 检查 IP 头部,确认目标 IP 是自己,去掉 IP 头,上交 |
| 3 | 传输层 | 检查 TCP 头部,根据端口号交给对应进程(如 Web 服务),去掉 TCP 头 |
| 4 | 应用层 | 收到原始 HTTP 请求数据,处理并返回网页内容 |
抓包实验
Wireshark是一个抓包工具
地址解析协议
ARP (Address Resolution Protocol)
根据IP地址获取MAC地址的一个TCP/IP协议。
ARP欺骗:根据IP获取MAC地址,结果获取到了攻击者的虚假的MAC地址
ARP 欺骗的核心效果,就是让受害主机在封装数据帧、填写目标 MAC 地址时,填成了攻击者的 MAC 地址,从而把数据发错了地方。
欺骗(AI)
ARP 欺骗是怎么做的?
攻击者(比如 IP 是 192.168.1.10,MAC 是 66:66:66:66:66:66)在局域网里做两件事:1. 欺骗你的电脑
攻击者主动发一个 伪造的 ARP 应答 给你的电脑,内容说:“我是网关 192.168.1.1,我的 MAC 地址是 66:66:66:66:66:66(攻击者的)。”你的电脑收到后,会更新自己的 ARP 缓存,认为网关的 MAC 变成了攻击者的 MAC。2. 欺骗网关(可选,用于双向劫持)
攻击者也发一个伪造的 ARP 应答给网关,说:“我是你的电脑(IP 192.168.1.100),我的 MAC 是 66:66:66:66:66:66。”网关也信了。ICMP
ICMP的全称是 Internet Control Message Protocol(互联网控制报文协议)。
它是 TCP/IP 协议族中的一个核心协议,它不传输用户数据,它负责传递“控制消息”和“错误信息”。
ICMP 的主要功能(AI)
错误报告:当数据包无法到达目的地时,沿途的路由器或目标主机会通过 ICMP 告诉你“出什么事了”。比如:Destination Unreachable(目标不可达)—— 告诉你“你要找的地址不存在或网络不通”。比如:Time Exceeded(超时)—— 告诉你“数据包在路上转了太久,被丢弃了”(这也是 traceroute 命令的原理)。网络诊断:最著名的就是 ping 命令。ping 发送的是 ICMP Echo Request(类型 8),目标主机如果在线,会回复 ICMP Echo Reply(类型 0)。通过这一问一答,你就能知道:目标主机是否可达、往返需要多长时间。
实验
步骤
1.启动 Wireshark 并开始抓包
2.打开cmd,随便ping个www.baidu.com
3.停止抓包
4.过滤出 ARP 和 ICMP 包
查看一个ICMP的包(AI)
1. 看“谁在问谁”(连通性)
Internet Protocol Version 4, Src: x,x,x,x, Dst: 157.148.69.186这行明确告诉你:你的 Kali(x)正在问一个公网 IP(157.148.69.186)“在不在”。如果后续能看到一个 Dst: x,x,x,x, Src: 157.148.69.186 的 Echo Reply,就说明网络是通的。2. 看“这是什么类型”(请求/回复)
Type: 8 (Echo (ping) request)Type: 8 = 这是“问”;如果是 Type: 0 = 那就是“答”。这是区分请求和回复最核心、最准确的依据。3. 看“这是第几次 ping”(序列号)
Sequence Number (BE): 4 (0x0004)这表示你执行的是 ping 命令,并且已经发到第 4 个包了。如果你看到 1、2、3、5,缺了 4 号,那就说明 4 号包丢了。4. 看“这个包是什么时候发的”(时间戳)
Timestamp from icmp data: Jun 16, 2026 20:42:46.491961000 CST这是你电脑发出这个包的时刻,精确到微秒级。当你找到对应的 Reply(回复)包时,用回复包的时间戳减去这个时间,就能算出这趟通信的往返延迟。5. 看“校验对不对”(数据完整性)
Checksum: 0x80f6 [correct]这说明包在传输过程中没有损坏。如果显示 [incorrect],说明数据在传输时被篡改或出错了。
意外
虚拟机死机重启一次之后连不上网了
检查你物理机上的 VMware 服务
1.在主机上,按 Win + R,输入 services.msc,回车。
2.在服务列表里,找到以下两个服务:
VMware DHCP Service
VMware NAT Service(如果是 NAT 模式)或VMware Bridge Protocol(如果是桥接模式)
启动这两个服务
3.然后回虚拟机发现有网了
参考链接
一文彻底搞懂OSI七层模型和TCP/IP四层模型
【闪客】大白话半小时理解网络
【2025版】最新Wireshark抓包从入门到实战,全程干货!Wireshark抓包教程,Wireshark数据包分析(附安装包)