前情回顾
| 协议 | 一句话口诀 | 核心作用 |
|---|---|---|
| IP 地址 | 设备的 “网络门牌号” | 跨网段定位设备位置 |
| MAC 地址 | 网卡的 “身份证” | 局域网内唯一标识设备 |
| ARP 协议 | IP 转 MAC 的 “翻译官” | 解决同一网段内 IP 与 MAC 的映射问题 |
| ICMP 协议 | 网络的 “诊断小助手” | 传递网络状态(如 Ping 请求 / 响应) |
| DNS 协议 | 域名的 “翻译机” | 把域名转换成 IP 地址 |
| CDN | 内容的 “快递中转站” | 缓存静态资源,加速用户访问 |
一、网络通信模型
1. 网络通信模型的本质
网络通信模型是为了规范不同设备、不同网络之间的通信流程,将复杂的网络通信功能拆分为“分层递进”的模块(层级),每一层仅完成特定的核心功能,通过层间接口协作实现完整通信。
2. OSI 七层参考模型(理论标准)
OSI(Open Systems Interconnection)模型是国际标准化组织(ISO)制定的“开放式系统互联参考模型”,是网络通信的理论基础,将网络通信功能分为 7 个层级,从下到上依次为:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。
3. TCP/IP 四层模型(实际应用标准)
TCP/IP 模型是互联网的实际通信标准,将 OSI 七层模型简化为4 个层级,更贴合实际工程应用,是目前所有网络设备遵循的核心规范。
USI模型 vs. TCP/IP模型
通俗理解TCP/IP模型层级作用
| TCP/IP模型层级 | 对应写信寄信流程 | 核心作用 |
|---|---|---|
| 应用层 | 信件内容 | 决定“传什么” |
| 传输层 | 收件人+邮递方式 | 决定“交给谁、怎么传” |
| 网络层 | 收件地址 | 决定“送到哪” |
| 网络接口层 | 投邮筒+小区送达 | 底层物理传输+局域网寻址,完成”最后一公里“交付 |
二、传输层核心协议与 DDoS 攻击
1. TCP 协议:可靠的面向连接协议
TCP(Transmission Control Protocol 传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议。
TCP工作机制
三次握手建立连接
三次握手(建立连接):① 客户端发送“同步报文(SYN)”请求连接;② 服务器回复“同步+确认报文(SYN+ACK)”;③ 客户端回复“确认报文(ACK)”,连接建立。
SYN (Synchronize Sequence Numbers):同步序列号,用于发起连接。
ACK (Acknowledgment):确认号,用于确认收到了数据。
四次挥手断开连接
四次挥手(释放连接):① 客户端发送“结束报文(FIN)”请求释放;② 服务器回复“确认报文(ACK)”;③ 服务器发送“结束报文(FIN)”;④ 客户端回复“确认报文(ACK)”,连接释放(需等待超时确保数据传输完成)。
FIN (Finish):表示数据发送完毕,想要断开连接。
适用场景:
对可靠性要求高、可接受延迟的场景,如网页访问(HTTP/HTTPS)、文件传输(FTP)、邮件发送(SMTP)、数据库连接(MySQL)。
2. UDP 协议:快速的无连接协议
UDP(User Datagram Protocol 用户数据报协议)是无连接的、不可靠的、基于数据报的传输层通信协议。
核心特点:
- 无连接:通信前无需建立连接,直接发送数据,通信结束后无需释放连接。
- 不可靠传输:无序列号、无确认应答、无重传机制,数据可能丢失、重复、乱序到达。
- 优点:传输效率高,延迟低,开销小(无连接建立、确认等机制)。
适用场景:
对实时性要求高、可容忍少量数据丢失的场景,如视频直播、语音通话、网络游戏等等。
3. DDos攻击
DDoS攻击(Distributed Denial of Service 分布式拒绝服务攻击)是一种常见的网络攻击方式,旨在使目标服务器无法正常提供服务。
DDoS攻击方式
| 攻击类型 | 攻击层面 | 特点 |
|---|---|---|
| SYN 洪水攻击 | 传输层 | 占满服务器半连接队列 |
| UDP 洪水攻击 | 传输层 | 海量垃圾包占满带宽,服务器盲目处理 |
| ICMP 洪水攻击(Ping 洪水) | 网络层 | 海量 ICMP 包消耗服务器资源 |
hping3
模拟DDoS攻击,可以用 hping3。hping3 是一款功能强大的开源网络测试工具,基于命令行界面,主要用于生成和分析网络数据包,支持TCP、UDP、ICMP 等多种协议。
基础参数介绍:
格式举例:
SYN Flood(SYN 洪水)攻击:
hping3 --flood -S --rand-source -p 80 <目标 IP 地址>
UDP 协议攻击:
hping3 --flood --udp --rand-source -p 80 <目标 IP 地址>
ICMP 协议攻击:
hping3 --flood --icmp --rand-source -d 1000 <目标 IP 地址>
4. Wireshark
Wireshark是一款开源抓包工具,也被称为网络嗅探器,用于分析网络流量和数据包。
Wireshark 是一把双刃剑
- 作为管理员:你可以用它监控公司网络,排查故障。
- 作为攻击者:黑客常用它在公共 Wi-Fi(未加密的网络)下进行嗅探(Sniffing),窃取别人的密码和图片。
- 防御:这就是为什么现在的网站都必须用 HTTPS。如果是 HTTP(明文),Wireshark 能直接看到你输入的密码;如果是 HTTPS(加密),Wireshark 抓到的只是乱码。
Wireshark 简单应用举例:分析流量包做了什么事情?
选中数据包序号,然后右键,选择追踪流,再选择TCP Stream,就可以看到数据包内容。
比如我们选择No. 3,打开TCP流可以看到:
这里用户进行了添加用户的操作。