导语
很多网安新手、甚至护网老手都有一个通病:工具用得很溜,一谈底层就露馅。
你问他Nmap怎么扫,他能说五分钟。你问他:“SYN Flood是怎么利用三次握手漏洞的?”他支支吾吾答不上来。你给他一个流量包,他只会看有没有红色告警,根本看不懂TCP标记位的变化意味着什么。
这就是典型的手高眼低——“脚本小子后遗症”。
本文的目的只有一个:从攻防实战视角,把计算机网络彻底讲透。不讲纯理论,全部对接渗透测试、流量分析和安全防御。适合面试前速记、护网前复习、日常查漏补缺。
干干货,没废话。建议收藏,反复背诵。
一、 网络体系架构(网安必背)
1.1 网络分层核心作用(攻防视角)
网络分层的本质是“分工协作”。在安全领域,分层就是攻击定向、流量捕获、日志审计的底层逻辑。
你扫到了80端口,那是传输层的事;你用SQLMap注入了,那是应用层的事;你做了ARP欺骗,那是数据链路层的事。不会分层,你就不知道自己在哪一层被打,也不知道该在哪一层还手。
以下用攻防视角完整拆解OSI七层模型,一个字都不能忘:
| 层级 | 核心职责 | 安全场景 / 对应攻击 | 防御/检测要点 |
|---|---|---|---|
| 7. 应用层 | 用户接口、网络服务 | Web漏洞温床:SQL注入、XSS、CSRF、文件上传、命令注入;DNS/DHCP/FTP协议滥用 | WAF规则、输入过滤、邮件网关、DNS防火墙 |
| 6. 表示层 | 数据格式转换、加密/解密 | TLS剥离攻击、编码绕过(Unicode/Base64/URL编码绕过WAF)、HTTPS劫持 | 强制HSTS、证书校验、禁用不安全加密套件 |
| 5. 会话层 | 建立/维护/终止会话 | 会话劫持(Session Hijacking)、会话固定攻击(Session Fixation) | 安全Cookie(HttpOnly/Secure)、Token刷新、会话超时 |
| 4. 传输层 | 端到端连接(TCP/UDP) | 端口扫描(Nmap SYN Scan)、DDoS攻击(SYN Flood/UDP反射)、端口爆破 | 防火墙ACL、SYN Cookie、流量限速、DDoS清洗 |
| 3. 网络层 | 路由与寻址(IP) | ARP欺骗(实际跨层)、IP伪造/劫持、网段扫描、路由劫持(BGP) | 静态ARP绑定、IPSec、路由认证、进/出站流量过滤 |
| 2. 数据链路层 | 帧传输、MAC寻址 | 局域网攻击(二层):MAC泛洪、STP欺骗、ARP投毒、DHCP饿死 | 端口安全(Port Security)、802.1X、DHCP Snooping |
| 1. 物理层 | 比特流传输、硬件接口 | 搭线窃听、电磁泄漏(TEMPEST)、设备物理劫持 | 机房物理门禁、线缆屏蔽、设备防拆卸锁 |
TCP/IP四层与OSI的对照关系:
很多人搞混这一点,面试高频题。
TCP/IP四层(从上到下):应用层 → 传输层 → 网络层 → 网络接口层
OSI七层中的应用层 + 表示层 + 会话层 → 合并为TCP/IP的应用层
OSI七层中的数据链路层 + 物理层 → 合并为TCP/IP的网络接口层
沙漏模型:TCP/IP模型像一个沙漏——中间是IP层(网络层),上下两端都窄。上面承载所有应用(HTTP/FTP/DNS等),下面承载所有物理网络(以太网/光纤/Wi-Fi等)。IP是“腰部核心”,所有流量都要经过它,这也是为什么IP层安全(IPSEC、IP过滤)如此重要——卡住腰部,就卡住了所有通信。
1.2 网络性能指标(流量分析必备)
做流量分析和异常排查,这三项指标你得刻在脑子里:
速率(带宽):单位时间传输的数据量。安全场景:突然的异常大流量→可能挖矿外联、数据回传、DDoS流量;流量骤降→可能被封阻或设备宕机。
时延(延迟):数据从发到收的时间。安全场景:高延迟可能意味着流量经过代理跳板机或被劫持绕路,也可能是ICMP隧道的特征。
RTT(往返时间):一个包发出去到收到确认的时间。安全场景:存活扫描(Ping Sweep)的判断依据——RTT突然消失=主机下线/被屏蔽;RTT异常波动=网络抖动或正在被探测。
二、 物理层安全与基础原理
物理层是数字世界的“地基” ,也是第一道防线。物理层被突破,上层再安全也白搭。
2.1 核心设备与安全风险
| 设备 | 工作机制 | 安全风险 |
|---|---|---|
| 中继器 | 放大信号、延伸距离 | 不隔离任何域,信号放大也意味着攻击信号被一并放大 |
| 集线器(Hub) | 广播式转发、半双工通信 | 无法隔离冲突域/广播域,同一Hub下的所有设备都能“听到”所有流量——天然的内网嗅探器。一根网线插上去,整个Hub的流量都能被抓包。 |
关键结论:集线器早就该被淘汰。如果你在某个内网里发现了Hub,那基本等于全网裸奔。
2.2 信道分类(通信模式)
| 模式 | 定义 | 安全表现 |
|---|---|---|
| 单工 | 只能单向(如电视信号) | 基本不涉及交互安全,但单向数据泄露仍可能发生 |
| 半双工 | 分时双向(如Hub场景) | 同一时间只能一方发,冲突域内易发生碰撞攻击 |
| 全双工 | 同时双向(如交换机) | 正常现代网络模式,但仍可被ARP投毒 |
三、 数据链路层(内网攻防核心)
内网渗透的主战场就在这里——ARP欺骗、嗅探、二层DoS,统统发生在这一层。懂二层的攻击手法,才叫真的懂内网渗透。
3.1 核心功能与安全特性
| 功能 | 原理 | 安全含义 |
|---|---|---|
| 封装成帧 | 将数据包加上MAC头尾 | 帧结构中的源/目标MAC可被伪造→MAC欺骗 |
| 透明传输 | 不论什么比特数据都能传输 | 攻击者可在帧中嵌入恶意载荷,绕过某些应用层检测(如将恶意脚本编码后塞进帧填充区) |
| 差错检测(CRC) | 校验帧是否损坏 | 被篡改的帧会因CRC不匹配而被丢弃,但攻击者可以故意构造CRC碰撞制造干扰 |
3.2 MTU最大传输单元(渗透常考)
默认值:1500字节(以太网)。
安全考点:攻击者经常利用MTU分片绕过防火墙/WAF检测。
攻击者把一个超大恶意请求拆成多个分片,每片都小于MTU。防火墙/IDS可能只检查第一个分片就放行了,后续分片在目标服务器上重组时,完整的恶意payload才暴露出来。这叫“分片绕过”——Nmap的
--mtu参数就是这个思路。
3.3 以太网与MAC地址安全
48位MAC地址:前24位是OUI(厂商代码),后24位是厂商分配。安全场景:通过OUI识别设备类型(摄像头/打印机/路由器),精准定位攻击目标。
广播地址:
FF-FF-FF-FF-FF-FF。安全场景:攻击者通过发送广播帧进行内网扫描(ARP广播询问“谁是网关?”),这是内网横向移动的第一步。
四、 网络层(渗透与路由安全核心)
核心设备:路由器。网络层的安全,决定了你的流量能不能“活着”到达目的地。
4.1 IP协议核心原理
不可靠性:IP协议不保证包一定能送达。安全含义:攻击者可以故意丢弃、篡改、重放IP包而不被追责——这就是IP层攻击的基础。
TTL(生存时间):每经过一个路由器减1,为0时丢弃。
安全场景1:Traceroute的原理(从TTL=1开始递增发包,逐跳探测路径)。
安全场景2:攻击者可通过TTL值推断目标网络拓扑。
安全场景3:TTL篡改可绕过某些基于TTL的访问控制策略(如“只允许TTL>5的包通过”——攻击者直接把TTL改成255)。
4.2 IP地址分类与网段扫描(渗透必知)
| 类别 | 范围 | 网安场景 | |
|---|---|---|---|
| A类 | 1.0.0.0 - 126.255.255.255 | 大型网络,内网扫描时重点关注 | 10.0.0.0/8(保留) |
| B类 | 128.0.0.0 - 191.255.255.255 | 中型网络 | 172.16.0.0/12(保留) |
| C类 | 192.0.0.0 - 223.255.255.255 | 小型网络,最常见的内网渗透目标 | 192.168.0.0/16(保留) |
| D类 | 224.0.0.0 - 239.255.255.255 | 组播地址→组播攻击(IGMP欺骗、组播流量嗅探) | 组播安全常被忽视 |
| E类 | 240.0.0.0 - 255.255.255.255 | 保留地址,很少出现在公网 | 若出现→可能为隐蔽隧道/异常流量 |
4.3 NAT网络地址转换
NAT让私有IP(如192.168.x.x)通过一个公网IP访问互联网,天然隔离了内外网。
渗透必知:
内网穿透:反向隧道(ngrok/frp)绕过NAT限制,让外网访问内网。
端口映射:将公网IP的特定端口映射到内网某台机器的服务端口——映射端口就是攻击入口。
反弹Shell:靶机主动连接攻击机C2服务器,绕过NAT入站限制(因为NAT允许内网主动发起的出站连接)。攻击者只需监听一个公网端口等待靶机“回家”。
4.4 ARP/RARP协议(面试高频、内网渗透必考)
ARP(地址解析协议):IP→MAC的映射。
⚠️核心漏洞:ARP无认证机制!
任何主机都可以发送伪造的ARP应答包,声称“我是网关(192.168.1.1),我的MAC是AA:BB:CC:DD:EE:FF”。所有受害者都会更新自己的ARP缓存,把流量发到攻击者手里。
常见攻击手法:
ARP欺骗(中间人):攻击者同时欺骗网关和受害者,让双方流量都经过自己——所有流量都被嗅探、可篡改。
网关劫持:把自己伪装成网关,所有内网流量尽收眼底。
内网断网攻击(ARP拒绝服务):发送大量伪造ARP包,让交换机MAC表混乱,导致合法主机无法通信。
防御措施:静态ARP绑定、ARP防火墙、交换机端口安全、DAI(动态ARP检测)。
4.5 ICMP协议(隧道与隐蔽通信常客)
ICMP无端口、无认证——这两个特性让它成为黑客最爱的隐蔽通道。
无端口:防火墙通常放行ICMP(ping通了才算“网络通”),攻击者可利用ICMP承载恶意数据。
ICMP隧道:将TCP/HTTP数据封装在ICMP Echo(ping包)中传输,绕过防火墙检测。工具如
icmptunnel、ptunnel。ICMP洪水DDoS:海量ping包耗尽目标带宽和CPU。
4.6 路由协议安全对比(面试高频)
| 协议 | 特点 | 安全评价 |
|---|---|---|
| RIP(距离向量) | 基于跳数,最大15跳 | 安全性差:易产生路由环路,无认证机制,可被RIP欺骗注入恶意路由 |
| OSPF(链路状态) | 维护全局拓扑图,支持区域划分 | 安全性高:支持MD5/SHA认证,可防伪造LSA注入。但仍需关注区域边界安全 |
| BGP(边界网关协议) | 基于TCP,连接不同AS(自治域) | 最危险但最关键:历史上多次发生BGP路由劫持(如某国的流量被导向俄罗斯)。无加密认证(依赖TCP),前缀劫持、路径篡改风险大 |
五、 传输层(端口与连接安全核心)
5.1 UDP协议(无连接、不可靠、无拥塞控制)
| 特性 | 安全影响 |
|---|---|
| 无连接 | 无需握手,源IP可随意伪造→UDP反射放大攻击(DNS/NTP/CLDAP反射) |
| 无拥塞控制 | 攻击者可以超高速度发包,轻易打满出口带宽 |
| 无状态 | 防火墙对UDP的访问控制更加困难 |
安全场景:
UDP反射DDoS:攻击者伪造源IP为目标IP,向UDP服务(如DNS、Memcached)发送小请求,服务器返回大响应给目标——流量放大几十倍甚至上万倍。
UDP端口爆破:针对DNS(53)、SNMP(161)、RIP(520)等UDP服务暴力破解。
5.2 TCP协议(面向连接、可靠传输)
TCP的核心是六大标记位——这是连接控制的“开关面板”,也是连接劫持的操控核心。面试如果问TCP标记位答不全,基本就挂了。
| 标记位 | 全称 | 作用 | 安全场景 |
|---|---|---|---|
| SYN | Synchronize | 发起连接(三次握手第一步) | SYN Flood、端口扫描(SYN Scan) |
| ACK | Acknowledgment | 确认收到数据 | ACK扫描(探测防火墙状态) |
| FIN | Finish | 发起断开连接(四次挥手) | FIN扫描(隐蔽端口探测) |
| RST | Reset | 强行终止连接(异常/拒绝) | RST攻击(强行断开连接/会话劫持) |
| PSH | Push | 立即推送数据,不等待缓冲区 | PSH Flood(制造小包风暴) |
| URG | Urgent | 紧急数据优先处理 | 带外数据攻击(利用紧急指针偏移) |
💡面试高频题:Nmap的SYN扫描(半开扫描)就是只发SYN,不收ACK(不完成三次握手),从而避免被目标日志记录(不建立完整连接),达到隐蔽扫描的目的。
5.3 流量与拥塞控制(面试高频)
TCP的拥塞控制算法:慢启动 → 拥塞避免 → 快重传 → 快恢复。
安全攻击面:
攻击者可故意触发拥塞控制,发送大量包造成网络瘫痪(如DDoS限流绕过——通过控制发送速率,规避流量清洗阈值)。
ACK欺骗:发送伪造的ACK包,干扰拥塞窗口计算,导致合法连接降速。
5.4 TCP三次握手(最最最核心,背到条件反射)
第三次握手:
客户端收到SYN-ACK后,发送ACK=1, seq=x+1, ack=y+1,进入
ESTABLISHED。服务端收到ACK后,也进入
ESTABLISHED。
⚠️ SYN Flood攻击原理(面试必考):
攻击者只发SYN(第一次握手),不回应SYN-ACK(不完成第三次握手)。服务端为每个半连接分配资源(TCB控制块),大量半连接耗尽服务端内存/CPU,导致无法响应正常用户的连接请求。
防御手段:
SYN Cookie:不立即分配资源,而是用加密算法生成一个cookie作为seq,等到第三次握手验证通过后再分配。
SYN Proxy:防火墙代理完成三次握手,确认合法后再转发给后端服务器。
增大半连接队列(backlog)+缩短超时时间(tcp_synack_retries)。
5.5 TCP四次挥手(连接关闭流程)
四次挥手过程:
主动关闭方 → FIN → 被动方(我要关了)
被动方 → ACK → 主动方(收到,你等会儿)
被动方 → FIN → 主动方(我也关了)
主动方 → ACK → 被动方(好,确认关闭)
2MSL等待时间(Time-Wait):
主动关闭方发送最后那个ACK后,需要等待2倍MSL(最大报文生存时间)才能彻底关闭。
安全意义:端口复用/连接复用的依据。攻击者可能利用Time-Wait状态进行端口重用攻击或预测下一个端口号。
六、 应用层(Web漏洞核心层级)
90%以上的业务漏洞诞生在应用层——因为这里最接近用户输入,也最接近业务逻辑。
6.1 核心协议与安全风险
| 协议 | 端口(默认) | 安全风险 |
|---|---|---|
| DNS | 53(UDP/TCP) | DNS劫持、DNS隧道(隐蔽外联/DNS over HTTP)、DNS放大反射攻击 |
| DHCP | 67/68(UDP) | DHCP饿死攻击(耗尽IP池)、伪造DHCP服务器(分发恶意网关/DNS) |
| HTTP | 80(TCP) | 明文传输→中间人嗅探;Web漏洞载体(注入/XSS/上传) |
| HTTPS | 443(TCP) | TLS剥离攻击、证书伪造/过期、弱加密套件降级攻击 |
| FTP | 20/21(TCP) | 明文传输(用户名密码裸奔)、匿名访问、弱口令暴力破解 |
| SMTP | 25(TCP) | 邮件伪造/中继、钓鱼邮件、SPF/DKIM绕过 |
| POP3/IMAP | 110/143(TCP) | 明文密码被抓包、邮箱爆破 |
| SSH | 22(TCP) | 暴力破解、弱口令、私钥泄露 |
| RDP | 3389(TCP) | 弱口令爆破、BlueKeep(CVE-2019-0708)远程代码执行 |
6.2 HTTP与HTTPS安全差异
| 维度 | HTTP | HTTPS |
|---|---|---|
| 传输方式 | 明文,完全裸奔 | TLS加密,防窃听 |
| 中间人攻击 | 极易被篡改/嗅探 | 需证书校验,较难(但可被SSL剥离攻击) |
| SEO/浏览器标识 | 浏览器标记为“不安全” | 显示“安全锁” |
| 证书校验 | 无 | 需CA签发证书,有证书链校验机制 |
HTTP方法安全差异(渗透测试必知):
| 方法 | 用途 | 安全风险/测试点 | |
|---|---|---|---|
| GET | 获取资源 | 参数在URL中→浏览器历史/日志/Referer泄露;长度有限制 | 敏感数据不应使用GET |
| POST | 提交数据 | 参数在body中,不直接暴露在URL;可通过抓包完全看到 | CSRF、请求体注入 |
| PUT | 上传文件 | 文件上传漏洞(直接PUT一个webshell) | 生产环境严禁开放PUT |
| DELETE | 删除资源 | 越权删除、路径遍历删除任意文件 | 生产环境严禁开放DELETE |
| OPTIONS | 查看支持方法 | 信息泄露:泄露服务器支持的HTTP方法,为攻击者提供“菜单” | 禁用不必要的TRACE/TRACK方法,防止XST攻击 |
| TRACE | 回显收到的请求 | XST(跨站追踪)攻击 | 生产环境必须禁用 |
七、 网安学习总结与互动
核心逻辑一句话总结:
二三层(链路层+网络层)→ 内网渗透的主战场,ARP欺骗、嗅探、横向移动全在这里
传输层→ 攻击与防御的“流量开关”,控端口、防DDoS、玩标记位
应用层→Web漏洞的温床,90%的奖金漏洞从这里挖
物理层+表示层+会话层→ 安全盲区,攻击者常在这些被忽视的层级做隐蔽动作
计网是网安的地基。地基不牢,再牛的工具也是空中楼阁。
💬 互动话题
面试中遇到过最难/最刁钻的计网考题是什么?
是不经意问了你一句“TIME_WAIT状态持续多久?为什么?”
还是让你现场画TCP状态转换图?
又或者是给了你一个pcap包,问你“这到底是扫描还是正常业务流量?”
欢迎在评论区分享你的计网面试惨痛经历或硬核考题——独乐乐不如众乐乐,你的经历可能就是别人避开的大坑。每一条我都会亲自回复,硬核答疑。
🎁 硬核网安计网实战资料包
我整理了“计网底层+渗透实战”全套资料,适合收藏反复啃:
①TCP/IP详解卷1:协议(高清PDF+思维导图)——计网圣经
②Wireshark抓包实战分析案例集(100+真实流量包+分析报告)
③ARP欺骗/中间人攻击实战教学视频+环境搭建脚本
④Nmap全参数详解与扫描策略速查表(PDF打印版)
⑤SYN Flood/DDoS攻击原理与防御实验手册
⑥MTU分片绕过WAF的完整实验代码+环境
⑦BGP路由劫持案例分析 & 路由安全配置模板
⑧TCP标记位/状态转换图速记卡片(手机壁纸版)
⑨护网/面试计网高频考点100问(含标准答案)
👇 领取方式![]()
底层懂了,工具只是手脚的延伸。底层不懂,你就是别人手里的工具。评论区见