OSI參考模型介紹
開放式系統互聯通信參考模型(英語:Open System Interconnection Reference Model,縮寫為 OSI),簡稱為OSI模型(OSI model),一種概念模型,由國際標準化組織提出,一個試圖使各種計算機在世界范圍內互連為網路的標準框架,定義于ISO/IEC 7498-1,
| 名稱 | 作用 |
|---|---|
| 物理層 | 將資料轉換為可通過物理介質傳送的電子信號 相當于郵局中的搬運工人, |
| 資料鏈路層 | 決定訪問網路介質的方式,在此層將資料分幀,并處理流控制,本層指定拓撲結構并提供硬體尋址,相當于郵局中的裝拆箱工人, |
| 網路層 | 使用權資料路由經過大型網路 相當于郵局中的排序工人, |
| 傳輸層 | 提供終端到終端的可靠連接 相當于公司中跑郵局的送信職員, |
| 會話層 | 允許用戶使用簡單易記的名稱建立連接 相當于公司中收寄信、寫信封與拆信封的秘書, |
| 表示層 | 協商資料交換格式 相當公司中簡報老板、替老板寫信的助理, |
| 應用層 | 用戶的應用程式和網路之間的介面, |
TCP/IP模型介紹
OSI模型只適用于理論,在實際生產中我們使用的是TCP/IP五層模型,因為在OSI出現之前tcp/ip模型已經廣泛應用,主要的網路設備也是根據tcp/ip模型,所以OSI只是理論模型,其實兩個模型非常相似,只是OSI更加細化更加的完整,
OSI與TCP/IP對應關系
TCP/IP是一組用于實作網路互連的通信協議,Internet網路體系結構以TCP/IP為核心,基于TCP/IP的參考模型將協議分成四個層次,它們分別是:網路訪問層、網際互聯層(主機到主機)、傳輸層、和應用層,也可以分為五層分別是應用層、傳輸層、網路層、資料鏈路層、物理層,
| 名稱 | 作用 |
|---|---|
| 應用層 | 應用層對應于OSI參考模型的高層,為用戶提供所需要的各種服務,例如:FTP、Telnet、DNS、SMTP等. |
| 傳輸層 | 傳輸層對應于OSI參考模型的傳輸層,為應用層物體提供端到端的通信功能,保證了資料包的順序傳送及資料的完整性,該層定義了兩個主要的協議:傳輸控制協議(TCP)和用戶資料報協議(UDP).TCP協議提供的是一種可靠的、通過“三次握手”來連接的資料傳輸服務;而UDP協議提供的則是不保證可靠的(并不是不可靠)、無連接的資料傳輸服務. |
| 網際互聯層 | 網際互聯層對應于OSI參考模型的網路層,主要解決主機到主機的通信問題,它所包含的協議設計資料包在整個網路上的邏輯傳輸,注重重新賦予主機一個IP地址來完成對主機的尋址,它還負責資料包在多種網路中的路由,該層有三個主要協議:網際協議(IP)、互聯網組管理協議(IGMP)和互聯網控制報文協議(ICMP),IP協議是網際互聯層最重要的協議,它提供的是一個可靠、無連接的資料報傳遞服務, |
| 網路接入層(即主機-網路層) | 網路接入層與OSI參考模型中的物理層和資料鏈路層相對應,它負責監視資料在主機和網路之間的交換,事實上,TCP/IP本身并未定義該層的協議,而由參與互連的各網路使用自己的物理層和資料鏈路層協議,然后與TCP/IP的網路接入層進行連接,地址決議協議(ARP)作業在此層,即OSI參考模型的資料鏈路層, |
各層對應的協議
| 層 | 協議 |
|---|---|
| 應用層 | TFTP、HTTP、SNMP、DNS、Telnet … |
| 傳輸層 | TCP、UDP |
| 網路層 | IP、ICMP、RIP、OSPF、BGP、IGMP |
| 資料鏈路層和物理層 | SLIP、CSLIP、PPP、ARP、RARP、MTU、IEE802、… |
下面將針對與TCP/IP模型進行設備介紹及攻擊和防御,
TCP/IP物理層
物理層的設備有中繼器、集線器、雙絞線、同軸電纜、光纖等,主要是用于位元流傳輸,這層不會對資料進行修改,物理層確保原始的資料可在各種物理媒體上傳輸,局域網與廣域網皆屬第1、2層,
物理層安全
這里的主要安全問題人員上,物理黑客直接剪短網線簡單粗暴,這里我們主要不討論這層的安全問題,
TCP/IP資料鏈路層
資料鏈路層的主要設備有網橋、網卡、二層交換機,這里要引入一個概念MAC地址,MAC地址也叫物理地址,MAC地址的長度為48位(6個位元組),通常表示為12個16進制數如AA:AA:AA:AA:AA:AA,其中前三個位元組表示廠商,后三個位元組是廠商自己分配,只要是能夠聯網的設備都有一個全球唯一的MAC地址,資料鏈路層有個非常重要的設備二層交換機,
TCP/IP資料鏈路層安全
MAC泛洪攻擊
- MAC泛洪攻擊基礎知識
MAC泛洪攻擊是通過交換機學習MAC地址機制來進行的,在二層交換機的內部有一個MAC地址表,這個表內記錄交換機埠和MAC地址的對應關系這個表大概是這樣的:
| MAC地址 | 埠 |
|---|---|
| AA:AA:AA:AA:AA:AA | port-1 |
| BB:BB:BB:BB:BB:BB | port-2 |
| … | … |
這個表的大小根據廠商不同會有變化,一般的大小為8kb,交換機會對接入的設備進行學習,如果長時間未通信,交換機會對表內的記錄進行洗掉這也被稱為老化時間,當MAC表內沒有記錄的設備向交換機發送資料時交換機會進行廣播,
- MAC泛洪攻擊原理
泛洪攻擊的實作方法就是通過偽造大量的未知MAC地址進行通信,交換機進行不斷的學習,很快MAC表就會被充滿,這樣正常的主機的MAC地址在經過老化之后,就無法再添加到mac地址表中,導致之后的資料都變成了廣播, - 實驗環境
kali為攻擊機一臺虛擬交換機
交換機內MAC表學習
接著我們在kali中偽造MAC地址交換
dnsiff (macof)工具包安裝
apt-get install -y dsniff
macof #偽造
查看mac地址表
在kali偽造的時候使用client1 ping server1 會發送ICMP資料包我們使用kali抓包看能不能抓到
可以看到ping 192.168.252.200的包抓到了,這里證明是可以抓到client1 向server發送的資料的,
當MAC表滿了交換機會進行廣播,
- 防御方法
華為交換機
MAC泛洪攻擊的建議就是在介面模式中使用port-security,限制每個埠的MAC地址數量甚至MAC地址,
[Huawei-GigabitEthernet0/0/1]port-security enable 打開埠安全功能
[Huawei-GigabitEthernet0/0/1]port-security max-mac-num 1 限制安全MAC地址最大數量為1個,默認為1
[Huawei-GigabitEthernet0/0/1]port-security protect-action ? 配置其他非安全mac地址資料幀的處理動作
protect Discard packets 丟棄,不產生告警資訊
restrict Discard packets and warning 丟棄,產生告警資訊(默認的)
shutdown Shutdown 丟棄,并將埠shutdown
[Huawei-GigabitEthernet0/0/1]port-security aging-time 300 配置安全MAC地址的老化時間300s,默認不老化
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/336205.html
標籤:其他
上一篇:Nginx 網站部署
下一篇:騰訊云服務器安裝寶塔面板并把node+vue部署到云服務器,vue+elementUI+node檔案上傳專案超詳細