前言在网络安全领域不懂网络协议就如同不懂解剖学的医生。无论是分析网络攻击流量、配置防火墙规则还是进行内网渗透都离不开对网络协议的深入理解。本文将系统梳理计算机网络的核心知识——从OSI七层模型到TCP/IP协议栈从IP地址子网划分到常见网络攻击原理帮助网络安全初学者建立起扎实的网络基础。1. 计算机网络体系结构1.1 OSI七层模型OSIOpen Systems Interconnection模型是国际标准化组织ISO提出的网络通信标准框架。| 层号 | 层名 | 英文 | 功能 | 数据单位 | 协议示例 || 7 | 应用层 | Application | 提供网络服务给应用 | 数据 | HTTP、HTTPS、FTP、SMTP、DNS| 6 | 表示层 | Presentation | 数据加密、压缩、格式转换 | 数据 | SSL/TLS、JPEG、ASCII || 5 | 会话层 | Session | 建立、管理、终止会话 | 数据 | NetBIOS、RPC || 4 | 传输层 | Transport | 端到端通信、可靠传输 | 段Segment | TCP、UDP || 3 | 网络层 | Network | 路由选择、IP寻址 | 包Packet | IP、ICMP、ARP || 2 | 数据链路层 | Data Link | 相邻节点间数据帧传输 | 帧Frame | Ethernet、PPP || 1 | 物理层 | Physical | 比特流传输 | 比特Bit | 双绞线、光纤、无线电 |1.2 TCP/IP四层模型TCP/IP模型是实际互联网采用的体系结构更简洁实用。| 层级 | 名称 | 对应OSI层级 | 协议示例 || 4 | 应用层 | 应用层表示层会话层 | HTTP、HTTPS、FTP、SMTP、DNS、SSH || 3 | 传输层 | 传输层 | TCP、UDP || 2 | 网络层 | 网络层 | IP、ICMP、ARP、IGMP || 1 | 网络接口层 | 数据链路层物理层 | Ethernet、Wi-Fi、PPP |1.3 数据封装与解封装数据在发送端从上到下逐层添加头部封装在接收端从下到上逐层去除头部解封装。发送端封装过程应用层用户数据传输层添加TCP/UDP头部 → 数据段Segment网络层添加IP头部 → 数据包Packet数据链路层添加MAC头部尾部 → 数据帧Frame物理层转换为比特流传输接收端反向操作解封装2. 网络层核心协议2.1 IP协议IPInternet Protocol是网络层的核心协议负责寻址和路由。2.1.1 IPv4地址格式IPv4地址由32位二进制组成通常表示为点分十进制192 . 168 . 1 . 111000000 . 10101000 . 00000001 . 000000012.1.2 IP地址分类| 地址类 | 地址范围 | 默认子网掩码 | 用途 || A类 | 1.0.0.0 ~ 126.255.255.255 | 255.0.0.0 | 大型网络 || B类 | 128.0.0.0 ~ 191.255.255.255 | 255.255.0.0 | 中型网络 || C类 | 192.0.0.0 ~ 223.255.255.255 | 255.255.255.0 | 小型网络 || D类 | 224.0.0.0 ~ 239.255.255.255 | 无 | 组播地址 || E类 | 240.0.0.0 ~ 255.255.255.255 | 无 | 科研保留 |2.1.3 私有IP地址内网地址| 地址类 | 地址范围 | 网段数量 || A类 | 10.0.0.0 ~ 10.255.255.255 | 1个A类网段 || B类 | 172.16.0.0 ~ 172.31.255.255 | 16个B类网段 || C类 | 192.168.0.0 ~ 192.168.255.255 | 256个C类网段 |网络安全意义私有IP地址不能在公网路由需要通过NAT转换访问互联网。2.1.4 特殊IP地址| 地址 | 用途 || 0.0.0.0 | 默认路由表示所有网络接口 || 127.0.0.1 | 本地回环地址localhost || 255.255.255.255 | 广播地址 || 169.254.x.x | DHCP分配失败时的链路本地地址 |2.2 子网划分与CIDR2.2.1 子网掩码子网掩码用于区分IP地址的网络部分和主机部分。IP地址 192.168.1.100子网掩码 255.255.255.0网络地址 192.168.1.0 IP 子网掩码主机地址 0.0.0.1002.2.2 CIDR表示法CIDR无类别域间路由用斜杠表示网络前缀长度| CIDR | 子网掩码 | 可用IP数量 | 示例 || /8 | 255.0.0.0 | 16,777,214 | 10.0.0.0/8 || /16 | 255.255.0.0 | 65,534 | 172.16.0.0/16 || /24 | 255.255.255.0 | 254 | 192.168.1.0/24 || /30 | 255.255.255.252 | 2 | 点对点链路 |2.3 IPv6简介IPv6是下一代互联网协议解决IPv4地址枯竭问题。| 特性 | IPv4 | IPv6 || 地址长度 | 32位 | 128位 || 地址数量 | 约43亿 | 2^128个 || 地址表示 | 点分十进制 | 十六进制冒号分隔 || 安全性 | 需额外配置 | IPSec原生支持 || 示例 | 192.168.1.1 | 2001:0db8:85a3::8a2e:0370:7334 |-3. 传输层核心协议3.1 TCP协议TCPTransmission Control Protocol提供面向连接、可靠的传输服务。3.1.1 TCP头部格式0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1-------------------------------------------------------------| 源端口16位 | 目的端口16位 |-------------------------------------------------------------| 序列号32位 |-------------------------------------------------------------| 确认应答号32位 |------------------------------------------------------|首部长度| 保留 | URG | ACK | PSH | RST | SYN | FIN | 窗口 ||4位 |3位| | | | | | |16位 |------------------------------------------------------| 校验和16位 |-------------------------------------------------------------| 紧急指针16位 |-------------------------------------------------------------3.1.2 TCP标志位| 标志位 | 名称 | 作用 || SYN | Synchronize | 建立连接时同步序列号 || ACK | Acknowledgment | 确认收到数据 || FIN | Finish | 关闭连接 || RST | Reset | 重置连接 || PSH | Push | 立即推送数据 || URG | Urgent | 紧急数据 |3.1.3 TCP三次握手网络安全意义- SYN Flood攻击攻击者发送大量SYN请求但不完成握手耗尽服务器资源- 连接劫持攻击者猜测序列号伪造TCP包3.1.4 TCP四次挥手3.2 UDP协议UDPUser Datagram Protocol提供无连接、不可靠的传输服务。3.2.1 UDP头部格式| 偏移量 | 字段 | 长度 | 说明 | | 0 | 源端口 | 16位 | 发送方端口号可选0表示无 | | 16 | 目的端口 | 16位 | 接收方端口号 | | 32 | 长度 | 16位 | UDP头部数据的总字节数 | | 48 | 校验和 | 16位 | 可选检测传输错误 |3.2.2 TCP vs UDP| 特性 | TCP | UDP || 连接方式 | 面向连接 | 无连接 || 可靠性 | 可靠确认重传 | 不可靠 || 顺序保证 | 有 | 无 || 流量控制 | 有 | 无 || 拥塞控制 | 有 | 无 || 头部大小 | 20-60字节 | 8字节 || 传输速度 | 较慢 | 较快 || 典型应用 | HTTP、HTTPS、SSH、FTP | DNS、视频流、游戏、VoIP |网络安全意义- UDP Flood攻击发送大量UDP包耗尽带宽- DNS放大攻击利用UDP无连接特性放大流量4. 应用层常见协议4.1 HTTP/HTTPS| 协议 | 端口 | 特点 || HTTP | 80 | 明文传输不安全 || HTTPS | 443 | 加密传输使用SSL/TLS |4.2 DNS域名系统| 类型 | 端口 | 作用 || DNS查询 | UDP 53 | 域名解析 || DNS区域传输 | TCP 53 | 主从DNS同步 |网络安全意义- DNS劫持篡改DNS响应指向恶意网站- DNS隧道利用DNS协议绕过防火墙4.3 其他常见协议| 协议 | 端口 | 用途 || SSH | 22 | 安全远程管理 || FTP | 20/21 | 文件传输 || Telnet | 23 | 不安全的远程管理 || SMTP | 25 | 邮件发送 || POP3 | 110 | 邮件接收 || IMAP | 143 | 邮件同步 || SMB | 445 | Windows文件共享 || RDP | 3389 | Windows远程桌面 || MySQL | 3306 | 数据库服务 || Redis | 6379 | 缓存服务 |5. 常见网络攻击原理5.1 ARP欺骗原理攻击者发送伪造的ARP响应将网关IP映射到攻击者的MAC地址。正常情况客户端(192.168.1.2) ←→ 网关(192.168.1.1) ←→ 互联网ARP欺骗后客户端(192.168.1.2) ←→ 攻击者(192.168.1.100) ←→ 网关(192.168.1.1)↑中间人攻击窃听、篡改防御静态ARP表、动态ARP检测DAI5.2 DNS劫持原理攻击者篡改DNS响应将域名解析到恶意IP。正常www.bank.com → 1.2.3.4真实银行服务器DNS劫持www.bank.com → 5.6.7.8钓鱼网站防御DNSSEC、使用可信DNS服务器、HTTPS HSTS5.3 DDoS攻击| 类型 | 攻击目标 | 典型攻击 || 网络层 | 带宽 | UDP Flood、ICMP Flood || 传输层 | 连接资源 | SYN Flood、ACK Flood || 应用层 | 应用服务 | HTTP Flood、CC攻击 |防御CDN、高防IP、流量清洗、限流策略5.4 中间人攻击MITM原理攻击者位于通信双方之间窃听、篡改通信内容。常见场景- 不安全的Wi-Fi热点- ARP欺骗- SSL剥离防御使用HTTPS、证书校验、VPN6. 网络检测工具6.1 WiresharkWireshark是最流行的网络协议分析工具。常用功能- 抓包分析- 过滤规则- 跟踪TCP流常用过滤器text按IP过滤ip.addr 192.168.1.1ip.src 192.168.1.1ip.dst 192.168.1.1按协议过滤tcpudphttpdnsarp按端口过滤tcp.port 80tcp.dstport 443组合条件tcp and ip.src 192.168.1.16.2 tcpdump命令行抓包工具适合服务器环境。bash抓取所有包tcpdump -i eth0抓取HTTP流量tcpdump -i eth0 -A port 80抓取指定IPtcpdump -i eth0 host 192.168.1.1保存到文件tcpdump -i eth0 -w capture.pcap读取pcap文件tcpdump -r capture.pcap6.3 Nmap网络扫描工具用于发现主机和端口。bash扫描端口nmap 192.168.1.1nmap -p 1-1000 192.168.1.1扫描网段nmap 192.168.1.0/24操作系统识别nmap -O 192.168.1.1服务版本探测nmap -sV 192.168.1.1脚本扫描nmap --scriptvuln 192.168.1.16.4 Netstat查看网络连接状态。bash查看所有连接netstat -an查看监听端口netstat -an | grep LISTEN查看TCP连接状态统计netstat -an | grep tcp | awk {print $6} | sort | uniq -c查看程序占用端口需要rootnetstat -anp7. 常用端口速查表| 端口 | 协议 | 服务 | 安全风险 || 20,21 | TCP | FTP | 明文传输 || 22 | TCP | SSH | 暴力破解风险 || 23 | TCP | Telnet | 极不安全 || 25 | TCP | SMTP | 邮件中继风险 || 53 | UDP/TCP | DNS | 缓存投毒 || 80 | TCP | HTTP | 明文传输 || 110 | TCP | POP3 | 明文传输 || 135,139,445 | TCP | SMB | 勒索病毒常用 || 143 | TCP | IMAP | 明文传输 || 443 | TCP | HTTPS | 相对安全 || 3306 | TCP | MySQL | 配置不当可被攻击 || 3389 | TCP | RDP | 暴力破解风险 || 6379 | TCP | Redis | 未授权访问 || 27017 | TCP | MongoDB | 未授权访问 |结语计算机网络是网络安全的基石。无论是分析攻击流量、配置防火墙规则还是进行内网渗透都离不开对TCP/IP协议的深刻理解。给初学者的建议1. 动手抓包用Wireshark抓取自己的网络流量观察TCP三次握手2. 记住常用端口至少记住20个常见服务端口3. 理解CIDR子网划分是网络规划的基础4. 熟悉工具tcpdump、nmap、netstat是必备技能网络基础学好了后续学习防火墙配置、入侵检测、渗透测试都会事半功倍。