OSI参考模型介绍
开放式系统互联通信参考模型(英语:Open System Interconnection Reference Model,缩写为 OSI),简称为OSI模型(OSI model),一种概念模型,由国际标准化组织提出,一个试图使各种计算机在世界范围内互连为网络的标准框架。定义于ISO/IEC 7498-1。
| 名称 | 作用 |
|---|---|
| 物理层 | 将数据转换为可通过物理介质传送的电子信号 相当于邮局中的搬运工人。 |
| 数据链路层 | 决定访问网络介质的方式。在此层将数据分帧,并处理流控制。本层指定拓扑结构并提供硬件寻址,相当于邮局中的装拆箱工人。 |
| 网络层 | 使用权数据路由经过大型网络 相当于邮局中的排序工人。 |
| 传输层 | 提供终端到终端的可靠连接 相当于公司中跑邮局的送信职员。 |
| 会话层 | 允许用户使用简单易记的名称建立连接 相当于公司中收寄信、写信封与拆信封的秘书。 |
| 表示层 | 协商数据交换格式 相当公司中简报老板、替老板写信的助理。 |
| 应用层 | 用户的应用程序和网络之间的接口。 |
TCP/IP模型介绍
OSI模型只适用于理论,在实际生产中我们使用的是TCP/IP五层模型,因为在OSI出现之前tcp/ip模型已经广泛应用,主要的网络设备也是根据tcp/ip模型,所以OSI只是理论模型,其实两个模型非常相似,只是OSI更加细化更加的完整。
OSI与TCP/IP对应关系
TCP/IP是一组用于实现网络互连的通信协议。Internet网络体系结构以TCP/IP为核心。基于TCP/IP的参考模型将协议分成四个层次,它们分别是:网络访问层、网际互联层(主机到主机)、传输层、和应用层,也可以分为五层分别是应用层、传输层、网络层、数据链路层、物理层。
| 名称 | 作用 |
|---|---|
| 应用层 | 应用层对应于OSI参考模型的高层,为用户提供所需要的各种服务,例如:FTP、Telnet、DNS、SMTP等. |
| 传输层 | 传输层对应于OSI参考模型的传输层,为应用层实体提供端到端的通信功能,保证了数据包的顺序传送及数据的完整性。该层定义了两个主要的协议:传输控制协议(TCP)和用户数据报协议(UDP).TCP协议提供的是一种可靠的、通过“三次握手”来连接的数据传输服务;而UDP协议提供的则是不保证可靠的(并不是不可靠)、无连接的数据传输服务. |
| 网际互联层 | 网际互联层对应于OSI参考模型的网络层,主要解决主机到主机的通信问题。它所包含的协议设计数据包在整个网络上的逻辑传输。注重重新赋予主机一个IP地址来完成对主机的寻址,它还负责数据包在多种网络中的路由。该层有三个主要协议:网际协议(IP)、互联网组管理协议(IGMP)和互联网控制报文协议(ICMP)。IP协议是网际互联层最重要的协议,它提供的是一个可靠、无连接的数据报传递服务。 |
| 网络接入层(即主机-网络层) | 网络接入层与OSI参考模型中的物理层和数据链路层相对应。它负责监视数据在主机和网络之间的交换。事实上,TCP/IP本身并未定义该层的协议,而由参与互连的各网络使用自己的物理层和数据链路层协议,然后与TCP/IP的网络接入层进行连接。地址解析协议(ARP)工作在此层,即OSI参考模型的数据链路层。 |
各层对应的协议
| 层 | 协议 |
|---|---|
| 应用层 | TFTP、HTTP、SNMP、DNS、Telnet … |
| 传输层 | TCP、UDP |
| 网络层 | IP、ICMP、RIP、OSPF、BGP、IGMP |
| 数据链路层和物理层 | SLIP、CSLIP、PPP、ARP、RARP、MTU、IEE802、… |
下面将针对与TCP/IP模型进行设备介绍及攻击和防御。
TCP/IP物理层
物理层的设备有中继器、集线器、双绞线、同轴电缆、光纤等,主要是用于比特流传输,这层不会对数据进行修改,物理层确保原始的数据可在各种物理媒体上传输。局域网与广域网皆属第1、2层。
物理层安全
这里的主要安全问题人员上,物理黑客直接剪短网线简单粗暴,这里我们主要不讨论这层的安全问题。
TCP/IP数据链路层
数据链路层的主要设备有网桥、网卡、二层交换机,这里要引入一个概念MAC地址,MAC地址也叫物理地址,MAC地址的长度为48位(6个字节),通常表示为12个16进制数如AA:AA:AA:AA:AA:AA,其中前三个字节表示厂商,后三个字节是厂商自己分配,只要是能够联网的设备都有一个全球唯一的MAC地址。数据链路层有个非常重要的设备二层交换机。
TCP/IP数据链路层安全
MAC泛洪攻击
- MAC泛洪攻击基础知识
MAC泛洪攻击是通过交换机学习MAC地址机制来进行的,在二层交换机的内部有一个MAC地址表,这个表内记录交换机端口和MAC地址的对应关系这个表大概是这样的:
| MAC地址 | 端口 |
|---|---|
| AA:AA:AA:AA:AA:AA | port-1 |
| BB:BB:BB:BB:BB:BB | port-2 |
| … | … |
这个表的大小根据厂商不同会有变化,一般的大小为8kb,交换机会对接入的设备进行学习,如果长时间未通信,交换机会对表内的记录进行删除这也被称为老化时间,当MAC表内没有记录的设备向交换机发送数据时交换机会进行广播。
- MAC泛洪攻击原理
泛洪攻击的实现方法就是通过伪造大量的未知MAC地址进行通信,交换机进行不断的学习,很快MAC表就会被充满,这样正常的主机的MAC地址在经过老化之后,就无法再添加到mac地址表中,导致之后的数据都变成了广播。 - 实验环境
kali为攻击机一台虚拟交换机
交换机内MAC表学习
接着我们在kali中伪造MAC地址交换
dnsiff (macof)工具包安装
apt-get install -y dsniff
macof #伪造
查看mac地址表
在kali伪造的时候使用client1 ping server1 会发送ICMP数据包我们使用kali抓包看能不能抓到
可以看到ping 192.168.252.200的包抓到了,这里证明是可以抓到client1 向server发送的数据的。
当MAC表满了交换机会进行广播。
- 防御方法
华为交换机
MAC泛洪攻击的建议就是在接口模式中使用port-security,限制每个端口的MAC地址数量甚至MAC地址。
[Huawei-GigabitEthernet0/0/1]port-security enable 打开端口安全功能
[Huawei-GigabitEthernet0/0/1]port-security max-mac-num 1 限制安全MAC地址最大数量为1个,默认为1
[Huawei-GigabitEthernet0/0/1]port-security protect-action ? 配置其他非安全mac地址数据帧的处理动作
protect Discard packets 丢弃,不产生告警信息
restrict Discard packets and warning 丢弃,产生告警信息(默认的)
shutdown Shutdown 丢弃,并将端口shutdown
[Huawei-GigabitEthernet0/0/1]port-security aging-time 300 配置安全MAC地址的老化时间300s,默认不老化