Cybersecurity

CISP学习指南:网络基础知识

Created   Updated
CISP
  1. 一、TCP/IP协议体系
  2. 二、信息安全威胁分类
  3. 三、IP地址管理
  4. 四、VLAN技术
  5. 五、DDoS攻击参考
  6. 六、总结

网络基础知识是信息安全的重要基础,本文详细介绍TCP/IP协议、威胁分类和IP地址管理等核心概念。

一、TCP/IP协议体系

1.1 TCP/IP协议概述

TCP/IP协议是Internet的基础协议,也是Internet构成的基础。TCP/IP通常被认为是一个四层协议,每一层都使用它的下一层所提供的网络服务来完成自己的功能。

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

💡 TCP/IP是四层协议

四层结构:

  1. 应用层:提供应用程序接口
  2. 传输层:提供端到端通信
  3. 网络层:提供路由和寻址
  4. 网络接口层:提供物理传输

与OSI七层模型的对应:

  • TCP/IP应用层 = OSI应用层 + 表示层 + 会话层
  • TCP/IP传输层 = OSI传输层
  • TCP/IP网络层 = OSI网络层
  • TCP/IP网络接口层 = OSI数据链路层 + 物理层

1.2 TCP/IP各层功能详解

各层功能对比:

层次 名称 主要功能 典型协议 数据单位
第4层 应用层 为应用程序提供网络服务 HTTP, FTP, SMTP, DNS 消息/数据
第3层 传输层 提供端到端的可靠传输 TCP, UDP 段(Segment)
第2层 网络层 路由选择和逻辑寻址 IP, ICMP, ARP 包(Packet)
第1层 网络接口层 物理寻址和数据传输 以太网, Wi-Fi 帧(Frame)

1.3 TCP/IP与OSI模型对比

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

主要区别:

特征 OSI模型 TCP/IP模型
层数 7层 4层
性质 理论模型 实际应用
开发时间 1970年代后期 1970年代早期
应用范围 教学和理论研究 Internet实际应用
灵活性 较严格 较灵活

二、信息安全威胁分类

2.1 威胁能力层面分类

信息系统面临外部攻击者的恶意攻击威胁,从威胁能力和掌握资源分,这些威胁可以按照个人威胁、组织威胁和国家威胁三个层面划分。

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

2.2 三个威胁层面详解

威胁层面对比:

威胁层面 典型攻击者 动机 能力 资源
个人威胁 娱乐型黑客、脚本小子 恶作剧、自我挑战、炫耀 较低 有限
组织威胁 犯罪团伙、黑客组织 经济利益、政治目的 中等到高 较多
国家威胁 情报机构、信息作战部队 情报收集、战略优势 非常高 国家级

💡 威胁层面特征

个人威胁:

  • 动机:娱乐、挑战、炫耀
  • 能力:相对有限
  • 影响:通常较小
  • 例子:脚本小子、业余黑客

组织威胁:

  • 动机:经济利益、政治目的
  • 能力:专业化、组织化
  • 影响:可能造成重大损失
  • 例子:勒索软件团伙、APT组织

国家威胁:

  • 动机:国家安全、战略优势
  • 能力:最高级别
  • 影响:可能影响国家安全
  • 例子:国家情报机构、网络战部队

2.3 威胁应对策略

针对不同威胁层面的防护策略:

Z3JhcGggVEIKICAgIEFbIuWogeiDgeW6lOWvueetlueVpSJdCiAgICAKICAgIEJbIuS4quS6uuWogeiDgemYsuaKpCJdCiAgICBDWyLnu4Tnu4flqIHog4HpmLLmiqQiXQogICAgRFsi5Zu95a625aiB6IOB6Ziy5oqkIl0KICAgIAogICAgQSAtLT4gQgogICAgQSAtLT4gQwogICAgQSAtLT4gRAogICAgCiAgICBCIC0tPiBCMVsi5Z+656GA5a6J5YWo5o6q5pa9Il0KICAgIEIgLS0+IEIyWyLlronlhajmhI/or4bln7norq0iXQogICAgQiAtLT4gQjNbIuW4uOinhOebkeaOpyJdCiAgICAKICAgIEMgLS0+IEMxWyLmt7HluqbpmLLlvqEiXQogICAgQyAtLT4gQzJbIuWogeiDgeaDheaKpSJdCiAgICBDIC0tPiBDM1si5LiT5Lia5Zui6ZifIl0KICAgIAogICAgRCAtLT4gRDFbIuWbveWutue6p+mYsuaKpCJdCiAgICBEIC0tPiBEMlsi5oiY55Wl6Ziy5b6hIl0KICAgIEQgLS0+IEQzWyLlpJrlsYLpmpTnprsiXQogICAgCiAgICBzdHlsZSBCIGZpbGw6I2U4ZjVlOSxzdHJva2U6IzM4OGUzZAogICAgc3R5bGUgQyBmaWxsOiNmZmYzZTAsc3Ryb2tlOiNmNTdjMDAKICAgIHN0eWxlIEQgZmlsbDojZmZjZGQyLHN0cm9rZTojYzYyODI4

三、IP地址管理

3.1 私有IP地址概述

私有IP地址是一段保留的IP地址,只使用在局域网中,无法在Internet上使用。私有地址在A类、B类和C类地址中都有定义。

Z3JhcGggVEIKICAgIEFbIklQ5Zyw5Z2A5YiG57G7Il0KICAgIAogICAgQlsi5YWs5pyJSVDlnLDlnYAiXQogICAgQ1si56eB5pyJSVDlnLDlnYAiXQogICAgCiAgICBBIC0tPiBCCiAgICBBIC0tPiBDCiAgICAKICAgIEIgLS0+IEIxWyLlj6/lnKhJbnRlcm5ldOS9v+eUqCJdCiAgICBCIC0tPiBCMlsi5YWo55CD5ZSv5LiAIl0KICAgIEIgLS0+IEIzWyLpnIDopoHnlLPor7ciXQogICAgCiAgICBDIC0tPiBDMVsi5LuF5bGA5Z+f572R5L2/55SoIl0KICAgIEMgLS0+IEMyWyLlj6/ph43lpI3kvb/nlKgiXQogICAgQyAtLT4gQzNbIuaXoOmcgOeUs+ivtyJdCiAgICAKICAgIEMgLS0+IERbIkHnsbvnp4HmnInlnLDlnYAiXQogICAgQyAtLT4gRVsiQuexu+engeacieWcsOWdgCJdCiAgICBDIC0tPiBGWyJD57G756eB5pyJ5Zyw5Z2AIl0KICAgIAogICAgRCAtLT4gRDFbIjEwLjAuMC4wLzgiXQogICAgRSAtLT4gRTFbIjE3Mi4xNi4wLjAvMTIiXQogICAgRiAtLT4gRjFbIjE5Mi4xNjguMC4wLzE2Il0KICAgIAogICAgc3R5bGUgQiBmaWxsOiNlM2YyZmQsc3Ryb2tlOiMxOTc2ZDIKICAgIHN0eWxlIEMgZmlsbDojZThmNWU5LHN0cm9rZTojMzg4ZTNkCiAgICBzdHlsZSBEIGZpbGw6I2ZmZjNlMCxzdHJva2U6I2Y1N2MwMAogICAgc3R5bGUgRSBmaWxsOiNmZmYzZTAsc3Ryb2tlOiNmNTdjMDAKICAgIHN0eWxlIEYgZmlsbDojZmZmM2UwLHN0cm9rZTojZjU3YzAw

3.2 私有IP地址范围

三类私有IP地址详解:

类别 地址范围 CIDR表示 地址数量 典型用途
A类 10.0.0.0 - 10.255.255.255 10.0.0.0/8 16,777,216 大型企业网络
B类 172.16.0.0 - 172.31.255.255 172.16.0.0/12 1,048,576 中型企业网络
C类 192.168.0.0 - 192.168.255.255 192.168.0.0/16 65,536 家庭和小型网络

💡 私有IP地址特点

使用范围:

  • 只能在局域网内使用
  • 不能直接在Internet上路由
  • 需要通过NAT访问Internet

优势:

  • 节省公有IP地址资源
  • 提高网络安全性
  • 灵活配置内部网络

三类地址都有私有范围:

  • A类:10.0.0.0/8
  • B类:172.16.0.0/12
  • C类:192.168.0.0/16

3.3 NAT(网络地址转换)

私有IP地址需要通过NAT(Network Address Translation)才能访问Internet。

Z3JhcGggTFIKICAgIEFbIuWGhee9keiuvuWkhzxici8+MTkyLjE2OC4xLjEwIl0KICAgIEJbIk5BVOi3r+eUseWZqDxici8+56eB5pyJSVA6IDE5Mi4xNjguMS4xPGJyLz7lhazmnIlJUDogMjAzLjAuMTEzLjUiXQogICAgQ1siSW50ZXJuZXQiXQogICAgRFsi55uu5qCH5pyN5Yqh5ZmoPGJyLz45My4xODQuMjE2LjM0Il0KICAgIAogICAgQSAtLT58Iua6kDogMTkyLjE2OC4xLjEwPGJyLz7nm67moIc6IDkzLjE4NC4yMTYuMzQifCBCCiAgICBCIC0tPnwi5rqQOiAyMDMuMC4xMTMuNTxici8+55uu5qCHOiA5My4xODQuMjE2LjM0InwgQwogICAgQyAtLT4gRAogICAgCiAgICBzdHlsZSBBIGZpbGw6I2U4ZjVlOSxzdHJva2U6IzM4OGUzZAogICAgc3R5bGUgQiBmaWxsOiNmZmYzZTAsc3Ryb2tlOiNmNTdjMDAKICAgIHN0eWxlIEMgZmlsbDojZTNmMmZkLHN0cm9rZTojMTk3NmQyCiAgICBzdHlsZSBEIGZpbGw6I2YzZTVmNSxzdHJva2U6IzdiMWZhMg==

NAT的工作原理:

  1. 内网到外网

    • 内网设备使用私有IP发送数据包
    • NAT路由器将源IP替换为公有IP
    • 记录映射关系(端口映射表)
    • 转发到Internet

  2. 外网到内网

    • 接收来自Internet的响应数据包
    • 查找端口映射表
    • 将目标IP替换为私有IP
    • 转发给内网设备

3.4 IP地址分类回顾

传统IP地址分类:

类别 第一字节范围 默认子网掩码 网络数 主机数 用途
A类 1-126 255.0.0.0 126 16,777,214 大型网络
B类 128-191 255.255.0.0 16,384 65,534 中型网络
C类 192-223 255.255.255.0 2,097,152 254 小型网络
D类 224-239 - - - 组播
E类 240-255 - - - 保留

⚠️ 特殊IP地址

保留地址:

  • 127.0.0.0/8:本地回环地址
  • 0.0.0.0:默认路由
  • 255.255.255.255:广播地址

私有地址:

  • 10.0.0.0/8(A类)
  • 172.16.0.0/12(B类)
  • 192.168.0.0/16(C类)

四、VLAN技术

4.1 VLAN概述

虚拟局域网(VLAN,Virtual Local Area Network)是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的技术。

🌐 VLAN的核心作用

VLAN可以将广播流限制在固定区域内,降低网络的带宽消耗,提高网络性能和安全性。

4.2 广播风暴问题

ARP广播问题场景:

Z3JhcGggVEIKICAgIEFbIuiuoeeul+acukHlj5HpgIFBUlDor7fmsYIiXQogICAgQlsi5Lqk5o2i5py6MeaUtuWIsOivt+axgiJdCiAgICBDWyLovazlj5HliLDmiYDmnInlhbbku5bnq6/lj6MiXQogICAgRFsi5Lqk5o2i5py6MuOAgTPjgIE044CBNSJdCiAgICBFWyLmiYDmnInlrqLmiLfnq6/mlLbliLDor7fmsYIiXQogICAgRlsi572R57uc5bim5a695raI6ICXIl0KICAgIAogICAgQSAtLT4gQgogICAgQiAtLT4gQwogICAgQyAtLT4gRAogICAgRCAtLT4gRQogICAgRSAtLT4gRgogICAgCiAgICBzdHlsZSBGIGZpbGw6I2ZmY2RkMixzdHJva2U6I2M2MjgyOA==

问题描述:

在基于以太网的通信中:

  • 计算机A需要与计算机B通信
  • A必须先广播"ARP请求信息"获取B的物理地址
  • 交换机收到ARP请求后,会转发给接收端口以外的所有端口
  • ARP请求会被发到网络中的所有客户上
  • 月底用户量大时,网络服务速度极其缓慢

广播风暴的影响:

影响方面 具体表现 严重程度
带宽消耗 大量广播占用带宽 🔴 高
网络性能 响应速度变慢 🔴 高
设备负载 交换机处理压力大 🟡 中
用户体验 服务缓慢甚至中断 🔴 高

4.3 VLAN解决方案

✅ 最佳解决方案:VLAN划分

为降低网络的带宽消耗,将广播流限制在固定区域内,可以采用VLAN划分技术。

VLAN工作原理:

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

VLAN的优势:

  1. 限制广播域

    • 📡 广播只在同一VLAN内传播
    • 🚫 不会跨VLAN传播
    • 💾 大幅降低带宽消耗

  2. 提高安全性

    • 🔒 逻辑隔离不同部门
    • 🛡️ 防止未授权访问
    • 🔐 增强数据保护

  3. 灵活管理

    • 🔄 逻辑划分,不受物理位置限制
    • ⚙️ 易于调整和管理
    • 📊 简化网络架构

  4. 提升性能

    • ⚡ 减少不必要的流量
    • 🎯 优化网络资源利用
    • 📈 提高整体性能

4.4 其他方案对比

各种解决方案对比:

方案 能否解决广播问题 实施难度 成本 推荐度
VLAN划分 ✅ 是 🟢 低 💰 低 ⭐⭐⭐⭐⭐
动态分配地址 ❌ 否 🟢 低 💰 低
修改默认令牌 ❌ 否 🟡 中 💰 低
入侵防御系统 ❌ 否 🔴 高 💰💰💰 高

为什么VLAN是最佳方案:

🎯 VLAN解决广播风暴的原理

VLAN划分的核心作用:

  • 直接解决广播域过大的问题
  • 将广播流量限制在每个VLAN内
  • ARP请求只在同一VLAN内传播
  • 大幅降低网络带宽消耗

实施优势:

  • 配置简单,只需在交换机上设置
  • 成本低,无需额外设备
  • 是网络优化的标准方案
  • 同时提高安全性

其他方案为什么不适合:

动态分配地址(DHCP)

  • DHCP只是自动分配IP地址的协议
  • 不能限制或减少广播域
  • 无法解决ARP广播风暴问题

修改默认令牌

  • 主要用于提高设备安全性
  • 与广播域大小没有关系
  • 不能减少网络广播流量

入侵防御系统(IPS)

  • 用于检测和防御恶意政击
  • 不能限制正常的ARP广播流量
  • 成本高,不适合解决此问题

4.5 VLAN实施要点

VLAN划分策略:

VLAN划分示例(银行网络):
├── VLAN 10:柜台交易系统
├── VLAN 20:ATM网络
├── VLAN 30:办公网络
├── VLAN 40:服务器网络
└── VLAN 99:管理网络

广播域隔离:
- 每个VLAN是独立的广播域
- ARP请求只在本VLAN内广播
- 跨VLAN通信需要通过路由器

实施步骤:

  1. 规划VLAN

    • 根据业务部门划分
    • 根据安全级别划分
    • 考虑未来扩展

  2. 配置交换机

    • 创建VLAN
    • 分配端口到VLAN
    • 配置Trunk端口

  3. 测试验证

    • 验证VLAN隔离
    • 测试跨VLAN通信
    • 监控网络性能

  4. 文档记录

    • VLAN分配表
    • 端口映射表
    • 配置备份

VLAN配置示例:

# 创建VLAN
vlan 10
  name Sales
vlan 20
  name Technical
vlan 30
  name Finance

# 分配端口到VLAN
interface range fa0/1-10
  switchport mode access
  switchport access vlan 10

interface range fa0/11-20
  switchport mode access
  switchport access vlan 20

五、DDoS攻击参考

📖 DDoS攻击详细内容

DDoS攻击的详细说明(攻击类型、防护措施等)请参考: CISP学习指南:网络攻击与安全运营

DDoS攻击核心概念:

  • 目标:破坏系统可用性(Availability)
  • 方式:分布式、大规模流量攻击
  • 影响:服务中断、业务损失

六、总结

网络基础知识的核心要点:

  1. TCP/IP协议:四层协议模型,是Internet的基础
  2. 威胁分类:个人威胁、组织威胁、国家威胁
  3. 私有IP地址:A、B、C类都有私有地址范围
  4. NAT技术:实现私有IP访问Internet
  5. VLAN技术:限制广播域,提高网络性能和安全性
  6. DDoS攻击:破坏系统可用性的典型网络攻击

🎯 关键要点

  • TCP/IP是四层协议,不是七层(OSI是七层)
  • 犯罪团伙属于组织威胁,以经济利益为目的
  • A类、B类和C类地址中都有私有地址
  • 私有地址只能在局域网使用,需要NAT访问Internet
  • 理解不同威胁层面的特征和应对策略

💡 实践建议

  • 正确规划内网IP地址
  • 合理使用私有IP地址
  • 配置NAT实现Internet访问
  • 根据威胁层面制定防护策略
  • 建立分层防御体系
  • 部署DDoS防护措施
  • 定期评估网络安全状况
分享到