网络模型解析（透彻理解 OSI 7 层模型和 TCP/IP 4 层模型之间的关系）

【读懂原理】网络模型详解(彻底明白 OSI 七层与 TCP/IP 四层模型关系)

摘要

说明：本文您将了解到

1. 网络为什么划分层次？
2. OSI 七层模型与五层模型的历史渊源。彻底搞懂网络模型历史。
3. 了解五层模型
4. 了解五层模型中的每一层的攻击防御手段

一.网络模型详解

1.1

1.什么是网络分层

1.1 为什么要分层

当我们讨论一个比较复杂的系统时，总是将复杂的系统划分为多个小的、功能相对独立的模块或者子系统。这样我们就可以将注意力集中在这个复杂系统的某个特定的部分，这就是模块化的思想。因为计算机网络要解决的问题非常大，非常复杂，所以需要利用模块化的思想将其划分为多个模块来处理和设计。人们发现层次式的模块划分方法特别适合网络系统，因此目前所有的网络系统都采用分层的体系结构。

2.2 OSI 七层模型与 TCP/IP 四层模型历史渊源

早期的网络体系结构：

1974 年，美国的 IBM 公司宣布了它研制的系统网络体系结构 SNA(System Network Architecture)，这个著名的网络标准就是按照分层的方法制定的。不久后，其他—些公司也相继推出本公司的一套体系结构。这些网络体系结构的共同点是都采用层次结构模型，但是层次划分和功能分配均不相同。

国际机构开始队网络结构规范化管理：

为了使不同体系结构的计算机网络都能互联，国际标准化组织(International Organization for Standardization ISO)于 1977 年成立了专门机构研究该问题。不久，他们就提出一个试图使用各种计算机在世界范围内互联成网的标准框架。即著名的开放系统互连基本参考模型 OSI/RM(Opensystems Interconnection Reference Model)简称为 OSI。“开放”是指：只要遵循 OSI 标准，一个系统就可以和位于世界上任何地方的、也遵循同一标准的其他任何系统进行通信。在 1983 年形成了开放系统互连基本参考模型的正式文件，即著名的 ISO 7498 国际标准，也就是所谓的七层协议的体系结构。

TCP/IP 成为不是标准的标准：

在 OSI 模型之前，TCP/IP 协议簇已经在运行了，并且逐步演变为 TCP/IP 参考模型，虽然整套的 OSI 国际标准都已经制定出来了，但这时因特网已抢先在全世界覆盖了相当大的范围，因此得到最广泛应用的不是法律上的国际标准 OSI，而是非国际标准 TCP/IP。这样，TCP/IP 就被称为是事实上的国际标准，法律上的标准还是 OSI。这也从侧面说明了，谁有市场谁才是标准。

为什么出现五层协议模型：

TCP/IP 是一个四层结构，OSI 是一个七层结构，所以在学习的时候我们使用的是折中的方法，采用一种五层协议的原理体系结构，这样既简洁又能将概念阐述清楚。

什么是协议：

那么每一层是如何解析的呢？比如我发送一个 10，如果我们用十进制解码那这个就是我们十进制的 10，如果是二进制解码那就是 1 和 0，但是如果我们提前规定好，1 表示“你” 0 表示“好”，那么我们达成这个协议，那么当传来 10 时你就会翻译为“你好”。那么网络中也是一样的，每一层都会有不同的功能和不同的协议。

总结：

通过以上可以看出对应的每一层都有对应的协议与功能，而且这些协议与功能都是人设置的，对安全漏洞的解释中说了这样一句话：“一切由人类实现的系统中都会不同程度的存在实现和设置上的各种潜在错误。因而在所有系统中必定存在某些安全漏洞，无论这些漏洞是否已被发现，也无论该系统的理论安全级别如何。”那么在我们把网络分为这么多的层级，每个层级又对应着各种各样的协议和功能，那么就会产生各种各样的安全隐患。下面我们来简单看一下各个层次所面临的安全隐患以及对应防护手段。

二.什么是网络分层安全隐患

2.1 物理层

● 攻击手段：a. 破坏光纤网线 b. 实时电子信号的干扰等● 防范手段：a. 物理设备的接入采用双线、双设备接入，保证物理线路和物理设备的可靠性，并处于监管的状态 b. 使用网屏的网线，也就是屏蔽网线 c. 接口处使用屏蔽的水晶头等

2.2 数据链路层

● 攻击手段 a. MAC 泛洪攻击泛洪攻击的实现方法就是通过伪造大量的未知 MAC 地址进行通信，交换机进行不断的学习，很快 MAC 表就会被充满，这样正常的主机的 MAC 地址在经过老化之后，就无法再添加到 mac 地址表中，导致之后的数据都变成了广播。b. 基于 mac 地址的伪装欺骗● 防范手段：a. 限制交换机学习 MAC 地址的数量 b. 把交换机端口与主机 MAC 进行动态绑定

2.3网络层

● 攻击手段：a. IP 分片攻击、ping of death（死亡之 ping）、IP 欺骗伪造攻击，其通性都是通过制造大量的无用数据包，对目标服务器或者主机发动攻击，使得目标对外拒绝服务，可以理解为 DDOS 或者是类 DDOS 攻击。b. ARP 欺骗 ARP（地址解析协议）是根据 IP 地址获取物理地址的一个 TCP/IP 协议。通常情况下，在 IP 数据包发送过程中会存在一个子网或者多个子网主机利用网络级别第一层，而 ARP 则充当源主机第一个查询工具，在未找到 IP 地址相对应的物理地址时，将主机和 IP 地址相关的物理地址信息发送给主机。与此同时，源主机将包括自身 IP 地址和 ARP 检测的应答发送给目的主机。如果 ARP 识别链接错误，这样的话 ARP 直接应用可疑信息，那么可疑信息就会很容易进入目标主机当中。ARP 协议没有状态，不管有没有收到请求，主机会将任何收到的 ARP 相应自动缓存。如果信息中带有病毒，采用 ARP 欺骗就会导致网络信息安全泄露。因此，在 ARP 识别环节，应加大保护，建立更多的识别关卡，不能只简单通过 IP 名进行识别，还需充分参考 IP 相关性质等。c. ICMP 欺骗 ICMP 协议也是因特网控制报文协议，主要用在主机与路由器之间进行控制信息传递。通过这一协议可对网络是否通畅、主机是否可达、路由是否可用等信息进行控制。一旦出现差错，数据包会利用主机进行即时发送，并自动返回描述错误的信息。该协议在网络安全当中是十分重要的协议。但由于自身特点的原因，其极易受到入侵，通常而言，目标主机在长期发送大量 ICMP 数据包的情况下，会造成目标主机占用大量 CPU 资源，最终造成系统瘫痪。● 防范手段 a. 对于一些洪攻击，启动限流策略,例如：针对同一 IP 限制 ICMP 报文的数量，超过数据就进行丢弃。b. 对于 ARP 欺骗可以在终端设备与路由器上使用双向 MAC 地址绑定的方式解决、也可以通过 PPPoE 认证

2.4 传输层

针对传输层的攻击主要是利用 TCP/UDP 协议进行攻击，而利用 TCP 协议攻击主要是利用 TCP 协议的三次握手机制，向目标主机或者服务器发送大量连接请求但是不对其进行响应，使得占用大量目标服务器主机资源，造成瘫痪的攻击方式。● 攻击手段 a. SYN Flood 攻击 b. ACK Flood 攻击 c. UDP Flood 攻击● 防护方式 a. 针对 SYN Flood 攻击，可以使用对 SYN 包进行监视、延缓 TCB 分配方法等方式 b. 对 ACK Flood 攻击，可以 ACK 报文速率进行统计，当 ack 报文速率超过阈值启动源认证防御 c. 对于 UDP Flood 攻击，可以使用特征匹配进行拦截

2.5 应用层

● 攻击手段 a. DNS Request Flood 攻击、Reply Flood 攻击、缓存投毒攻击 b. CC 攻击 c. 缓存溢出攻击 d. 针对 WEB 应用的攻击：CSRF、SQL 注入、网页篡改等● 防护手段：a. 针对 DNS 攻击，可以进行 IP 地址和 MAC 地址的绑定、对 DNS 数据包进行监测 b. 对于软件开发，要规范开发与测试的流程，预防常见漏洞发生并及时更新升级软件修复 BUGc. 在代码中需要对用户提交的数据进行合规校验

以上是我们介绍的网络层次结构模型，以及每一层对应的协议、功能、攻击手段以及防护手段。

文中图片来源于网络，如有侵权，请联系删除！！