OSI参考模型简称为开放系统互连通信参考模型(opensysteminterconnectionreferencemodel,简称OSI )、OSI模型。 由国际标准化组织提出,在ISO/IEC 7498-1中定义了将各种计算机在世界范围内相互连接的标准框架。
名字物理层将数据转换为可以通过物理介质传输的电子信号就相当于邮局的运输工人。 数据链路层决定如何访问网络介质。 在此层将数据划分为帧,并处理流控制。 该层指定拓扑,提供硬件地址,相当于邮局的开箱工人。 网络层使用权数据路由经过大型网络相当于邮局的序列工人。 传输层提供从终端到终端的可靠连接,相当于在公司邮局奔跑的发送职员。 使用户能够轻松地以易记的名称建立连接,方法就是在公司里接收信件、写信封、拆信的秘书。 表示层协商数据交换形式,相当于公司的演示业主、为业主写信的助手。 APP应用层用户的APP应用程序和网络之间的接口。 TCP/IP模型介绍了OSI模型只适用于理论,实际生产中使用的是TCP/IP5层模型。 在OSI出现之前,TCP/IP模型已经被广泛使用,由于主要的网络设备也是基于TCP/IP模型的,OSI是一种理论模型,实际上两种模型非常相似,但是OSI更细化、更完整。
OSI与TCP/IP的对应关系
TCP/IP是用于实现网络互联的一系列通信协议。 互联网体系结构以TCP/IP为核心。 基于TCP/IP的参考模型将协议分为四个层次:网络接入层、互联网互连层(主机到主机)、传输层和APP传输层。 它还可以分为五个层次: APP应用层、传输层、网络层、数据链路层和物理层。
命名APP应用层对应于OSI参考模型的上层,为用户提供必要的各种服务,例如FTP、Telnet、DNS、SMTP等。 传输层对应于OSI参考模型的传输层,为APP应用层实体提供端到端的通信功能,确保数据包的顺序传输和数据的完整性。 该层定义了两个主要协议。 传输控制协议(TCP )和UDP.TCP协议提供可靠的三重握手连接的数据传输服务。 另一方面,UDP协议不保证(不是不可靠的),并且提供没有连接的数据传输服务。 互联网互联层互联网互联层对应OSI参考模型的网络层,主要解决主机与主机的通信问题。 包含设计数据包在整个网络上的逻辑传输的协议。 重点是为主机重新分配IP地址以完成主机寻址,它还负责通过各种网络路由数据包。 它有三个主要协议:互联网协议(IP )、互联网组管理协议(IGMP )和互联网控制消息传递协议(ICMP )。 IP协议是互联网互联层最重要的协议,提供可靠、无连接的数据报发布服务。 网络接入层或主机网络层的网络接入层对应于OSI参考模型的物理层和数据链路层。 监视主机和网络之间的数据交换。 事实上,TCP/IP本身并未定义此层的协议,参与互联的每个网络都使用自己的物理层和数据链路层协议与TCP/IP网络接入层进行连接。 地址解析协议(ARP )在此层或OSI参考模型的数据链路层中工作。 对应于各层协议
层协议APP应用层TFTP、HTTP、SNMP、DNS、Telnet …传输层TCP、UDP网络层IP、ICMP、RIP、OSPF、BGP、IGMP数据链路层和物理层SLIP、物理层SLIP
TCP/IP物理层设备包括中继器、集线器、双绞线、同轴电缆和光纤等,主要用于比特流传输。 该层不修改数据,物理层允许原始数据通过各种物理介质传输。 局域网和广域网都属于第1层、第2层。
物理层安全在这里的主要安全问题中,物理黑客直接把网线剪短是简单粗暴的,但这里主要不讨论这个安全问题。
TCP/IP数据链路层数据链路层的主要设备是网桥、网卡和第2层交换机,这里引入了概念MAC地址。 MAC地址也称为物理地址,并且MAC地址的长度为48位(6字节),对于数据链路层来说是非常重要的装置层,通常称为12个十六进制数字,例如aa : aa 3360 aa 3360 aa 3360 aa
TCP/IP数据链路层安全MAC泛洪攻击MAC泛洪攻击的基础知识
MAC泛洪攻击是通过交换机学习MAC地址机制进行的,双层交换机内部有MAC地址表。 此表介绍了交换机端口与MAC地址之间的对应关系。 这个表大概是这样的: MAC地址端口aa : aa : aa : aa port-1bb : bb : bb : bb 3360 bb 3360 bb 3360 bb bb port-2……这个表是一般的表如果长时间不通信,交换机将删除表中的记录。 这也称为老化时间,当MAC表中未记录的设备向交换机发送数据时,由交换机进行广播。
MAC泛洪攻击原理
泛洪攻击的实现方法是伪造大量未知的MAC地址进行通信。 交换机不断地进行学习,很快MAC表就满了。 这样,已知良好的主机MAC地址老化后将无法添加到MAC地址表中,后续数据将被广播。 实验环境
kali是攻击机的虚拟交换机
交换机内MAC表的学习
r> 接着我们在kali中伪造MAC地址交换dnsiff (macof)工具包安装 apt-get install -y dsniffmacof #伪造
查看mac地址表
在kali伪造的时候使用client1 ping server1 会发送ICMP数据包我们使用kali抓包看能不能抓到
可以看到ping 192.168.252.200的包抓到了,这里证明是可以抓到client1 向server发送的数据的。
当MAC表满了交换机会进行广播。
华为交换机
MAC泛洪攻击的建议就是在接口模式中使用port-security,限制每个端口的MAC地址数量甚至MAC地址。 [Huawei-GigabitEthernet0/0/1]port-security enable 打开端口安全功能[Huawei-GigabitEthernet0/0/1]port-security max-mac-num 1 限制安全MAC地址最大数量为1个,默认为1[Huawei-GigabitEthernet0/0/1]port-security protect-action ? 配置其他非安全mac地址数据帧的处理动作 protect Discard packets 丢弃,不产生告警信息 restrict Discard packets and warning 丢弃,产生告警信息(默认的) shutdown Shutdown 丢弃,并将端口shutdown[Huawei-GigabitEthernet0/0/1]port-security aging-time 300 配置安全MAC地址的老化时间300s,默认不老化