Модель OSI (7 уровней)
7. Прикладной уровень (Application Layer)
- Функции: Начало взаимодействия пользователя с сетью, предоставление сервисов (веб, почта), аутентификация, пользовательский интерфейс
- PDU: Данные
- Протоколы и порты:
- HTTP — 80/TCP
- HTTPS — 443/TCP
- TELNET — 23/TCP
- SSH — 22/TCP
- FTP — 20/21/TCP
- RDP — 3389/UDP
- TFTP — 69/UDP
- DHCP — 67/68/UDP
- DNS — 53/TCP/UDP
- SNMP — 161/162/TCP
- SMTP — 25/TCP
- POP3 — 110/TCP
- IMAP — 143/TCP
- NTP — 123/TCP
- LDAP — 389/TCP
Пример: Вы открываете Gmail — это прикладной уровень. Браузер использует
HTTPS (443/
TCP).
Атаки на 7 уровне:
- Phishing — поддельный сайт имитирует настоящий (например, fake-bank.com), чтобы украсть логин и пароль.
- SQL-инъекция — ввод вредоносного кода в форму на сайте (например,
' OR '1'='1) для доступа к базе данных.
- DNS-спуфинг — подмена DNS-ответа, чтобы перенаправить пользователя на фальшивый сайт.
- Сессионная подделка (Session Hijacking) — перехват куки авторизации и вход под чужой учётной записью.
6. Уровень представления (Presentation Layer)
- Функции: Перевод данных (ASCII/EBCDIC), шифрование, сжатие
- PDU: Данные
Пример: HTTPS использует SSL/TLS на этом уровне для шифрования.
Атаки на 6 уровне:
- SSL-Strip — атакующий понижает HTTPS до HTTP, чтобы перехватить данные в открытом виде.
- Heartbleed — уязвимость в OpenSSL позволяет читать память сервера, включая ключи шифрования и пароли.
- Downgrade Attack — принудительное понижение версии TLS, чтобы использовать уязвимые шифры.
5. Сеансовый уровень (Session Layer)
- Функции: Установление, поддержание и завершение сеансов, контрольные точки, выбор режима (HDX/FDX)
- PDU: Данные
- Протоколы:
- RPC — 135/TCP/UDP
- NETBIOS — 137/138/UDP
- SIP — 5060/5061/TCP/UDP
- RTP — 16384–32767/UDP
Пример: Звонок в Zoom — сеанс установлен, идёт обмен данными.
Атаки на 5 уровне:
- Session Hijacking — перехват идентификатора сеанса (session ID) через перехват трафика или XSS.
- Session Fixation — злоумышленник заставляет жертву использовать предсказуемый ID сеанса.
- SIP-инъекции — подмена SIP-сообщений для перехвата VoIP-вызовов.
4. Транспортный уровень (Transport Layer)
- Функции: Сегментация, надёжная доставка, контроль потока, порядковые номера, подтверждения
- PDU: Сегмент (TCP), Датаграмма (UDP)
- Протоколы: TCP, UDP
Пример: Загрузка файла —
TCP (гарантия). Он разбивает файл на части, нумерует, отправляет и ждёт подтверждения.
Атаки на 4 уровне:
- SYN Flood — DDoS-атака: тысячи SYN-пакетов без завершения handshake, перегружают сервер.
- Port Scanning — сканирование открытых портов для поиска уязвимостей.
- Session Hijacking (TCP) — подмена порядковых номеров для перехвата соединения.
- UDP Flood — отправка большого количества UDP-пакетов на случайные порты, вызывая перегрузку.
3. Сетевой уровень (Network Layer)
- Функции: Маршрутизация, фрагментация, логическая адресация (IP), управление потоком, обнаружение ошибок
- PDU: Пакет
- Устройства: Роутер, L3-коммутатор, фаервол
- Протоколы: IP, ICMP, ARP (частично)
Пример: Ваш пакет идёт из Москвы в Новосибирск через несколько роутеров.
Атаки на 3 уровне:
- IP Spoofing — подмена IP-адреса отправителя, чтобы обойти фильтрацию или атаковать сервер.
- Smurf-атака — отправка ICMP-запросов на broadcast-адрес с поддельным IP жертвы, вызывая наводнение ответами.
- Routing Table Poisoning — подмена маршрутов в роутере (например, через RIP), чтобы перенаправить трафик.
- ICMP Redirect — ложное сообщение, меняющее маршрут пакета.
2. Канальный уровень (Data Link Layer)
- Функции: Инкапсуляция в кадры, MAC-адресация, передача от узла к узлу, обнаружение ошибок (CRC)
- PDU: Кадр
- Подуровни: MAC, LLC
- Протоколы: ARP, PPP, PPTP, L2TP, HDLC
- Устройства: Коммутатор, мост, NIC
Пример: В офисе вы отправляете файл коллеге. Коммутатор смотрит на MAC-адрес.
Атаки на 2 уровне:
- ARP Spoofing/Poisoning — подмена MAC-адреса в ARP-таблице, чтобы перехватить трафик (MITM).
- MAC Flooding — переполнение таблицы MAC-адресов коммутатора, заставляя его работать как хаб (все кадры в broadcast).
- WEP Cracking — взлом Wi-Fi с использованием уязвимостей WEP.
- STP Manipulation — подмена BPDU-пакетов, чтобы стать корневым мостом и контролировать трафик.
1. Физический уровень (Physical Layer)
- Функции: Передача битов, кабели, сигналы, напряжения, синхронизация
- PDU: Биты
- Технологии: Ethernet, Wi-Fi, ISDN, DSL
- Устройства: Хаб, репитер, модем
Пример: Вы подключаетесь к Wi-Fi — физический уровень передаёт 0 и 1 через радиоволны.
Атаки на 1 уровне:
- Physical Tap — подключение к кабелю (например, Ethernet) для прослушивания трафика.
- Wi-Fi Jamming — создание помех в Wi-Fi диапазоне, чтобы нарушить связь.
- Evil Twin — поддельная Wi-Fi сеть с таким же именем, чтобы перехватить данные.
- Packet Sniffing — перехват нешифрованного трафика в локальной сети.
IP-адреса: белые и серые, маски и подсети
Виды IP-адресов
| Тип | Описание | Пример |
|---|
| Публичный (белый) |
Уникальный в интернете |
8.8.8.8 |
| Приватный (серый) |
Используется в локальных сетях |
192.168.1.1, 10.0.0.1 |
| Loopback |
Для тестирования (сам на себя) |
127.0.0.1 |
| Multicast |
Один к группе |
224.0.0.1 – 239.255.255.255 |
| Broadcast |
Один ко всем |
255.255.255.255 |
🌐 Белые (публичные) IP-адреса
Что это: Уникальные адреса, видимые в интернете. Каждое устройство с белым IP может быть найдено напрямую.
Где используются: Веб-серверы, почтовые серверы, публичные камеры.
Диапазоны: Все, кроме приватных. Например: 8.8.8.8, 1.1.1.1, 93.184.216.34 (example.com)
Пример: Ваш домашний интернет-провайдер выдаёт вам белый IP. Вы можете запустить сервер, и его увидят в интернете.
☁️ Серые (приватные) IP-адреса
Что это: Адреса, используемые внутри локальных сетей. Не видны в интернете напрямую.
Зачем нужны: Экономия публичных IP, безопасность, NAT.
Диапазоны (RFC 1918):
- 10.0.0.0 — 10.255.255.255 (/8) — крупные сети
- 172.16.0.0 — 172.31.255.255 (/12) — средние сети
- 192.168.0.0 — 192.168.255.255 (/16) — домашние сети
Пример: Ваш ноутбук в домашней сети имеет IP 192.168.1.10. Это серый адрес. При выходе в интернет он преобразуется в белый через NAT.
Как работает NAT (Network Address Translation)
NAT позволяет нескольким устройствам с серыми IP использовать один белый IP для выхода в интернет.
Пример: В вашем доме 5 устройств с IP 192.168.1.x. Все они выходят в интернет через один белый IP (например, 94.25.12.44), выданный провайдером.
Маска подсети и CIDR: подробное объяснение
Маска подсети определяет, какая часть IP-адреса относится к сети, а какая — к устройству (хосту).
CIDR (Classless Inter-Domain Routing) — это способ записи маски в формате /24, где число — количество бит, выделенных под сеть.
Что такое октет?
IPv4-адрес состоит из 4 чисел (например, 192.168.1.10). Каждое число — это октет, то есть 8 бит.
Всего: 4 октета × 8 бит = 32 бита.
Пример: IP: 192.168.1.10 → Октеты: 192 | 168 | 1 | 10
Как подсчитать количество хостов?
Формула: Количество хостов = 2^n - 2, где n — количество бит, выделенных под хосты.
Зачем вычитать 2? Первый адрес — номер сети, последний — broadcast (нельзя использовать).
Примеры масок и подсетей
| CIDR | Маска | Бит под хосты | Кол-во хостов | Пример сети |
|---|
| /24 |
255.255.255.0 |
8 |
2⁸ - 2 = 254 |
192.168.1.0 |
| /25 |
255.255.255.128 |
7 |
2⁷ - 2 = 126 |
192.168.1.0 |
| /26 |
255.255.255.192 |
6 |
2⁶ - 2 = 62 |
192.168.1.0 |
| /27 |
255.255.255.224 |
5 |
2⁵ - 2 = 30 |
192.168.1.0 |
| /30 |
255.255.255.252 |
2 |
2² - 2 = 2 |
192.168.1.0 |
Пример /24: В сети 192.168.1.0/24 доступны IP от 192.168.1.1 до 192.168.1.254.
Пример /30: Используется для соединения двух роутеров (только 2 хоста).
IPv4 vs IPv6
| IPv4 | IPv6 |
|---|
| 32 бита | 128 бит |
| 4 октета | 8 групп |
| 10-чный формат | 16-чный формат |
| 192.168.1.1 | 2001:db8::1 |
| ARP | NDP |
| NAT | NAT-PT |
| ICMP | ICMPv6 |
NDP (Neighbor Discovery Protocol): заменяет ARP в IPv6.
NAT-PT: позволяет взаимодействовать IPv4 и IPv6 сетям.
Ключевые протоколы
DNS — телефонная книга интернета
- Порт: 53/TCP/UDP
- Функция: Преобразует
google.com → 142.250.181.46
- Процесс: Запрос → Резолвер → Корневой сервер → TLD → Авторитетный сервер
- Кэширование: Для повышения скорости и уменьшения нагрузки на DNS-серверы ответы кэшируются как на резолвере, так и на отдельных устройствах.
- Записи:
- A — доменное имя → IPv4
- AAAA — доменное имя → IPv6
- CNAME — псевдоним (например, www → example.com)
- MX — почтовый сервер
- TXT — текстовые данные (например, SPF)
Пример: Вы вводите vk.com. Браузер спрашивает DNS-резолвер: "Какой IP у vk.com?" — и получает ответ.
Атаки на DNS:
- DNS Spoofing (или Cache Poisoning): Злоумышленник подменяет ответ DNS-сервера, вставляя ложную запись в кэш. Пользователь попадает на фальшивый сайт. Пример: поддельный сайт Google.
- DDoS Amplification: Используются открытые DNS-резолверы для атаки жертвы. Злоумышленник отправляет маленький запрос с поддельным IP жертвы, а сервер отвечает большим пакетом. Трафик умножается в 50–100 раз.
- Pharming: Атака на DNS-сервер или hosts-файл, чтобы перенаправить весь трафик на вредоносный сайт.
- Защита: DNSSEC — цифровая подпись для DNS-записей, проверяет подлинность.
DHCP — автоматическая настройка IP
- Порты: 67 (сервер), 68 (клиент)
- Процесс DORA:
- Discover: "Я тут! Кто даст IP?"
- Offer: "Вот IP: 192.168.1.10"
- Request: "Принимаю!"
- Ack: "IP выдан на 24 часа"
Пример: Вы подключаете ноутбук к Wi-Fi. DHCP-сервер в роутере автоматически даёт вам IP, маску и DNS.
Атаки на DHCP:
- DHCP Starvation: Злоумышленник отправляет тысячи DHCP Discover, исчерпывая пул IP-адресов. Новые устройства не могут подключиться. Похоже на DoS.
- DHCP Spoofing: Поддельный DHCP-сервер выдаёт жертве вредоносные настройки: ложный DNS (например, 8.8.8.8 → 1.1.1.1), ложный шлюз. Это позволяет перехватить трафик (MITM).
- Защита: DHCP Snooping на коммутаторах — блокирует DHCP-ответы с портов, где не должен быть сервер.
ARP — поиск по MAC-адресу
- Функция: Находит MAC по IP в локальной сети
- ARP-Request: широковещательный ("Кто 192.168.1.3?")
- ARP-Response: точечный ("Это я!")
Пример: ПК1 хочет отправить файл ПК3. Он не знает MAC-адрес, поэтому кричит всем: "Кто 192.168.1.3?". ПК3 отвечает: "Я!".
Атаки на ARP:
- ARP Spoofing (или Poisoning): Злоумышленник отправляет ложные ARP-ответы, заявляя: "Я — шлюз 192.168.1.1, мой MAC — AA:BB:CC:DD:EE:FF". Теперь весь трафик идёт через него. Это MITM-атака.
- ARP Cache Overflow: Отправка множества ARP-сообщений, чтобы переполнить таблицу ARP на устройстве.
- Защита: Static ARP entries, ARP Inspection на коммутаторах, использование HTTPS.
TCP vs UDP
| TCP | UDP |
|---|
| Надёжный, с подтверждением | Быстрый, без подтверждения |
| HTTP, FTP, SMTP | DNS, DHCP, VoIP |
Пример TCP: Отправка письма — важно, чтобы всё пришло без потерь.
Пример UDP: Онлайн-игра — важна скорость, даже если один пакет потеряется.
Атаки: SYN Flood (TCP), DDoS (UDP)
TCP 3-Way Handshake
- SYN — клиент: "Хочу соединиться"
- SYN-ACK — сервер: "Принято, подтверждаю"
- ACK — клиент: "Соединение установлено"
Пример: При открытии сайта браузер устанавливает TCP-соединение с веб-сервером через 3-way handshake.