渗透测试学习笔记（五）网络

一.IP地址

1. IP地址详解

ip地址是唯一标识，一段网络编码
局域网（内网）：交换机-网线-pc
x.x.x.x 32位置2进制（0-255）

IP地址五大类

IP类型	IP范围
A类	0.0.0.0 到 127.255.255.255
B类	128.0.0.0 到191.255.255.255
C类	192.0.0.0 到 223.255.255.255
D类（组播地址）	224.0.0.0 到 239.255.255.255
E类（科研使用）	240.0.0.0 到247.255.255.255

常用的内网地址号段

10.x.x.x
172.16.x.x~172.31.x.x
192.168.x.x
随意的IP地址也可（保留这样的地址供其使用是为了避免以后接入公网时引起地址混乱）

2. 网关

一个网络的出口，一版网关再路由器上
路由器：可用于连接内外网的设备
PC发包流程

首相判断目标IP与自己是否在同一个网段
如果在同一个网段，则直接发送出去，不找网关
如果不在用一个网段，则发包给网关

3.DNS域名服务

Domain Name Service
域名服务
作用:为客户机提供域名解析服务器
域名组成

国家顶级域 cn jp hk uk
商业顶级域 com
政府机构 gov
教育机构 edu
民间组织 org
域名组成

  www.baidu.com.

二级域名（点）一级域名（点）根域（点）
3. 监听端口：

TCP-53
UDP-53

DNS解析种类

递归查询：客户机和本地DNS服务器之间
迭代查询：本地DNS服务器和跟等其他DNS服务器解析过程
1）递归查询：客户机与本地DNS服务器之间
2）迭代查询：本地DNS服务器与根等其他DNS服务器的解析过程

域名解析的记录类型主要包括以下几种:

域名解析的记录类型	基础概念	优势	应用场景
A记录（Address Record）	A记录是最基本的DNS记录类型，用于将域名指向一个IP4地址	简单易用	将域名解析到具体的服务器IP地址，使用户能够通过域名访问网站
AAAA类（Quad-A Record）	AAAA记录与A记录类似，但用于将域名指向一个IP6地址	支持IP6地址，适用于需要IP6支持的网络环境	将域名解析到IPv6地址。
CNAME记录（Canonical Name Record）	CNAME记录用于将一个域名指向另一个域名，即别名记录。	可以将多个域名指向同一个目标域名，简化管理。	当多个子域名需要指向同一个主域名时使用
MX记录（Mail Exchange Record）	MX记录用于指定邮件服务器的地址，处理域名的电子邮件	确保电子邮件能够正确路由到指定的邮件服务器	配置域名邮箱服务
TXT记录（Text Record）	TXT记录用于存储任意文本信息，通常用于验证域名所有权、SPF（发件人策略框架）	用于多种验证和配置目的	SPF记录、DKIM（域名密钥识别邮件签名）记录、DMARC（域名基础邮件认证报告和遵从性）记录
NS记录（Name Server Record）	NS记录用于指定域名的DNS服务器地址	确保域名能够被正确解析	配置域名的DNS服务器

DNS服务器分类

主要名称服务器
辅助名称服务器
根名称服务器
高速缓存名称服务器

客户机域名请求解析顺序
DNS缓存–>本地hosts文件–>本地DNS服务器
服务器对域名请求的处理顺序
1.DNS高速缓存2.本地区域解析文件 3.转发器 4。根
DNS Over HTTPS DOH

4.DHCP（Dynamic Host configure Protocol）自动分配IP地址

地址池/作用域
IP，子网掩码，网关，DNS，租期
DHCP协议端口是UDP 67/68

DHCP原理

租约过程：

客户机发送DHCP Discovery广播包–DHCP Discovery发现，客户机广播请求IP地址（包含客户机的MAC地址）
服务器响应DHCP Offer广播包，DHCP Offer-提供IP地址（但是无子网掩码，网关等参数）
客户机发送DHCP Request广播包， DHCP Request 选择确定一个IP地址后请求相关的其他信息，客户机选择IP
服务器发送DHCP ACK广播包，ACK确认，服务器确定了租约，提供网卡详细参数IP，掩码，网关，DNS，租约等

续约过程：

当50%过后，客户机会再次发送DHCP Request包进行续约，如服务器无响应，则继续使用并在87.5%再次发送DHCP Request包，进行续约
如果仍旧无响应，就释放IP地址重新发送DHCP Discovery广播包来获取IP地址
当无法人和服务器响应时，自动给自己分配一个169.254.X.X/16，属于全球统一无效地址，用于临时内网通信
攻击与防御：
频繁的发送伪装DHCP请求，直到将DHCP地址资源池资源耗尽
防御：交换机端口上做动态MAC地址绑定
伪装DHCP服务器攻击：hack通过将自己部署为DHCP服务器，为客户机提供非法ip地址
防御：在交换机上除合法的DHCP服务器所在的端口外，全部设置禁止发送dhcp offer包

二.OSI模型

分层

将复杂的流程分解为几个功能相对单一的子过程
整个流程清晰，复杂问题简单化
更容易发现问题,针对性解决

1.七层模型

应用层应用层
表示层表示层
会话层会话层
传输层传输层
网络层网络层网络层
数字链路层数字链路层数字链路层
物理层 ----> 物理层 ----> 物理层
pc 网关 pc

2.五层模型

把表示层和会话层并入应用层

3.常见的协议

应用层
传输层
网络层

模型	协议
应用层	http:80,https 443；ssh 22；DNS 53；Telnet 23； Ftp:20；DHCP：2167；SMTP ：68
传输层	TCP UDP
网络层	ICMP IP ARP
数据链路层	MAC子协议层
物理层

三.数据链路层

第2层
传输单元：帧
帧结构

帧头内容：目标MAC，源MAC，类型
类型的作用：识别上层协议
0x0800：上层为IP协议
0x0806：上层为ARP协议

数据链路层的设备：交换机/网卡
交换机的工作原理：
收到一个数据帧后：
首先学习帧中的源MAC地址来形成MAC地址表
检查帧中的目标MAC地址，并匹配MAC地址表 -如果表中有匹配项，则单播转发，如果表中无匹配项，则除接收端口外广播转发
MAC地址表的老化时间默认为300s（可修改）

MAC地址老化：

为适应网络变化，MAC表需要不断更新
MAC表中自动生成的表项（即动态MAC表项）并非永久有效，每一条表项都有一个生存周期，到达生存周期仍得不到更新的表项将被删除，这个生存周期被称为老化时间
如果达到生存周期前记录被更新，则该表项的老化时间重新计算。

四.路由

为IP包选择路径的过程
路由器选择路径的唯一依据就是路由表

1.路由器工作原理

一个帧到达路由，路由首先检查目标MAC地址是否是自己，如果不是则丢弃，如果是则解封装，将IP包送到路由器内部
路由器检查IP包头中的目标IP，并匹配路由表，如果匹配失败就丢弃，并向源ip回馈错误信息，如果匹配成功，则将IP包路由到出接口
封装帧，首先将出接口的MAC地址作为源MAC封装号，然后检查ARP缓存表，检查是否有下一跳的MAC地址，将提取并作为目标MAC地址封装到帧中。
如果没有，则发送ARP广播请求下跳的MAC，并获取到对方的mac地址，再记录缓存，并封装帧，最后将帧发送出去。

五.ARP协议

APR协议

ARP协议用于将一个已知的IP地址解析成MAC地址
ARP缓存

 arp -a　　//查看缓存arp -d　　//清理缓存

1. 原理：

发送ARP广播请求

主机发送信息时将包含目标IP地址的ARP请求广播到局域网上的所有主机，并接收返回消息，以此确定目标的物理地址
收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源，
地址解析协议是建议在网络中各个主机互相信任的基础上，局域网上的主机可以自主发送ARP应答消息
其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；

ARP攻击或欺骗的原理
ARP攻击或欺骗额原理，通过发送伪造虚假的ARP报文（广播或单播），实现攻击或者欺骗
如虚假报文的mac是伪造不存在，实现ARP攻击结果：中断通信或者断网
如虚假报文的mac是攻击者自身的mac地址，实现ARP欺骗，结果可以监听、窃取、篡改、控制流量，但不中断通信！
ARP协议没有验证机制，所以容易被arp投毒攻击
ARP攻击者通过发送虚假伪造的arp报文对受害者进行ARP缓存投毒

五.ACL和安全组

ACL（Access Control Lists）和安全组是两种不同的访问控制机制，通常用于控制网络访问权限
ACL通常用于路由器和交换机等网络设备中，用来定义数据包的访问规则
安全组则是云计算环境（如AWS、Azure、Google Cloud等）中的概念，用于控制进出虚拟机实例或其他云资源的网络流量。
主要区别在于应用范围和控制粒度不同。ACL更底层，控制的是单个数据包的流入流出，而安全组更高级，可以看作是多个ACL规则的组合，控制的是实例级别或子网级别的访问权限