五层网络模型作用
| 五层模型 | 作用 |
|---|---|
| 应用层 | 主要用于解析域名,发送信息(想要连接) |
| 传输层 | 添加端口信息 |
| 网络层 | 添加源 IP,目标 IP |
| 数据链路层 | 添加本地和目标mac 地址 |
| 物理层 | 搞到网卡上,通过网卡发送出去 |
| 七层模型 | 作用 |
|---|---|
| 应用层 | 就是我们平时看到的图片,文字等东西 |
| 表示层 | 对于上面的东西进行编码 |
| 会话层 | 两个设备进行连接,搭建会话 |
| 传输层 | tcp,udp 这些协议对数据进行转发 |
| 网络层 | 各个中间段(路由设备)基于 ip 地址进行路由转发 |
| 数据链路层 | 各个路由设备之间可能由于硬件设施的不同导致协议也会有不一样的(例如:以太网协议,802.11 协议等) |
| 物理层 | 就是物理设施(硬件设备这些) |
交换机是一个二层(物理层,数据链路层)设备,只能解析两层模型中的信息 路由器是一个三层(物理层,数据链路层,网络层)设备,只能解析三层模型中的信息
不过,现在家用路由器是一个集合了交换机的,是一个能解析五层模型信息的了
GFW 工作原理
| 拦截方式 | 方式 | 效果 | 应对措施 |
|---|---|---|---|
| DNS 污染 | - DNS 缓存投毒:攻击者将恶意或错误的 IP 地址注入到 DNS 解析服务器的缓存中。当用户请求一个域名时,他们会被指向一个错误的 IP 地址,可能是攻击者控制的服务器。 - DNS 拦截与篡改:在用户请求 DNS 解析的路径上,攻击者拦截并修改请求或响应,返回伪造的 IP 地址。 | - 用户被引导到错误或恶意的网站,例如钓鱼网站,导致隐私泄露或安全问题。 - 导致用户无法访问特定的合法网站或服务,达到审查或封锁目的。 | - 使用安全的 DNS 服务(如 DNS over HTTPS/DoH)。 - 实施 DNSSEC 以验证 DNS 响应的真实性。 |
| TCP 重置攻击 | - 伪造 TCP 重置包:攻击者伪造一个看似来自连接两端之一的 TCP 重置包(TCP RST),然后将其发送给受害者。 - 中间人位置的干扰:如果攻击者在用户和目标服务器之间的位置(如 ISP),可以观察到 TCP 会话,并发送伪造的 TCP RST 包终止会话。 | - 中断用户和服务器之间的 TCP 连接,使得无法继续传输数据。 - 常用于审查或阻断特定的服务,例如通过终止连接来阻止访问某个网站。 | - 使用加密协议(如 HTTPS)来保护数据传输。 - 实施防火墙和入侵检测系统(IDS)来识别和阻止恶意的 TCP 重置包。 |
| IP 封锁 | - 路由器级别的封锁:在网络的边界路由器或防火墙上,配置规则直接丢弃来自或发送到特定 IP 地址的流量。 - 黑名单管理:将某些 IP 地址添加到黑名单中,网络设备或软件根据黑名单拒绝相应的流量。 | - 彻底阻断对特定 IP 地址的访问,防止用户访问某些网站或服务器。 - 在大规模网络(如国家防火墙)中,可用于实施网络审查和控制。 | - 使用代理或 VPN 服务来绕过 IP 封锁。 - 使用动态 IP 分配或 CDN 服务来隐藏真实的 IP 地址。 |
| 主动探测 | - 扫描和探测流量:使用扫描工具定期向网络中各个 IP 地址发送探测包(如 Ping,TCP SYN),检测哪些地址正在响应。 - 流量分析:通过监控流量模式,识别并记录正在通信的 IP 地址和端口号,分析其用途和行为。 | - 能够识别并追踪特定的通信或服务,有助于识别绕过封锁的代理或 VPN 服务器。 - 在审查和网络防御中,可用于检测和阻断未授权的通信。 | - 隐藏或混淆服务的真实 IP 地址。 - 使用防火墙和入侵检测系统来检测和阻止异常的探测行为。 |
| 中间人攻击 | - 拦截和篡改流量:攻击者在通信双方之间插入自己,拦截和篡改双方之间传递的数据包。 - 伪造身份:攻击者冒充通信的另一方,与受害者建立虚假的连接(例如使用伪造的 SSL/TLS 证书)。 | - 攻击者可以窃取、篡改或记录敏感信息,如登录凭证、信用卡信息等。 - 可能导致严重的安全和隐私问题,尤其是在金融和个人信息交易中。 | - 使用强加密(如 SSL/TLS)来保护通信。 - 验证通信双方的身份(如通过证书和密钥交换)。 |
==光猫(光纤调制解调器)开启 NAT 功能意味着光猫将启用网络地址转换(Network Address Translation, NAT)功能。这是一种在家庭或小型办公室网络中常用的技术,它允许多台设备通过一个公共的 IP 地址访问互联网。==
什么是 NAT?
NAT(网络地址转换)是一种在网络设备(如路由器或光猫)上实现的技术,用于将私有 IP 地址转换为公共 IP 地址。其主要功能包括:
- 地址转换: 将本地网络中的私有 IP 地址转换为公共 IP 地址,使局域网内的多台设备能够通过一个或少量的公共 IP 地址访问互联网。
- 提高安全性: 隐藏局域网内的设备 IP 地址,增加网络安全性,减少外部攻击的风险。
- 节省 IP 地址: 由于 IPv 4 地址有限,NAT 技术可以缓解 IP 地址短缺的问题。
NAT 的工作原理
当局域网内的设备需要访问互联网时,数据包首先到达光猫或路由器。光猫或路由器将设备的私有 IP 地址和端口号转换为公共 IP 地址和新端口号,并记录这个映射关系。当数据包返回时,光猫或路由器根据记录的映射关系,将数据包转换回原始的私有 IP 地址和端口号,并发送给对应的设备。
NAT 类型
NAT 有几种类型,常见的包括:
- 静态 NAT(Static NAT): 每一个私有 IP 地址对应一个公共 IP 地址,适用于需要固定 IP 地址的设备。
- 动态 NAT(Dynamic NAT): 使用一组公共 IP 地址池来映射私有 IP 地址,但每次映射不固定。
- 端口地址转换(PAT,Port Address Translation): 也称为“端口重载”,允许多个设备共享一个公共 IP 地址,但通过不同的端口号来区分不同设备的连接。
NAT 网络
NAT 网络通常指使用 NAT 技术的局域网。典型的家庭网络或小型办公室网络都是 NAT 网络。这样的网络结构中,所有设备通过一个公共 IP 地址连接到互联网,而在内部网络中使用私有 IP 地址。
光猫开 NAT 的意义
光猫开启 NAT 功能的好处包括:
- 共享互联网连接: 允许多台设备通过一个公共 IP 地址访问互联网,方便家庭或办公室网络的设备连接。
- 提高安全性: 隐藏局域网内部设备的 IP 地址,减少外部网络攻击的风险。
- 灵活的网络配置: 通过 NAT,可以轻松管理和配置家庭或办公室网络的设备和连接。
总的来说,光猫开 NAT 是家庭或小型办公室网络的一种常见配置方式,有助于实现多设备共享互联网连接并提高网络安全性。
使用Wireshark等抓包工具
如果Clash的日志和DNS缓存中没有显示详细的域名信息,可以使用抓包工具如Wireshark来捕获并分析网络流量。
- 安装Wireshark: 下载并安装Wireshark。
- 开始抓包: 选择网络接口开始捕获数据包。
- 过滤DNS包: 使用过滤条件(如
dns)查看DNS查询包,找到对应的域名解析请求和响应。 - 分析流量: 找到对应的连接,查看其中的DNS解析过程。