一、OSI 七层模型概述

OSI（Open Systems Interconnection，开放系统互连）七层模型是国际标准化组织（ISO）提出的网络通信参考模型，将网络通信功能划分为7个层次，从底层到顶层依次为：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。每层专注于特定功能，并通过接口与相邻层交互。以下是各层功能及典型安全风险：

二、OSI 七层模型各层功能与安全风险

三、TCP/IP 协议栈安全风险

TCP/IP是实际网络通信的核心协议族，与OSI模型并非严格对应（通常简化为4层：网络接口层、网际层、传输层、应用层）。以下是各层协议的具体安全风险及典型攻击：

1. 网络接口层（对应OSI物理层+数据链路层）

协议：以太网（Ethernet）、PPP、ARP、MAC。
核心风险：

• MAC地址泛洪攻击：攻击者向交换机发送大量伪造MAC地址的数据帧，填满交换机的CAM表（记录IP-MAC映射的缓存），导致交换机退化为“集线器”（广播所有流量），引发网络嗅探。
• ARP欺骗：攻击者伪造IP-MAC映射（如将网关IP映射到自己的MAC），使局域网内主机发送的流量经攻击者中转，实现数据窃听或篡改（中间人攻击）。
• 物理层窃听：通过无线信号（如Wi-Fi）或物理接触（如搭线）截获原始以太网帧，获取未加密数据（如HTTP明文流量）。

2. 网际层（对应OSI网络层）

协议：IP（IPv4/IPv6）、ICMP、路由协议（RIP、OSPF、BGP）。
核心风险：

• IP欺骗：攻击者伪造源IP地址（如将源IP设为合法用户或不存在的地址），发送恶意数据包（如SYN洪水、DDoS攻击），隐藏攻击源。
• 路由攻击：通过篡改路由协议（如BGP）的公告，将目标流量导向非法路径（如攻击者的服务器），导致流量劫持或窃取。
• ICMP洪水：利用ICMP协议（如Ping）发送海量请求（如ICMP Echo Request），耗尽目标设备的网络带宽或CPU资源（DDoS的一种）。

3. 传输层（对应OSI传输层）

协议：TCP、UDP、SCTP。
核心风险：

• TCP会话劫持：攻击者通过窃听或猜测TCP会话ID（Sequence Number），伪装成合法客户端或服务器，接管已建立的TCP连接（如远程登录会话）。
• UDP洪水攻击：UDP是无连接协议，攻击者发送大量伪造源IP的UDP数据包（如DNS查询、NTP请求），目标设备需处理这些无效流量，导致带宽耗尽。
• TCP SYN洪水：利用TCP三次握手的“半连接”状态（客户端发送SYN，服务器回复SYN-ACK但未收到ACK），攻击者发送大量SYN包但不响应ACK，填满服务器的半连接队列，导致无法接受新连接（DoS攻击）。

4. 应用层（对应OSI会话层+表示层+应用层）

协议：HTTP、HTTPS、FTP、SMTP、DNS、DHCP。
核心风险：

• HTTP未授权访问：Web服务器未配置访问控制（如未启用认证），攻击者直接访问敏感接口（如/admin后台）。
• SQL注入：Web应用未对用户输入（如URL参数、表单数据）做过滤，攻击者插入恶意SQL代码，操控数据库执行删除、查询等操作。
• XSS跨站脚本：Web应用未对用户输入的HTML/JS代码做转义，攻击者注入恶意脚本（如<script>alert(1)</script>），窃取用户Cookie或劫持会话。
• DNS劫持：攻击者篡改DNS服务器的解析结果（如将“ www.baidu.com ”指向恶意IP），导致用户访问钓鱼网站。

四、总结

OSI七层模型和TCP/IP协议栈是网络通信的“骨架”，但其设计初衷是实现通信效率，而非安全性。理解各层功能及安全风险，有助于针对性防护：

• 底层（物理/数据链路）：重点防范物理破坏和MAC层攻击（如端口安全、静态ARP绑定）；
• 网络层：关注IP欺骗和路由安全（如路由过滤、IPSec加密）；
• 传输层：通过防火墙和会话加密（TLS）防御SYN洪水、会话劫持；
• 应用层：依赖WAF、输入验证、安全编码（如预编译语句）抵御Web漏洞。