HCIA学习笔记

最新推荐文章于 2024-03-22 23:44:36 发布

学习HCIA的小白

最新推荐文章于 2024-03-22 23:44:36 发布

阅读量169

点赞数

文章标签：学习方法 Powered by 金山文档

本文链接：https://blog.csdn.net/m0_74848570/article/details/128510502

版权

计算机技术

抽象语言--- 电信号

抽象语言--- 编码 --- 应用层

编码--- 二进制 --- 表示层

二进制--- 电信号 --- 介质访问控制层（数据链路层）

处理或传递电信号--- 物理层

对等网

1，延长传输距离

2，增加节点数量

集线器--- HUB

1，地址--- MAC地址--- 48位 --- 物理地址 --- 介质访问控制层

2，冲突--- CSMA/CD --- 载波侦听多路访问/冲突检测--- 排队

3，延迟

4，安全

新需求：

1，完全解决冲突 --- 所有节点可以同时收发数据

2，无限延长传输距离

3，实现单播 --- 一对一的通信

点分十进制（IPV4）：点分十进制（Dotted Decimal Notation）全称为点分（点式）十进制表示法，是IPv4的IP地址标识方法。IPv4中用四个字节表示一个IP地址，每个字节按照十进制表示为0~255。点分十进制就是用4组从0~255的数字，来表示一个IP地址。如192.168.1.1

转换方法

二进制数转换

二进制数转换成十进制数

由二进制数转换成十进制数的基本做法是，把二进制数首先写成加权系数展开式，然后按十进制加法规则求和。这种做法称为“按权相加”法。例1105 把二进制数110.11转换成十进制数。

十进制数转换为二进制数

十进制数转换为二进制数时，由于整数和小数的转换方法不同，所以先将十进制数的整数部分和小数部分分别转换后，再加以合并。

1. 十进制整数转换为二进制整数十进制整数转换为二进制整数采用“除2取余，逆序排列”法。具体做法是：用2去除十进制整数，可以得到一个商和余数；再用2去除商，又会得到一个商和余数，如此进行，直到商为零时为止，然后把先得到的余数作为二进制数的低位有效位，后得到的余数作为二进制数的高位有效位，依次排列起来。

2．十进制小数转换为二进制小数

十进制小数转换成二进制小数采用“乘2取整，顺序排列”法。具体做法是：用2乘十进制小数，可以得到积，将积的整数部分取出，再用2乘余下的小数部分，又得到一个积，再将积的整数部分取出，如此进行，直到积中的小数部分为零，或者达到所要求的精度为止。

然后把取出的整数部分按顺序排列起来，先取的整数作为二进制小数的高位有效位，后取的整数作为低位有效位。

冒分十六进制

（IPV6）：格式为X:X:X:X:X:X:X:X，其中X表示地址中16位二进制数的十六进制值例如：

　　ABCD:EF01:2345:6789:ABCD:EF01:2345:6789

　　这种表示法中，每个X的前导0是可以省略的，例如：

　　2001:0DB8:0000:0023:0008:0800:200C:417A→ 2001:DB8:0:23:8:800:200C:417A

————————————————

交换机--- 二层设备

交换机的转发原理--- 数据来到交换机，交换机会先看数据中的源MAC地址，之后，将源 MAC地址和进入接口的对应关系记录在本地的MAC地址表中。之后，再看目标MAC地址，根据目标MAC地址查看本地的MAC地址表，如果MAC地址表中存在记录，则直接按照记录从对应接口发出，实现单播。但是，如果MAC地址表中没有记录，则需要泛洪--- 将数据从除了进入接口以外剩余所有接口均发送一遍。

泛洪范围

应用层

表示层

网络层

介质访问控制层

物理层

路由器--- 三层设备

1，隔离广播域 --- 路由器的一个接口对应一个广播域

2，转发

网络位：如果网络位相同，则代表在同一个泛洪范围内；如果网络位不同，则代表在不同的泛洪范围。

主机位：主机位用来区分同一个泛洪范围内的不同设备

子网掩码--- 1代表网络位，0代表主机位 --- 由连续的1和连续的0组成， 1在前，0在后

ARP --- 地址解析协议 ---- 通过一种地址获取另一种地址

广播--- 逼交换机泛洪

全F --- 广播地址

广播域== 泛洪范围

ARP的工作原理--- ARP以广播的形式发送请求报文，广播域内所有设备均能收到请求报文，所有收到ARP请求报文的设备会先记录请求报文中的源IP地址和源MAC地址的对应关系，记录在本地的ARP缓存表。之后，再看请求的IP地址，如果请求的不是自己本地的IP地址，则将数据包丢弃；如果请求的IP地址是自己本地的IP地址，则将回复ARP应答报文。之后，如果需要发送数据，则先查看ARP缓存表，如果缓存表中存在记录，则直接按照记录转发；如果ARP 缓存表中没记录，则再发送ARP请求报文。

ARP欺骗：在以太网协议中规定，同一局域网中的一台主机要和另一台主机进行直接通信，必须要知道目标主机的MAC地址。而在TCP/IP协议中，网络层和传输层只关心目标主机的IP地址。这就导致在以太网中使用IP协议时，数据链路层的以太网协议接到上层IP协议提供的数据中，只包含目的主机的IP地址。于是需要一种方法，根据目的主机的IP地址，获得其MAC地址。这就是ARP协议要做的事情。所谓地址解析（address resolution）就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。 -- Extracted from WikiPedia.

通俗点说，在局域网中通信时使用的是MAC地址，而不是常见的IP地址。所以在局域网的两台主机间通信时，必须要知道对方的MAC地址，这就是ARP协议要做的事：将IP地址转换为MAC地址。

从以太网帧来看，以太网帧分为：

以太网首部

上层数据部分

以太网尾－--fcs

在物理层传输的数据都是使用以太网帧来封装起来传输的（通俗地说就是在数据包头加上以太网首部，数据包尾加上以太网尾），而网络传输是分层进行的，也就是物理层只处理物理层的数据，对于以太网帧中的上层数据部分并不关心。

在以太网帧中，以太网首部中存放了目的主机的MAC地址和源主机的MAC用于在以太网中传输数据。所以，在以太网通信中，只知道对方的IP地址是不可以通信的，因为IP地址属于第三层（网络层）的地址，对于物理层的以太网帧来说IP地址属于上层数据部分，以太网是无法识别的，所以就要使用ARP协议获取到对方的MAC地址进行通信。

在ARP回复时，发送请求包的主机A并不会验证ARP回复包的真实性，也就是不能判断回复主机A的是不是主机B。由此引出一个局域网攻击方式ARP欺骗。

ARP欺骗分类

1.主机欺骗：欺骗对象为主机。

2.网关欺骗：欺骗对象为网关，可以获得其他主机的进流量。

ARP攻击的危害

1.造成局域网中的其他主机断网。

2.劫持局域网中其他主机或网关的流量，获取敏感信息等。

DOS攻击：最常见的DoS攻击有计算机网络宽带攻击和连通性攻击。 [1] DoS攻击是指故意地攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃，而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者允许的连接。这种攻击会导致资源的匮乏，无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。

dDOS攻击

定义：DDos的前身 DoS (DenialofService)攻击，其含义是拒绝服务攻击，这种攻击行为使网站服务器充斥大量的要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷而停止提供正常的网络服务。而DDoS分布式拒绝服务，则主要利用 Internet上现有机器及系统的漏洞，攻占大量联网主机，使其成为攻击者的代理。当被控制的机器达到一定数量后，攻击者通过发送指令操纵这些攻击机同时向目标主机或网络发起DoS攻击，大量消耗其网络带和系统资源，导致该网络或系统瘫痪或停止提供正常的网络服务。由于DDos的分布式特征，它具有了比Dos远为强大的攻击力和破坏性。

原理：如图1所示，一个比较完善的DDos攻击体系分成四大部分，分别是攻击者( attacker也可以称为master)、控制傀儡机( handler)、攻击傀儡机( demon，又可称agent)和受害着( victim)。第2和第3部分，分别用做控制和实际发起攻击。第2部分的控制机只发布令而不参与实际的攻击，第3部分攻击傀儡机上发出DDoS的实际攻击包。对第2和第3部分计算机，攻击者有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自攻击者的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦攻击者连接到它们进行控制，并发出指令的时候，攻击愧儡机就成为攻击者去发起攻击了。

图1分布式拒绝服务攻击体系结构

之所以采用这样的结构，一个重要目的是隔离网络联系，保护攻击者，使其不会在攻击进行时受到监控系统的跟踪。同时也能够更好地协调进攻，因为攻击执行器的数目太多，同时由一个系统来发布命令会造成控制系统的网络阻塞，影响攻击的突然性和协同性。而且，流量的突然增大也容易暴露攻击者的位置和意图。整个过程可分为：

1)扫描大量主机以寻找可入侵主机目标；

2)有安全漏洞的主机并获取控制权；

3)入侵主机中安装攻击程序；

4)用己入侵主机继续进行扫描和入侵。

当受控制的攻击代理机达到攻击者满意的数量时，攻击者就可以通过攻击主控机随时发出击指令。由于攻击主控机的位置非常灵活，而且发布命令的时间很短，所以非常隐蔽以定位。一旦攻击的命令传送到攻击操纵机，主控机就可以关闭或脱离网络，以逃避追踪要着，攻击操纵机将命令发布到各个攻击代理机。在攻击代理机接到攻击命令后，就开始向目标主机发出大量的服务请求数据包。这些数据包经过伪装，使被攻击者无法识别它的来源面且，这些包所请求的服务往往要消耗较大的系统资源，如CP或网络带宽。如果数百台甚至上千台攻击代理机同时攻击一个目标，就会导致目标主机网络和系统资源的耗尽，从而停止服务。有时，甚至会导致系统崩溃。

另外，这样还可以阻塞目标网络的防火墙和路由器等网络设备，进一步加重网络拥塞状况。于是，目标主机根本无法为用户提供任何服务。攻击者所用的协议都是一些非常常见的协议和服务。这样，系统管理员就难于区分恶意请求和正连接请求，从而无法有效分离出攻击数据包

如何识别，判断：DDoS ( Denial of Service，分布式拒绝服务) 攻击的主要目的是让指定目标无注提供正常服务，甚至从互联网上消失，是目前最强大、最难防御的攻击方式之一。

2.1 DDoS表现形式

DDoS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的政击，即通过大量攻击包导致主机的内存被耗尽或CPU内核及应用程序占完而造成无法提供网络服务。

2.2 攻击识别

流量攻击识别主要有以下2种方法：

Ping测试：若发现Ping超时或丢包严重，则可能遭受攻击，若发现相同交换机上的服务器也无法访问，基本可以确定为流量攻击。测试前提是受害主机到服务器间的ICMP协议没有被路由器和防火墙等设备屏蔽；

ICMP协议：ICMP（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议簇的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。 ICMP使用IP的基本支持，就像它是一个更高级别的协议，但是，ICMP实际上是IP的一个组成部分，必须由每个IP模块实现。

2) Telnet测试：其显著特征是远程终端连接服务器失败，相对流量攻击，资源耗尽攻击易判断，若网站访问突然非常缓慢或无法访问，但可Ping通，则很可能遭受攻击，若在服务器上用Netstat-na命令观察到大量 SYN_RECEIVED、 TIME_WAIT， FIN_ WAIT_1等状态，而EASTBLISHED很少，可判定为资源耗尽攻击，特征是受害主机Ping不通或丢包严重而Ping相同交换机上的服务器正常，则原因是攻击导致系统内核或应用程序CPU利用率达100%无法回应Ping命令，但因仍有带宽，可ping通相同交换机上主机。

DDoS攻击方式

DDoS攻击方式及其变种繁多，就其攻击方式面言，有三种最为流行的DDoS攻击方式。

3.1 SYN/ACK Flood攻击

这种攻击方法是经典有效的DDoS攻击方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源P和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伤造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持，少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用 Netstat-na命令会观察到存在大量的 SYN RECEIVED状态，大量的这种攻击会导致Ping失败，TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。

攻击流程如图2所示，正常TCP连接为3次握手，系统B向系统A发送完 SYN/ACK分组后，停在 SYN RECV状态，等待系统A返回ACK分组；此时系统B已经为准备建立该连接分配了资源，若攻击者系统A，使用伪造源IP，系统B始终处于“半连接”等待状态，直至超时将该连接从连接队列中清除；因定时器设置及连接队列满等原因，系统A在很短时间内，只要持续高速发送伪造源IP的连接请求至系统B，便可成功攻击系统B，而系统B己不能相应其他正常连接请求。

SYN：SYN：同步序列编号（Synchronize Sequence Numbers）。是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时，客户机首先发出一个SYN消息，服务器使用SYN+ACK应答表示接收到了这个消息，最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接，数据才可以在客户机和服务器之间传递。

TCP连接的第一个包，非常小的一种数据包。SYN 攻击包括大量此类的包，由于这些包看上去来自实际不存在的站点，因此无法有效进行处理。每个机器的欺骗包都要花几秒钟进行尝试方可放弃提供正常响应。

ACK：确认消息也称为ACK消息，是在计算机网上中通信协议的一部分，是设备或是进程发出的消息，回复已收到数据。

TCP全连接攻击

这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序(如：IIS、 Apache等Web服务器)能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽面被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此此种DDOs攻击方容易被追踪。

TCP刷 Script脚本攻击

这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用 MSSQL Server、My SQL Server、 Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。一般来说，提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过 Proxy代理向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务，常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护，轻松找一些Poxy代理就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣，并且有些代理会暴露DDOS攻击者的IP地址。

IP地址

A ，B ，C --- 单播地址--- 既可以作为源IP地址也可以作为目标IP

地址

D --- 组播地址 --- 只能作为目标IP地址使用

E --- 保留地址

单播--- 一对一

组播--- 一对多（同一个组播组）

广播--- 一对所有（同一个广播域）

特殊IP地址

127.0.0.1-127.255.255.254 --- 环回地址－-－解释：主机用于向自身发送通信的一个特殊地址

2，255.255.255.255 ---- 受限广播地址 --- 受路由器的限制 --- 只能作为目标IP地址使用 --－解释：有限广播地址(Limited Broadcasting)，也称受限广播地址，又称本地广播地址，TCP/IP协议规定32字节全为1的IP地址（255.255.255.255）用于本网广播。

　作用：通常计算机启动时，希望从网络IP地址服务器DHCP处获得一个IP地址。

DHCP：动态主机配置协议DHCP（Dynamic Host Configuration Protocol）是一种网络管理协议，用于集中对用户IP地址进行动态管理和配置。

DHCP于1993年10月成为标准协议，其前身是BOOTP协议。DHCP协议由RFC 2131定义，采用客户端/服务器通信模式，由客户端（DHCP Client）向服务器（DHCP Server）提出配置申请，DHCP Server为网络上的每个设备动态分配IP地址、子网掩码、默认网关地址，域名服务器（DNS）地址和其他相关配置参数，以便可以与其他IP网络通信。

DNS：DNS（Domain Name Server，域名服务器）是进行域名（domain name）和与之相对应的IP地址 (IP address)转换的服务器。DNS中保存了一张域名（domain name）和与之相对应的IP地址 (IP address)的表，以解析消息的域名。域名是Internet上某一台计算机或计算机组的名称，用于在数据传输时标识计算机的电子方位（有时也指地理位置）。域名是由一串用点分隔的名字组成的，通常包含组织名，而且始终包括两到三个字母的后缀，以指明组织的类型或该域所在的国家或地区

3，主机位全1 --- 192.168.1.X/24 --- 192.168.1.255 ---- 直接广播地址 --- 只能作为目标IP 使用－－直接广播地址（Directed Broadcast Address），与广播地址相同，是一个Internet协议地址，其指定了在一个特定网络中的“所有主机”。一个直接广播的单一拷贝被发送到一个指定的网络，在那里它被广播到在那个网络中的所有终端

4，主机位全0 --- 192.168.1.X/24 --- 192.168.1.0 --- 网段 --- 网络号－--0代表X即任意值。

5，0.0.0.0 ---- 1，代表没有地址；2，可以代表任意地址－－根据RFC文档描述，它不只是代表本机，0.0.0.0/8可以表示本网络中的所有主机，0.0.0.0/32可以用作本机的源地址，0.0.0.0/8也可表示本网络上的某个特定主机，综合起来可以说0.0.0.0表示整个网络。它的作用是帮助路由器发送路由表中无法查询的包。如果设置了全零网络的路由，

路由表中无法查询的包都将送到全零网络的路由中去。

在路由器配置中可用0.0.0.0/0表示默认路由，作用是帮助路由器发送路由表中无法查询的包。如果设置了全零网络的路由，路由表中无法查询的包都将送到全零网络的路由中去。严格说来，0.0.0.0已经不是一个真正意义上的IP地址了。它表示的是这样一个集合：所有未知的主机和目的网络。

这里的“未知”是指在本机的路由表里没有特定条目指明如何到达

6， 169.254.0.0/16 --- 自动私有地址/本地链路地址－－自动分配的私有地址如果你的电脑处在局域网里，目前的电脑系统在无法获取IP地址时，电脑会自动配置成“IP地址： 169.254.*.*”“子网掩码：255.255.0.0”的形式，这样可以使处在同一局域网下的所有获取不到IP地址的电脑之间能够保持一种正常通信。

VLSM --- 可变长子网掩码 --- 子网划分－－可变长子网掩码实际上是相对于标准的有类子网掩码而言的，对于有类的IP地址的网络号部分的位数就相当于默认掩码的长度。A类的第一段是网络号（前八位），B类地址的前两段是网络号（前十六位），C类的前三段是网络号（前二十四位）。而VLSM的作用就是在有类的IP地址的基础上，从他们的主机号部分借出相应的位数来做网络号，也就是增加网络号的位数，增加了掩码的长度。各类网络可以用来再划分的位数为：A类有二十四位可以借，B类有十六位可以借，C类有八位可以借（可以再划分的位数就是主机号的位数。实际上不可以都借出来，因为P地址中必须要有主机号的部分，而且主机号部分剩下一位是没有意义的，剩下1位的时候不是代表主机号就是代表广播号，所以实际最多可以借位数为主机位数减去2)。这是一种产生不同大小子网的网络分配机制，指一个网络可以配置不同的掩码。开发可变长度子网掩码的想法就是在每个子网上保留足够的主机数的同时，把一个网分成多个子网时有更大的灵活性。如果没有ⅥISM，一个子网掩码只能提供给一个网络。这样就限制了要求的子网数上的主机数。

算法：VLSM是将大范围的IP网络划分成多个小范围的IP网络，为某一个单位或企业的不同部门对内可显示不同的网络，对外可显示同一个IP网络。提到VLSM，不得不提到的是掩码。掩码同IP一样，具有32位的二进制，用于与某一个IP进行运算，算出该IP的网络号。即将32位的IP与32位的掩码进行与运算，这样就可以得出网络号。

子网掩码：子网掩码是一种把前缀编成一种与IP地址相似的形式的掩码。它有32位，以为1的位开头，以为0的位结尾。其中为1的位的数目和前缀的长度相同。它也被写成点分十进制的形式。子网掩码的作用和前缀一样，但是掩码这种形式出现的比前缀要早。

CIDR --- 无类域间路由 --- 汇总

“取相同，去不同” --- 二进制

解释：无类别域间路由是基于（VLSM)来进行任意长度的前缀的分配的。在RFC 950（1985）中有关于可变长子网掩码的说明。CIDR包括：指定任意长度的前缀得可变长子网掩码技术。遵从CIDR规则的地址有一个后缀说明前缀的位数，例如 192.168.0.0/16。这使得对日益缺乏的IPv4地址的使用更加有效。将多个连续的前缀聚合成超网，以及，在互联网中，只要有可能，就显示为一个聚合的网络，因此在总体上可以减少路由表的表项数目。聚合使得互联网的路由表不用分为多级，又用VLSM reverses the process of "subnetting a subnet" 。根据机构的实际需要和短期预期需要而不是分类网络中所限定的过大或过小的地址块来管理IP地址的分配的过程。因为在IPv6中也使用了IPv4的用后缀指示前缀长度的CIDR，所以IPv4中的分类在IPv6中已不再使用

RFC：Request For Comments（RFC），是一系列以编号排定的文件。文件收集了有关互联网相关信息，以及UNIX和互联网社区的软件文件。RFC文件是由Internet Society（ISOC）赞助发行。基本的互联网通信协议都有在RFC文件内详细说明。RFC文件还额外加入许多在标准内的论题，例如对于互联网新开发的协议及发展中所有的记录。因此几乎所有的互联网标准都有收录在RFC文件之中。

作用：CIDR主要是一个按位的、基于前缀的，用于解释IP地址的标准。它通过把多个地址块组合到一个路由表表项而使得路由更加方便。这些地址块叫做CIDR地址块。当用二进制表示这些地址时，它们有着在开头部分的一系列相同的位。IPv4的CIDR地址块的表示方法和IPv4地址的表示方法是相似的：由四部分组成的点分十进制地址，后跟一个斜扛，最后是范围在0到32之间的一个数字：A.B.C.D/N。点分十进制的部分和IPv4地址一样是一个被分成四个八位位组的32位二进制数。斜扛后面的数字就是前缀长度,也就是从左到右，被地址块里的地址所共享的位的数目。当只要说明梗概时，点分十进制部分有时会被省略，因此，/20就表示一个前缀长度是20的CIDR地址块。如果一个IP地址的前N位与一个CIDR地址块的前缀是相同的话，那么就说这个地址属于这个CIDR地址块，也可以说是与CIDR地址块的前缀匹配。所以，要理解CIDR，就要把地址写成二进制的形式。因为IPv4地址的长度总是32位，N位长的CIDR前缀就意味着地址里32 − N位不匹配。这些位有2(32 − N)种不同的组合，即2(32 − N)个IPv4地址与CIDR地址块的前缀。前缀越短就能匹配越多的地址，越长就匹配得越少。一个地址可能与多个长度不同的CIDR前缀匹配。CIDR也用在IPv6中。因为位数的非常多，所以在IPv6中，前缀长度的范围是从0到128。这里也用同样的方法来表示一个地址：前缀写作一个IPv6的地址，后跟一个斜扛，最后是前缀的位数。

OSI/RM --- 开放式系统互联参考模型

1979年 --- ISO国际标准化组织

核心思想 --- 分层 --- 属于同一层面的不同功能其目的和作用是相似或相近；不同层面的功能之间具有明显的差异。每一层都在下一层所提供服务的基础上再提供增值服务。

分层的作用： 1，更利于标准化 --- 分治

2，降低层次之间的关联性

3，更易于学习和理解

应用层

表示层

会话层 --- 维持网络应用和网络服务器之间的会话联系

传输层 --- 端到端的传输 --- 应用到应用 --- 端口号 --- 用来区分和标识不同的应用的 --- 16 位二进制构成 --- 0 - 65535，其中0作为保留值。1 - 65535。其中， 1 - 1023为知名端口号 --- SPORT， DPORT

网络层

数据链路层 --- MAC（介质访问控制层） + LLC（逻辑链路控制层）