udp攻击,公司网络封udp吗?

udp攻击，公司网络封udp吗？

有的网管会封，防止udp攻击

什么是ip接口？

就是电脑与外界通信的端口.

udp攻击,公司网络封udp吗?

什么是端口：我们可以这样理解，知道了你家的地址门牌号，如果要进入你家里，一定要走门的，那么门就相当于我们所说的端口，对方的电脑要和你的电脑进行通信，你的电脑会开一个端口的，因为软件不同，所以所开的端口也不同的，也就是不同的软件有不同的端口，一般来说是不变的，比如说“冰河”的端口就是 7626 而“黑洞”的是2000 我可以在msdos下打一个命令 netstat -s 就可以看到本机所开的端口了，如果发现了上面的两种多端口，多数是中了木马了。

QQ之间通信也要有端口的，61.159.183.45:4000这是刚查到的tty的IP和QQ的端口，后面的4000就是端口。

TCP/IP协议中的端口，是逻辑意义上的端口。我们可以把IP地址比作一间房子，端口就是出入这间房子的门。真正的房子只有几个门，但是一个IP地址的端口可以有65536个之多。端口是通过端口号来标记的，端口号只有整数，范围从0 到65535。

端口号有两种基本分配方式：第一种叫全局分配，这是一种集中分配方式，由一个公认权威的中央机构根据用户的需要进行统一分配，并将结果公布于众；第二种是本地分配，又称动态连接，即进程需要访问传输层服务时，向本地操作系统提出申请，操作系统返回本地唯一的端口号，进程再通过合适的系统调用，将自己和该端口连接起来绑定。

TCP/IP端口号的分配综合了以上两种方式，将端口号分为两部分，少量的作为保留端口，以全局方式分配给服务进程。TCP和UDP规定，小于256的端口才能作为保留端口。剩余的为自由端口，以本地方式进行分配。于是一些端口常常会被黑客利用，对计算机系统进行攻击。

网关的作用是什么？

1.网关的解释：

提到网关，我们就不得不提路由器的工作原理（详细介绍请往下看），我们先看看网关。

先在某度检索，得到大概这样的描述：网关（Gateway）是一个网络连接到另一个网络的“出口”。可知：1.它是一道门；2.与我们的数据传输有关。3.与广域网、局域网通讯有关（子网、跨子网通讯有关，关于子网掩码、子网、网段，可以关注博主>主页>文章）。

Gateway有2层含义，在硬件层面上，也就是你的出口路由器。例如你家里路由模式下的光猫，家里的路由模式的主路由器等。如果家里的路由器开的是AP模式，那就不是网关了。

Gateway在软件层面，有个别称，叫“下一跳”。你可能会经常听到默认网关，静态路由等词，都和网关有关系，主要是告诉你下一站的地址。

因为硬件层面的Gateway比较好解释，这一期，我们主要解释一下软件层面的“网关”。

既然是一道“门”，那么，谁在指挥“门”的发挥关卡的作用呢？自然是理由器！它是一个指挥、数据处理中枢与枢纽。

路由器分硬路由与软路由（软路由之所以能够屏蔽广告，也与其“关卡”的作用有关；所谓的硬路由就是我们直接从网上购买到的路由器，主要实现路由功能。而软路由则是在普通电脑上安装openwrt、爱快、Centos，routerOS等路由器系统，实现路由功能的设备，主要是为了实现广告过滤，搭建网络隧道等功能。我们以后会在centos系统中实现部分功能。），我们来看看果子关于路由器介绍的节选：

2.路由器的结构与分类：路由器的本质就是一台电脑，通常插着两张网卡，其中一张网卡连接广域网WAN，另外一张网卡连接局域网LAN。

WAN的IP地址由上级网络分配，LAN的IP地址可自行设置。

家用路由器默认Lan口IP地址（一般是192.168.1.1/24），在包装说明书、路由器背面的铭牌中有写明，也是路由器的默认管理地址。

路由器的本质，另外家用路由器是路由交换一体机

更高级的路由器可以有多个WAN口，甚至可以添加虚拟网卡，可以实现“单线多播”负载均衡叠加网速等更高级的功能。

3.路由器的功能1：寻址与转发

我们之前讲过交换机，交换机是一个数据转发设备，在OSI模型中的第二层,数据链路层工作，通过MAC地址和交换机端口号的对应关系来转发数据包，忘记的小伙伴可以看果子的第1期视频。而我们今天要讲路由器在OSI模型中的第3层“网络层”工作，是一个三层转发设备。

我们所说的多少层，不是说设备只在这一层工作，而是最少能到达到这一层。

路由器在OSI模型中的工作层级

3.1.路由规则路由器最主要的作用就是实现跨网段的数据传输与转发。

就像交通路标一样，指引着车辆和行人的行动，这种指引行为就叫路由，路由器通过路由表来记录转发规则。我们先来看看路由表长什么样。因为普通路由器无法查看路由表，所以果子在centos7系统上进行演示。

路由器主要是为了实现跨子网的传输

我们在centos系统中输入route -n命令，就可以查询路由表，查询到的路由表有8列，其中第1列Destination为目的地址，第2列Gateway为网关地址，也叫“下一跳”，第3列Genmask为网关掩码，第8列Iface为网卡接口。

查询路由表的方法，路由表

我们将第1列与第3列合并起来，会惊奇地发现，第一列不就是网络地址吗？忘记的同学可以翻看第2期视频。Flag带有G的规则代表网关规则，若数据包的目的IP地址与路由表中目的地址匹配，路由器会将数据包转发到Gateway中的网关地址。如果flag不带G，说明本条规则不是网关规则，目标地址肯定就在本地链路，通过同一个交换机相连。

如何看路由表

举个例子，如果想发送数据给某度的服务器39.156.69.79，匹配到的目的地址是0.0.0.0/0，那么这个数据包就会被转发给网卡eth0，走默认网关192.168.0.1。

局域网内发送消息给百度

如果数据包的目的地是果子的办公室的主机，IP地址为192.168.2.12，那么会同时符合两个目的网段，0.0.0.0/0和192.168.2.0/24，但是路由器会优先匹配更精确的规则，所以数据包通过tun0网卡转发给网关192.168.10.12。

数据包发送到办公室

3.2网络数据包的长距离传输：网络数据包长距离传输的过程中，会经过一个个的路由器，我们拿局域网内一台主机和百度的通讯举个例子，假设局域网内一台主机192.168.0.4/24要访问公网上的百度主机39.156.69.79。主机查询自己的路由表，把数据包发送给谁呢？

主机查询自己的路由表，把数据包发送给默认网关192.168.0.1（路由器LAN端IP地址）。路由器收到数据包后，继续发送给更上级的默认网关（运营商的路由器），经过多个路由的传递，最终百度主机就会收到信息了。

我们在centos系统中，可以使用traceroute -n baidu.com的命令查看中途经过了哪些路由器。我们很清晰地看到，第一个经历的路由器就是我们自己的路由器192.168.0.1，第二个路由器是运营商的路由器，27.19.176.1，中间的路由器都是城市路由的节点。

到百度主机经历的路由器

3.3.路由规则的获得路由器如何获得路由规则？

路由器想要实现路由功能，首先路由器本身得知道数据应该向哪里传。

路由器得知这些信息的方式大致有3种，第一种方式是直连路由；第二种是通过手动添加路由规则，也就是静态路由。第三种是通过动态路由协议获得的路由，一般在城市或大型企业网络运用比较多，家庭网络甚至小型企业根本用不上，我们主要了解一下前两种方法。

第一种方式是直连路由。

当主机正确配置好一个IP地址后，会自动生成一条目的地址为该子网的路由。例如树莓派的网卡eth0通过dhcp获得192.168.0.4/24的ip地址，那么会自动产生一条目的地址为网段192.168.0.0/24的路由。如果我在网卡tun0上手动设置IP地址为192.168.10.4/24，也会增加192.168.10.0/24的路由。

第二种方式是手动添加静态路由。

例如果子添加目的地址为果子办公室的子网192.168.2.0/24，网关地址为192.168.10.12，因为树莓派本机根本不知道192.168.2.0/24的子网在哪里，所以必须手动设置。再例如，在mac系统中，手动配置IP地址时，填写的网关或路由，会生成路由表中的默认路由。

4.路由器的功能2:DHCP服务器功能路由器的第二个功能为DHCP服务器。

DHCP，也叫动态主机配置协议。

路由器有自带的DHCP服务器，为接入的设备自动分配IP地址，在路由器上开启DHCP功能，便能使用设备自动分配IP地址功能。

通过DHCP服务器，可将配置好的IP地址池，子网掩码，网关信息，DNS信息下发给下联的网络设备。

需要注意的是，即便路由器的DHCP功能是开启的，主机仍然可以强制手动设置IP地址，子网掩码等，只要这些和路由器管理地址处于同一个网段，IP地址不冲突，仍然可以正常和路由器通讯以及上网。

特别值得注意的是，同一个LAN中，最多只能有一个DHCP服务器处于开启状态，否则可能会导致下联的设备不能正确的获取网络配置，从而导致无法上网。

路由器的DHCP功能

5.路由器的功能3:源地址转换NAT路由器第三个重要功能，就是利用NAT技术为本地局域网做源IP地址转换SNAT。

NAT，也叫IP伪装技术。局域网主机ip地址是一个私有地址，别人家也可能有相同的地址。假设发送到公网的地址是局域网主机ip地址，百度主机要返回数据包时，不知会传到哪。

所以，数据包在出路由器之前，路由器会将该数据包的源IP地址伪装成路由器WAN口的公网IP地址，当百度主机想返回数据包时，目的地址便是我们的公网IP地址了。路由器收到传回来的数据包后，会自动做目的地址转换DNAT，将目的地址从公网IP转换为刚才发送消息主机IP地址，内部主机顺利接收信息，路由器内部所有的设备也都通过这种方式上网。

局域网能访问公网的原理

路由器工作原理详细介绍，具体可关注博主>主页>文章看具体介绍：

《路由器如何工作？作用是什么？最硬核科普！学会后可网工级组网》

图文编辑：旋律果子猫小爪

旋律果子：网络Geek/Linux开发者/中国科学院大学在读博士/科技数码博主/国家水利水电二级建造师/优质科技领域创作者

网络安全工程师的学习难度大吗？

这是一个大课题，要花三天三夜也说不完啊，只好挑重点的说说了…

网络安全，先有网络，后有安全，所以要先学网络。

网络有OSI七层模型，这是一个理想的参考模型，话说现实生活里没有真正实现七层模型。但是作为一种网络框架，一种网络模型，要有一个清晰的概念。

下图左边为OSI七层参考模型。

理想是丰满的，现实却是骨感的！现实网络的实现却是基于TCP/IP五层模型，也就是图中的右半部分。

一般提到网络，指的是二三四层，即数据链路层（Ethernet / HDLC / Frame Relay / ATM ）、网络层（IP）、传输层（TCP/UDP），所以这些是你主要的学习对象。

学习网络的时候，没有刻意去学习安全，慢慢发现没有安全的网络是无法使用的，因为现实世界充满着以网络安全漏洞而非法获利的群体，心怀鬼胎的负能量群体你无法估量他们的底线，唯一能做的就是：把网络设计的更安全、更天衣无缝，苍蝇不叮无缝的蛋！

从最接地气的无线路由器说起，听说好多人被别人蹭网，因为没有类似经历，所以无法理解。无线加密套件现在有 WEP / TKIP / WPA / WPA2，是一个由低级向高级的演进，你可以以WEP 为起点去研究一下为什么它很容易破解，然后再去研究一下 WPA2 里的 802.1x 认证，高级加密协议 AES，标准哈希认证 SHA。

数据链路层最基础协议 ARP，只要有一个非法host 可以应答网段内所有ARP request，将会把流量引到自己的主机。为了克服这个ARP spoofing，有了 ARP Anti-Spoofing feature。

DHCP使用虚假的MAC地址可以耗尽DHCP Server 的地址池。为了克服这个DHCP spoofing，有了 DHCP snooping / option 82 feature。

DNS Server 可以使用被毒化的域名/IP地址缓存来欺骗 DNS client，用户访问的并不是自己想要访问的主机或服务器。为了克服这个DNS Poison Cache，可以用DNScrypt ，访问更值得信任的DNS Server。

TCP sync 攻击，可以耗尽TCP server memory资源，为了克服这个问题，可以在前置一个Proxy，过滤虚假TCP连接

TCP reset 攻击，可以冒充source IP，reset 一个TCP session。为了克服这个问题，可以使用TCP authentication。

ICMP fragment attack，用分片的ICMP攻击主机，让被攻击的主机reassemble 内存溢出而崩溃。为了克服这个问题，可以升级OS

HTTP 网页劫持…为了克服这个问题，可以采用HTTPS

学习网络的时候，随着深入，你会发觉大多数协议都有安全漏洞，然后你可以去思考，怎么可以有效地去弥补漏洞。

罗马不是一日建成的，精雕细琢才会把罗马建设得更漂亮！

不建议去报班学习，培训班大多以盈利为宗旨，质量无法保证，最好找到一个适合自己的网络安全的论坛，有什么问题可以提问，一般都会有人回答的。

至于看什么书，就挑最简单的CCNA课程学起吧，等有一定基础，自己自然会有判断力。