🌐 Стек протоколов TCP/IP

Application Layer (Прикладной уровень)

Протоколы взаимодействия с приложениями и пользователями

HTTP/HTTPS

80/443

FTP

20/21

SSH

Telnet

SMTP

DNS

DHCP

67/68

POP3

110

IMAP

143

SNMP

161

RDP

3389

SIP

5060

🔍 Функции уровня:

Представление сетевых служб конечным пользователям
Шифрование и дешифрование данных (HTTPS, SSH)
Сжатие данных
Управление сессиями приложений

Transport Layer (Транспортный уровень)

Надежная доставка данных между процессами

Характеристика	TCP	UDP
Тип соединения	С установлением соединения	Без установления соединения
Надежность	Гарантированная доставка	Негарантированная доставка
Порядок пакетов	Сохраняется	Может нарушаться
Скорость	Медленнее	Быстрее
Заголовок	20 байт	8 байт
Применение	HTTP, FTP, SMTP, SSH	DNS, DHCP, VoIP, Gaming

🤝 TCP Three-Way Handshake:

SYN →

seq=x

← SYN-ACK

seq=y, ack=x+1

ACK →

seq=x+1, ack=y+1

📊 Структура TCP заголовка:

Поле	Размер (бит)	Описание
Source Port	16	Порт отправителя
Destination Port	16	Порт получателя
Sequence Number	32	Порядковый номер
Acknowledgment Number	32	Номер подтверждения
Flags	9	URG, ACK, PSH, RST, SYN, FIN
Window Size	16	Размер окна
Checksum	16	Контрольная сумма

Internet Layer (Сетевой уровень)

Маршрутизация пакетов через сеть

IPv4

32 бит

IPv6

128 бит

ICMP

ping/trace

ARP

IP→MAC

RARP

MAC→IP

OSPF

Routing

📦 Структура IP заголовка (IPv4):

Поле	Размер (бит)	Описание
Version	4	Версия протокола (4 или 6)
IHL	4	Длина заголовка
ToS	8	Тип сервиса
Total Length	16	Общая длина пакета
TTL	8	Time to Live
Protocol	8	Протокол верхнего уровня
Source IP	32	IP-адрес источника
Destination IP	32	IP-адрес назначения

🌍 Классы IP-адресов:

Класс	Диапазон	Маска по умолчанию	Назначение
A	1.0.0.0 - 126.255.255.255	255.0.0.0 (/8)	Крупные сети
B	128.0.0.0 - 191.255.255.255	255.255.0.0 (/16)	Средние сети
C	192.0.0.0 - 223.255.255.255	255.255.255.0 (/24)	Малые сети
D	224.0.0.0 - 239.255.255.255	-	Multicast
E	240.0.0.0 - 255.255.255.255	-	Зарезервировано

Network Access Layer (Канальный/Физический)

Передача данных через физическую среду

Ethernet

802.3

Wi-Fi

802.11

PPP

Point-to-Point

FDDI

Fiber

Token Ring

802.5

Frame Relay

WAN

🔌 Функции уровня:

Физическая адресация (MAC-адреса)
Контроль доступа к среде передачи
Обнаружение и коррекция ошибок
Преобразование битов в электрические/оптические сигналы

📡 Структура Ethernet кадра:

Поле	Размер (байт)	Описание
Preamble	7	Синхронизация
SFD	1	Start Frame Delimiter
Destination MAC	6	MAC-адрес получателя
Source MAC	6	MAC-адрес отправителя
Type/Length	2	Тип протокола или длина
Data	46-1500	Полезная нагрузка
FCS	4	Frame Check Sequence

📨 Инкапсуляция данных

📝

Data

Application Layer

📦

Segment

Transport Layer

📬

Packet

Internet Layer

🔧

Frame

Network Access

⚡

Bits

Physical

🔒 Важные порты для SOC аналитика:

Порт	Протокол	Описание	Риски безопасности
21	FTP	File Transfer	Передача в открытом виде
22	SSH	Secure Shell	Brute-force атаки
23	Telnet	Remote Access	Нешифрованная передача
25	SMTP	Email	Spam, phishing
53	DNS	Domain Names	DNS tunneling, poisoning
80/443	HTTP/HTTPS	Web	Web-атаки, C2 каналы
135-139	NetBIOS	Windows Shares	SMB атаки
445	SMB	File Sharing	WannaCry, EternalBlue
3389	RDP	Remote Desktop	BlueKeep, brute-force