Ctf组会-网络基础，一篇总览基本的网络知识

0x01 做流量分析第一步看时间线谁先开始通信什么时候发生 DNS什么时候建连什么时候断开第二步看通信双方哪些 IP 最活跃哪些端口最关键哪些主机像客户端哪些像服务端第三步按层看是 Ethernet、ARP、IPv4、IPv6还是 WLAN是 TCP、UDP、ICMP 还是 QUIC应用层是 DNS、HTTP、TLS、Modbus 还是别的第四步找异常有没有 ARP 欺骗痕迹有没有奇怪的 DNS 查询有没有异常证书 SAN有没有很怪的 User-Agent有没有大量随机子域有没有反常的指纹第五步重组与提取Follow TCP Stream导出对象看证书看 SNI / Host看 DNS 历史看是否存在文件、凭据、隧道数据或隐藏载荷0x02 网络分层很多人一提网络分层就想到 OSI 七层模型然后开始背物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。背完以后实际看包时还是一脸茫然。真正有用的不是死背层名而是理解每一层都在解决一个不同的问题。更贴近实际的思路是用一个简化版的 TCP/IP 视角去理解链路层 / 二层在当前链路上怎么把数据发出去典型协议Ethernet、ARP、WLAN网络层 / 三层跨网络之后最终要去哪里典型协议IPv4、IPv6、ICMP传输层 / 四层到了主机之后交给哪个服务怎么保证传输典型协议TCP、UDP应用层这个连接到底在干什么典型协议DNS、HTTP、TLS、SSH、SMTP、Modbus 等传统上四层常见的是 TCP 和 UDP而像 QUIC 这类现代协议虽然基于 UDP 承载但承担了更多高层连接控制能力已经不太适合用老式分层直觉去硬套。0x03 封装与解封装想看懂抓包必须先理解封装。当应用程序要发送一段数据时这段数据不是直接原样发上网而是会一层层加头部应用层生成内容传输层加上 TCP/UDP 头网络层加上 IP 头链路层加上 Ethernet 或 WLAN 头然后从网卡发出去接收方收到后再反过来一层层拆掉这就是解封装。0x04 二层1. 以太网与 Ethernet 帧在有线局域网里最典型的链路层协议就是以太网。在以太网中数据以“帧”的形式传输。一个常见的 Ethernet 帧里最重要的字段包括目的 MAC源 MACEtherType负载EtherType 用来告诉接收方负载里装的是什么。常见值包括0x0800IPv40x0806ARP0x86DDIPv62. MAC 地址MAC 地址是链路层地址通常和网卡相关。它的主要作用不是“全球唯一标识某台机器”而是帮助局域网中的设备完成“这一跳投递”。交换机在转发以太网帧时主要看的就是 MAC 地址。因此在同一个二层网络里真正决定帧发给谁的是目的 MAC而不是 IP。这就是为什么包里最先看到的是一串 MAC 地址因为数据要先走当前链路这一跳链路层先于网络层发生作用。Q:为什么不能直接用 MAC 作为 IP这是一个很经典的问题。直觉上看既然网卡有 MAC为什么互联网不直接拿 MAC 做地址因为 MAC 只在当前链路这一跳有意义。一个包经过路由器后链路层头部通常会被重写源 MAC 和目的 MAC 都可能变化。所以 MAC 不是一个能端到端保持稳定的地址。而 IP 是逻辑地址能够分层、聚合、划分网段适合大规模路由。互联网之所以能扩展就是因为 IP 可以按前缀聚合而不是为全球每一个终端维持一条扁平记录。MAC 用来解决本地链路上的一跳投递IP 用来解决跨网络的逻辑寻址。0x05 ARP应用程序通常知道自己要访问的目标是一个 IP 地址但链路层发帧时需要的是 MAC。这就需要一个“翻译器”把 IP 翻译成当前链路上的 MAC这个协议就是ARP。ARP 的过程很直观已知目标 IP不知道对应的 MAC在局域网里广播问谁是这个 IP目标主机回复自己的 MAC发送方将结果缓存进 ARP 表因为发送方还不知道目标 MAC所以请求通常要广播而目标主机已经知道请求者是谁因此回复通常可以单播返回。ARP 解析的不一定是“最终目标”的 MAC而是“下一跳”的 MAC。ARP 欺骗与中间人ARP 没有强认证机制所以它天然容易被欺骗。攻击者可以伪造 ARP 应答告诉受害者“我是网关”再告诉网关“我是受害者”于是双方流量都先经过攻击者实现中间人。这就是经典的ARP 欺骗 / ARP 劫持。它的典型效果包括明文流量嗅探局域网内中间人攻击流量篡改断网或劫持对于流量分析来说识别 ARP 异常也很重要比如同一个 IP 对应多个不同 MAC某主机频繁发送 ARP 响应网关的 ARP 映射突然变化0x06 WLAN、无线接入与 AP1. WLAN 是什么WLAN 可以理解为无线局域网最常见的实现就是 Wi-Fi。它本质上仍然是局域网接入的一种方式只是链路层不再通过网线和交换机而是通过无线信道和接入点通信。在有线网络里你可以把线插进交换机在无线网络里终端通常通过AP也就是 Access Point接入网络。所以 AP 的角色可以简单理解为无线终端和局域网/上层网络之间的桥梁。2. 无线连接历程发现附近无线网络选择 SSID认证与关联密钥协商获得链路接入再通过 DHCP 获取 IP、网关、DNS即使是无线网络真正完成“接入互联网”也仍然离不开前面讲的那些基础链路层接入、IP 配置、路由、DNS、TCP/UDP 等。3. 无线网络和抓包如果你在做无线相关分析会遇到更复杂的二层/管理帧问题。如果有兴趣可以自行了解这里只做提及。无线网络有自己的一套链路层机制AP、SSID、认证、关联这些都是无线接入中的基础概念无线接入之后后续 IP、DNS、HTTP 等问题和有线网络并没有本质不同无线环境下抓到的未必只是普通数据帧还可能包含 Beacon、Probe、Authentication、Association 等管理帧因此无线抓包和有线抓包在观察对象上并不完全等价。0x07 三层如果说二层解决的是“当前链路上的这一跳”那么三层也就是网络层解决的就是“跨网络之后最终去哪”。0x08 IPv4IPv4 使用32 位地址通常写成点分十进制例如192.168.1.10IPv4 地址由网络部分 主机部分组成通过子网掩码进行划分。例如IP: 192.168.1.10 Mask: 255.255.255.0表示网络192.168.1.0/24主机10IPv4 的核心作用是实现逻辑寻址网络分层路由转发路由聚合这也是互联网能够进行大规模路由的基础。1. 特殊地址与私有地址IPv4 中有一些具有特殊用途的地址地址作用127.0.0.1回环地址本机0.0.0.0未指定地址255.255.255.255本地广播169.254.0.0/16链路本地地址APIPA还有三段RFC1918 私有地址只在内网使用10.0.0.0/8 172.16.0.0/12 192.168.0.0/16此外还有两点可以了解一下网络地址 192.168.1.0 可用主机 192.168.1.1 - 192.168.1.254 广播地址 192.168.1.255这些地址在以下场景中非常常见SSRF 内网探测内网横向移动ACL / WAF 绕过抓包分析云环境元数据访问tips:在云环境中还经常会遇到169.254.169.254这样的元数据服务地址。2. 子网掩码与 CIDRIPv4 网络通过子网掩码Subnet Mask划分网络与主机部分。例如IP: 192.168.1.10 Mask: 255.255.255.0掩码255.255.255.0的二进制为11111111.11111111.11111111.00000000前 24 位表示网络部分因此也可以写成192.168.1.10/24这种表示方式称为CIDRClassless Inter-Domain Routing。常见 CIDRCIDR掩码/8255.0.0.0/16255.255.0.0/24255.255.255.03. 实例判断是否同一网段例如两个地址192.168.1.10/24 192.168.1.25/24计算网络地址192.168.1.10 255.255.255.0 192.168.1.0 192.168.1.25 255.255.255.0 192.168.1.0因此它们在同一网段可以直接通信。而如果是192.168.1.10/24 192.168.2.10/24网络地址192.168.1.0 192.168.2.0则不在同一网段需要通过网关转发。0x09 IPv6IPv6 通常被简单概括为“地址空间更大”但在实际网络和安全场景中它的变化远不止这一点。IPv6 使用128 位地址常见表示形式为十六进制例如2001:db8::1tips:IPv6 地址允许省略前导 0并使用 :: 压缩连续的 0但同一个地址中 :: 只能出现一次。在 DNS 中IPv6 地址通过AAAA 记录解析。IPv6 中也存在一些常见的特殊地址和地址范围::1回环地址IPv6 loopbackfe80::/10链路本地地址Link-localfc00::/7ULAUnique Local Address类似 IPv4 私有地址与 IPv4 不同IPv6 在邻居发现和网络通信上也做了一些重要变化使用NDPNeighbor Discovery Protocol代替 ARP不再使用传统广播Broadcast大量机制依赖多播Multicast在 CTF 和实际安全研究中IPv6 的价值往往来自被忽视的网络路径。例如许多访问控制规则只过滤 IPv4部分安全设备默认只检测 IPv4 流量一些应用在处理 IPv6 表示形式时存在解析问题IPv6 地址格式复杂容易导致白名单或黑名单绕过因此即使在以 IPv4 为主的环境中IPv6 也经常成为意外的访问入口或绕过路径。tips:利用 IPv6 链路本地地址 (fe80:: ) 进行绕过过滤器的横向移动0x0A 路由表主机发一个 IP 包之前通常不是立刻开始 ARP而是先查自己的路由表。路由表决定了哪些网段是直连的哪些流量需要交给网关应该走哪个网卡找不到时是否走默认路由顺序一般是目标是一个 IP先查路由表决定下一跳再 ARP 找下一跳的 MAC最后发帧出去以下问题你在细致学习了路由表可能就会理解为什么访问外网时发给的是网关 MAC为什么同一个目标在不同机器上走不同路径为什么 VPN 一开很多流量突然走另一张表为什么 Docker、虚拟机、多网卡环境很容易出现奇怪网络行为0x0B DHCP、默认网关一台设备刚接入网络时它并不知道自己的网络配置例如IP 地址子网掩码默认网关DNS 服务器如果这些信息都手动配置在大规模网络中几乎无法管理。因此网络中通常部署DHCPDynamic Host Configuration Protocol来自动分配这些参数。DHCP 的作用不仅仅是分配一个 IP 地址它还可以通过DHCP Option一并下发多种网络配置例如IP 地址Option 50子网掩码Option 1默认网关Option 3DNS 服务器Option 6租约时间Lease Time域名、NTP 等其他配置当设备接入网络时DHCP 通常会经历DORA 四步过程Discover客户端刚接入网络时没有 IP因此会向局域网发送广播包DHCP Discover Source IP: 0.0.0.0 Destination: 255.255.255.255用于寻找 DHCP 服务器。OfferDHCP 服务器收到 Discover 后会返回一个DHCP Offer其中包含分配的 IP 地址子网掩码默认网关DNS租约时间Request客户端收到多个 Offer 时会选择其中一个并发送DHCP Request表示确认使用该地址。ACKDHCP 服务器返回DHCP ACK租约正式生效客户端开始使用该 IP。默认网关的作用DHCP 中下发的默认网关Default Gateway通常是当前网络的三层出口设备。当主机访问非本地网段时数据包会发送给默认网关由网关负责继续转发。例如主机IP 192.168.1.10 掩码 255.255.255.0 网关 192.168.1.1当访问192.168.1.50 → 同网段直接通信 8.8.8.8 → 发给默认网关 192.168.1.1在抓包中DHCP 通常出现在设备刚接入网络网络重新获取地址租约过期续租因此 DHCP 流量常常可以帮助判断设备上线时间、网络拓扑和网关位置。0x0C 三层设备与网络设备一些常见的设备网卡负责收发当前链路上的帧交换机主要在二层根据 MAC 转发路由器主要在三层根据 IP 和路由表转发AP无线接入点负责终端接入 WLAN网关在主机视角里通常是通往其他网络的下一跳防火墙在转发基础上增加访问控制和状态判断tips:交换机会根据收到帧的源 MAC 学习“这个 MAC 在哪个端口后面”形成 MAC 地址表再据此转发。0x0D ICMP很多人只知道ping使用 ICMP因此会把 ICMP 当作“网络是否连通的检测工具”。实际上ICMPInternet Control Message Protocol是 IP 协议族中的控制与错误报告协议用于在网络通信出现问题时让主机或路由器返回状态信息。ICMP 报文通常由路由器或目标主机自动生成用于告知发送方当前网络发生了什么情况。常见的 ICMP 类型包括类型作用Echo Request / Echo Reply用于ping检测目标主机是否存活Destination Unreachable目标不可达例如网络不可达、端口不可达Time ExceededTTL 超时Redirect路由重定向Parameter ProblemIP 报文参数错误例如当使用ping发送请求时流程实际上是发送方 → ICMP Echo Request → 目标主机 目标主机 → ICMP Echo Reply → 发送方如果目标不存在或无法到达则可能返回ICMP Destination Unreachable除了 IPv4 中的 ICMPIPv6 中还有 ICMPv6邻居发现、路径 MTU 探测等很多机制也依赖它。TTL 与 ICMPICMP 还与路径探测工具 traceroute密切相关。IP 数据包在网络中转发时每经过一台路由器都会让TTLTime To Live减 1。当 TTL 变为 0 时路由器会丢弃该数据包并返回ICMP Time Exceededtraceroute正是利用这一机制发送 TTL1 的数据包 → 第一跳路由器返回 ICMP Time Exceeded发送 TTL2 的数据包 → 第二跳路由器返回 ICMP不断递增 TTL → 逐步发现完整路径因此 traceroute 可以显示客户端 → 路由器A → 路由器B → 路由器C → 目标tips:Windows (tracert)默认使用 ICMP Echo Request。Linux/Unix (traceroute)默认使用 UDP 高端口CTF 相关在抓包或网络流量分析题中ICMP 往往提供非常关键的信息例如1. 主机探测通过 ICMP Echo Request 判断主机是否存活抓包时会看到大量 ICMP Echo 请求。2. 端口状态判断当向关闭端口发送 UDP 时目标主机通常返回ICMP Destination Unreachable (Port Unreachable)这也是UDP 扫描的依据之一。3. 网络路径问题如果抓包中大量出现ICMP Time Exceeded可能说明TTL 设置异常路由环路traceroute 探测行为4. 隐蔽通信ICMP 还可能被用于ICMP TunnelICMP C2数据隐写例如攻击者把数据放在ICMP payload中进行通信从而绕过部分防火墙策略。0x0E NAT在现实网络中大量设备使用的是私有地址RFC191810.0.0.0/8 172.16.0.0/12 192.168.0.0/16这些地址不会在公网进行路由因此内网主机无法直接在互联网被访问。为了解决这个问题网络边界设备通常会使用NATNetwork Address Translation也就是网络地址转换。NAT 的核心行为是当数据包经过边界设备时修改 IP 地址必要时同时修改端口。因此 NAT 本质上是一种地址与连接的转换机制。一个典型的 NAT 例子假设内网主机192.168.1.10访问公网服务器8.8.8.8:53经过路由器 NAT 后数据包会变成Source IP: 203.0.113.5 Source Port: 45000 Destination: 8.8.8.8:53其中203.0.113.5是路由器的公网地址。路由器会在内部维护一张NAT 会话表192.168.1.10:52341 ↔ 203.0.113.5:45000当服务器返回数据时路由器再根据这张表把流量转回内网主机。常见 NAT 类型常见的 NAT 形式包括1. SNATSource NAT修改源地址通常用于内网访问公网。2. DNATDestination NAT修改目标地址常用于端口映射。例如公网 203.0.113.5:80 ↓ 内网 192.168.1.10:803. PATPort Address Translation同时转换地址和端口也叫NAPT。这是家庭路由器最常见的模式。NAT 在实际环境中的普遍存在NAT 几乎存在于所有网络环境中例如家庭路由器企业网络出口云服务器 VPCDocker 网络虚拟机 NAT 网络理解 NAT 对网络安全非常重要因为很多网络现象都与它有关例如为什么外网只能看到一个公网出口地址为什么内网服务默认无法从公网访问为什么需要端口映射Port Forwarding为什么反弹 shell 无法直接访问内网主机为什么某些服务在容器内监听但外部无法访问很多网络排障问题本质上都是NAT 转换或端口映射配置问题。0x0F 端口与五元组IP 地址只能定位到一台主机但一台主机上往往运行着多个网络服务例如 Web 服务、数据库服务、SSH 等。如果只有 IP 地址操作系统无法知道数据包应该交给哪个应用程序处理。因此在传输层引入了端口Port的概念。可以用一个简单的类比理解IP 地址一栋楼的地址端口号楼里的房间号当数据包到达主机时操作系统会根据端口号将数据交给对应的进程。端口号是一个16 位整数范围为0 - 65535常见服务端口在网络排障、渗透测试和 CTF 中记住一些常见端口非常有帮助端口服务20 / 21FTP22SSH23Telnet25SMTP53DNS67 / 68DHCP80HTTP110POP3123NTP143IMAP161SNMP443HTTPS445SMB3306MySQL3389RDP5432PostgreSQL6379Redis8080常见 Web 服务但需要注意端口只是约定并不是绝对规则。任何服务都可以运行在任意端口上。例如HTTP → 8080 HTTP → 8000 HTTP → 5000因此在抓包或分析流量时不能只根据端口判断协议还需要结合报文内容协议特征TLS 指纹流量行为Q:端口 0是什么捏五元组在网络流量分析中一个连接通常用五元组Five Tuple来唯一标识源IP 源端口 目的IP 目的端口 协议例如192.168.1.10:52341 → 8.8.8.8:53 UDP完整的五元组可以写成192.168.1.10 52341 8.8.8.8 53 UDP五元组的意义在于它可以唯一标识一条网络会话。许多网络机制实际上都依赖五元组例如NAT 会话表防火墙状态跟踪NetFlow / 流量统计Wireshark 会话重组netstat/ss本地连接查看例如在 NAT 中路由器会记录类似这样的映射关系192.168.1.10:52341 → 203.0.113.5:45000通过五元组设备才能正确地将返回流量送回对应主机。0x10 TCPTCPTransmission Control Protocol是互联网中最常见的传输层协议之一大量应用协议都运行在 TCP 之上例如HTTP / HTTPSSSHSMTPMySQLFTPTCP 连接机制TCP 是互联网中最常见的传输层协议它通过三次握手建立连接、四次挥手关闭连接并依赖一系列标志位如SYN、ACK、FIN、RST、PSH来管理连接状态。在抓包分析中还经常会遇到一些典型现象例如连接重置RST、TCP 重传、乱序Out-of-Order、MSS/MTU 协商以及IP 分片等这些都是 TCP 在真实网络环境中的正常行为或常见问题。这些机制属于网络分析的基础知识在流量分析、故障排查和安全研究中都非常重要建议读者自行进一步了解其工作原理(懒得加了)。Q:Fast Open 与 Window Scaling是什么捏0x11 UDP与 TCP 不同UDPUser Datagram Protocol是一种无连接的传输层协议。UDP 在发送数据之前不需要建立连接也不会保证数据一定到达因此它的协议设计非常简单不保证可靠传输不保证顺序不进行重传没有拥塞控制UDP 只负责把数据包发送出去因此它的开销非常小、延迟低。这使得 UDP 非常适合实时性要求高的场景例如DNS 查询NTP 时间同步实时音视频在线游戏流媒体传输UDP 的报文结构也非常简单仅包含四个字段Source Port Destination Port Length Checksum在抓包或流量分析中UDP 通常表现为一次请求对应一次响应例如常见的 DNS 查询。需要注意的是由于 UDP 不维护连接状态因此在很多网络设备中不存在 TCP 那样的会话管理也不会有三次握手或连接关闭过程在安全研究中UDP 也经常出现在以下场景DNS 流量分析UDP 扫描放大攻击Amplification AttackQUIC / HTTP3 等新协议tips:UDP 协议本身不建立像 TCP 那样的连接状态但网络设备或应用程序仍可能基于五元组维护短时会话状态。0x12 应用层协议、外围情报与流量特征DNS人类习惯记域名网络层只认 IP。所以访问网站时通常要先经过DNS。常见记录类型最基础的这些建议记住AIPv4 地址AAAAIPv6 地址CNAME别名MX邮件服务器NS权威 DNSTXT文本记录UDP DNS、TCP DNS 与 DoH传统 DNS 查询通常走 UDP 53因为请求短、开销小。但 DNS 也可以走 TCP比如响应太大或区域传送时。现代网络里还很值得提的是DoH也就是 DNS over HTTPS。它把 DNS 查询放进 HTTPS 中使传统基于端口 53 的检测变得不那么充分。DNS 分区解析现实中同一个域名可能对不同来源返回不同结果。这叫分区解析也常叫 split-horizon DNS。它可能按内外网地域运营商业务环境返回不同记录。这对实战和 CTF 都很有意义。因为同一个域名在你的环境和目标环境里不一定长得一样。DNS 欺骗与 DNS 隧道DNS 很常被用于攻击和隐蔽通信。DNS 欺骗可能让受害者把域名解析到错误 IP。DNS 隧道则可以把数据编码到查询名里通过大量 DNS 请求响应传递信息。抓包中看到以下特征时应提高警惕超长、随机的子域名高频 DNS 请求大量 TXT 记录异常活跃的 53 端口流量QDNS Rebinding是什么捏域名、Whois、证书透明度网络分析和信息收集并不只看包本身外围信息也很重要。WhoisWhois 可以查询域名注册相关信息例如注册商创建时间到期时间Name Server部分组织信息现代域名注册信息很多已因隐私和注册政策变化而变得不完整因此 Whois 的信息价值不如早年稳定但仍可作为基础线索之一。证书与 CT 日志TLS 证书里常常包含颁发者有效期指纹SAN 域名列表而现代公开证书会被记录到CTCertificate Transparency日志中。这使得 CT 日志成了一个很强的子域情报来源。也就是说子域枚举不一定只能爆破很多时候可以直接从 CT 里捞到。HTTP、HTTPS、TLSHTTPHTTP 是明文应用层协议。在抓包中如果没有加密你可以直接看到方法路径HostCookieUser-Agent表单内容返回内容这也是很多经典 CTF 流量题直接藏 flag 的地方。HTTPS 与 TLSHTTPS 本质是 HTTP over TLS。HTTP 内容被放在 TLS 之内不能直接看明文但 TLS 握手阶段仍可能泄露很多信息。tips:现在TLS 1.3是主要的不过已经有ECH这种连SNI一起加密的噢~Host 与 SNI同一个 IP 可以承载多个站点。HTTP 通过 Host 区分站点HTTPS 里 TLS 握手阶段常借助 SNI 指出目标域名。所以在流量分析中即使内容加密了往往仍能看到访问的域名或至少看到相关线索。证书体系、吊销与“现代 HTTPS”基础今天说 SSL很多时候实际上是在说 TLS。理解现代证书体系至少应该知道客户端信任根证书根证书签发中间证书中间证书签发站点证书客户端验证证书链、域名、有效期和用途此外还存在吊销机制比如CRLOCSP在基础场景里不需要把证书体系讲到非常底层但至少要让读者明白HTTPS 不是“加密一下就完了”而是一整套身份信任体系。流量指纹现代网络越来越多地使用加密但这并不意味着流量分析失去价值。相反分析重点从“看明文”转向了“看特征”。TCP 指纹不同系统和工具生成 TCP 包时会有细微差异比如初始 TTL窗口大小MSSTCP options 顺序TLS 指纹TLS ClientHello 中的版本、扩展、套件组合也能构成指纹例如 JA (已经到JA4了呜呜呜)一类思路。这有助于判断流量更像正常浏览器某个脚本库自动化工具恶意样本网页特征与行为特征即使不看内容很多网页流量也有很强的行为特征请求资源顺序常见静态路径User-Agent 风格Cookie 模式API 请求节奏WebSocket 长连接代理、反向代理、VPN、隧道与 IPsec现实中的客户端和服务器很少是“直接裸连”的。中间往往夹着很多层。本地代理与正向代理本地代理常用于抓包、调试、转发。正向代理则代表客户端去访问外部资源客户端明确知道代理存在。反向代理反向代理代表服务器接收请求。Nginx、CDN、负载均衡都属于常见反向代理场景。这意味着你看到的前端机器不一定是真实后端。VPN 与隧道VPN 的核心是在公共网络上建立逻辑上的专用通道。它会影响路由出口 IPDNS网络可见性隧道则是更宽泛的概念把一种协议包进另一种通道里传输。DNS 隧道、SSH 隧道、HTTP 隧道等都属于这个范畴。IPsecIPsec 是网络层安全协议族常用于 VPN。知道它的存在就足以帮助建立“网络层也能加密保护”的意识。0x13 扩展视野QUIC现代网络里一个越来越重要的协议是QUIC。它运行在 UDP 之上却实现了很多传统上由 TCP TLS 共同提供的能力。HTTP/3 就基于 QUIC。这意味着一个分析观念必须更新看到 UDP不代表它只是简单小报文。有时候你看到的可能是浏览器与网站的现代加密通信更快的握手多路复用新一代 Web 流量对 CTF 来说知道 QUIC 的存在至少能帮助你避免用过时的直觉误判流量。AS 与 BGP互联网由许多自治系统构成每个自治系统有 ASN。自治系统之间交换路由信息主要依赖 BGP。这说明互联网并不是一个单中心控制的大网而是很多网络彼此连接形成的体系。ISIS / OSPF这些更多是自治系统内部的路由协议。工控协议除了 Web、DNS、邮件、SSH 这些大众协议现实网络中还有大量行业协议。