么防护设备的防御难度越大, 因为大部分防护技术都是基于协议栈的动态交互来实现身份认证的比如 SYN Flood 防护中的 SYN COOKIE 算法, 如果客户端能够完成正常 3 次握手, 就可以突破这个算法虽然大多数攻击工具能够完成传输层协议栈的模拟, 但实现完整应用层协议栈的模拟则比较少,

Size: px

Start display at page:

Download "么防护设备的防御难度越大, 因为大部分防护技术都是基于协议栈的动态交互来实现身份认证的比如 SYN Flood 防护中的 SYN COOKIE 算法, 如果客户端能够完成正常 3 次握手, 就可以突破这个算法虽然大多数攻击工具能够完成传输层协议栈的模拟, 但实现完整应用层协议栈的模拟则比较少,"

圭窦
5 years ago
Views:

1 DDoS 攻击工具演变国际行销支持中心徐祖军在 DDoS 的领域里面, 攻击工具扮演着一个重要的角色, 因为事实上的 DDoS 攻击, 都是依靠攻击工具来实施的因此对它们进行全面的分析, 了解其产生的攻击类型攻击实施的方式特点, 将有助于采用更准确有效的清洗方法来对应攻击的威胁攻击类型 DoS 存在的原因主要是以太网 TCP/ DIP 协议栈的设计漏洞, 即任何连接网络的主机都可以发送任意的 IP 报文, 无须进行身份认证 IP 网络是尽力发送网络, 只要网络带宽足够大, 就可以发送大量报文, 攻击工具正是利用这特性得以存在和发展对攻击工具工作原理的分析, 并不是去了解它们的实现设计, 而是分析其所产生的攻击类型, 深入了解攻击类型才是研究工具的核心通常攻击分类可以从协议层面和被攻击目标的影响方式不同来划分协议层别划分的攻击类型主要有传输层攻击和应用层攻击传输层攻击比较典型的代表就是 SYN Flood ACK Flood UDP Flood, 而应用层攻击的代表则是 HTTP Flood,DNS Flood,SIP Flood 另外一种是依据对目标服务器影响的不同方式来划分的攻击类型, 它们分别是以消耗目标服务器资源和消耗网络带宽为目的的攻击消耗目标服务器资源的攻击通常对协议栈原理有更深入的理解, 比如 SYN Flood 攻击, 就是利用被攻击目标对 SYN 报文分配资源没有释放的缺陷而达到目的, 实施这种攻击无须大流量以消耗目标服务器带宽资源的攻击则是以流量大取胜, 比较典型的有 UDP Flood 从下文列出的工具可以看出, 大多数工具产生的攻击是以目标资源消耗型为目标, 而且有能够模拟协议栈行为, 比如完成 TCP 的三次握手攻击实施方式特点攻击工具要体现出更大的威力, 通常会设计一种良好的流量攻击方式, 让攻击更难于防护和发现比较常见的方式就是利用僵尸网络发起攻击如果僵尸网络主机数量比较庞大, 那么不管是在应用层还是传输层, 对目标服务器的资源消耗和网络带宽的影响都会比较大如果攻击工具能够模拟完整的协议栈, 那 59

2 么防护设备的防御难度越大, 因为大部分防护技术都是基于协议栈的动态交互来实现身份认证的比如 SYN Flood 防护中的 SYN COOKIE 算法, 如果客户端能够完成正常 3 次握手, 就可以突破这个算法虽然大多数攻击工具能够完成传输层协议栈的模拟, 但实现完整应用层协议栈的模拟则比较少, 主要原因在于应用层协议比较复杂如下文所示的 SlowHTTPTest 能够完成正常的三次握手, 然后利用应用层协议漏洞发起攻击总结起来攻击工具的发展有如下几个特点 : 1. 利用应用层协议栈漏洞发起的工具比较多, 大部分集中在基于 Web 业务的攻击, 其它应用层协议如 DNS SIP 相对比较少 2. 能够模拟协议栈行为包括应用层和传输层的攻击工具是未来发展的趋势, 实现应用层协议模拟的防御难度会更大 3. 攻击工具已经逐渐朝更加隐蔽的方式, 以能操纵更大规模的僵尸网络为目标方向挺进, 比如 DirtJumper 4. 基于应用层协议漏洞的攻击工具会越来越多, 由于能够通过较少流量达到攻击目的, 对业务的危害比较大攻击工具的防御攻击工具的防御, 一方面可以从基础设施的改进来缓解攻击影响, 比如带宽扩容, 增强服务器的处理性能采用合理的网络部署结构等另外一方面可以在网络边界出入口采用专用的防御技术目前行之有效的防护方法主要有四大类 : 1. 动态挑战算法模拟传输层和应用层协议栈行为, 代替服务器回应数据报文, 对正常的客户端发送挑战报文, 只有完成挑战认证的客户端的流量才能放行动态挑战算法比较常用的有 SYN Cookie, DNS Cookie 和 SIP Cookie 2. 多层次限速基于各种粒度和层次, 分别从源 IP 目标 IP 传输层和应用层 session, 对 IP 流量进行限制这是对流量型攻击常用的防护方法, 比如 UDP Flood,ICMP Flood 3. 智能的访问控制从三层到 7 层灵活的访问控制策略从 IP 地址到 7 层应用层协议, 比如 HTTP 协议, 可对报文的 URL user-agent cookie 设置丢弃信任和限速策略, 而对 DNS 协议, 则可对报文中 Query 名字类型 RR 记录设置类似策略 4. 行为分析和信誉机制基于数据分析技术对 IP 行为和流量特征建模分析, 建立通用信誉库包括 IP URL 和文件信息, 输出异常流量特征指纹, 自动完成流量清洗这对僵尸网络以及报文发送异常的攻击工具防护都非常有效, 比如 Slowloris Header 虽然 DDoS 攻击方式在不断发生变化, 但攻击的类型并不会发生质的改变, 攻击工具对业务系统带来的最大威胁, 并不在于新的工具名称的出现, 而在于尚未发现而且能够被利用的已知或未知协议漏洞面对未来新工具的出现, 准确把握好其产生的攻击类型以及攻击方式特点, 并基于此采用反制措施能将攻击危害控制到最小下文将对攻击工具及攻击类型等进行介绍 LOIC LOIC 是一款专著于 Web 应用程序的 Dos/DDoS 攻击工具, 它可以用 TCP 数据包 UDP 数据包 HTTP 请求对目标网站进行 DDoS/DoS 测试, 不怀好意的人可能利 60

用 LOIC 构建僵尸网络 LOIC 是用 C# 语言写的, 这是一个 C# 新

Android),XOIC 可运行的环境则少的多, 仅支持 win7 以上的 Windows

潜在增大了攻击效果攻击手段主要是以无限循环方式发送大量数据, 并无其它特色针对单个 IP

攻击方式上多了 ICMP Flood 下面是作者列出的工具特色 : 和 LOIC 相比,

XOIC 加了 Testmode 模式, 可以测试攻击主机的性能另外, 在实际的

3 用 LOIC 构建僵尸网络 LOIC 是用 C# 语言写的, 这是一个 C# 新手的练手作品, 靠 GUI 界面吸引了不明真相的小白们使用由于程及 Android),XOIC 可运行的环境则少的多, 仅支持 win7 以上的 Windows 平台序设计上有意或无意留下的 BUG 导致一旦开始攻击在退出进程前无法真正停止攻击, 潜在增大了攻击效果攻击手段主要是以无限循环方式发送大量数据, 并无其它特色针对单个 IP Android 平台下 LOIC 程序主界面如下, 攻击测试选取的是 HTTP 攻击方式上多了 ICMP Flood 下面是作者列出的工具特色 : 和 LOIC 相比, 工具主打的还是流量型攻击, 不过相比前者增攻击类型 :UDP/TCP/HTTP GET XOIC 加了 Testmode 模式, 可以测试攻击主机的性能另外, 在实际的测试中发现了工具的一个小 BUG 相对于 LOIC 的多平台 (GNU/Linux,Windows,Mac OS 以反编译后的关键代码如下 : 61

容 HOIC 的攻击报文会从这些目标 URL Refer 等字段中随即抽取, 组成一个 HTTP 攻击报文发送 HOIC 攻击实际是靠大量正常 HTTP 请求进行 DoS, 如果有基于某些阈值的异常行为检测方案, 完全可以有效检测阻断 HOIC 攻击类似 NSFOCUS ADS 系列的专业 DDoS 防护产品完全可以应对 HOIC 攻击攻击类型 :HTTP GET 攻击类型

4 容 HOIC 的攻击报文会从这些目标 URL Refer 等字段中随即抽取, 组成一个 HTTP 攻击报文发送 HOIC 攻击实际是靠大量正常 HTTP 请求进行 DoS, 如果有基于某些阈值的异常行为检测方案, 完全可以有效检测阻断 HOIC 攻击类似 NSFOCUS ADS 系列的专业 DDoS 防护产品完全可以应对 HOIC 攻击攻击类型 :HTTP GET 攻击类型 :TCP/UDP/ICPM/HTTP GET HOIC HOIC 是 High Orbit Ion Cannon( 高轨道离子炮 ) 的缩写, 一款用 RealBasic 开发的 DoS 工具最初一些人使用 LOIC 进行 DoS, 后来这些人被捕了, 另外一些人开发了 HOIC 以示抗议 ( 在工具的攻击包中, 有一个说明 :Brothers one of our aids has been arrested and detained for merely using the loic we must show them that this is a mistake)realbasic 是一种类似 VB6 的编程语言, 可以生成在 Windows Linux Mac OS 上运行的应用程序 HOIC 是完全开源的,zip 包中的 hoic.rbp 是 RealBasic 源码 HOIC 会从目标 URL 那一个 Array 中随机抽取,Referer User- Agent 分别从一个 Array 中随机抽取, 另有一些随机的 HTTP Headers 所有内容都是可定制的, 发送出去的 HTTP 请求有很多变种,HOIC 只能发动合法的 HTTP 攻击 HOIC 的 HTTP 攻击报文内容是通过一个.hoic 文件进行控制的, 这个.hoic 文件里可以添加多个目标 URL Refer User-Agent 等内 HULK HULK 是一种 Web 的拒绝服务攻击工具它能够在 Web 服务器上产生许多单一的伪造流量, 能绕开引擎的缓存, 直接攻击服务器的资源池 HULK 的特别之处在于 : 对于每一个请求都是独特的, 能够绕开引擎的缓存直接作用于服务器的负载 HULK 使用的技术 : 源代码的混淆通过一个 User Agent 的已知列表, 每一个 HTTP 请求的用户代理都是随机来自于已知列表引用伪装指向请求的 Referer 是伪造的, 要么指向主机自己, 要么指向主要的已知站点 Referer 是产生请求的 URL 粘附性使用标准的 HTTP 请求去请求服务器, 使用变化的 keep-alive 时间窗保持连接建立不使用缓存这是一个前提, 向 HTTP server 请求 nocache, 一个没有在背后 cache service 使用的 server 会呈现一个单独的页面 62

URL 的独特组成为了避免缓存和其他优化工具,HULK 伪造了常见的参数名称和参数值, 为了单一性, 他们都是根据每攻击类型 :HTTP GET,HTTP POST,SYN Flood DarkDDoser 通过僵尸网络发起的 HTTP 攻击个请求随机生成的, 使得服务器就得处理每个事件的响应

botnet 发动 DDoS 攻击的 toolkit 整体来看, 由 Dirt Jumper 及其变种程序发起的攻击呈上升态势原因不仅仅在于程序的简单易用, 同时地下产业链相对成熟, 从而得以广泛传播从攻防角度上讲,Dirt Jumper 攻击并没有引入新的方式,

5 URL 的独特组成为了避免缓存和其他优化工具,HULK 伪造了常见的参数名称和参数值, 为了单一性, 他们都是根据每攻击类型 :HTTP GET,HTTP POST,SYN Flood DarkDDoser 通过僵尸网络发起的 HTTP 攻击个请求随机生成的, 使得服务器就得处理每个事件的响应攻击类型 :HTTP GET srdos 该工具在与服务端建立连接后, 等待服务端发送数据, 然后才会发送自己的攻击报文, 这也是为什么没有后续的攻击报文通过查看反汇编的代码发现, 该工具里有 https 握手相关的攻击攻击类型 :TCP SSL DirtJumper Dirt Jumper 是一个通过 botnet 发动 DDoS 攻击的 toolkit 整体来看, 由 Dirt Jumper 及其变种程序发起的攻击呈上升态势原因不仅仅在于程序的简单易用, 同时地下产业链相对成熟, 从而得以广泛传播从攻防角度上讲,Dirt Jumper 攻击并没有引入新的方式, 采用了比较传统的网络层和应用层攻击手段, 防护并不困难攻击类型 :HTTP GET/POST/TCP/UDP SlowHTTPtest SlowHTTPtest 是一个可以灵活配置的应用层攻击工具, 它能发起诸如 Slowloris Slow HTTP POST Slow Read Slow Range 等工具实现的低带宽应用层拒绝服务, 攻击 63

工具利用了 HTTP 协议的一个特点等待完整的 HTTP 请求收到才会进行处理如果一个 HTTP 请求不完整, 或者是在网络上慢速传递,HTTP 服务器会一直为这个请求保留资源等待它传输完毕如果 HTTP 服务器有太多的资源都在等待, 这就构成了 DoS 攻击类型 :HTTP Sslhamer 模拟僵尸网络的攻击行为,

python 编写完成, 主要用来进行 cc 攻击作者宣称可以绕过 ADS 设备的 HTTP Redirect HTTP Cookie Javascript CAPTCHA( 图片验证码攻击 ) 防护算法该攻击工具对 HTTP Redirect HTTP Cookie 的绕过速度比较快 ; 该攻击工具需要借助 v8

6 工具利用了 HTTP 协议的一个特点等待完整的 HTTP 请求收到才会进行处理如果一个 HTTP 请求不完整, 或者是在网络上慢速传递,HTTP 服务器会一直为这个请求保留资源等待它传输完毕如果 HTTP 服务器有太多的资源都在等待, 这就构成了 DoS 攻击类型 :HTTP Sslhamer 模拟僵尸网络的攻击行为, 与客户端建立三次握手之后, 发送大量的垃圾报文攻击类型 :TCP/SSL Hyenae 可以安装在 linux 和 windows 下的攻击发包工具, 灵活指定 IP 和发包速率, 并且支持 TCP/UDP/HTTP 等多种协议 ; 支持 IPv6 攻击类型 :TCP/UDP/HTTP Killemall 这套攻击软件是用 python 编写完成, 主要用来进行 cc 攻击作者宣称可以绕过 ADS 设备的 HTTP Redirect HTTP Cookie Javascript CAPTCHA( 图片验证码攻击 ) 防护算法该攻击工具对 HTTP Redirect HTTP Cookie 的绕过速度比较快 ; 该攻击工具需要借助 v8 引擎才能绕过 javascript 防护, 而 v8 引擎的安装比较复杂 ; 在绕过 CAPTCHA 的概率上来说, 该攻击工具绕过 ADS 的概率还是比较大的, 但由于需要预先生成数据库, 耗时较大 ; 一旦 ADS 更新了图片验证码, 则该工具就不能再继续绕过 ; 该攻击工具只能使用本地真实源 IP 进行攻击, 不能伪造源 IP 64

攻击类型 :HTTP Ddosim Ddosim 可以模拟几个僵尸主机 ( 局域网内随机 IP 地址 ) 它创建完整的 TCP 连接到目标服务器在完成连接后, Ddosim 启动应用程序的对话与聆听 ( 如 HTTP 服务器 ) Ddosim 是用 C 写的, 通过发送报文监听报文回复报文这几个过程来模拟几个僵尸主机的 Ddosim 目前的攻击包括 : (1) 使用有效 HTTP

的 HTTP 攻击是通过 request body 进行控制的, request body 的内容可以自己修改 PyLoric 首先和服务器建立连接, 然后将 request body 里的内容拆分成一个字符一个字符的发送, 每一个 HTTP 报文只包含一个字符攻击类型 :HTTP 漏洞型 Slowloris header 简单的来说是对 HTTP 服务器送出不完全的 HTTP 请求,

7 攻击类型 :HTTP Ddosim Ddosim 可以模拟几个僵尸主机 ( 局域网内随机 IP 地址 ) 它创建完整的 TCP 连接到目标服务器在完成连接后, Ddosim 启动应用程序的对话与聆听 ( 如 HTTP 服务器 ) Ddosim 是用 C 写的, 通过发送报文监听报文回复报文这几个过程来模拟几个僵尸主机的 Ddosim 目前的攻击包括 : (1) 使用有效 HTTP 请求的 DDoS (2) 使用无效请求 HTTP DDoS 攻击 ( 类似的 DC 攻击 ) (3)DDoS 攻击的 SMTP (4) 随机端口上的 TCP 连接攻击攻击类型 :HTTP PyLoris PyLoris 可以利用 SOCKS 代理和 SSL 连接, 并可以针对如 HTTP FTP SMTP IMAP 和远程登录等协议进行测试, 这里主要关注 HTTP 攻击 PyLoric 的 HTTP 攻击是通过 request body 进行控制的, request body 的内容可以自己修改 PyLoric 首先和服务器建立连接, 然后将 request body 里的内容拆分成一个字符一个字符的发送, 每一个 HTTP 报文只包含一个字符攻击类型 :HTTP 漏洞型 Slowloris header 简单的来说是对 HTTP 服务器送出不完全的 HTTP 请求, 并且试着让它保持不被 HTTP 服务器超时, 如此一来 HTTP 服务器可开启的最大 socket 就会满了, 最后导致 HTTP 服务器无法提供服务 Slowloris 是用 perl 脚本编写的 Slowloris 在这里又被称为 slow headers, 攻击截图如下 : PyLoris 是一个测试服务器的脆弱性和连接拒绝服务 (DoS) 攻击的脚本工具, 用 python 语言编写 65

前沿技术攻击的数据包如下其基本原理是制造不完整的 header 完整的 HTTP 请求头结尾应该是 0d0a0d0a

最终通过不间断的并发连接耗尽系统的最大连接数直至服务端 DoS 切换至 HEX 显示如下的资源但若其支持

test.png 资源时客户端 window size 被刻意设置为 1120 字节客户端缓冲区在被来自服务的数据填满后发出了

Slow Read Slow Read 攻击简单说就是通过调整 TCP 协议头中的 window size

8 前沿技术攻击的数据包如下其基本原理是制造不完整的 header 完整的 HTTP 请求头结尾应该是 0d0a0d0a 而但攻击工具只发送 0d0a 然后以固定的时间间隔反复发送随机的 key-value 键值对迫使服务器持续等待至超时最终通过不间断的并发连接耗尽系统的最大连接数直至服务端 DoS 切换至 HEX 显示如下的资源但若其支持 http_pipelining 的话可以采用在同一连接中多次请求同一资源的方法来增大返回内容从捕获的数据包中可以看出当请求 test.png 资源时客户端 window size 被刻意设置为 1120 字节客户端缓冲区在被来自服务的数据填满后发出了 [TCP ZeroWindow] 告警迫使服务端等待从交互开始到断开单个连接耗费了 14 秒捕获的数据攻击类型 HTTP Slow Read Slow Read 攻击简单说就是通过调整 TCP 协议头中的 window size 来控制双方的数据流速率尽可能长的保持单次连接的交互时间直至超时要使这种攻击效果更加明显请求的资源要尽量大比如我这里的测试图片 test.png 其大小为 4M 多如果目标网站没有这么大 66

攻击类型 :HTTP Slowloris POST Slow HTTP POST 也称为 Slow body 顾名思义, 攻击的着眼 value 键值对可以看出, 任何可以接收 HTTP Post 请求的网站, 都有可能遭受此类攻击攻击类型 :HTTP 点放在了发送内容的过程中 Torshammer Tor's Hammer 是一个能发起缓慢 POST DoS

X 和老版本的 IIS, 只需要启用 ~128 个线程,kill 掉 Apache2.

9 攻击类型 :HTTP Slowloris POST Slow HTTP POST 也称为 Slow body 顾名思义, 攻击的着眼 value 键值对可以看出, 任何可以接收 HTTP Post 请求的网站, 都有可能遭受此类攻击攻击类型 :HTTP 点放在了发送内容的过程中 Torshammer Tor's Hammer 是一个能发起缓慢 POST DoS 攻击的测试工攻击数据包 : 具 Torshammer 也可以运行在 tor 网络中 ( 此时会假定您通过 :9050 运行 tor) 通过一台机器,Torshammer 就可以 kill 掉大多数没有受到保护的 Apache 和 IIS 服务器 :kill 掉 Apache 1.X 和老版本的 IIS, 只需要启用 ~128 个线程,kill 掉 Apache2.X 和新版本的 IIS, 需要启用 ~256 个线程切换至 HEX 显示如右上方图所示可以看到在这种攻击中,HTTP header 数据已被完整发送 ( 注意 0d0a0d0a), 只是将 HTTP header 中 content-length 字段设置为一个很大的值 ( 这里是 8192), 同时不在一个包中发送完整 post 数据而是每间隔 10 秒 ( 此值攻击者可以调整 ) 发送随机的 key- 可以通过 Torshammer 直接发起 HTTP POST 攻击 ( 不支持 GET), 也可以通过 Tor 网络发动攻击 Torshammer 的 HTTP POST 攻击是首先向服务器发送一个 POST 报文请求, 然后再发送一系列随机的字符串 ( 分多个报文发送, 每个报文包含两个字符 ) 攻击类型 :HTTP 67

Anonymous 是一个工具集合, 包含 :HOIC,LOIC, DDOSIM,PYLORIS,SLOWLORIS, TORSHAMMER,SLOWHTTPGET THC-IPv6 针对 IPv6 的攻击工具集合 kadiaoni 此类攻击的原理是通过 POST 一个字节的字符, 保持住服务器的连接不断开, 直到耗尽服务器的资源攻击类型 :HTTP GoldenEye GoldenEye(

10 Anonymous 是一个工具集合, 包含 :HOIC,LOIC, DDOSIM,PYLORIS,SLOWLORIS, TORSHAMMER,SLOWHTTPGET THC-IPv6 针对 IPv6 的攻击工具集合 kadiaoni 此类攻击的原理是通过 POST 一个字节的字符, 保持住服务器的连接不断开, 直到耗尽服务器的资源攻击类型 :HTTP GoldenEye GoldenEye( 最新版本为 2.1) 是一个主打应用层 (HTTP Flood) 攻击的工具, 从 HUIK 项目发展而来, 同 HUIK 一样它也使用 python 编写, 支持多平台运行, 攻击方式上支持 HTTP GET HTTP POST 和 Random 工具特色 : 支持 KeepAlive 和 NoCache 功能 ; 随机化的 HTTP Header ; 可定义的 User-Agent 列表 ( 默认随机 ); 支持 Android(GoldenEye 4 Android) 平台攻击类型 :HTTP DAVOSET 最新版本为 1.2 是一个 perl 脚本, 有 perl 执行环境即可与前面介绍的直连式的 GoldenEye 不同, 它又被称之为 Proxy Attacks, 是借助有漏洞的合法的第三方身份实施攻击而做到自身的隐藏, 可以看作是更广泛意义上的反射攻击而且 Proxy Attacks 可利用的反射点众多, 也使得这种攻击更加难以封堵工具特色 : 利用代理发动攻击, 一定程度上可以隐藏自身 ; 不定期更新可用的反射点 ; 反射点通常有较强的可交互性, 容易绕过目标防护措施 ; 实施这种攻击最重要的是有众多可利用的反射点, 攻击者可自己网络搜索, 也可利用工具附带的完整列表攻击类型 :Proxy R.U.D.Y R-U-Dead-Yet 是一个 HTTP POST DoS 攻击工具它执行一个 DoS 攻击长表单字段, 通过 POST 方法提交这个工具提供了一个交互式控制台菜单, 检测给定的 URL, 并允许用户选择哪些表格和字段应用于 POST-based DoS 攻击攻击类型 :HTTP THC SSL DOS 通过 SSL-RENEGOTIATION 的漏洞耗尽服务器资源攻击类型 :SSL ZARP ZARP 是采用 Python 编写的类似 MSF 的一款网络攻击测试框架工具采用模块化设计, 集漏洞扫描嗅探 DDoS 压力测试于一身 ZARP 主要接口是一个 CLI 驱动的图形界面, 采用多层菜单, 使用起来相当方便目前运行平台只限于 linux, 同时在安装之前要确保系统存在 python2.7.x git 以及 scapy 程序执行界面 : 攻击类型 :TCP 68

Chapter #

Chapter # 第三章 TCP/IP 协议栈本章目标通过本章的学习, 您应该掌握以下内容 : 掌握 TCP/IP 分层模型掌握 IP 协议原理理解 OSI 和 TCP/IP 模型的区别和联系 TCP/IP 介绍主机主机 Internet TCP/IP 早期的协议族全球范围 TCP/IP 协议栈 7 6 5 4 3 应用层表示层会话层传输层网络层应用层主机到主机层 Internet 层 2 1 数据链路层