网络基础科普

网络江湖生存指南：从萌新到扛把子的硬核科普

哥们儿，今天咱不聊二次元，聊聊你手机/电脑里的另一个江湖——互联网黑帮风云录

第零章：警告⚠️

“我艹，这文章特么5000多字？！”
对，我就是这么实诚。但保证比你看教科书爽100倍，毕竟没哪个教科书会告诉你“ARP欺骗就像伪造学生证混进女生宿舍”（误）。
适合人群：

· 想建站但被端口转发逼疯的憨憨
· 打游戏总延迟999ms的倒霉蛋
· 觉得“黑客”很酷但连IP是啥都不知道的中二少年
· 被“光猫”“路由”搞懵逼的普通网民

阅读建议：

备好肥宅快乐水
看不懂就骂一句“什么鬼”然后继续看
实操部分别特么瞎搞，搞崩了别找我

第一章：互联网到底是个啥玩意儿？

1.1 假如互联网是个红灯区（误）

想象一下：你住在一个超大型小区（互联网），每栋楼是一个网络，每户人家是一台设备。

· IP地址 = 门牌号
· MAC地址 = 身份证号（出厂就定死了）
· 路由器 = 小区大门保安亭
· 光猫 = 联通/电信派来的特务（后面细说）
· ISP = 房地产开发商 + 物业公司（收你钱还限你速的狗东西）

ISP（Internet Service Provider）：
就是你每月交钱的那个“联通/电信/移动”。没有他们？呵呵，你连这篇博客都看不了。他们干三件事：

给你拉网线（或者无线）
分你个IP地址（公网IP，现在这玩意儿稀缺得像校花微信）
当网络包邮员（你的数据全经过他们手）

第二章：IP地址——门牌号的江湖恩怨

2.1 IPv4：快要被挤爆的城中村

格式：192.168.1.1 这种点分十进制。
总共有约42亿个地址，听着多？2019年就特么分完了！

私网IP（内网IP）：

· 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16
· 这些地址可以重复使用，就像“1号楼101室”每个小区都有
· 你家的电脑/手机基本都是这种（不信？ipconfig/ifconfig 自己看）

公网IP（外网IP）：

· 全球唯一，就像“北京市海淀区中关村xxx号”
· 现在普通家庭很难拿到了，运营商都给你NAT（后面讲）

2.2 IPv6：新开发的豪华小区

格式：2001:0db8:85a3::8a2e:0370:7334 这种冒号分开的十六进制。
数量：340万亿亿亿亿个（自己数0去），地球上每粒沙子都能分到IP。
为啥还没普及？因为兼容性像屎一样，很多老设备/软件不支持。

2.3 子网掩码：划分楼层的规则

举例：255.255.255.0 = /24
意思：前24位是网络号，后8位是主机号。
通俗版：

· 你家小区：192.168.1.0/24
· 你家门牌：192.168.1.100
· 可用范围：192.168.1.1 ~ 192.168.1.254（0和255是特殊号码）

为啥要划分子网？
不然广播风暴能让你家路由器原地爆炸（后面ARP会讲）。

第三章：MAC地址——永不更换的身份证

3.1 物理地址的真相

· 48位，16进制，如 00:1A:2B:3C:4D:5E
· 烧死在网卡ROM里，理论上全球唯一（但可以伪造，这就是搞事的开始）
· 只在局域网（LAN）里有效，出了你家大门（路由器）就没人认了

骚操作时刻：
有些学校/公司会搞“MAC地址绑定”，防止你乱接设备。
破解？太简单了：

# Linux
sudo ifconfig eth0 down
sudo ifconfig eth0 hw ether 00:11:22:33:44:55
sudo ifconfig eth0 up

# Windows（管理员命令行）
netsh interface set interface "以太网" admin=disable
netsh interface set interface "以太网" admin=enable
# 改注册表略复杂，自己搜

但注意：改MAC可能违反网络政策，翻车别怪我！

第四章：TCP vs UDP——靠谱大哥 vs 疯狗小弟

4.1 TCP：强迫症晚期患者

特点：

必须三次握手建立连接（仪式感拉满）
保证数据按顺序到达
丢了包就重传
流量控制（别发太快，对方受不了）

三次握手（Three-way Handshake）：

你：喂，听得到吗？（SYN）
服务器：嗯，听得到，你听得到我吗？（SYN+ACK）  
你：我也听得到，开始传数据啦！（ACK）

四次挥手（分手更麻烦）：

你：我说完了（FIN）
服务器：哦，等我处理完手头的（ACK）
...（等服务器搞定）...
服务器：我也说完了（FIN）
你：好的，拜拜（ACK）

应用场景：网页（HTTP）、邮件（SMTP）、文件传输（FTP）——不能丢数据的场合

4.2 UDP：爱咋咋地的狂野派

特点：

不建立连接，直接怼数据
不保证顺序，不重传
速度快到飞起

应用场景：

· 视频通话（丢几帧无所谓）
· 在线游戏（延迟低更重要）
· DNS查询（简单快速）
· 直播推流

经典比喻：

· TCP像快递，必须签字确认，丢了赔你
· UDP像扔纸飞机，扔出去就不管了

4.3 端口（Port）：门牌号上的房间号

· IP地址 = 小区地址
· 端口 = 房间号（0-65535）

常见端口：

· 80：HTTP（网页）
· 443：HTTPS（加密网页）
· 21：FTP（文件传输）
· 22：SSH（加密远程登录）
· 3389：远程桌面（Windows）
· 25565：Minecraft服务器（懂的都懂）

netstat命令装逼时刻：

netstat -an | find "ESTABLISHED"  # Windows看连接
netstat -tulnp  # Linux看监听端口

第五章：HTTP vs HTTPS——裸奔 vs 穿防弹衣

5.1 HTTP：明文传输的裸奔时代

· 所有数据不加密
· 抓包工具（Wireshark）一看就光
· 现在基本被淘汰了，除了某些懒狗网站还在用

5.2 HTTPS：TLS/SSL加密的武装押运

流程简版：

客户端说：我要加密通话（Client Hello）
服务器甩出证书：这是老子身份证（Server Certificate）
客户端验证证书真伪（CA机构背书）
生成会话密钥，开始加密传输

为啥要证书？
防止中间人冒充淘宝官网骗你密码。

手动装逼：
浏览器按F12 → 安全 → 查看证书，能看到颁发机构、有效期等。

第六章：DNS——互联网的电话簿

6.1 域名解析的奥秘

你输入 www.bilibili.com 后发生了什么？

1. 查浏览器缓存（刚看过？直接打开）
2. 查系统hosts文件（老司机改过这个）
3. 问本地DNS服务器（通常是路由器/ISP）
4. 本地DNS问根服务器（全球13组，后面讲）
5. 根说：我不知道，问 .com 顶级域服务器去
6. .com 说：问bilibili的权威DNS去
7. 权威DNS说：IP是 xxx.xxx.xxx.xxx
8. 本地DNS缓存结果，告诉你答案

nslookup装逼：

nslookup www.baidu.com
nslookup -type=MX gmail.com  # 查邮件服务器

6.2 根服务器：全球仅13组的超级大佬

· 不是13台机器，而是13个集群，全球anycast部署
· 主要在美国（10个），欧洲2个，日本1个
· 中国没有根服务器镜像点？错！有N多镜像
· 根服务器只负责告诉你去哪找顶级域（.com/.cn等）

政治八卦：
为什么中国要搞“雪人计划”（IPv6根服务器）？
因为现有的根服务器美国能关（理论上），虽然没发生过。

第七章：内网穿透（端口映射/反向代理）

7.1 为什么需要这玩意儿？

现状：

你家路由器有个公网IP（假设还有）
你电脑内网IP是 192.168.1.100
外网无法直接访问 192.168.1.100

解决方案：

方案A：路由器端口映射（最正统）

外网访问 公网IP:8080 → 路由器转发 → 192.168.1.100:80

但问题：

现在家里多是私网套私网（运营商级NAT）
公网IP难搞（打电话给客服装孙子要）

方案B：FRP/Ngrok等神器（推荐）

原理：

你在云服务器（有公网IP）装frp服务端
家里电脑装frp客户端
客户端主动连服务端，建立隧道
别人访问云服务器的某个端口，流量通过隧道转到你家里

frpc.ini 示例：

[web]
type = tcp
local_ip = 127.0.0.1
local_port = 80
remote_port = 8080

一句命令起飞：./frpc -c ./frpc.ini

方案C：ZeroTier/Tailscale（黑科技）

· 组建虚拟局域网
· 直接像在内网一样访问
· 基于P2P，速度爆表

第八章：网络拓扑——你家的网是怎么连的？

8.1 家庭网络典型拓扑

光纤入户 → 光猫（光电转换） → 路由器（拨号/NAT） → 交换机（可选） → 设备
                     ↓
                 电话/IPTV

光猫的黑暗秘密：

· 运营商远程管理（可以限速、改配置）
· 有的带路由功能（但很垃圾）
· 桥接模式：让光猫只做光电转换，路由器来拨号（性能提升明显）

改桥接教程（简版）：

找光猫超级管理员密码（百度型号）
登录后台，改连接模式为“桥接”
路由器设置PPPoE拨号（用宽带账号密码）
速度起飞

8.2 企业级拓扑

核心交换机 → 汇聚层 → 接入层（接电脑）
        ↓
      防火墙
        ↓
      路由器
        ↓
      互联网

VLAN：虚拟局域网，比如：

· VLAN10：财务部
· VLAN20：技术部
· 互相隔离，广播不互通

第九章：路由与交换——快递分拣系统

9.1 路由器 vs 交换机

交换机（Switch）：

· 工作在数据链路层（看MAC地址）
· 同一网络内转发数据
· 不认识IP，只知道“这个MAC在哪个端口”

路由器（Router）：

· 工作在网络层（看IP地址）
· 不同网络间转发数据
· 有NAT功能（让一堆设备共享一个公网IP）

家用“路由器”其实是个合体怪：
= 路由器 + 交换机 + 无线AP + 防火墙

9.2 路由表：导航地图

route print  # Windows
route -n     # Linux

输出像这样：

目标网络      网关          接口
0.0.0.0       192.168.1.1   192.168.1.100  # 默认路由
192.168.1.0   0.0.0.0       192.168.1.100  # 直连网络

解读：

· 目标 0.0.0.0 = 所有地址
· 网关 192.168.1.1 = 发给路由器处理
· 如果网关是 0.0.0.0 = 直接发送，不经过网关

第十章：ARP——局域网里的广播找人

10.1 ARP协议：MAC地址的寻人启事

场景：192.168.1.100 想找 192.168.1.1（路由器）的MAC地址

广播喊：“谁是 192.168.1.1？告诉 192.168.1.100！”
192.168.1.1 回复：“我是，我的MAC是 xx:xx:xx:xx:xx”
记录到ARP缓存表

查看ARP缓存：

arp -a  # Windows/ Linux都行

10.2 ARP欺骗（ARP Spoofing）：伪造身份证的黑客技能

原理：
黑客告诉受害者：“我是路由器，MAC是黑客的MAC”
同时告诉路由器：“我是受害者，MAC是黑客的MAC”

结果：
所有流量经过黑客机器（中间人攻击）

工具：

· Ettercap（图形化，简单）
· arpspoof（命令行）

防御：

· 静态ARP绑定
· 交换机端口安全
· ARP防火墙

第十一章：VPN——挖条地道通国外（误）

11.1 VPN类型

PPTP：老古董，快被淘汰了（不安全）
L2TP/IPsec：主流，速度一般
OpenVPN：开源，配置复杂但可靠
WireGuard：新秀，速度快代码少

11.2 自建VPN（简版）

WireGuard配置示例：

服务器端 /etc/wireguard/wg0.conf：

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = 服务器私钥

[Peer]  # 客户端
PublicKey = 客户端公钥
AllowedIPs = 10.0.0.2/32

客户端配置：

[Interface]
Address = 10.0.0.2/24
PrivateKey = 客户端私钥
DNS = 8.8.8.8

[Peer]
PublicKey = 服务器公钥
Endpoint = 服务器公网IP:51820
AllowedIPs = 0.0.0.0/0  # 所有流量走VPN

第十二章：应用层协议全家桶

12.1 FTP：文件传输老炮儿

· 默认明文（危险！）
· 有主动/被动模式（防火墙配置头疼）
· 建议用SFTP（基于SSH）或FTPS（FTP+SSL）

12.2 SSH：远程登录的瑞士军刀

不只是远程shell！还能：

端口转发（隧道）
文件传输（SCP/SFTP）
代理跳板

免密码登录（装逼必备）：

ssh-keygen -t rsa
ssh-copy-id user@server  # 或手动把公钥扔服务器~/.ssh/authorized_keys

12.3 RSA加密：数学的魔法

非对称加密核心：

· 公钥加密，私钥解密
· 私钥签名，公钥验证

举个不严谨的例子：
公钥像挂锁（谁都能锁），私钥像钥匙（只有你有）
别人用挂锁锁箱子寄给你，只有你的钥匙能开

数学原理（简化）：
基于大质数分解的难度，具体公式…算了，知道很安全就行

第十三章：网络安全攻防速成班

13.1 中间人攻击（MITM）全流程

ARP欺骗（如前述）
SSL剥离（HTTPS降级为HTTP）
伪造证书（需要用户信任假证书）

防御：

· 永远检查网址是HTTPS且证书有效
· 公共WiFi别输密码
· 用VPN加密所有流量

13.2 端口扫描：黑客的敲门砖

nmap常用命令：

nmap -sS 192.168.1.0/24        # SYN扫描（半开）
nmap -O 192.168.1.1            # 猜操作系统
nmap -sV -p 80,443 目标IP      # 服务版本检测
nmap --script vuln 目标IP       # 漏洞脚本扫描

防御：

· 防火墙只开必要端口
· 端口敲门（Port Knocking）技术

13.3 DDoS：网站的黑社会打砸

原理：用海量垃圾流量堵死服务器
类型：

· SYN洪水（伪造握手）
· UDP洪水（放大攻击）
· CC攻击（消耗资源）

防御：

· CDN（Cloudflare等）
· 高防IP/服务器
· 流量清洗

第十四章：实操实验室

14.1 抓包分析（Wireshark）

过滤表达式：

ip.addr == 192.168.1.1
tcp.port == 80
http.request.method == "GET"
arp  # 只看ARP包

抓HTTPS？需要导入服务器私钥（通常不可能），或使用中间人代理。

14.2 搭建个人网站全流程

本地开发

   python -m http.server 8080  # 临时HTTP服务器

内网穿透
· 用frp/ngrok暴露到公网
· 测试访问
买域名+备案（国内必须）
· 阿里云/腾讯云买域名
· 解析到云服务器IP
上云服务器

   # Ubuntu为例
   sudo apt install nginx
   sudo cp 你的网站 /var/www/html/
   sudo systemctl start nginx

配置HTTPS（免费SSL）

   sudo apt install certbot python3-certbot-nginx
   sudo certbot --nginx -d 你的域名.com

14.3 家庭网络优化骚操作

改DNS（提速+去广告）
· 推荐：223.5.5.5（阿里）或 119.29.29.29（腾讯）
· 路由器设置或每台设备改
QoS设置
· 限制弟弟妹妹的下载速度，保证你游戏不卡
Mesh组网
· 大户型别用垃圾中继，上Mesh路由器（TP-Link Deco等）
监控网络

   # Linux看实时流量
   nethogs
   iftop

   # Windows
   资源监视器 → 网络

第十五章：未来黑科技前瞻

15.1 5G/6G对网络架构的影响

· 边缘计算（数据就近处理）
· 网络切片（为不同应用定制虚拟网络）
· 物联网爆发（IP地址需求激增）

15.2 卫星互联网（Starlink等）

· 低轨道卫星群
· 延迟可能比光纤还低（远距离时）
· 墙？可能得重新思考怎么筑了

15.3 量子网络

· 量子密钥分发（理论上绝对安全）
· 量子纠缠通信（科幻成真）
· 但量子计算机可能破解当前加密…RSA危！

终章：给技术宅的忠告

别违法
学技术是为创造，不是搞破坏。进局子的黑客多了去了。
持续学习
网络技术半年一更新，吃老本会饿死。
动手！动手！动手！
看完这篇就去：
· 抓个包看看
· 改个路由器设置
· 搭个最简单的网站
加入社区
· GitHub
· 专业论坛（Stack Overflow、V2EX等）
· 本地技术Meetup
保持好奇
当年发明TCP/IP的人也没想到今天用它来刷抖音小姐姐。
下一个改变世界的协议，说不定就是你写的。

附录：装逼命令速查表

# 网络诊断全家桶
ipconfig /all           # Windows查看IP
ifconfig / ip addr      # Linux查看IP
ping -t 目标           # 持续ping
tracert 目标           # Windows追踪路径
traceroute 目标        # Linux追踪路径
pathping 目标          # 更高级的追踪

# 连接查看
netstat -ano | findstr :8080  # 查谁占用了8080端口
lsof -i:8080                 # Linux查端口占用

# DNS
nslookup 域名
dig 域名                    # 更详细的DNS查询

# 路由
route print               # 查看路由表
ip route                 # Linux查看路由

# 抓包
tcpdump -i eth0 port 80  # 命令行抓包

最后哔哔：
网络知识像洋葱，层层剥开会流泪（累）。
但这篇1.3万字的指南至少让你知道每层是啥味儿。
从今天起，你可以：

· 在妹子面前装逼：“你家WiFi慢？我帮你调调QoS”
· 在同学面前炫耀：“我博客自己搭的，域名也是”
· 在父母面前解释：“不是黑客！我在学网络安全！”

记住：
真正的技术宅不是宅，是用代码和协议在虚拟世界开疆拓土的冒险家。
现在，冒险开始了。