Сетевые основы — Шпаргалка SOC-аналитика

🏗️

OSI vs TCP/IPДве сетевые модели — теоретическая и практическая

Модель OSI (Open Systems Interconnection) — теоретический эталон с 7 уровнями, созданный ISO для описания сетевого взаимодействия. Модель TCP/IP — практическая модель с 4 уровнями, на которой построен реальный интернет. OSI используется для обучения и стандартизации терминологии, TCP/IP — для реальных протоколов и реализаций. SOC-аналитику нужны обе: OSI для общения с коллегами («проблема на L3»), TCP/IP для понимания реального трафика.

OSI #	OSI уровень	TCP/IP уровень	PDU	Ключевые протоколы	Устройства / ПО
7	Прикладной (Application)	Прикладной (Application)	Данные	HTTP, HTTPS, DNS, FTP, SMTP, SSH, SNMP, LDAP, RDP	Браузер, email-клиент, DNS-сервер
6	Представления (Presentation)		Данные	TLS/SSL, JPEG, MPEG, ASCII, сжатие, шифрование	TLS-библиотеки, кодеки
5	Сеансовый (Session)		Данные	NetBIOS, RPC, SMB (частично), SOCKS	Сессионные менеджеры, API
4	Транспортный (Transport)	Транспортный (Transport)	Сегмент / Датаграмма	TCP, UDP, SCTP, QUIC	Стек ОС, файрволы L4, балансировщики
3	Сетевой (Network)	Межсетевой (Internet)	Пакет (Packet)	IP (v4/v6), ICMP, IGMP, IPsec, OSPF, BGP	Маршрутизатор (Router), L3 коммутатор
2	Канальный (Data Link)	Сетевого доступа (Network Access)	Кадр (Frame)	Ethernet, Wi-Fi (802.11), ARP, VLAN (802.1Q), PPP, STP	Коммутатор (Switch) L2, сетевая карта (NIC)
1	Физический (Physical)	Сетевого доступа (Network Access)	Биты	Среда передачи: ЭМ-волны, напряжение, свет	Хаб, репитер, модем, кабели, трансиверы

Мнемоника OSI:
Сверху вниз: «All People Seem To Need Data Processing».
Снизу вверх: «Please Do Not Throw Sausage Pizza Away».
На русском, снизу вверх: «Филин Купил Сосиську Теперь Сосёт ПиПись**». Если есть более подходящая мнемоника - подкажите.

📦

Инкапсуляция и PDUКак данные «заворачиваются» на каждом уровне

Принцип инкапсуляции

Каждый уровень модели добавляет свой заголовок (а иногда трейлер) к данным от верхнего уровня. Этот процесс называется инкапсуляцией. На принимающей стороне — обратный процесс: деинкапсуляция, от L1 вверх к L7. На каждом уровне единица данных называется по-своему — PDU (Protocol Data Unit):

ИнкапсуляцияL5–L7  Данные                          = Приложение генерирует данные
L4     [TCP-заголовок] + Данные        = Сегмент (TCP) / Датаграмма (UDP)
L3     [IP-заголовок] + Сегмент        = Пакет
L2     [Ethernet-заг.] + Пакет + [FCS] = Кадр (Frame)
L1     01101001...                     = Биты → провод / радио

Почему это важно для SOC

В Wireshark вы видите эту инкапсуляцию визуально: каждый пакет раскладывается на уровни (Frame → Ethernet → IP → TCP → HTTP). Понимая инкапсуляцию, вы знаете, где искать: MAC-адреса — в Ethernet-заголовке (L2), IP-адреса — в IP-заголовке (L3), порты — в TCP/UDP-заголовке (L4), содержимое запроса — в данных приложения (L7).

📡

Протоколы по уровнямТаблица: уровень | протокол | транспорт | порт | назначение | что интересно SOC

Ур.	Протокол	Транспорт	Порт	Назначение	Что интересно SOC
L7	HTTP	TCP	80	Веб-трафик (незашифрованный)	C2, загрузка пейлоадов, веб-шеллы
L7	HTTPS	TCP	443	Зашифрованный веб-трафик	JA3/SNI анализ, скрытый C2
L7	DNS	UDP (TCP)	53	Разрешение доменных имён	DGA, tunneling, C2 через DNS
L7	FTP SFTP	TCP	21 (20)	Передача файлов	Эксфильтрация, credentials в открытом виде
L7	SSH	TCP	22	Безопасное удалённое управление	Brute force, tunnel-пробросы, lateral movement
L7	SMTP	TCP	25 (587)	Отправка email	Фишинг, спам, эксфильтрация через email
L7	RDP	TCP	3389	Удалённый рабочий стол	Brute force, lateral movement, начальный доступ
L7	SMB	TCP	445	Файловые шары, печать (Windows)	Lateral movement (PsExec), ransomware, EternalBlue
L7	LDAP	TCP	389 (636)	Каталог Active Directory	Enumeration, Kerberoasting, credential theft
L7	SNMP	UDP	161 (162)	Мониторинг сетевых устройств	Разведка инфраструктуры, community strings
L4	TCP	—	—	Надёжная доставка с контролем	SYN flood, handshake-анализ, RST-инъекции
L4	UDP	—	—	Быстрая доставка без гарантий	DNS amplification, NTP reflection DDoS
L3	IP	—	—	Адресация и маршрутизация пакетов	Spoofing, fragmentation attacks
L3	ICMP	—	—	Диагностика и ошибки (ping, traceroute)	ICMP tunneling, сканирование, exfiltration
L2	ARP	—	—	Связь IP → MAC-адрес	ARP spoofing / poisoning (MitM)
L2	STP	—	—	Предотвращение петель в L2	STP-атаки, BPDU flooding

🚪

Порты и службыСводная таблица: порт | протокол | транспорт | служба | SOC-контекст

Диапазоны портов

0–1023 — Well-Known Ports (привилегированные). Назначены IANA. Стандартные службы: HTTP (80), HTTPS (443), SSH (22).
1024–49151 — Registered Ports. Назначены по запросу: MySQL (3306), RDP (3389), PostgreSQL (5432).
49152–65535 — Dynamic / Ephemeral Ports. Автоматически назначаются ОС для клиентских соединений.

Порт	Протокол	Транспорт	Служба / Назначение	SOC-контекст
20/21	FTP/SFTP	TCP	Передача файлов	Credentials открытым текстом, эксфильтрация
22	SSH	TCP	Безопасный удалённый доступ	Brute force, reverse tunnel, lateral
23	Telnet	TCP	Удалённый доступ (устаревший)	Всё открытым текстом, Mirai-ботнет
25	SMTP	TCP	Отправка email	Фишинг, спам-рассылки, open relay
53	DNS	UDP/TCP	Разрешение доменных имён	DGA, tunneling, cache poisoning
80	HTTP	TCP	Веб-трафик	C2, пейлоады, веб-шеллы
88	Kerberos	TCP/UDP	Аутентификация AD	Kerberoasting, Golden Ticket, AS-REP
110	POP3	TCP	Получение email	Credentials открытым текстом
135	RPC/DCOM	TCP	Windows RPC	WMI lateral movement, enumeration
139/445	SMB	TCP	Файловые шары Windows	EternalBlue, PsExec, ransomware spread
143	IMAP	TCP	Получение email	Credentials открытым текстом
389/636	LDAP/LDAPS	TCP	Active Directory	AD enumeration, BloodHound, credential theft
443	HTTPS	TCP	Зашифрованный веб-трафик	Скрытый C2, JA3-фингерпринтинг
993/995	IMAPS/POP3S	TCP	Зашифрованная почта	Безопасные версии POP3/IMAP
1433	MSSQL	TCP	Microsoft SQL Server	SQL injection, xp_cmdshell
3306	MySQL	TCP	MySQL Database	SQL injection, data exfiltration
3389	RDP	TCP	Remote Desktop	Brute force, BlueKeep, initial access
5432	PostgreSQL	TCP	PostgreSQL Database	SQL injection, exposure
5985/5986	WinRM	TCP	PowerShell Remoting	Lateral movement, PS Remoting
8080/8443	HTTP(S) Alt	TCP	Альтернативные веб-порты	Прокси, C2, нестандартные веб-сервисы

Для SOC: Нестандартный порт для известного протокола — подозрительный индикатор. HTTP на порту 8443? SSH на порту 2222? C2 на порту 50050 (Cobalt Strike по умолчанию)? Всегда проверяйте, соответствует ли протокол ожидаемому порту.

🏓

ICMPПочему «на каком порту работает ICMP?» — вопрос с подвохом

Почему ICMP не имеет порта

ICMP (Internet Control Message Protocol) работает на уровне L3 (сетевой), наравне с IP. Он инкапсулируется непосредственно в IP-пакет (IP Protocol Number: 1), минуя транспортный уровень (L4) полностью. TCP и UDP — это L4-протоколы, и именно они используют порты для мультиплексирования соединений. ICMP не создаёт «соединений» и не нуждается в портах — он использует тип (type) и код (code) вместо портов.

Поэтому вопрос «на каком порту работает ICMP?» — это как спросить «какой этаж у фундамента?». Ответ: ICMP работает ниже уровня портов, у него нет и не может быть порта.

Основные типы ICMP

Type	Code	Название	Использование
0	0	Echo Reply	Ответ на ping
3	0–15	Destination Unreachable	Хост/порт/сеть недоступны
5	0–3	Redirect	Изменение маршрута (опасно: MitM)
8	0	Echo Request	Запрос ping
11	0–1	Time Exceeded	TTL истёк (используется traceroute)

Для SOC: ICMP может использоваться как канал эксфильтрации (ICMP tunneling) — данные встраиваются в поле payload Echo Request/Reply. Нормальный ping имеет фиксированный размер (~64 байт). ICMP-пакеты с аномально большим телом (>100 байт) или высокой частотой — подозрительны. Wireshark: icmp && data.len > 64.

🔢

IP-адресация и подсетиМаски, CIDR, wildcard, «белые» и «серые» IP

«Белые» (публичные) и «серые» (частные) IP

Частные диапазоны (RFC 1918)

Эти адреса не маршрутизируются в интернете — используются только внутри локальных сетей. Для выхода в интернет преобразуются через NAT.

Диапазон	CIDR	Маска	Кол-во адресов	Типичное использование
10.0.0.0 – 10.255.255.255	10.0.0.0/8	255.0.0.0	~16.7 млн	Крупные корпоративные сети
172.16.0.0 – 172.31.255.255	172.16.0.0/12	255.240.0.0	~1 млн	Средние сети, облачные VPC
192.168.0.0 – 192.168.255.255	192.168.0.0/16	255.255.0.0	~65 тыс.	Домашние сети, малый бизнес

Также важны: 127.0.0.0/8 (loopback), 169.254.0.0/16 (link-local / APIPA), 100.64.0.0/10 (CGNAT — carrier-grade NAT).

Маски подсетей и Wildcard

Таблица масок

Маска подсети определяет, какая часть IP-адреса — это сеть, а какая — хост. Wildcard — инверсия маски (используется в ACL Cisco, OSPF). Wildcard = 255.255.255.255 − маска.

CIDR	Маска	Wildcard	Хостов	Примечание
/32	255.255.255.255	0.0.0.0	1	Один хост (host route)
/30	255.255.255.252	0.0.0.3	2	Point-to-point линк
/28	255.255.255.240	0.0.0.15	14	Малая подсеть
/24	255.255.255.0	0.0.0.255	254	Стандартная подсеть «класс C»
/16	255.255.0.0	0.0.255.255	65 534	Крупная подсеть «класс B»
/8	255.0.0.0	0.255.255.255	~16.7 млн	Огромная сеть «класс A»
/0	0.0.0.0	255.255.255.255	Все	Default route (весь интернет)

Адрес сети, хост и broadcast

Что такое адрес сети

Каждая подсеть имеет три особых адреса: адрес сети (все биты хостовой части = 0), broadcast-адрес (все биты хостовой части = 1) и адреса хостов (всё между ними). Адрес сети — это идентификатор самой сети, он не назначается никакому устройству. Broadcast — адрес для отправки пакета всем устройствам в сети.

Пример: 192.168.1.0/24192.168.1.0       ← Адрес сети     (не назначается устройствам)
192.168.1.1       ← Первый хост    (обычно шлюз / роутер)
192.168.1.2       ← Второй хост
...
192.168.1.254     ← Последний хост
192.168.1.255     ← Broadcast       (пакет всем в сети)

Маска /24 (255.255.255.0) означает: первые 3 октета — адрес сети, четвёртый октет — адреса хостов. Меняться может только четвёртый октет (0–255), из которых доступны 1–254 для устройств.

Что означает число после / (CIDR)

Число после / — это количество бит, отведённых под сетевую часть адреса. Оставшиеся биты (32 − CIDR) — хостовая часть, определяющая сколько устройств можно «повесить» на сеть. Чем больше число — тем больше бит занято сетью и тем меньше устройств.

Практические примеры: где какой октет меняется

CIDR → что меняется── /24: меняется только 4-й октет ──────────────────────────
Сеть:      192.168.1.0 /24
Маска:     255.255.255.0
Диапазон:  192.168.1.1 – 192.168.1.254
                     └── меняется только этот октет
Хостов:    254
Пример:    типичная сеть офиса, этажа, VLAN

── /16: меняются 3-й и 4-й октеты ──────────────────────────
Сеть:      10.10.0.0 /16
Маска:     255.255.0.0
Диапазон:  10.10.0.1 – 10.10.255.254
                 └─┴── меняются оба октета
Хостов:    65 534
Пример:    крупный корпоративный сегмент

── /8: меняются 2-й, 3-й и 4-й октеты ──────────────────────
Сеть:      10.0.0.0 /8
Маска:     255.0.0.0
Диапазон:  10.0.0.1 – 10.255.255.254
              └─┴─┴── меняются три октета
Хостов:    ~16.7 млн
Пример:    весь частный диапазон 10.x.x.x

── /28: меняется часть 4-го октета ──────────────────────────
Сеть:      192.168.1.0 /28
Маска:     255.255.255.240
Диапазон:  192.168.1.1 – 192.168.1.14
                     └── только 4 бита свободны (2⁴ − 2 = 14)
Хостов:    14
Пример:    маленький сегмент DMZ, серверная подсеть

Быстрый расчёт: TL;DR - калькуляторы есть в интернете. Количество хостов = 2^(32 − CIDR) − 2. Минус 2: один адрес — сеть (все нули в хостовой части), другой — broadcast (все единицы). Пример: /24 → 2⁸ − 2 = 254 хоста; /16 → 2¹⁶ − 2 = 65 534 хоста. Исключения: /31 (point-to-point, RFC 3021 — 2 хоста без broadcast) и /32 (один конкретный хост, host route).

🔌

Сокеты и TCP-окноЧто такое сетевой сокет, как работает управление потоком

Сетевой сокет

Сокет — это комбинация IP-адреса + порта, уникально идентифицирующая один конец сетевого соединения. Полное TCP-соединение определяется парой сокетов (четвёрка): IP_источника:Порт_источника ↔ IP_назначения:Порт_назначения.

ПримерКлиент:  192.168.1.100:52431   ← ephemeral port, назначен ОС
Сервер:  93.184.216.34:443     ← well-known port (HTTPS)

Сокет клиента:  192.168.1.100:52431
Сокет сервера:  93.184.216.34:443
Соединение:     192.168.1.100:52431 ↔ 93.184.216.34:443

Один сервер (один IP, один порт 443) может обслуживать тысячи клиентов одновременно — потому что каждое соединение уникально определяется четвёркой (src_ip, src_port, dst_ip, dst_port).

TCP-окно (Window Size)

TCP Window — механизм управления потоком, определяющий сколько данных отправитель может послать без подтверждения получателем. Размер окна — это количество байт, которые получатель готов принять.

Маленькое окно — получатель перегружен, просит замедлиться. Window Size = 0 → полная остановка (flow control).
Большое окно — получатель готов принимать много данных. Увеличивает throughput.
TCP Window Scaling (RFC 7323) — расширение, позволяющее окну превышать 65 535 байт. Критично для высокоскоростных каналов.

TCP Three-Way Handshake

HandshakeКлиент → Сервер:   SYN          (seq=100)
Сервер → Клиент:   SYN-ACK      (seq=300, ack=101)
Клиент → Сервер:   ACK          (seq=101, ack=301)
                    ── Соединение установлено ──

Завершение:
Клиент → Сервер:   FIN-ACK
Сервер → Клиент:   ACK
Сервер → Клиент:   FIN-ACK
Клиент → Сервер:   ACK
                    ── Соединение закрыто ──

Для SOC: SYN без последующего ACK = SYN scan (nmap -sS) или SYN flood DDoS. Множество SYN-пакетов к разным портам с одного IP — сканирование. Множество SYN к одному порту с разных IP — DDoS. Wireshark: tcp.flags.syn == 1 && tcp.flags.ack == 0.

🗺️

Протоколы маршрутизацииКак маршрутизаторы узнают, куда отправлять пакеты, и кто вообще рядом с ними?

Статическая vs Динамическая маршрутизация

Статическая: маршруты прописаны администратором вручную. Просто, но не масштабируется: при изменении топологии нужно менять вручную. Подходит для малых сетей и default route.

Динамическая: маршрутизаторы автоматически обмениваются информацией о маршрутах через протоколы маршрутизации. Адаптируется к изменениям топологии. Используется в средних и крупных сетях.

Основные протоколы

Обзор

Протокол	Тип	Алгоритм	AD	Масштаб	Особенности
RIP	Distance Vector	Bellman-Ford	120	Малые сети	Макс. 15 хопов. Медленная сходимость. Устаревший, но встречается.
OSPF	Link State	Dijkstra (SPF)	110	Средние–крупные	Быстрая сходимость, area-based иерархия. Стандарт для enterprise.
EIGRP	Advanced DV (гибрид)	DUAL	90	Средние (Cisco)	Проприетарный Cisco (теперь открыт). Быстрая сходимость, unequal cost load balancing.
BGP	Path Vector	Best path selection	20 (eBGP)	Интернет	«Протокол интернета». Соединяет автономные системы (AS). Политики маршрутизации.
IS-IS	Link State	Dijkstra (SPF)	115	Крупные (ISP)	Альтернатива OSPF. Популярен у провайдеров и в дата-центрах.

Время сходимости протоколов маршрутизации — одна из ключевых характеристик протоколов маршрутизации. Чем меньше времени затрачено, тем меньше простоя при отказах. Сам по себе процесс сходимости это процесс, в ходе которого все маршрутизаторы в сети приходят к единому, согласованному представлению о топологии после изменения (упал линк, добавился новый маршрутизатор, изменилась стоимость маршрута).
AD (Administrative Distance) — приоритет маршрута: чем ниже число, тем более «доверенным» считается маршрут. Если один маршрут получен через OSPF (AD=110) и через BGP (AD=20) — выиграет BGP.

Подробнее о каждом

RIP (Routing Information Protocol)

Самый простой протокол. Метрика — количество хопов (hop count). Максимум 15 хопов, 16 = «бесконечность» (сеть недоступна). Обновления — каждые 30 секунд, широковещательные. RIPv2 добавил multicast и поддержку VLSM/CIDR. На практике: встречается в устаревших сетях и на экзаменах CCNA.

OSPF (Open Shortest Path First)

Стандарт де-факто для корпоративных сетей. Каждый маршрутизатор строит полную карту топологии (Link-State Database) и рассчитывает кратчайшие пути алгоритмом Dijkstra. Поддерживает area-based иерархию: Area 0 (backbone) связывает все остальные area, что масштабирует OSPF на тысячи маршрутизаторов. Метрика — cost (обратно пропорционален bandwidth).

BGP (Border Gateway Protocol)

BGP — единственный протокол, который связывает автономные системы (AS) интернета. Каждый провайдер, облако, крупная организация — это AS с уникальным номером (ASN). BGP не ищет «кратчайший путь» — он выбирает «лучший путь» по набору атрибутов и политик (AS-path, local preference, MED). eBGP — между AS (AD=20), iBGP — внутри AS (AD=200).

Для SOC: BGP-hijacking — атака, при которой злоумышленник анонсирует чужие IP-префиксы, перенаправляя трафик через себя (MitM на уровне интернета). Мониторинг: BGPStream, RIPE RIS, Cloudflare Radar. OSPF-инъекция в скомпрометированной корпоративной сети может перенаправить внутренний трафик через хост атакующего.

⚖️

L2 vs L3 — ключевая разницаИ почему L3-коммутатор — не маршрутизатор

Фундаментальное различие

L2 (канальный уровень)Работает с MAC-адресами (48-бит, аппаратные). Область действия — один широковещательный домен (broadcast domain). L2-коммутатор пересылает кадры (frames) между портами на основе таблицы MAC-адресов. Не знает об IP-адресах. Не может связать две разные подсети.

L3 (сетевой уровень)Работает с IP-адресами (32/128-бит, логические). Область действия — между подсетями и сетями. Маршрутизатор принимает пакет, смотрит IP-адрес назначения, ищет маршрут в таблице маршрутизации и пересылает в нужный интерфейс. Связывает разные подсети.

Почему L3-коммутатор — не маршрутизатор

L3-коммутатор (например, Cisco Catalyst 3750) умеет и коммутировать (L2), и маршрутизировать (L3). Но он не заменяет полноценный маршрутизатор. Вот ключевые отличия:

Стоимость: L3-коммутатор будет дешевле, чем полноценный маршрутизатор. Условно, Вы заплатите меньше денег за каждый физический порт.
Интерфейсы: L3-коммутатор — это десятки Ethernet-портов. Маршрутизатор — это WAN-интерфейсы (Serial, DSL, 4G/5G, MPLS), поддержка разных типов каналов.
NAT: Маршрутизатор выполняет NAT (трансляция адресов) для выхода в интернет. Большинство L3-коммутаторов — нет (или ограниченно).
Полные протоколы маршрутизации: Маршрутизатор поддерживает BGP, policy-based routing, VPN (IPsec, GRE), QoS на WAN. L3-коммутатор — обычно только OSPF и статические маршруты для inter-VLAN routing.
Производительность: L3-коммутатор маршрутизирует аппаратно (ASIC) на скорости линии — быстрее, чем маршрутизатор (CPU-based). Но только для простого inter-VLAN routing.
Типичная роль: L3-коммутатор — «быстро маршрутизировать между VLAN внутри campus-сети». Маршрутизатор — «связать campus с интернетом/WAN/филиалами».

Broadcast Domain vs Collision Domain

Collision domain: область, где кадры могут «столкнуться» (актуально для хабов, не для коммутаторов). Каждый порт коммутатора — отдельный collision domain.
Broadcast domain: область, куда доходит широковещательный кадр (FF:FF:FF:FF:FF:FF). Все порты одного VLAN = один broadcast domain. Маршрутизатор (или L3-интерфейс) — граница broadcast domain.

Для SOC: ARP spoofing работает только внутри L2-домена (одного VLAN). Если сеть правильно сегментирована через VLAN + inter-VLAN routing на L3 — ARP-атаки ограничены одним сегментом. Поэтому сегментация сети (L3-границы между подсетями) — одна из ключевых мер защиты от lateral movement.

🖧

Устройства по уровнямКакое оборудование и ПО работает на каком уровне модели

Уровень	Устройство	Что делает	Работает с	SOC-контекст
L1	Хаб, репитер, медиаконвертер	Усиливает/повторяет сигнал на все порты, меняет среду передачи	Биты, среда передачи	Практически не используется. Весь трафик виден всем (нет изоляции).
L2	Коммутатор (Switch)	Пересылает кадры по MAC-адресу, VLAN	MAC-адреса, кадры	Port security, 802.1X, VLAN segmentation, ARP inspection.
L2	Точка доступа Wi-Fi (AP)	Мост между проводной и беспроводной сетью	Кадры 802.11	Rogue AP, evil twin, деаутентификация, WPA-атаки.
L3	Маршрутизатор (Router)	Пересылает пакеты между подсетями, NAT, WAN	IP-адреса, пакеты	ACL, BGP hijacking, route injection, VPN-терминация.
L3	L3-коммутатор	Коммутация + inter-VLAN routing аппаратно	MAC + IP	Inter-VLAN routing, DHCP snooping, dynamic ARP inspection.
L3–L4	Файрвол (Firewall)	Фильтрация по IP, портам, состоянию соединений	IP, TCP/UDP, состояния	Периметровая защита, сегментация, логирование deny/allow.
L4	Балансировщик нагрузки (L4 LB)	Распределяет TCP/UDP-соединения между серверами	IP:Port	Скрывает реальные IP серверов, точка мониторинга трафика.
L7	WAF (Web Application Firewall)	Инспектирует HTTP/HTTPS-содержимое	HTTP-запросы, URI, headers	Детекция SQLi, XSS, LFI. Логи WAF — ключевой источник для SOC.
L7	Прокси-сервер	Посредник для HTTP/HTTPS, кеширование, фильтрация	URL, HTTP-заголовки	Логи прокси: кто, куда, когда. URL-фильтрация, SSL inspection.
L7	IDS/IPS (Suricata, Snort)	Глубокая инспекция пакетов, сигнатурный анализ	Полное содержимое пакетов	Обнаружение атак, C2, эксплойтов. Алерты → SIEM.

Правило: Чем выше уровень устройства — тем больше контекста оно видит, но тем медленнее обработка. L2-коммутатор обрабатывает миллионы кадров в секунду аппаратно, но не видит содержимого. L7 WAF видит каждый HTTP-запрос, но создаёт задержку. SOC-аналитику нужны логи со всех уровней: L2 (MAC, VLAN) + L3 (IP, маршруты) + L4 (порты, файрвол) + L7 (содержимое, IDS).