CIDR 表示法
CIDR 表示法 是什么?
CIDR 表示法无类域间路由(CIDR)表示法用地址加斜杠和有效位数来表示一个 IP 前缀,例如 10.0.0.0/8。
CIDR 由 RFC 1518 与 RFC 1519 引入,并在后续 RFC 中完善,取代了早期 IPv4 严格的 A/B/C 类划分。CIDR 前缀书写为地址加斜杠和前缀长度,例如 192.168.0.0/24 表示前 24 位为网络部分,剩余 8 位用于主机。同样适用于 IPv6,如 2001:db8::/32。CIDR 支持路由聚合(超网)、可变长子网掩码以及比分类寻址更精细的分配。在安全工作中,CIDR 范围是防火墙规则、安全组来源、BGP 通告和威胁情报指标的表达单元;因此,严谨的 CIDR 管理直接影响暴露面与检测效果。
● 示例
- 01
云安全组允许 0.0.0.0/0 访问 443 端口,但仅允许 10.0.0.0/16 访问 22 端口。
- 02
某个自治系统通告 198.51.100.0/24,而不是多个 /28 超网。
● 常见问题
CIDR 表示法 是什么?
无类域间路由(CIDR)表示法用地址加斜杠和有效位数来表示一个 IP 前缀,例如 10.0.0.0/8。 它属于网络安全的 网络安全 分类。
CIDR 表示法 是什么意思?
无类域间路由(CIDR)表示法用地址加斜杠和有效位数来表示一个 IP 前缀,例如 10.0.0.0/8。
CIDR 表示法 是如何工作的?
CIDR 由 RFC 1518 与 RFC 1519 引入,并在后续 RFC 中完善,取代了早期 IPv4 严格的 A/B/C 类划分。CIDR 前缀书写为地址加斜杠和前缀长度,例如 192.168.0.0/24 表示前 24 位为网络部分,剩余 8 位用于主机。同样适用于 IPv6,如 2001:db8::/32。CIDR 支持路由聚合(超网)、可变长子网掩码以及比分类寻址更精细的分配。在安全工作中,CIDR 范围是防火墙规则、安全组来源、BGP 通告和威胁情报指标的表达单元;因此,严谨的 CIDR 管理直接影响暴露面与检测效果。
如何防御 CIDR 表示法?
针对 CIDR 表示法 的防御通常结合技术控制与运营实践,详见上方完整定义。
CIDR 表示法 还有哪些其他名称?
常见的别称包括: 斜杠表示法, 前缀长度。
● 相关术语
- network-security№ 1113
子网
共享相同前缀的一段连续 IP 地址范围,定义了网络中的一个广播域和路由边界。
- network-security№ 553
IP 地址
分配给网络接口、用于在 IP 网络中进行路由的数字标识符:IPv4(RFC 791)为 32 位,IPv6(RFC 8200)为 128 位。
- network-security№ 1136
TCP/IP
由四层组成的互联网协议族,规定了如何在互联的网络中对数据包进行寻址、路由、分片并可靠交付。
- network-security№ 1206
VLAN
虚拟局域网(IEEE 802.1Q)通过在以太网帧中插入 12 位 VLAN ID,将交换机端口划分为彼此独立的广播域。
- network-security№ 092
BGP 劫持
攻击者所在的自治系统通告并不真正拥有的 IP 前缀,从而吸引并可能拦截全球互联网流量的攻击。
- network-security№ 093
BGP 路由泄漏
BGP 中意外的传播行为:某自治系统将路由通告到本不该到达的商业关系范围之外,往往使全球流量被错误地引向另一 AS。