1、TCP/IP协议族是一个四层协议系统,自低而上分别是数据链路层、网络层、传输层、应用层。
(1)数据链路层:实现了网卡接口的网络驱动程序,以处理数据在物理媒介上的传输。
ARP协议:将目标机器的IP地址转换为其物理地址。(数据链路层使用物理地址寻址一台机器)
RARP协议:仅用于网络上的某些无盘工作站。
(2)网络层:实现数据包的选路和转发。
IP协议:IP协议根据数据包的目的IP地址来决定如何投递它。如果数据包不能直接发送给目的主机,那么IP协议就为它寻找一个适合的下一跳路由器,并将数据包交付给该路由器来转发。多次重复这一过程,数据包最终到达目的主机,或者由于发送失败而被丢弃。(IP协议使用逐跳的方式来确定通信路径。)
ICMP协议:它是IP协议的重要补充,主要用于检测网络连接。ICMP报文分为两大类:①差错报文 ②查询报文。
(3)传输层:为两台主机上的应用程序提供端到端的通信。传输层是关心通信的起始端和目的端。
传输层协议主要有三个:①TCP协议 ②UDP协议 ③ SCTP协议
①TCP协议:为应用层提供可靠的、面向连接的和基于流的服务。TCP协议使用超时重传、数据确认等方式来确保数据包被正确地发送给目的端(因此TCP服务是可靠的)。使用TCP协议的通信双方必须先建立TCP连接,并在内核中为TCP连接维持一些必要的数据结构,比如连接的状态、读写缓冲区,以及诸多定时器等。当通信结束时,双方必须关闭连接以释放这些内核数据。TCP服务是基于流的。基于流的数据是没有边界限制的,它源源不断的从通信的一段流入另一端。发送端可以逐个字节地向数据流中写入数据,接收端也可以逐个字节流地将他们读出。
②UDP协议(用户数据报协议):为应用层提供不可靠、无连接和基于数据报的服务。“不可靠“:无法保证数据正确的从发送端到目的端。如果数据在中途丢失,或者目的端通过数据校验发现数据错误将其丢失,而UDP只是简单的通知应用程序发送失败。因此,使用UDP协议的应用程序通常要自己处理超时重传、数据处理等逻辑。UDP协议是无连接的,即通信双方不保持一个长久的联系,因此应用程序每次发送数据都要明确的指出接收端地址。基于数据包服务,是对于流服务而言。每个UDP数据包都有一个长度,接收端必须以该长度为最小单位将其内容一次性读出,否则数据将被截断。
③SCTP协议(流控制传输协议):在因特网上传输电话信号而设计的。
(4)应用层:负责处理应用程序的逻辑(用户空间实现)。数据链路层、网络层和传输层负责处理网络通信细节(在内核空间实现)。
①ping是应用程序,利用ICMP检测网络连接,是调试网络的必备工具。
②telnet协议是一种远程登录协议。
③OSPF协议是一种多态路由更新协议,用于路由器之间的通信,以告知对方各自路由的信息。
④DNS协议通过机器域名到IP地址的转换。
应用层协议可能跳过传输层直接使用网络层的服务。
2、封装:应用程序数据在发送到物理网络之前,将沿着协议栈从上往下依次传递,每层数据都在上层协议的基础上加上自己的头部信息,以实现该层功能。
经过TCP封装后的数据称为TCP报文段(TCP段)。前文提到,TCP协议为通信双方维持的一个连接,并在内核中处理相关数据。这部分数据中的TCP头部信息和TCP内核缓冲区的数据一起构成TCP报文段。
当发端向一个TCP连接写入数据时,TCP模块首先把数据复制到与该连接对应的内核缓冲区,然后TCP模块调用IP模块提供服务,传递参数包括TCP头部信息和TCP发送缓冲区的数据(TCP报文段)。
经过UDP封装后的数据交UDP报文段。当一个UDP数据报被发送成功之后,UDP内核缓冲区的数据就被丢弃了。如果应用程序检测到该数据报未能被接收端正确接收,并打算重新发送这个数据,则应用程序需要重新从用户空间将数据拷贝到UDP内核发送缓冲区中。
经过数据链路层封装的数据为帧。(帧才是最终在物理网络上传送的字节序列。至此,封装过程完成。)
3、分用
分用:当帧到达目的主机时,将沿着协议栈自底向上依次传递。各层协议依次处理帧中本层负责的头部数据,以获取所需信息,并将处理后的帧交给目的应用程序。
IP协议、ARP协议和RARP协议使用2字节的类型字段来标识上层协议。
ICMP协议、TCP协议和UDP协议都使用IP协议,所以IP数据报的头部采用16位的协议的协议字段来区分他们。
TCP报文段和UDP报文段则通过其头部16位的端口号字段来区分上层应用程序。
帧通过上述分用步骤后,最终将封装前的原始数据送至目的服务。
4、测试网络
该测试网络主要用于分析ARP协议、IP协议、ICMP协议、TCP协议和DNS协议。我们通过抓取该网络上的以太网帧,查看其中的以太网帧头部、IP数据报头部、TCP报文段头部信息,以获取网络通信的细节。
5、ARP协议工作原理
ARP协议能实现任意网络层地址到任意物理地址的存在。
工作原理:主机向自己所在的网络广播一个ARP请求,该请求包含目标机器的网络地址,此网络上的其他机器都会收到这个请求,但只有被请求的目标机器会回应一个ARP应答,其中包含自己的物理地址。
(1)以太网ARP请求/应答报文详解
ARP请求/应答报文长度为28个字节。
硬件类型字段定义物理地址类型,值为1表示MAC地址。
协议类型字段表示要映射的协议地址类型,值为0x800,表示IP地址。
硬件地址长度和协议地址长度(单位:字节),对于MAC地址来说 ,其长度为6;对IP(v4)地址来说,其长度为4。
操作字段指出4种类型:ARP请求(值为1)、ARP应答(值为2)、RARP请求(值为3)、RARP应答(值为4)。
最后4个字段指通信双方的以太网地址和IP地址。
(2)ARP高速缓存的查看和修改
ARP维护一个高速缓存,其中包含经常访问或最近访问的机器的IP地址到物理地址的映射。这样避免了重复的ARP请求,提高了发送数据报的速度。
(3)ARP通信过程
ARP请求和应答是从以太驱动程序发出的。
6、DNS工作原理
DNS是一套分布式的域名服务系统。
我们通常使用机器的域名来访问这台机器,而不是直接访问其IP地址。
(1)DNS查询和应答报文详解
每个DNS服务器上都存在着大量的机器名和IP地址的映射,并且是动态更新的。众多网络客服端程序都是用DNS协议来向DNS服务查询目标主机的IP地址。
DNS查询和应答报文的格式:
16位标识字段用于标记一对DNS查询和应答,以此区分一个DNS应答是哪个DNS查询的回应。
16位标志字段用于协商具体的通信方式和反馈通信状态。
Linux下访问DNS服务:首先我们必须先知道DNS服务器的IP地址。Linux使用/etc/resolv.conf文件来存放DNS服务器的IP地址。
7、soncket和TCP/IP协议族的关系
前文提到,数据链路层、网络层、传输层协议都在内核中实现。因此操作系统需要实现一组系统调用,使得应用程序能使用这些协议提供的服务。实现这组系统调用的API(应用程序编程接口)主要有两套:socket和XTI。
由socket定义的这一组API提供两个功能:
①将应用程序数据从用户缓冲区中复制到TCP/UDP内核发送缓冲区,以交付内核来发送数据,或者从内核TCP/UDP接收缓冲区中复制数据到用户缓冲区,以读取数据。
②应用程序可以通过它们来修改内核中各层协议的某些头部信息或者其他数据结构,从而精细的控制底层通信的行为。比如可以通过setsockopt函数来设置IP数据报在网络上的存活时间。
socket是一套通用网络接口,它不但可以访问内核中TCP/IP协议栈,而且可以访问其他协议栈。
ip协议是TCP/IP协议的核心,也是socket网络编程的核心之一。
IP头部信息:IP头部信息出现在每个IP数据报中,用于指定IP通信的源端IP地址、目的端IP地址,指导IP分片和重组,以及指定部分通信行为。
IP数据报的路由和转发:IP数据报的路由和转发发生在除目标机器之外的所有主机和路由器上。它们决定数据包是否要转发以及如何转发。
(1)IP服务特点
IP协议是TCP/IP协议族的动力,它为上层协议提供无状态、无连接、不可靠的服务。
无状态:是指IP双方不同步传输数据的状态信息,因此所以数据包的传输和接收都是相互独立的,没有上下文关系。面向连接的协议,比如TCP协议,则能够自己处理乱序的、重复的报文段,它递给上层协议的内容绝对是有序的、正确的。
缺点:无法处理乱序和重复的IP数据报。
优点:简单、高效。
无连接:IP双方都不能长时间的维持对方的任何信息。上层协议每次要发送数据的时候,都要明确指出对方IP地址。
不可靠:是指IP协议不能确保IP数据包能准确的到达接收端。
