发出帧的目的 MAC 地址: 00 74 9c 9f 40 13
结论:
可以看到,在访问www.baidu.com和qige.io时,目的地址是一样的,经过查询,该MAC地址为网关的MAC地址。而在访问同一子网下的计算机时,其目的地址就是该计算机的MAC地址。
原因:
MAC地址工作于局域网,局域网之间的互连一般通过现有的公用网或专用线路,需要进行网间协议转换。ARP代理访问非子网计算机时是通过路由器转接的,MAC地址是接入路由器端口的地址,再通过路由器发给相应计算机。所以访问非本子网的计算机时,目的 MAC 是网关的。
结论:
ARP 请求都是使用广播方式发送的。如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;如果访问的非本子网的 IP, 那么 ARP 解析将得到网关的 MAC。
原因:
ARP代理,访问非子网IP时是通过路由器访问的,路由器再把发出去,目标IP收到请求后,再通过路由器端口IP返回去,那么ARP解析将会得到网关的MAC。
IP 头部既有头部长度字段,也有总长度字段的原因:
头部长度字段的存在是因为ip选项的存在使得ip头部长度不固定,只有知道了头部长度才能准确定位数据的开始。
总长度字段的存在是为了便于传输时的识别IP总长度,节省时间,当长度超过1500B时就会被返回链路层进行分段。
可以看到,帧被分成了两个部分进行传输,图中Total Length表示切割后该IP包的长度,第一个包长为1500,第二个包长为148。在IPv6中,不允许分段传输,当路由器遇见很大的包时,会直接的丢掉,并返回信息,让主机自行处理。
IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 TTL 的值为 50,那么可以推断这个包从源点到你之间有50跳。
TCP 段的结构
16位端口号:告知主机该报文段来自哪里(源端口)以及传给哪个上层协议或应用程序(目的端口)的。进行tcp通信时,客户端通常使用系统自动选择的临时端口号,而服务器则使用知名服务端口号。
32位序号:一次tcp通信过程中某一个传输方向上的字节流的每个字节的编号。假设主机A和主机B进行tcp通信,A发送给B的第一个tcp报文段中,序号值被系统初始化为某个随机值ISN。那么在该传输方向上(从A到B),后续的tcp报文段中序号值将被系统设置成ISN加上该报文段所携带数据的第一个在整个字节流中的偏移。例如,某个tcp报文段传送的数据时字节流中的第1025~2048字节,那么该报文段的序号值就是ISN+1025。另一个传输方向(从B到A)的tcp报文段的序号值也具有相同的含义。
32位确认号:用作对另一方发送来的tcp报文段的相应。其值是收到的tcp报文段的序号值加1。假设主机A和主机B进行tcp通信,那么A发送出的tcp报文段不仅携带自己的序号,而且包含对B发送来的tcp报文段的确认号。反之,B发送出的tcp报文段也同时携带自己的序号和对A发送来的报文的确认号。
4位头部长度:标识该tcp头部有多少个32bit字(4字节)因为4位最大能表示15,所以tcp头部最长是60字节。
6位标志位(即图中的保留6位):标志位有如下几项
16位窗口大小:是tcp流量控制的一个手段。这里说的窗口,指的是接收通告窗口。它告诉对方本端的tcp接收缓冲区还能容纳多少字节的数据,这样对方就可以控制发送数据的速度。
16位校验和:由发送端填充,接收端对tcp报文段执行CRC算法以校验tcp报文段在传输过程中是否损坏。注意,这个校验不仅包括tcp头部,也包括数据部分。这也是tcp可靠传输的一个重要保障。
16位紧急指针:是一个正的偏移量。它和序号字段的值相加表示最后一个紧急数据的下一个字节的序号。因此,确切的说,这个字段是紧急指针相对当前序列号的偏移,称为紧急偏移。tcp的紧急指针是发送端向接收端发送紧急数据的方法。
①用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段
图中源端口号:51336、目的端口号:443、位序号:1095 、确认号:7071、头部长度:20、标志位:000000010000、 窗口大小:1022、校验和:0x4434、紧急指针:0
UDP 段结构
②用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等
图中源端口:61440、目的端口:61440、长度:48、校验和:0x9395
UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。源端口是指发送数据包的一方的端口,目的端口是指接受数据包的一方的端口,端口可以用来识别发送方和接收方,便于实现程序之间的通信。
其中Seq为序号,Ack为确认号;SYN标志表示请求建立一个连接;ACK标志表示确认号是否有效。因此它们是用于建立连接的。
FIN标志表示通知对方本端要关闭连接了,ACK标志表示确认号是否有效。因此它们是用于释放连接的。
去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io 时我们建立的连接有多个,是因为们之间的连接是属于短连接,一旦数据发送完成后,就会断开连接。但是即使断开连接,缓存依旧存在。这样的连接的作用是实现多个用户进行访问,可以达到节省通道使用的作用,提高利用率。
释放连接需要四次挥手,有时可能会抓到只有三次挥手,是因为第二次挥手和第三次挥手合并了。如果对方仍然有数据发送,那么等数据发完,再发FIN关闭连接,此时才是正常的四次挥手。
对同一个站点,我们发出的 DNS 解析请求不止一个,其原因是这个网站设有好几个计算机,每一个计算机都运行同样的服务器软件。这些计算机的IP地址不一样的,但它们的域名却是相同的。这样,第一个访问该网址的就得到第一个计算机的IP地址,而第二个访问者就得到第二个计算机的IP地址等等,这样可使每一个计算机的负荷不会太大。
刷新一次 qige.io 网站的页面同时进行抓包,你发现不少的 304 代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。服务器回答 304 应答而不是常见的 200 应答的原因:
因为浏览器要判断文件有无修改,和cache结果是否一致。这要经过以下几个状态:
- 初始状态
第一次访问时,向服务器发送请求,成功收到响应,返回200,浏览器下载资源文件,并记录下response header和返回时间。- 再次请求相同资源
再次访问相同资源时,本地先判断是否需要发送请求给服务端:比较当前时间和上一次返回200时的时间差,如果未超过过期时间,则命中强缓存,读取本地缓存资源。如果过期了,则向服务器发送header带有If-None-Match和If-Modified-Since的请求- 服务器收到请求后,优先根据Etag的值判断被请求的文件有没有做修改,Etag值一致则没有修改,命中协商缓存,返回304;如果不一致则有改动,直接返回新的资源文件带上新的Etag值并返回200;
- 如果服务器收到的请求没有Etag值,则将If-Modified-Since和被请求文件的最后修改时间做比对,一致则命中协商缓存,返回304;不一致则返回新的last-modified和文件并返回200;
参考链接:有关浏览器缓存 200vs304
