一、网络分析工具
1、网络测试分析工具 wireshark
- Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
1、在ubuntu中安装 Wireshark软件
在系统联网的情况下,直接命令安装即可:sudo apt-get install wireshark
注意:在运行该软件时,需要sudo wireshark ,使用管理员的权限运行,不然会出现警告错误,导致软件使用不了;
2、常见的调试测试工具
- 使用telnet测试TCP服务器端
- 使用lsof
- 使用tcpdump
- 使用netstat
- 使用sniffer
- 使用wireshark
- Chariot 。。
- SmartBit — 硬件
二、TCP/IP协议网络封包格式
1、 以太网头(Ethernet header)— (网络接口和物理层)
| 前导码 | 帧开始符 | MAC 目标地址 | MAC 源地址 | 802.1Q标签 (可选) | 以太类型 | 负载 | 冗余校验 | 帧间距 |
|---|---|---|---|---|---|---|---|---|
| 10101010 7个octet | 10101011 1个octet | 6 octets | 6 octets | (4 octets) | 2 octets | 46–1500 octets | 4 octets | 12 octets |
| 64–1522 octets | ||||||||
| 72–1530 octets | ||||||||
| 84–1542 octets | ||||||||
- 包 类型
·ARP 地址解析协议
·RARP 逆向地址解析协议
三、IP头
1、IP头 基本概念
- IP数据包是一种可变长分组,它由首部和数据负载两部分组成。首部长度一般为20-60字节(Byte),其中后40字节是可选的,长度不固定,前20字节格式为固定。数据负载部分的长度一般可变,整个IP数据包的最大长度为65535B。
2、IP/网络层的 发送大数据的 组包 过程:
- 一个网络封包 大小最多1500个字节(1K多一点);
- 如果需要一次性传输 100k的数据;
- 将100K的数据 拆成N份,每份大概1K多一点数据,分别打包n个网络数据包;
- 每个包中有一个 是否碎片化 的标志;每拆一个包按顺序给序号,并将 是否碎片化 标识为1,最后一个拆出来的数据包 是否碎片化 的标志为0;(IP/网络层 的工作)
- 数据传输过去后,根据每个包的序号和 是否碎片化 标志,排序数据,组装好数据;
3、IP 包头解析
- 版本号(Version)
长度为4位(bit),IP v4的值为0100,IP v6的值为0110。
- 首部长度
指的是IP包头长度,用4位(bit)表示,十进制值就是[0,15],一个IP包前20个字节是必有的,后40个字节根据情况可能有可能没有。如果IP包头是20个字节,则该位应是20/4=5。
- 服务类型(Type of Service TOS)
长度为8位(bit),其组成:前3位为优先级(Precedence),后4位标志位,最后1位保留未用。优先级主要用于QoS,表示从0(普通级别)到7(网络控制分组)的优先级。标志位可分别表示D(Delay更低的时延)、T(Throughput 更高的吞吐量)、R(Reliability更高的可靠性)、C(Cost 更低费用的路由)。
TOS只表示用户的请求,不具有强制性,实际应用中很少用,路由器通常忽略TOS字段。
- 总长度(Total Length)
指IP包总长度,用16位(bit)表示,即IP包最大长度可以达216=65535字节。在以太网中允许的最大包长为1500B,当超过网络允许的最大长度时需将过长的数据包分片。
- 标识符(Identifier)
长度为16位,用于数据包在分段重组时标识其序列号。将数据分段后,打包成IP包,IP包因走的路由上不同,会产生不同的到达目地的时间,到达目地的后再根据标识符进行重新组装还原。该字段要与标志、段偏移一起使用的才能达到分段组装的目标。
- 标志(Flags)
长度为3位,三位从左到右分别是MF、DF、未用。MF=1表示后面还有分段的数据包,MF=0表示没有更多分片(即最后一个分片)。DF=1表示路由器不能对该数据包分段,DF=0表示数据包可以被分段。
- 偏移量(Fragment Offset)
也称段偏移,用于标识该数据段在上层初始数据报文中的偏移量。如果某个包含分段的上层报文的IP数据包在传送时丢失,则整个一系列包含分段的上层数据包的IP包都会要求重传。
- 生存时间(TTL)
长度为8位,初始值由操作系统设置,每经过一个路由器转发后其值就减1,减至0后丢弃该包。这种机制可以避免数据包找不到目地时不断被转发,堵塞网络。
- 协议(Protocol)
长度为8位,标识上层所使用的协议。
- 首部校验和(Header Checksum)
长度为16位,首部检验和只对IP数据包首部进行校验,不包含数据部分。数据包每经过一个中间节点都要重新计算首部校验和,对首都进行检验。
- 源IP地址(Source IP)
长度为32位,表示数据发送的主机IP。
- 目的IP地址(Destination IP)
长度为32位,表示数据要接收的主机IP。
- 选项字段(Options)
长度为0-40字节(Byte),主要有:安全和处理限制(Security)、记录路径(Record Route)、时间戳(Timestamps)、宽松源站选路(Loose Source Routing)、严格的源站选路(Strict Source Routing)等。
4、示例包
四、TCP头
- TCP是一种面向连接的、可靠的数据传输
- TCP的可靠传输:通过确认和重发机制;
- TCP把所有要求发送的数据进行编号(每一个字节用一个号);
- 没传输一个数据都要确定是否发送成功,对方是否收到,收到了窗口之加1,如果没有收到,则从没有收到的那个编号开始重新发送;
1、TCP头部
- TCP报文由首部和数据两部分组成。首部一般由20-60字节(Byte)构成,长度可变。其中前20B格式固定,后40B为可选。
因为,TCP报文还得传给下层网络层,封装成IP包,而一个IP包最大长度为65535,同时IP包首部也包含最少20B,所以一个IP包或TCP包可以包含的数据部分最大长度为65535-20-20=65495B。
TCP报文中数据部分是可选的,即TCP报文可以不包含数据(同理IP包也可以不包含数据)。不含数据的TCP报文通常是一些确认和控制信息类的报文,如TCP建立连接时的三次握手和TCP终止时的四次挥手等。
- 源端口号(Source Port)
长度为16位,指明发送数据的进程。
- 目的端口号(Destination Port)
长度为16位,指明目的主机接收数据的进程。
- 序号(Sequence Number)
也称为序列号,长度为32位,序号用来标识从TCP发送端向接入端发送的数据字节流进行编号,可以理解成对字节流的计数。
- 确认号(Acknowledgement Number)
长度为32位,确认号包含发送确认的一端所期望收到的下一个序号。确认号只有在ACK标志为1时才有效。
- 首部长度
长度为4位,用于表示TCP报文首部的长度。用4位(bit)表示,十进制值就是[0,15],一个TCP报文前20个字节是必有的,后40个字节根据情况可能有可能没有。如果TCP报文首部是20个字节,则该位应是20/4=5。
- 保留位(Reserved)
长度为6位,必须是0,它是为将来定义新用途保留的。
- 标志(Code Bits)
长度为6位,在TCP报文中不管是握手还是挥手还是传数据等,这6位标志都很重要。6位从左到右依次为:
- URG:紧急标志位,说明紧急指针有效;
- ACK:确认标志位,多数情况下空,说明确认序号有效;
- PSH:推标志位,置位时表示接收方应立即请求将报文交给应用层;
- RST:复位标志,用于重建一个已经混乱的连接;
- SYN:同步标志,该标志仅在三次握手建立TCP连接时有效
- FIN:结束标志,带该标志位的数据包用于结束一个TCP会话。
- 窗口大小(Window Size)
长度为16位,TCP流量控制由连接的每一端通过声明的窗口大小来提供。
- 检验和(Checksum)
长度为16位,该字段覆盖整个TCP报文端,是个强制性的字段,是由发送端计算和存储,到接收端后,由接收端进行验证。
- 紧急指针(Urgent Pointer)
长度为16位,指向数据中优先部分的最后一个字节,通知接收方紧急数据的长度,该字段在URG标志置位时有效。
- 选项(Options)
长度为0-40B(字节),必须以4B为单位变化,必要时可以填充0。通常包含:最长报文大小(MaximumSegment Size,MSS)、窗口扩大选项、时间戳选项、选择性确认(Selective ACKnowlegement,SACK)等。
2、IP/TCP面象连接的过程(三次握手、四次挥手)
- 三次握手
— 第一次握手,客户端发了个连接请求消息到服务端,服务端收到信息后知道自己与客户端是可以连接成功的,但此时客户端并不知道服务端是否已经接收到了它的请求,所以服务端接收到消息后的应答,客户端得到服务端的反馈后,才确定自己与服务端是可以连接上的,这就是第二次握手。
客户端只有确定了自己能与服务端连接上才能开始发数据。所以两次握手肯定是最基本的。
看到这里,你或许会问,那么为什么需要第三次握手呢?我们来看一下,假设一下如果没有第三次握手,而是两次握手后我们就认为连接成功了,那么会发生什么?第三次握手是为了防止已经失效的连接请求报文段突然又传到服务端,因而产生错误。
譬如发起请求遇到类似这样的情况:客户端发出去的第一个连接请求由于某些原因在网络节点中滞留了导致延迟,直到连接释放的某个时间点才到达服务端,这是一个早已失效的报文,但是此时服务端仍然认为这是客户端的建立连接请求第一次握手,于是服务端回应了客户端,第二次握手。
如果只有两次握手,那么到这里,连接就建立了,但是此时客户端并没有任何数据要发送,而服务端还在傻傻的等候佳音,造成很大的资源浪费。所以需要第三次握手,只有客户端再次回应一下,就可以避免这种情况。
— 三次握手的连接必须是客户端发起(四次挥手客户端和服务器都可以发起);
— SYN、ACK、FIN等标志号应该写上;
- 握手完成后,开始TCP 数据传输
— 传输数据时一定标注客户端和服务器;
— TCP 数据传输就是两个人隔空交流,有一定的距离,需要对方反复确认听见了自己的话。
— 对于重传和去重这两项工作操作系统的网络内核模块都已经帮我们处理好了,我们不用理会。
- 四次挥手
状态转化:A、B连接建立状态ESTABLISHED -> A终止等待1状态FIN-WAIT-1 -> B关闭等待状态2CLOSE-WAIT -> A终止等待2状态FIN-WAIT-2 -> B最后确认状态LAST-ACK -> A时间等待状态TIME-WAIT -> B、A关闭状态CLOSED;
— 四次挥手过程:
第一次挥手:A数据传输完毕需要断开连接,A的应用进程向其TCP发出连接释放报文段(FIN = 1,序号seq = u),并停止再发送数据,主动关闭TCP连接,进入FIN-WAIT-1状态,等待B的确认。
第二次挥手:B收到连接释放报文段后即发出确认报文段(ACK=1,确认号ack=u+1,序号seq=v),B进入CLOSE-WAIT关闭等待状态,此时的TCP处于半关闭状态,A到B的连接释放。而A收到B的确认后,进入FIN-WAIT-2状态,等待B发出的连接释放报文段。
第三次挥手:当B数据传输完毕后,B发出连接释放报文段(FIN = 1,ACK = 1,序号seq = w,确认号ack=u+1),B进入LAST-ACK(最后确认)状态,等待A 的最后确认。
第四次挥手:A收到B的连接释放报文段后,对此发出确认报文段(ACK = 1,seq=u+1,ack=w+1),A进入TIME-WAIT(时间等待)状态。此时TCP未释放掉,需要经过时间等待计时器设置的时间2MSL后,A才进入CLOSE状态。
思考:为什么A在TIME-WAIT状态必须等待2MSL(最大报文生存时间)的时间?
1.保证A发送的最后一个ACK报文段能够到达B,保证A、B正常进入CLOSED状态。
这个ACK报文段有可能丢失,使得处于LAST-ACK状态的B收不到对已发送的FIN+ACK报文段的确认,B超时重传FIN+ACK报文段,A能2MSL时间内收到这个重传的FIN+ACK报文段,接着A重传一次确认,同时重启2MSL计数器,2MSL时间后A和B进入CLOSE状态,如果A在TIME-WAIT状态时接收到B的FIN+ACK报文段之后向B发出确认报文段,而不再确认B是否收到立即进入CLOSED状态,如若B并没有正常收到A 的确认报文段,则B无法正正常进入到CLOSED状态。
2.防止“已经失效的连接请求报文段”出现在本连接中。
A在发送完最后一个ACK报文段并经过2MSL,会使本次连接持续时间内所有产生的报文段消失,保证在下一次新连接中不会出现旧连接遗留的请求报文段。
- 总结:TCP一个传输过程 图示:
五、UDP数据段
- UDP数据段格式比较简单,如下:
- UDP数据报由首部和数据两部分组成,其中首部只有8B(字节)。
1、源端口号(Source Port)
长度为16位,指明发送数据的进程。
2、目的端口号(Destination Port)
长度为16位,指明目的主机接收数据的进程。
3、长度
长度为16位,该字段值为报头和数据两部分的总字节数。
4、检验和(Checksum)
长度为16位,UDP检验和作用于UDP报头和UDP数据的所有位。由发送端计算和存储,由接收端校验。
1022
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
