01 网络协议

01.网络协议

1. 操作系统基础

操作系统（operating System 简称OS）是管理和控制计算机硬件与软件自愿的计算机程序，是直接运行在“裸机”上的基本的系统软件，任何其他软件都必须在操作系统的支持下才能运行。

注：计算机硬件–> 操作系统–>应用软件

2. 网络通信原理

2.1. 互联网的本质就是一系列的网络协议

一台硬件设备有了操作系统，然后装上软件你就可以正常使用了，然而你也只能自己使用像这样，每个人都拥有一台自己的机器，然而彼此孤立，无法进行信息之间的传递。

如何能大家一起玩耍

然而internet为何物？

其实两台计算机之间通信与两个人打电话之间通信的原理是一样的（中国有很多地区，不同的地区有不同的方言，为了全中国人都可以听懂，大家统一讲普通话）

普通话属于中国国内人与人之间通信的标准，那如果是两个国家的人交流呢？

问题是，你不可能要求一个人／计算机掌握全世界的语言／标准，于是有了世界统一的通信标准：英语

结论：英语成为世界上所有人通信的统一标准，如果把计算机看成分布于世界各地的人，那么连接两台计算机之间的internet实际上就是，一系列同的标准，这些标准称之为互联网协议，互联网的本质就是一系列的协议，总称为‘互联网协议’

互联网协议的功能：定义计算机如何接入internet，以及接入internet的计算机通信的标准。

2.2. osi七层协议

互联网协议按照不同分为osi七层（应表会传网数物）或tcp/ip五层或tcp/ip四层

每层运行常见物理设备

传输层------->四层交换机、四层的路由器

网络层------->路由器、三层交换机

数据链路层------->网桥、以太网交换机、网卡

物理层------->中继器、集线器、双绞线

osi七层协议数据传输的封包与解包过程

2.3. tcp/ip五层模型讲解

我们将应用层，表示层，会话层并作应用层，从tcp/ip五层协议的角度来阐述每层的由来与功能，搞清楚了每层的主要协议

就理解了整个互联网通信的原理

首先，用户感知到的只是最上一层应用层，自上而下每层都依赖下一层，所以我们最下层开始切入比较好理解

每层都运行特定的协议，越往上越靠近用户，越往下越靠近硬件

2.3.1. 物理层

物理层由来：上面提到，孤立的计算机之间要想一起玩，就必须接入internet，言外之意就是计算机之间必须完成组网

物理层主要功能：主要是基于电气特性发送高低电压(电信号)，高电压对应数字1，低电压对应数字0

2.3.2. 数据链路层

数据链路层的由来：单纯的电信号0和1没有任何意义，必须规定电信号多少位一组，，每组什么意思

数据链路层的功能：定义了电信号的分组方式

以太网协议：

早期的时候各个公司都有自己的分组方式，后来形成了统一的标准，即以太网协议ethernet

ethernet规定

• 使用者必须有一块网卡

• 一组电信号构成一个数据包，叫做帧

• 每一组数据帧分成：报头head和数据data两部分

head包含：（固定18个字节）

• 发送者/原地址，6个字节
• 接受者/目标地址，6个字节
• 数据类型，6个字节

data包含：（最短46字节，最长1500字节）

• 数据包的具体内容

head长度＋data长度＝最短64字节，最长1518字节，超过最大限制就分片发送

mac地址：

head中包含的源和目标地址由来：ethernet规定接入internet的设备都必须具备网卡，发送端和接收端的地址便是指网卡的地址，即mac地址

mac地址：每块网卡出厂时都被烧制上一个世界唯一的mac地址，长度为48位2进制，通常12位16进制数表示（前六位是厂商编号，后六位是流水线号）

广播：

有了mac地址，统一网络内的两台主机就可以通信了（一台主机通过arp协议获取另外一台主机的mac地址）ethernet采用最原始的方式，广播的方式进行通信，即计算机通信基本靠吼

2.3.3. 网络层

网络层的由来：有了ethernet、MAC地址、广播的发送方式，世界上的计算机就可以彼此通信了，问题是世界范围的互联网是由一个个彼此隔离的小的局域网组成的，那么如果所有的通信都采用以太网的广播方式，那么一台机器发送的包全世界都会收到，这就不仅仅是效率低的问题了，这是一种灾难

上图结论：必须找出一种方法区分哪些计算机属于同一广播域，哪些不是，如果是就采用广播的方式发送，如果不是，就采用路由的方式（向不同广播域/子网分发数据包），mac地址是无法区分的，他只跟厂商有关网络层功能：引入一套新的地址用来区分不同的广播域/子网，这套地址即网络地址

IP协议：

• 规定网络地址的协议叫ip协议，他定义的地址称之为ip地址，广泛采用的v4版本即ipv4它规定网络地址由32位2进制表示
• 范围0.0.0.0-255.255.255.255
• 一个ip地址通常写成四段十进制数，例：172.16.10.1

注：ip地址+mac地址=>全世界范围内唯一的一台计算机

ip地址分成两部分

• 网络部分：标识子网
• 主机部分：标识主机

注意：单纯的ip地址段只是标识了ip地址的种类，从网络部分或主机部分都无法辨识一个ip所处的子网

例：172.16.10.1与172.16.10.2并不能确定二者处于同一子网

子网掩码

所有“子网掩码”，就是表示子网络特征的一个参数，它在形式上等同于IP地址，也是一个32位二进制数字，它的网络部分全部为1，主机部分全为0。比如，IP地址172.16.10.1，如果已知网络部分是前24位，主机部分是后8位，那么子网络掩码就是11111111.11111111.11111111.00000000，写成十进制就是255.255.255.0。

知道“子网掩码”，我们就能判断，任意两个IP地址是否处在同一个子网络。方法是将两个IP地址与子网掩码分别进行AND运算（两个数位都为1，结果为1，否则为0），然后比较结果是否相同，如果是的话，就表明它们在同一个子网络中，否则就不是。

比如，已知IP地址172.16.10.1和172.16.10.2的子网掩码都是，请问它们是否在同一个子网络？两者与子网掩码分别进行AND运算，172.16.10.1：10101100.00010000.00001010.000000001

255255.255.255.0:11111111.11111111.11111111.00000000

AND运算得网络地址结果：10101100.00010000.00001010.000000001->172.16.10.0

172.16.10.2：10101100.00010000.00001010.000000010

255255.255.255.0:11111111.11111111.11111111.00000000

AND运算得网络地址结果：10101100.00010000.00001010.000000001->172.16.10.0

结果都是172.16.10.0，因此它们在同一个子网络。

总结一下，IP协议的作用主要有两个，一个是为每一台计算机分配IP地址，另一个是确定哪些地址在同一个子网络。

ip数据包

ip数据包也分为head和data部分，无须为ip包定义单独的栏位，直接放入以太网包的data部分

head：长度为20到60字节

data：最长为65,515字节。

而以太网数据包的”数据”部分，最长只有1500字节。因此，如果IP数据包超过了1500字节，它就需要分割成几个以太网数据包，分开发送了。

补充：

如何区分那个设备是路由器：

如果A给C发送数据，ip地址加子网掩码判断是否在同一子网内，不是同一子网，A应该把数据包发给路由器，那么路由器的IP地址是多少呢？

其实说发给路由器不准确，应该说A会把数据包发给默认网关

对于A来说，A只能直接把包发给同处于一个子网下的某个IP上，所以发给路由器还是发给某个电脑，A并不关心，只要这个设备上有个IP地址就行了。

所以默认网关，就是A在自己电脑上配置的一个IP地址，以便发给不同子网的机器是发给这个IP地址

路由器如何知道C在哪里呢

路由表

现在 A 要给 C 发数据包，已经可以成功发到路由器这里了，最后一个问题就是，路由器怎么知道，收到的这个数据包，该从自己的哪个端口出去，才能直接（或间接）地最终到达目的地 C 呢。

路由器收到的数据包有目的IP也就是C的IP地址，需要转化成自己的哪个端口出去，很容易想到，应该有个表，这个表叫路由表

不同于MAC地址表的是，路由表并不是一对一这种明确关系，我们下面看一个路由表的结构

目的地址	子网掩码	下一跳	端口
192.168.0.0	255.255.255.0		0
192.168.0.254	255.255.255.255		0
192.168.1.0	255.255.255.0		1
192.168.1.254	255.255.255.255		1

我们学习一种新的表示方法，由于子网掩码其实就表示前多少位表示子网的网段，所以如 192.168.0.0（255.255.255.0） 也可以简写为 192.168.0.0/24。

目的地址	下一跳	端口
192.168.0.0/24		0
192.168.0.254/32		0
192.168.1.0/24		1
192.168.1.254/32		1

刚才说的都是 IP 层，但发送数据包的数据链路层需要知道 MAC 地址，可是我只知道 IP 地址该怎么办呢？

答案就是arp协议

ARP协议

arp协议由来：现实中我们是不知道对方mac地址的,只知道对方的IP地址，如何准确的给对方发送数据包呢，计算机在发包时，获取自身的mac是容易的，如何获取目标主机的mac，所以我们得靠IP地址拿到对方的mac地址

这种方式就是 arp 协议，同时电脑 A 和 B 里面也会有一张 arp 缓存表，表中记录着 IP 与 MAC 地址的对应关系。

如：

ip地址	MAC地址
192.168.0.2	BBBB

一开始这个表是空的，电脑A为了知道电脑B（192.168.0.2）的MAC地址，将会广播一条arp请求，B受到请求后，带上自己的MAC地址给A一个响应。此时A便更新了自己的arp表

这样通过大家不断广播 arp 请求，最终所有电脑里面都将 arp 缓存表更新完整。

arp协议功能：广播的方式发送数据包，获取目标主机的mac地址

协议工作方式：每台主机ip都是已知的

例如：主机172.16.10.10/24访问172.16.10.11/24

一：首先通过ip地址和子网掩码区分出自己所处的子网

场景	数据包地址
同一子网	目标主机mac，目标主机ip
不同子网	网关mac，目标主机ip

二：分析172.16.10.10/24与172.16.10.11/24处于同一网络(如果不是同一网络，那么下表中目标ip为172.16.10.1,通过arp获取的是网关的mac)

	源mac	目标mac	源ip	目标ip	数据部分
发送端主机	发送端mac	FF:FF:FF:FF:FF:FF	172.16.10.10/24	172.16.10.11/24	数据

三：这个包会以广播的方式在发送端所处的自网内传输，所有主机接收后拆开包，发现目标ip为自己的，就响应，返回自己的mac

总结

从各个节点的视角来看

电脑视角：

• 首先我要知道我的IP以及对方的IP
• 通过子网掩码判断我们是否同一个子网
• 在同一个子网通过arp获取对方的mac地址直接扔出去
• 不在同一个子网就通过arp默认网关的mac地址直接扔出去

交换机视角：

• 我收到的数据包必须有目标MAC地址
• 通过MAC地址表查映射关系
• 查到了就按照映射关系从我的指定端口发出去
• 查不到就所有的端口都发出去

2.3.4. 传输层

传输层的由来：以太网层的mac帮我们找到主机，网络层的ip帮我们区分子网，然后大家使用的都是应用程序， 你的电脑上可能同时开启qq，暴风影音，等多个应用程序，

那么我们通过ip和mac找到了一台特定的主机，如何表示这台主机上的应用程序，答案就是端口，端口即应用程序与网卡关联的编号。

传输层功能：建立端口到端口的通信

补充：端口范围0-65535,0-1023为系统占用端口

tcp协议：

可靠传输，TCP数据包没有长度限制，理论上可以无限长，但是为了保证网络的效率，通常TCP数据包的长度不会超过IP数据包的长度，以确保单个TCP数据包不必再分割。

以太网头	ip 头	tcp头	数据

1. 通信之前需要先创建双向链接

2. 每一个数据包都需要对方回复ack确认信息后，才会把本地的数据清除否则会重复发送几次

ps: 基于1和2，tcp协议的程序需要事先启动服务端

upd协议：

不可靠传输，”报头”部分一共只有8个字节，总长度不超过65,535字节，正好放进一个IP数据包。

ps：udp协议传输数据效率比tcp更快，但是tcp协议传输数据更可靠

无连接

每放一个数据包不需要对方回复ack确认信息，会直接把本地的数据清除

以太网头	ip头	udp头	数据

tcp报文

tcp三次握手

1. 第一次握手：Client将标志位SYN置为1，随即产生一个值seq=x，并将该数据包发给server，Client进入SYN_SENT状态，等待Server确认。

2. 第二次握手：Server收到数据包后由标志位SYN=1知道CLient请求建立连接，Server将标志位SYN置为1，ACK置为1+x，随机产生一个值seq=y，并将数据包发送给Client以确认进入SYN_RCVD状态

3. 第三次握手：Client收到确认后，检查ack是否为x+1，ACK是否为1，如果正确则将标志位ACK置为1，并将该数据包发送给Server，Server检查ack是否为y+1，ACK是否为1，如果正确则连接建立成功，Client和Server进入ESTABLISHED状态，完成三次握手，随后Client与Server之间可以开始传输数据

SYN攻击：

在三次握手过程中，Server发送SYN_ACK之后，收到Client的ACK之前的TCP连接称为半连接（half-open connect），此时Server处于SYN_RCVD状态，当收到ACK后，Server转入ESTABLISHED状态。SYN攻击就是Client在短时间内伪造大量不存在的IP地址，并向Server不断发送SYN包，Server回复确认包，并等待Client的确认，由于源地址是不存在的，因此，Server需要不断重发直至超时，这些伪造的SYN包将长时间占用未连接队列，导致正常的SYN请求因为队列满而被丢弃，从而引起网络堵塞甚至系统瘫痪。SYN攻击时一种典型的DDOS攻击，检测SYN攻击的方式非常简单，即当Server上有大量半连接状态且原IP地址是随机的，则可以断定遭到SYN攻击了，使用如下命令可以让之现行：

#netstat -nap | grep SYN_RECV

TCP四次挥手

所谓四次挥手（Four-Way Wavehand）即终止TCP连接，就是指断开一个TCP连接时，需要客户端和服务端总共发送4个包以确认连接的断开。在socket编程中，这一过程由客户端或服务端任一方执行close来触发，整个流程如下图所示：

由于TCP连接时全双工的，因此每个方向都必须要单独进行一次关闭，这一原则是当一方完成数据发送任务后，发送一个FIN来终止这一方向的连接，收到一个FIN只是意味着这一方向没有数据流动了，即不会再收到数据了，但是在这个TCP连接上任然能够发送数据，直到这一方向也发送了FIN。首先进行关闭的一方将执行主动关闭，而另一方则执行被动关闭，上图描述的就是如此

1. 第一次挥手：Client发送一个FIN，用来关闭Client到Server的数据传送，Client进入FIN_WAIT_1状态。
2. 第二次挥手：Server接收到FIN后，发送一个ACK给Client，确认序号为收到序号加1（与SYN相同，一个FIN占用一个序号），Server进入CLOSE_WAIT状态。
3. 第三次挥手：Server发送一个FIN，用来关闭Server到Client的数据传送，Server进入LISET_ACK状态
4. 第四次挥手：Client收到FIN后，Client进入TIME_WAIT状态，接着发送一个ACK给Server，确认序号为收到序号+1，Server进入CLOSED状态，完成四次挥手。

为什么建立连接是三次握手，而关闭连接却是四次挥手呢？

这是因为服务端在LISTEN状态下，收到建立连接请求的SYN报文后，把ACK和SYN放在一个报文里发送给客户端。而关闭连接时，当收到对方的FIN报文时，仅仅表示对方不再发送数据了但是还能接收数据，己方也未必全部数据都发送给对方了，所以己方可以立即close，也可以发送一些数据给对方后，再发送FIN报文给对方来表示同意现在关闭连接，因此，己方ACK和FIN一般都会分开发送。

2.3.5. 应用层

应用层由来：用户使用的都是应用程序，均工作于应用层，互联网是开发的，大家都可以开发自己的应用程序，数据多种多样，必须规定好数据的组织形式

应用层功能：规定应用程序的数据格式。

例：TCP协议可以为各种各样的程序传递数据，比如Email、WWW、FTP等等。那么，必须有不同协议规定电子邮件、网页、FTP数据的格式，这些应用程序协议就构成了”应用层”。

2.3.6. socket

我们知道两个进程如果需要进行通讯最基本的一个前提能能够唯一的标示一个进程，在本地进程通讯中我们可以使用PID来唯一标示一个进程，但PID只在本地唯一，网络中的两个进程PID冲突几率很大，这时候我们需要另辟它径了，我们知道IP层的ip地址可以唯一标示主机，而TCP层协议和端口号可以唯一标示主机的一个进程，这样我们可以利用ip地址＋协议＋端口号唯一标示网络中的一个进程。

能够唯一标示网络中的进程后，它们就可以利用socket进行通信了，什么是socket呢？我们经常把socket翻译为套接字，socket是在应用层和传输层之间的一个抽象层，它把TCP/IP层复杂的操作抽象为几个简单的接口供应用层调用已实现进程在网络中通信。

3. 网络通信实现

想实现网络通信，每台主机需要具备四要素

• 本机的IP地址
• 子网掩码
• 网关的IP地址
• DNS的IP地址

获取这四要素分两种方式

1.静态获取

即手动配置

2.动态获取

通过dhcp获取

（1）最前面的”以太网标头”，设置发出方（本机）的MAC地址和接收方（DHCP服务器）的MAC地址。前者就是本机网卡的MAC地址，后者这时不知道，就填入一个广播地址：FF-FF-FF-FF-FF-FF。

（2）后面的”IP标头”，设置发出方的IP地址和接收方的IP地址。这时，对于这两者，本机都不知道。于是，发出方的IP地址就设为0.0.0.0，接收方的IP地址设为255.255.255.255。

（3）最后的”UDP标头”，设置发出方的端口和接收方的端口。这一部分是DHCP协议规定好的，发出方是68端口，接收方是67端口。

这个数据包构造完成后，就可以发出了。以太网是广播发送，同一个子网络的每台计算机都收到了这个包。因为接收方的MAC地址是FF-FF-FF-FF-FF-FF，看不出是发给谁的，所以每台收到这个包的计算机，还必须分析这个包的IP地址，才能确定是不是发给自己的。当看到发出方IP地址是0.0.0.0，接收方是255.255.255.255，于是DHCP服务器知道”这个包是发给我的”，而其他计算机就可以丢弃这个包。

接下来，DHCP服务器读出这个包的数据内容，分配好IP地址，发送回去一个”DHCP响应”数据包。这个响应包的结构也是类似的，以太网标头的MAC地址是双方的网卡地址，IP标头的IP地址是DHCP服务器的IP地址（发出方）和255.255.255.255（接收方），UDP标头的端口是67（发出方）和68（接收方），分配给请求端的IP地址和本网络的具体参数则包含在Data部分。

新加入的计算机收到这个响应包，于是就知道了自己的IP地址、子网掩码、网关地址、DNS服务器等等参数

交换机的两种端口

1）access端口：它是交换机上用来连接用户电脑的一种端口，只用于接入链路

2）trunk端口：这个端口是交换机之间或者交换机和上层设备之间的通信端口，用于干道链路，一个trunk端口可以拥有一个VLAN和多个副vlan