tcp/ip学习

tcp/ip：名为传输控制协议 或 因特网互联协议 或 网络通讯协议，是intent最基本协议

上图 ip协议 属于 互联网层

tcp协议 属于 传输层

在这里要知道知识点：

互联网地址：也就是IP地址，一般为网络号+主机号     

    网络号：用于识别主机所在的网络；
　　   主机号：用于识别该网络中的主机。

IP地址：4段十进制，共32位二进制，如：192.168.1.1 二进制就是：11000000｜10101000｜00000001｜00000001

子网掩码可以看出有多少位是网络号，有多少位是主机号： 255.255.255.0 二进制是：11111111 11111111 11111111 00000000，网络号24位，即全是1 主机号8位，即全是0

129.168.1.1 /24（ip/子网掩码） 这个 24就是告诉我们网络号是24位，也就相当于告诉我们了子网掩码是：11111111 11111111 11111111 00000000即：255.255.255.0
      172.16.10.33/27 中的/27也就是说子网掩码是255.255.255.224 即27个全1 ，11111111 11111111 11111111 11100000

类别	最大网络数	IP地址范围	最大主机数	私有IP地址范围
A	126（2^7-2)	0.0.0.0-127.255.255.255	16777214	10.0.0.0-10.255.255.255
B	16384(2^14)	128.0.0.0-191.255.255.255	65534	172.16.0.0-172.31.255.255
C	2097152(2^21)	192.0.0.0-223.255.255.255	254	192.168.0.0-192.168.255.255

域名系统：通俗的来说，就是一个数据库，可以将主机名转换成ip地址

端口号：一个逻辑号码，ip包所带有的标记

socket：应用编程接口

从底层到上层进行分析

网络接口层

物理层是定义物理介质的各种特性：

1、机械特性

2、电子特性

3、功能特性

4、规程特性

数据链路层：

负责接受ip数据包并通过网络发送 或者 从网络上接收物理帧，抽出ip数据包，交给ip层

归纳特性：

1、为ip模块发送和接收ip数据包

2、为ARP模块发送请求和接收ARP应答（ARP：地址解析协议，将ip地址转换成Mac地址）

3、为RARP发送RARP请求和接收RARP应答（RARP：反向地址解析协议，通过Mac地址确定ip地址）

互联网络层

负责相邻计算机之间通信，其功能包括三方面

1、处理来自传输层的分组发送请求，收到请求后，将分组装入ip数据报，填充报头，选择去往信宿机的路径，然后将数据报发往适当的网络接口

2、处理输入数据报：首先检查其合法性，然后进行寻径

假如该数据报已到达信宿机，则去掉报头，将剩下部分交给适当的传输协议

假如该数据报尚未到达信宿，则转发该数据报

3、处理路径、流控、拥塞等问题

网络层包括：ip协议、icmp控制报文协议、ARP地址转换协议、rarp反向地址转换协议

ip是网络层的核心，通过路由选择将下一条ip封装后交给接口层，ip数据报是无连接服务

icmp是网络层的补充，可以回送报文，用来检测网络是否通畅

ping命令就是发送icmp的echo包，通过回送echo relay 进行网络测试

ip协议

IP数据包详解

    1、0100 = Version : 4（表示使用的 IPv4协议），对等层之间要使用同一种IP协议（IPv4协议）；

    2、0101 = Header Length : 20Bytes(5) 首部长度占4 bit ，可表示的最大数值为15个单位（1111），一个单位一个字节，最大为60字节；

    3、服务类型-----占8 bit ，（Differentiated Services  Field）字段来区分服务，Delay = 1 延迟小，Throughput = 1吞吐量大，Reliability = 1 质量比较高，Cost = 1 最小代价！同一时刻只有一位是1；

    4、Total Length 总长度占 16 bit：2^16 - 1 = 65535 字节，值首部和数据之和的长度，单位为字节，因此数据报的最大长度为65535字节（MTU最大传送单元）；

    5、标识（identification）占16 bit，它是一个计数器，用来产生数据包的标识；

    6、标志（flag）:数据包在传输的过程中，标志字段MF（More Fregment），MF = 1表示后面还有分片，MF = 0 表示最后一个分片；

    7、片偏移：每个数据片不同时传输，标志着谋片在原分组中的相对偏移位置，以8字节为偏移单位；

注意：发送数据报过大，就要对其数据报分片处理，每一个分片都会含有一个标识（IP地址 + 标识），到达目的地要对其所有的分片进行重新组装；

重点：片偏移计算过程；首部分大体内容是一样，因为都属于同一个数据报文！

    8、生存时间（Time To Live）占用 8bit ，使用“跳数“作为TTL的单位。数据报每经历一个路由器时对应的TTL值就会减 1 ；防止数据报发送在路由器中出现环路，因为数据报在传送的过程中要占用一定的带宽（TTL值为零自动丢弃）；

    9、协议（8bit）字段指出此数据报所携带上层数据使用的TCP协议还是UDP协议，以便对等层接收到数据报交给上层相应的协议（TCP或者UDP协议）进行处理；

    10、首部检验和（Header  checksum   16bit）字段只校验数据报的首部，不包含数据部分；看IP数据报头部是否被破坏、被篡改和丢失等；

    11、源地址：数据向外发送，发送机器本身的IP地址，也成为逻辑地址；

IP协议头当中，最重要的就是TTL（IP允许通过的最大网段数量）字段（八位），规定该数据包能穿过几个路由之后才会被抛弃。

ip路由选择

静态路由选择

静态路由选择

     1、配置接口以默认方式生成路由表项，或者使用route add手动添加表项

     2、ICMP报文（ICMP重定向报文）更新表项

     3、动态路由选择（只使用在路由之间）

arp协议工作原理（地址解析协议，将ip地址转换成Mac地址）

        地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。

ICMP协议（网络控制文协议）

    将IP数据包不能传送的错误信息传送给主机
查询报文
    1、ping查询：主机是否可达，通过计算间隔时间和传送多少个包的数量
    2、子网掩码
    3、时间戳：获得当前时间
差错报文
不产生的情况：
    1、ICMP差错报文不产生差错报文

    2、源地址为零地址、环目地址、广播地址、多播地址

RIP（路由信息协议）

分布式的基于距离向量（路由器到每一个目的网络的距离记录）的路由选择协议
router承担的工作：
    1、给每一个已知路由器发送RIP请求报文，要求给出完整的路由表
    2、如果接受请求，就将自己的路由表交给请求者；如果没有，就处理IP请求表项（自己部分+跳数/没有的部分+16）
    3、接受回应，更新路由表

    4、定期更新路由表（一般为30s，只能说太频繁~）

OSPF（开放最短路径优先协议）

分布式链路状态（和这两个路由器都有接口的网络）协议
    1、当链路状态发生变化时，采用可靠的洪泛法，向所有的路由器发送信息（相邻的所有路由器的链路状态）

    2、最终会建立一个全网的拓扑结构图

传输层

提供应用程序的通信，其功能包括：
    1、格式化信息流
    2、提供可靠传输；为了实现后者，传输层协议规定接收端必须发回确认，并且假如分组丢失，必须重新发送，即耳熟能详的“三次握手”过程，从而提供可靠的数据传输
    3、传输层协议主要包括： 传输控制协议（TCP）、用户数据报协议（UDP)

TCP/IP的三次握手，四次分手

首先我们先来了解TCP报文段

上图中有几个字段需要重点介绍下：
  （1）序号：Seq序号，占32位，用来标识从TCP源端向目的端发送的字节流，发起方发送数据时对此进行标记。
  （2）确认序号：Ack序号，占32位，只有ACK标志位为1时，确认序号字段才有效，Ack=Seq+1。
  （3）标志位：共6个，即URG、ACK、PSH、RST、SYN、FIN等，具体含义如下：
      （A）URG：紧急指针（urgent pointer）有效。
      （B）ACK：确认序号有效。
      （C）PSH：接收方应该尽快将这个报文交给应用层。
      （D）RST：重置连接。
      （E）SYN：发起一个新连接。
      （F）FIN：释放一个连接。

三次握手的过程（客户端我们用A表示，服务器端用B表示）

前提：A主动打开，B被动打开

    1、在建立连接之前，B先创建TCB（传输控制块），准备接受客户进程的连接请求，处于LISTEN（监听）状态
    2、A首先创建TCB，然后向B发出连接请求，SYN置1，同时选择初始序号seq=x，进入SYN-SEND（同步已发送）状态
    3、B收到连接请求后向A发送确认，SYN置1，ACK置1，同时产生一个确认序号ack=x+1。同时随机选择初始序号seq=y，进入SYN-RCVD（同步收到）状态

    4、A收到确认连接请求后，ACK置1，确认号ack=y+1，seq=x+1，进入到ESTABLISHED（已建立连接）状态。向B发出确认连接，最后B也进入到ESTABLISHED（已建立连接）状态。

简单来说，就是
    1、建立连接时，客户端发送SYN包（SYN=i）到服务器，并进入到SYN-SEND状态，等待服务器确认
    2、服务器收到SYN包，必须确认客户的SYN（ack=i+1）,同时自己也发送一个SYN包（SYN=k）,即SYN+ACK包，此时服务器进入SYN-RECV状态

    3、客户端收到服务器的SYN+ACK包，向服务器发送确认报ACK（ack=k+1）,此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手

在此穿插一个知识点就是SYN攻击，那么什么是SYN攻击？发生的条件是什么？怎么避免？
        在三次握手过程中，Server发送SYN-ACK之后，收到Client的ACK之前的TCP连接称为半连接（half-open connect），此时Server处于SYN_RCVD状态，当收到ACK后，Server转入ESTABLISHED状态。SYN攻击就是 Client在短时间内伪造大量不存在的IP地址，并向Server不断地发送SYN包，Server回复确认包，并等待Client的确认，由于源地址 是不存在的，因此，Server需要不断重发直至超时，这些伪造的SYN包将抢时间占用未连接队列，导致正常的SYN请求因为队列满而被丢弃，从而引起网 络堵塞甚至系统瘫痪。SYN攻击时一种典型的DDOS攻击，检测SYN攻击的方式非常简单，即当Server上有大量半连接状态且源IP地址是随机的，则可以断定遭到SYN攻击了，使用如下命令可以让之现行：

  #netstat -nap | grep SYN_RECV

四次分手的过程（客户端用A表示，服务器端用B表示）

由于TCP连接时是全双工的，因此每个方向都必须单独进行关闭。这一原则是当一方完成数据发送任务后，发送一个FIN来终止这一方向的链接。收到一个FIN只是意味着这一方向上没有数据流动，既不会在收到数据，但是在这个TCP连接上仍然能够发送数据，知道这一方向也发送了FIN，首先进行关闭的一方将执行主动关闭，而另一方则执行被动关闭。

前提：A主动关闭，B被动关闭

有人可能会问，为什么连接的时候是三次握手，而断开连接的时候需要四次挥手？
        这是因为服务端在LISTEN状态下，收到建立连接请求的SYN报文后，把ACK和SYN放在一个报文里发送给客户端。而关闭连接时，当收到对方的FIN 报文时，仅仅表示对方不再发送数据了但是还能接收数据，己方也未必全部数据都发送给对方了，所以己方可以立即close，也可以发送一些数据给对方后，再 发送FIN报文给对方来表示同意现在关闭连接，因此，己方ACK和FIN一般都会分开发送。
    1、A发送一个FIN，用来关闭A到B的数据传送，A进入FIN_WAIT_1状态。
    2、B收到FIN后，发送一个ACK给A，确认序号为收到序号+1（与SYN相同，一个FIN占用一个序号），B进入CLOSE_WAIT状态。
    3、B发送一个FIN，用来关闭B到A的数据传送，B进入LAST_ACK状态。
    4、A收到FIN后，A进入TIME_WAIT状态，接着发送一个ACK给B，确认序号为收到序号+1，B进入CLOSED状态，完成四次分手。

简单来说就是
    1、客户端A发送一个FIN，用来关闭客户A到服务器B的数据传送（报文段4）。
    2、服务器B收到这个FIN，它发回一个ACK，确认序号为收到的序号加1（报文段5）。和SYN一样，一个FIN将占用一个序号。
    3、服务器B关闭与客户端A的连接，发送一个FIN给客户端A（报文段6）。

    4、客户端A发回ACK报文确认，并将确认序号设置为收到序号加1（报文段7）。

    A在进入到TIME-WAIT状态后，并不会马上释放TCP，必须经过时间等待计时器设置的时间2MSL（最长报文段寿命），A才进入到CLOSED状态。为什么？
    1、为了保证A发送的最后一个ACK报文段能够到达B
    2、防止“已失效的连接请求报文段”出现在本连接中


OK~是不是很难懂的感觉？那我们来说的“人性化点的”吧
三次握手流程
    1、客户端发个请求“开门呐，我要进来”给服务器
    2、服务器发个“进来吧，我去给你开门”给客户端
    3、客户端有很客气的发个“谢谢，我要进来了”给服务器
四次挥手流程
    1、客户端发个“时间不早了，我要走了”给服务器，等服务器起身送他
    2、服务器听到了，发个“我知道了，那我送你出门吧”给客户端，等客户端走
    3、服务器把门关上后，发个“我关门了”给客户端，然后等客户端走（尼玛~矫情啊）
    4、客户端发个“我知道了，我走了”，之后自己就走了

应用层

    向用户提供一组常用的应用程序，比如电子邮件、文件传输访问、远程登录等。远程登录telnet是使用telnet协议提供在网络其它主机上注册的接口。telnet会话提供了基于字符的虚拟终端。文件传输访问ftp使用ftp协议来提供网络内机器间的文件拷贝功能

应用层协议主要包括：ftp、telnet、dns、smtp、nfs、http

ftp：文件传输协议，一般上传下载用ftp服务，数据端口是20H，控制端口是21H

telnet服务：用户远程登录服务，使用23H端口，使用明码传送，保密性差、简单方便

dns：域名解析服务，提供域名到ip地址之间转换，使用端口53

smtp：简单邮件传输协议，用来控制信件的发送、中转，使用端口53

nfs：网络文件系统，用于网络中不同主机间的文件共享

http：超文本传输协议，用于实现互联网中www服务，使用端口80