OSI/ISO参考模型
物理层:两个网络之间进行通信用什么介质,传输速率有多高,用哪种设备,接口是什么,几毫米还是几厘米,电压多少伏等等一系列规定和规范。
数据链路层:主要作用是标记本机主机的网卡地址,标记对方的地址
网络层:标记网络地址,主要作用是源IP地址目标IP,解决的是主机到主机的通信。
传输层:主要用来标记主机上的进程源端口号和目标端口号,传输层还可以解决拥塞控制,滑动窗口等
会话层:建立会话
表示层:加密、压缩,如何表示
应用层:真正的资源交换
OSI参考模型过于庞大,并没有实际应用。而工业标准的TCP/IP四层模型得到了广泛的应用。TCP/IP四层模型与OSI参考模型对比示意图:
Note:
TCP/IP协议栈是美国国防部高级研究计划局计算机网(Advanced Research Projects Agency Network,ARPANET)和其后继因特网使用的参考模型。
ARPANET是由美国国防部(U.S.Department of Defense,DoD)赞助的研究网络。最初,它只连接了美国境内的四所大学。随后的几年中,它通过租用的电话线连接了数百所大学和政府部门。
最终ARPANET发展成为全球规模最大的互连网络-因特网。最初的ARPANET于1990年永久性地关闭。
TCP/IP四层模型分为:应用层、传输层、网络层、物理链路层,每一层都有很多协议:网络层协议除了IP协议,还有ICMP协议和IGMP协议
TCP/IP四层模型各层的主要功能:
物理链路层:
实际上TCP/IP参考模型没有真正描述这一层的实现,只是要求能够提供给其上层-网络层一个访问接口,以便在其上传递IP报文。由于这一层未被定义,所以其具体的实现方法将随着网络类型的不同而不同。
网络层:
网络层是整个TCP/IP协议栈的核心。
它的功能是把数据包发往目标网络或主机。同时,为了尽快的发送数据报文,可能需要沿不同的路径同时进行报文传递。因此,报文到达的顺序和发送的顺序可能不同,这就需要上层必须对数据报文进行排序。
网络层定义了数据报文的格式和协议,即IP协议(Internet Protocol)。
网络层除了需要完成路由的功能外,也可以完成将不同类型的网络(异构网)互连的任务。除此之外,网络层还需要完成拥塞控制等功能。
传输层:
在TCP/IP模型中,传输层的功能是使源端主机和目标端主机上的对等实体可以进行会话。
在传输层定义了两种服务质量不同的协议。即:传输控制协议TCP(transmission control protocol)和用户数据报协议UDP(user datagram protocol)。
TCP协议是一个面向连接的、可靠的协议。它将一台主机发出的字节流无差错地发往互联网上的其他主机。
在发送端,它负责把上层传送下来的字节流分成报文段并传递给下层。在接收端,它负责把收到的报文进行重组后递交给上层。
TCP协议还要处理端到端的流量控制,以避免缓慢接收的接收方没有足够的缓冲区接收发送方发送的大量数据。
UDP协议是一个不可靠的、无连接协议,主要适用于不需要对报文进行排序和流量控制的场合。
应用层:
TCP/IP模型将OSI参考模型中的会话层和表示层的功能合并到应用层实现。
应用层面向不同的网络应用引入了不同的应用层协议。
其中,有基于TCP协议的,如文件传输协议FTP(File Transfer Protocol)、虚拟终端协议TELNET、超文本链接协议HTTP(Hyper Text Transfer Protocol),也有基于UDP协议的。
网络中是通过发送数据包进行通信的。数据包中封装了各层协议实现的报文:
数据包封装流程(逐层封装,逐层解封)
TCP/IP报文格式:
1.TCP协议
TCP协议是一种可靠的、面向连接的字节流服务。源主机在传送数据前需要先和目标主机建立连接。然后,在此连接上,被编号的数据段按序收发。同时,要求对每个数据段进行确认,保证了可靠性。如果在指定的时间内没有收到目标主机对所发数据段的确认,源主机将再次发送该数据段。
TCP报文格式:
TCP报文首部中:
源、目标端口号字段:占16比特。
TCP协议通过使用"端口"来标识源端和目标端的应用进程。端口号可以使用0到65535之间的任何数字。在收到服务请求时,操作系统动态地为客户端的应用程序分配端口号。
在服务器端,每种服务在"众所周知的端口"(Well-Know Port)为用户提供服务。
顺序号字段:占32比特。用来标识从源端向目标端发送的数据字节流,发起方发送数据时对此进行标记。
确认号字段:占32比特。Ack序号,只有ACK标志为1时,确认号字段才有效。Ack=Seq+1;它包含目标端所期望收到源端的下一个数据字节。若确认号为N,则N之前的数据都正常接收。
头部长度字段:占4比特。给出头部占32比特的数目。没有任何选项字段的TCP头部长度为20字节;最多可以有60字节的TCP头部。和IP报文类似
保留字段:暂时无用,全置0
标志位字段(U、A、P、R、S、F):占6比特。各比特的含义如下:
紧急URG:紧急指针(urgent pointer)有效,当URG=1时,表明字段中有紧急数据,需要尽快发送。
确认ACK:确认序号有效,建立连接后,需要将所有待传送的报文段中ACK置为1
推送PSH:当PSH=1时,尽快上传至应用层。
复位RST:重建连接。当RST=1时,表明TCP出现了严重的错误。
同步SYN:发起一个连接,用来建立同步序号,SYN=1,ACK=0:连接请求数据报;SYN=1,ACK=1:同意连接,建立连接
终止FIN:释放一个连接。当FIN=1时,表明报文段要发送的数据已发送完毕,请求释放连接。
窗口大小字段:占16比特。表明接收方允许允许对方发送的数据量,即本机期望一次接收的字节数,单位为字节。此字段用来进行流量控制。
校验和字段:占16比特。对整个TCP报文段,即TCP首部和TCP数据进行校验和计算,并由目标端进行验证。
紧急指针字段:占16比特。它是一个偏移量,和序号字段中的值相加表示紧急数据最后一个字节的序号。紧急指针仅在URG=1时才有意义,即使窗口为0时,也可以发送紧急数据。
选项字段:占32比特。可能包括最大报文段长度MSS;窗口扩大选项:扩大窗口;时间戳选项:计算往返时间,处理序号2^32的情况
2.UDP协议
UDP是一种不可靠的、无连接的数据报服务。源主机在传送数据前不需要和目标主机建立连接。数据被冠以源、目标端口号等UDP报头字段后直接发往目的主机。这时,每个数据段的可靠性依靠上层协议来保证。在传送数据较少、较小的情况下,UDP比TCP更加高效。
UDP报文格式:
UDP报文首部信息中:
源、目标端口号字段:占16比特。作用与TCP数据段中的端口号字段相同,用来标识源端和目标端的应用进程。
长度字段:占16比特。标明UDP首部和UDP数据的总长度字节。
校验和字段:占16比特。用来对UDP首部和UDP数据进行校验。和TCP不同的是,对UDP来说,此字段是可选项,而TCP数据段中的校验和字段是必须有的。
套接字:
在每个TCP、UDP数据段中都包含源端口和目标端口字段。有时,我们把一个IP地址和一个端口号合称为一个套接字(Socket),而一个套接字对(Socket pair)可以唯一地确定互连网络中每个TCP连接的双方(客户IP地址、客户端口号、服务器IP地址、服务器端口号)。
如图2-7所示,是常见的一些协议和它们对应的服务端口号。
图2-7 常见协议和对应的端口号
需要注意的是,不同的应用层协议可能基于不同的传输层协议,如FTP、TELNET、SMTP协议基于可靠的TCP协议。TFTP、SNMP、RIP基于不可靠的UDP协议。
同时,有些应用层协议占用了两个不同的端口号,如FTP的20、21端口,SNMP的161、162端口。这些应用层协议在不同的端口提供不同的功能。如FTP的21端口用来侦听用户的连接请求,而20端口用来传送用户的文件数据。再如,SNMP的161端口用于SNMP管理进程获取SNMP代理的数据,而162端口用于SNMP代理主动向SNMP管理进程发送数据。
还有一些协议使用了传输层的不同协议提供的服务。如DNS协议同时使用了TCP 53端口和UDP 53端口。DNS协议在UDP的53端口提供域名解析服务,在TCP的53端口提供DNS区域文件传输服务。
TCP连接建立、释放时的握手过程
1、TCP建立连接的三次握手(Three-Way Handshake)过程
所谓三次握手(Three-Way Handshake)即建立TCP连接,就是指建立一个TCP连接时,需要客户端和服务端总共发送3个包以确认连接的建立。 在socket编程中, 这一过程由客户端执行connect来触发,整个流程:
(1)第一次握手:Client将标志位SYN置为1,同时标明初始序号ISN(Initial Sequence Number),ISN是一个随时间变化的随机值seq=J,并将该数据包发送给Server,Client进入SYN_SENT状态,等待Server确认。
(2)第二次握手:Server收到数据包后由标志位SYN=1知道Client请求建立连接,Server将标志位SYN和ACK都置为1,ack=J+1,随机产生一个值seq=K,并将该数据包发送给Client以确认连接请求,Server进入SYN_RCVD状态。
(3)第三次握手:Client收到确认后,检查ack是否为J+1,ACK是否为1,如果正确则将标志位ACK置为1,ack=K+1,并将该数据包发送给Server,Server检查ack是否为K+1,ACK是否为1,如果正确则连接建立成功,Client和Server进入ESTABLISHED状态,完成三次握手,随后Client与Server之间可以开始传输数据了。
至此为止,TCP会话的三次握手完成。接下来,源主机和目标主机可以互相收发数据。整个过程如下所示:
SYN攻击: 在三次握手过程中,Server发送SYN-ACK之后,收到Client的ACK之前的TCP连接称为半连接(half-open connect),此时Server处于SYN_RCVD状态,当收到ACK后,Server转入ESTABLISHED状态。
SYN攻击就是Client在短时间内伪造大量不存在的IP地址,并向Server不断地发送SYN包,Server回复确认包,并等待Client的确认,由于源地址是不存在的,因此,Server需要不断重发直至超时,
这些伪造的SYN包将产时间占用未连接队列,导致正常的SYN请求因为队列满而被丢弃,从而引起网络堵塞甚至系统瘫痪。SYN攻击时一种典型的DDOS攻击,检测SYN攻击的方式非常简单,即当Server上
有大量半连接状态且源IP地址是随机的,则可以断定遭到SYN攻击了,使用如下命令可以让之现行: #netstat -nap | grep SYN_RECV
2、TCP释放连接的四次挥手(Four-Way Wavehand )过程
所谓四次挥手(Four-Way Wavehand )即终止TCP连接,就是指断开一个TCP连接时,需要客户端和服务端总共发送4个包以确认连接的断开。 在socket编程中, 这一过程 由客户端或服务端任一方执行close来触发,整个流程:
由于TCP连接是全双工的,因此,每个方向都必须要单独进行关闭,这一原则是当一方完成数据发送任务后,发送一个FIN来终止这一方向的连接,收到一个FIN只是意味着这一方向上没有数据流动了,即不会再收到数据了,但是在这个TCP连接上仍然能够发送数据,直到这一方向也发送了FIN。首先进行关闭的一方将执行主动关闭,而另一方则执行被动关闭。
(1)第一次挥手:Client发送一个FIN,用来关闭Client到Server的数据传送,Client进入FIN_WAIT_1状态 。
(2)第二次挥手:Server收到FIN后 ,发送一个ACK给Client,确认序号为收到序号+1(与SYN相同,一个FIN占用一个序号),Server进入CLOSE_WAIT状态 。
(3)第三次挥手:Server发送一个FIN,用来关闭Server到Client的数据传送,Server进入LAST_ACK状态。
(4)第四次挥手:Client收到FIN后,Client进入TIME_WAIT状态,接着发送一个ACK给Server,确认序号为收到序号+1 , Server进入CLOSED状态, 完成四次挥手。
上面是一方主动关闭,另一方被动关闭的情况,实际中还会出现同时发起主动关闭的情况。
3.IP协议
IP协议是TCP/IP协议族中最为核心的协议。它提供不可靠、无连接的服务,也即依赖其他层的协议进行差错控制。
IP报文格式:
IP报文首部中:
版本(Version)字段:占4比特。
用来表明IP协议实现的版本号,当前一般为IPv4,即0100。
首部长度(Internet Header Length,IHL)字段:占4比特。
定义数据报文首部长度,表示首部具有32位长度的数量,最小值为5,最大值为15.普通IP数据报(没有任何选项),该字段的值是5,即160比特=20字节。此字段最大值为60字节。
服务类型(Type of Service ,TOS)字段:占8比特。
其中前3比特为优先权字段(Precedence,现已被忽略).第8比特保留未用。第4至第7比特分别代表时延、吞吐量、可靠性和花费。
当它们取值为1时分别代表要求最小时延、最大吞吐量、最高可靠性和最小费用。
这4比特的服务类型中只能置其中1比特为1。可以全为0。若全为0表示一般服务。
服务类型字段声明了数据报被网络系统传输时可以被怎样处理。例如:TELNET协议可能要求有最小的延迟,FTP协议(数据)可能要求有最大吞吐量,SNMP协议可能要求有最高可靠性,
NNTP(Network News Transfer Protocol,网络新闻传输协议)可能要求最小费用,而ICMP协议可能无特殊要求(4比特全为0)。
实际上,大部分主机会忽略这个字段,但一些动态路由协议如OSPF(Open Shortest Path First Protocol)、IS-IS(Intermediate System to Intermediate System Protocol)
可以根据这些字段的值进行路由决策。
总长度字段:占16比特。
指明整个数据报的长度(以字节为单位),包含首部和数据。最大长度为65535字节。
标识字段:占16比特。
用来唯一地标识主机发送的每一份数据报。通常每发一份报文,它的值会加1。
标志位字段:占3比特。
标志一份数据报是否要求分段。
最低位(MF)控制分段,存在下一个分段置为1,否则置0代表该分段是最后一个分段。
中间为(DF)指出数据报是否可进行分段。如果为1则机器不能将该数据报进行分段。
第三位即最高位保留不使用,值为0.
片偏移字段:占13比特。
该字段指出分段数据在源数据报文中的相对位置,方便目标IP重建源数据。
生存时间(TTL:Time to Live)字段:占8比特。
用来设置数据报最多可以经过的路由器数。由发送数据的源主机设置,通常为32、64、128等。每经过一个路由器,其值减1,直到0时该数据报被丢弃。
协议字段:占8比特。指明IP层处理完成之后,由上层哪种协议接收导入数据报,如ICMP(1)、IGMP(2) 、TCP(6)、UDP(17)等。
首部校验和字段:占16比特。内容是根据IP首部计算得到的校验和码。计算方法是:对首部中每个16比特进行二进制反码求和。(和ICMP、IGMP、TCP、UDP不同,IP不对首部后面的数据进行校验)。
源IP地址、目标IP地址字段:各占32比特。用来标明发送IP数据报文的源主机地址和接收IP报文的目标主机地址。
可选项,填充字段:占32比特。
用来定义一些任选项:如记录路径、时间戳等。这些选项很少被使用,同时并不是所有主机和路由器都支持这些选项。可选项字段的长度必须是32比特的整数倍,如果不足,必须填充0以达到此长度要求。
其他:
4.以太网的报文格式:
当数据包的类型为:
0800:表示IP数据包
0806:表示ARP请求或应答
5.ARP报文格式:
ARP作用:
ARP:IP地址到对应的硬件地址之间提供动态映射
(IP地址(逻辑地址) ——> MAC地址(硬件地址/以太网地址) )
首部格式如下:
其中:
6.ICMP报文格式:
ICMP数据包首部:
字段说明:
原文:https://www.cnblogs.com/ckh2014/p/14320684.html