1、TCP/IP协议族体系结构以及主要协议
??????? TCP/IP协议族是一个四层协议系统,自底而上分别是数据链路层、网络层、传输层和应用层。每一层完成不同的功能,且通过若干协议来实现,上层协议使用下层协议提供的服务。如下图所示。
?1.1、数据链路层
??????? 数据链路层实现了网卡接口的网络驱动程序,以处理数据在物理媒介上的传输。
??????? 数据链路层两个常用协议是ARP协议(Address Resolve Protocol,地址解析协议)和RARP协议(Reverse Address Resolve Protocol,逆地址解析协议)。它们实现了IP地址和机器物理地址(MAC)之间的相互转换。
??????? 网络层使用IP地址寻址一台机器,而数据链路层使用物理地址寻址一台机器,因此网络层必须先将目标机器的IP地址转换成其物理地址,才能使用数据链路层提供的服务,这就是ARP协议的用途。
1.2、网络层
??????? 网络层实现数据包的选路和转发。通信的两台主机一般不是直接相连的,而是通过多个中间节点(路由器)连接的。网络层的任务就是选择这些中间节点,以确定两台主机之间的通信路径。
??????? 网络层最核心的协议是IP协议(Internet Protocol,因特网协议)。IP协议根据数据包的目的IP地址来决定如何投递它。如果数据包不能直接发送给目标主机,那么IP协议就为它寻找一个合适的下一跳(next hop)路由器,并将数据包交付给该路由器来转发。多次重复这一过程,数据包最终到达目标主机,或者由于发送失败而被丢弃。
??????? 网络层另外一个重要的协议是ICMP协议(Internet Control Message Protocol,因特网控制报文协议)。它是IP协议的重要补充,主要用于检测网络连接。ICMP协议使用的报文格式如下图所示。
?1.3、传输层
??????? 传输层为两台主机上的应用程序提供端到端(end to end)的通信。与网络层使用的逐跳通信方式不同,传输层只关心通信的起始端和目的端,而不在乎数据包的中转过程。
????????传输层协议主要有三个:TCP协议、UDP协议和SCTP协议。
??????? TCP协议(Transmission Control Protocol,传输控制协议)为应用层提供可靠的、面向连接的和基于流(stream)的服务。TCP协议使用超时重传、数据确认等方式来确保数据包被正确地发送至目的端,因此TCP服务是可靠的。
??????? UDP协议(User Datagram Protocol,用户数据报协议)为应用层提供不可靠、无连接和基于数据报的服务。
??????? SCTP协议(Stream Control Transmission Protocol,流控制传输协议)是一种相对较新的传输层协议,它是为了在因特网上传输电话信号而设计的。
1.4、应用层
??????? 应用层负责处理应用程序的逻辑。应用层在用户空间实现,因为它负责处理众多逻辑,比如文件传输、名称查询和网络管理等。比如ping、telnet(远程登录协议)、OSPF(Open Shortest Path First,开放最短路径优先是一种动态路由更新协议)、DNS(Domain Name Service,域名服务提供机器域名到IP地址的转换)。
2、封装
??????? 上层协议是如何使用下层协议提供的服务的呢?其实这是通过封装实现的。应用程序数据在发送到物理网络上之前,将沿着协议栈从上往下依次传递。每层协议都将在上层数据的基础上加上自己的头部信息(有时还包括尾部信息),以实现该层的功能,这个过程就称为封装。如下图所示。
??????? 经过TCP封装后的数据称为TCP报文段,经过UDP封装后的数据称为UDP数据报,经过IP封装后的数据称为IP数据报,经过数据链路层封装的数据称为帧。传输媒介不同,帧的类型也不同。
??????? 以太网帧的最大传输单元为MTU(Max Transmit Unit)。即帧最多能携带多少上层协议数据,通常受到网络类型的限制。以太网帧的MTU是1500字节。因此,过长的IP数据报可能需要被分片传输。
?
?3、分用
??????? 当帧到达目的主机时,将沿着协议栈自底向上依次传递。各层协议依次处理帧中本层负责的头部数据,以获取所需的信息,并最终将处理后的帧教给目标应用程序。这个过程称为分用。分用是依靠头部信息中的类型字段实现的。如下图所示。
?4、ARP协议工作原理
??????? ARP协议能实现任意网络层地址到任意物理地址的转换,其工作原理是:主机向自己所在的网络广播一个ARP请求,该请求包含目标机器的网络地址。此网络上的其他机器都将收到这个请求,但只有被请求的目标机器会回应一个ARP应答,其中包含自己的物理地址。以太网ARP请求/应答报文结构如下图所示。
???????? 硬件类型字段定义物理地址的类型,它的值为1表示MAC地址。
??????? 协议类型字段表示要映射的协议地址类型,它的值为0x800,表示IP地址。
??????? 硬件地址长度字段和协议地址长度字段,其单位为字节。对MAC地址来说,其长度为6;对IP(v4)地址来说,其长度为4。
??????? 操作字段指出4种操作类型:ARP请求(值为1)、ARP应答(值为2)、RARP请求(值为3)和RARP应答(值为4)。
??????? 最后4个字段指定通信双方的以太网地址和IP地址。发送端填充除目的端以太网地址外的其他3个字段,以构建ARP请求并发送之。接收端发现该请求的目的端IP地址是自己,就把自己的以太网地址填进去,然后交换两个目的端地址和两个发送端地址,以构建ARP应答并返回之。
??????? ARP请求/应答报文的长度为28字节。如果再加上以太网帧头部和尾部的18字节,则一个携带ARP请求/应答报文的以太网帧长度为46字节。不过有的实现要求以太网帧数据部分长度至少为46字节,此时ARP请求/应答报文将增加一些填充字节,以满足这个要求。在这种情况下,一个携带ARP请求/应答报文的以太网帧长度为46字节。
5、DNS工作原理
??????? DNS是一套分布式的域名服务系统。每个DNS服务器上都存放着大量的机器名和IP地址的映射,并且是动态更新的。众多网络客户端程序都使用DNS协议来向DNS服务器查询目标主机的IP地址。DNS查询和应答报文的格式如下图所示。
???????? 16位标识字段用于标记一对DNS查询和应答,以此区分一个DNS应答是哪个DNS查询的回应。
??????? 16位标志字段用于协商具体的通信方式和反馈通信状态。DNS报文头部的16位标志字段细节如下图所示。
??????? 各标志的含义分别是:
??????? QR,查询/应答标志。0表示这是一个查询报文,1表示这是一个应答报文。
??????? opcode,定义查询和应答的类型。0表示标准查询,1表示反向查询(由IP地址获取主机域名),2表示请求服务器状态。
??????? AA,授权应答标志,仅由应答报文使用。1表示域名服务器是授权服务器。
??????? TC,截断标志,仅当DNS报文使用UDP服务时使用。因为UDP数据报有长度限制,所以过长的DNS报文将被截断。1表示DNS报文超过512字节,并被截断。
??????? RD,递归查询标志。1表示执行递归查询,0表示执行迭代查询。
??????? RA,允许递归标志。仅由应答报文使用,1表示DNS服务器支持递归查询。
??????? zero,这3位未用,必须都设置为0。
??????? rcode,4位返回码,表示应答的状态。常用值有0(无错误)和3(域名不存在)。
??????? 接下来的4个字段则分别指出DNS报文的最后4个字段的资源记录数目。对查询报文而言,它一般包含一个查询问题,而应答资源记录数、授权资源记录数和额外资源记录数则为0。应答报文的应答资源记录数则至少为1,而授权资源记录数和额外资源记录数可为0或非0。
??????? 查询问题的格式如下图所示。
??????? 查询名以一定的格式封装了要查询的主机域名。
??????? 16位查询类型表示如何执行查询操作,常见的类型有:
????????????????类型A,值为1,表示获取目标主机的IP地址。
??????????????? 类型CNAME,值是5,表示获取目标主机的别名。
??????????????? 类型PTR,值是12,表示反向查询。
??????? 16位查询类通常为1,表示获取因特网地址(IP地址)。
??????? 应答字段、授权字段和额外信息字段都使用资源记录(Resource Record,RR)格式。资源记录格式如下图所示。
??????? 32位域名是该记录中与资源对应的名字,其格式和查询问题中的查询名字段相同。16位类型和16位类字段的含义也与DNS查询问题的对应字段相同。
??????? 32位生存时间表示该查询记录结果可被本地客户端程序缓存多长时间,单位是秒。
??????? 16位资源数据长度字段和资源数据字段的内容取决于类型字段。对类型A而言,资源数据是32位的IPv4地址,而资源数据长度则为4(以字节为单位)。
?