1. 程式人生 > >TCP/IP協議詳解 --- 轉載的

TCP/IP協議詳解 --- 轉載的

原文地址:https://www.jianshu.com/p/ef892323e68f

為什麼會有TCP/IP協議

在世界上各地,各種各樣的電腦執行著各自不同的作業系統為大家服務,這些電腦在表達同一種資訊的時候所使用的方法是千差萬別。就好像聖經中上帝打亂了各地人的口音,讓他們無法合作一樣。計算機使用者意識到,計算機只是單兵作戰並不會發揮太大的作用。只有把它們聯合起來,電腦才會發揮出它最大的潛力。於是人們就想方設法的用電線把電腦連線到了一起。

但是簡單的連到一起是遠遠不夠的,就好像語言不同的兩個人互相見了面,完全不能交流資訊。因而他們需要定義一些共通的東西來進行交流,TCP/IP就是為此而生。TCP/IP不是一個協議,而是一個協議族的統稱。裡面包括了IP協議,IMCP協議,TCP協議,以及我們更加熟悉的http、ftp、pop3協議等等。電腦有了這些,就好像學會了外語一樣,就可以和其他的計算機終端做自由的交流了。

TCP/IP協議分層

![TCP分層2.jpg](http://upload-images.jianshu.io/upload_images/2964446-94da7e7442050d15.jpg?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

TCP/IP協議族按照層次由上到下,層層包裝。

應用層:
向用戶提供一組常用的應用程式,比如電子郵件、檔案傳輸訪問、遠端登入等。遠端登入TELNET使用TELNET協議提供在網路其它主機上註冊的介面。TELNET會話提供了基於字元的虛擬終端。檔案傳輸訪問FTP使用FTP協議來提供網路內機器間的檔案拷貝功能。

傳輸層:
提供應用程式間的通訊。其功能包括:一、格式化資訊流;二、提供可靠傳輸。為實現後者,傳輸層協議規定接收端必須發回確認,並且假如分組丟失,必須重新發送。

網路層
負責相鄰計算機之間的通訊。其功能包括三方面。
一、處理來自傳輸層的分組傳送請求,收到請求後,將分組裝入IP資料報,填充報頭,選擇去往信宿機的路徑,然後將資料報發往適當的網路介面。

二、處理輸入資料報:首先檢查其合法性,然後進行尋徑--假如該資料報已到達信宿機,則去掉報頭,將剩下部分交給適當的傳輸協議;假如該資料報尚未到達信宿,則轉發該資料報。

三、處理路徑、流控、擁塞等問題。

網路介面層
這是TCP/IP軟體的最低層,負責接收IP資料報並通過網路傳送之,或者從網路上接收物理幀,抽出IP資料報,交給IP層。

IP 是無連線的

IP 用於計算機之間的通訊。

IP 是無連線的通訊協議。它不會佔用兩個正在通訊的計算機之間的通訊線路。這樣,IP 就降低了對網路線路的需求。每條線可以同時滿足許多不同的計算機之間的通訊需要。

通過 IP,訊息(或者其他資料)被分割為小的獨立的包,並通過因特網在計算機之間傳送。

IP 負責將每個包路由至它的目的地。

IP地址

每個計算機必須有一個 IP 地址才能夠連入因特網。

每個 IP 包必須有一個地址才能夠傳送到另一臺計算機。

網路上每一個節點都必須有一個獨立的Internet地址(也叫做IP地址)。現在,通常使用的IP地址是一個32bit的數字,也就是我們常說的IPv4標準,這32bit的數字分成四組,也就是常見的255.255.255.255的樣式。IPv4標準上,地址被分為五類,我們常用的是B類地址。具體的分類請參考其他文件。需要注意的是IP地址是網路號+主機號的組合,這非常重要。

CP/IP 使用 32 個位元來編址。一個計算機位元組是 8 位元。所以 TCP/IP 使用了 4 個位元組。
一個計算機位元組可以包含 256 個不同的值:
00000000、00000001、00000010、00000011、00000100、00000101、00000110、00000111、00001000 ....... 直到 11111111。
現在,你知道了為什麼 TCP/IP 地址是介於 0 到 255 之間的 4 個數字。

TCP 使用固定的連線

TCP 用於應用程式之間的通訊。

當應用程式希望通過 TCP 與另一個應用程式通訊時,它會發送一個通訊請求。這個請求必須被送到一個確切的地址。在雙方“握手”之後,TCP 將在兩個應用程式之間建立一個全雙工 (full-duplex) 的通訊。

這個全雙工的通訊將佔用兩個計算機之間的通訊線路,直到它被一方或雙方關閉為止。

UDP 和 TCP 很相似,但是更簡單,同時可靠性低於 TCP。

IP 路由器

當一個 IP 包從一臺計算機被髮送,它會到達一個 IP 路由器。

IP 路由器負責將這個包路由至它的目的地,直接地或者通過其他的路由器。

在一個相同的通訊中,一個包所經由的路徑可能會和其他的包不同。而路由器負責根據通訊量、網路中的錯誤或者其他引數來進行正確地定址。

域名

12 個阿拉伯數字很難記憶。使用一個名稱更容易。

用於 TCP/IP 地址的名字被稱為域名。w3school.com.cn 就是一個域名。

在全世界,數量龐大的 DNS 伺服器被連入因特網。DNS 伺服器負責將域名翻譯為 TCP/IP 地址,同時負責使用新的域名資訊更新彼此的系統。

當一個新的域名連同其 TCP/IP 地址一同註冊後,全世界的 DNS 伺服器都會對此資訊進行更新。

TCP/IP

TCP/IP 意味著 TCP 和 IP 在一起協同工作。

TCP 負責應用軟體(比如你的瀏覽器)和網路軟體之間的通訊。

IP 負責計算機之間的通訊。

TCP 負責將資料分割並裝入 IP 包,然後在它們到達的時候重新組合它們。

IP 負責將包傳送至接受者。

TCP報文格式

TCP報文格式1.jpg

16位源埠號:16位的源埠中包含初始化通訊的埠。源埠和源IP地址的作用是標識報文的返回地址。

16位目的埠號:16位的目的埠域定義傳輸的目的。這個埠指明報文接收計算機上的應用程式地址介面。

32位序號:32位的序列號由接收端計算機使用,重新分段的報文成最初形式。當SYN出現,序列碼實際上是初始序列碼(Initial Sequence Number,ISN),而第一個資料位元組是ISN+1。這個序列號(序列碼)可用來補償傳輸中的不一致。

32位確認序號:32位的序列號由接收端計算機使用,重組分段的報文成最初形式。如果設定了ACK控制位,這個值表示一個準備接收的包的序列碼。

4位首部長度:4位包括TCP頭大小,指示何處資料開始。

保留(6位):6位值域,這些位必須是0。為了將來定義新的用途而保留。

標誌:6位標誌域。表示為:緊急標誌、有意義的應答標誌、推、重置連線標誌、同步序列號標誌、完成傳送資料標誌。按照順序排列是:URG、ACK、PSH、RST、SYN、FIN。

16位視窗大小:用來表示想收到的每個TCP資料段的大小。TCP的流量控制由連線的每一端通過宣告的視窗大小來提供。視窗大小為位元組數,起始於確認序號欄位指明的值,這個值是接收端正期望接收的位元組。視窗大小是一個16位元組欄位,因而視窗大小最大為65535位元組。

16位校驗和:16位TCP頭。源機器基於資料內容計算一個數值,收資訊機要與源機器數值 結果完全一樣,從而證明資料的有效性。檢驗和覆蓋了整個的TCP報文段:這是一個強制性的欄位,一定是由傳送端計算和儲存,並由接收端進行驗證的。

16位緊急指標:指向後面是優先資料的位元組,在URG標誌設定了時才有效。如果URG標誌沒有被設定,緊急域作為填充。加快處理標示為緊急的資料段。

選項:長度不定,但長度必須為1個位元組。如果沒有選項就表示這個1位元組的域等於0。

資料:該TCP協議包負載的資料。

在上述欄位中,6位標誌域的各個選項功能如下。

URG:緊急標誌。緊急標誌為"1"表明該位有效。

ACK:確認標誌。表明確認編號欄有效。大多數情況下該標誌位是置位的。TCP報頭內的確認編號欄內包含的確認編號(w+1)為下一個預期的序列編號,同時提示遠端系統已經成功接收所有資料。

PSH:推標誌。該標誌置位時,接收端不將該資料進行佇列處理,而是儘可能快地將資料轉由應用處理。在處理Telnet或rlogin等互動模式的連線時,該標誌總是置位的。

RST:復位標誌。用於復位相應的TCP連線。

SYN:同步標誌。表明同步序列編號欄有效。該標誌僅在三次握手建立TCP連線時有效。它提示TCP連線的服務端檢查序列編號,該序列編號為TCP連線初始端(一般是客戶端)的初始序列編號。在這裡,可以把TCP序列編號看作是一個範圍從0到4,294,967,295的32位計數器。通過TCP連線交換的資料中每一個位元組都經過序列編號。在TCP報頭中的序列編號欄包括了TCP分段中第一個位元組的序列編號。

FIN:結束標誌。

TCP三次握手

所謂三次握手(Three-Way Handshake)即建立TCP連線,就是指建立一個TCP連線時,需要客戶端和服務端總共傳送3個包以確認連線的建立。在socket程式設計中,這一過程由客戶端執行connect來觸發,整個流程如下圖所示:

TCP三次握手.png

(1)第一次握手:Client將標誌位SYN置為1,隨機產生一個值seq=J,並將該資料包傳送給Server,Client進入SYN_SENT狀態,等待Server確認。

(2)第二次握手:Server收到資料包後由標誌位SYN=1知道Client請求建立連線,Server將標誌位SYN和ACK都置為1,ack=J+1,隨機產生一個值seq=K,並將該資料包傳送給Client以確認連線請求,Server進入SYN_RCVD狀態。

(3)第三次握手:Client收到確認後,檢查ack是否為J+1,ACK是否為1,如果正確則將標誌位ACK置為1,ack=K+1,並將該資料包傳送給Server,Server檢查ack是否為K+1,ACK是否為1,如果正確則連線建立成功,Client和Server進入ESTABLISHED狀態,完成三次握手,隨後Client與Server之間可以開始傳輸資料了。

簡單來說,就是

1、建立連線時,客戶端傳送SYN包(SYN=i)到伺服器,並進入到SYN-SEND狀態,等待伺服器確認

2、伺服器收到SYN包,必須確認客戶的SYN(ack=i+1),同時自己也傳送一個SYN包(SYN=k),即SYN+ACK包,此時伺服器進入SYN-RECV狀態

3、客戶端收到伺服器的SYN+ACK包,向伺服器傳送確認報ACK(ack=k+1),此包傳送完畢,客戶端和伺服器進入ESTABLISHED狀態,完成三次握手,客戶端與伺服器開始傳送資料。

SYN攻擊

在三次握手過程中,Server傳送SYN-ACK之後,收到Client的ACK之前的TCP連線稱為半連線(half-open connect),此時Server處於SYN_RCVD狀態,當收到ACK後,Server轉入ESTABLISHED狀態。SYN攻擊就是Client在短時間內偽造大量不存在的IP地址,並向Server不斷地傳送SYN包,Server回覆確認包,並等待Client的確認,由於源地址是不存在的,因此,Server需要不斷重發直至超時,這些偽造的SYN包將產時間佔用未連線佇列,導致正常的SYN請求因為佇列滿而被丟棄,從而引起網路堵塞甚至系統癱瘓。SYN攻擊時一種典型的DDOS攻擊,檢測SYN攻擊的方式非常簡單,即當Server上有大量半連線狀態且源IP地址是隨機的,則可以斷定遭到SYN攻擊了,使用如下命令可以讓之現行:

#netstat -nap | grep SYN_RECV

TCP四次揮手

所謂四次揮手(Four-Way Wavehand)即終止TCP連線,就是指斷開一個TCP連線時,需要客戶端和服務端總共傳送4個包以確認連線的斷開。在socket程式設計中,這一過程由客戶端或服務端任一方執行close來觸發,整個流程如下圖所示:

TCP四次揮手.png

由於TCP連線時全雙工的,因此,每個方向都必須要單獨進行關閉,這一原則是當一方完成資料傳送任務後,傳送一個FIN來終止這一方向的連線,收到一個FIN只是意味著這一方向上沒有資料流動了,即不會再收到資料了,但是在這個TCP連線上仍然能夠傳送資料,直到這一方向也傳送了FIN。首先進行關閉的一方將執行主動關閉,而另一方則執行被動關閉,上圖描述的即是如此。

(1)第一次揮手:Client傳送一個FIN,用來關閉Client到Server的資料傳送,Client進入FIN_WAIT_1狀態。

(2)第二次揮手:Server收到FIN後,傳送一個ACK給Client,確認序號為收到序號+1(與SYN相同,一個FIN佔用一個序號),Server進入CLOSE_WAIT狀態。

(3)第三次揮手:Server傳送一個FIN,用來關閉Server到Client的資料傳送,Server進入LAST_ACK狀態。

(4)第四次揮手:Client收到FIN後,Client進入TIME_WAIT狀態,接著傳送一個ACK給Server,確認序號為收到序號+1,Server進入CLOSED狀態,完成四次揮手。

為什麼建立連線是三次握手,而關閉連線卻是四次揮手呢?

這是因為服務端在LISTEN狀態下,收到建立連線請求的SYN報文後,把ACK和SYN放在一個報文裡傳送給客戶端。而關閉連線時,當收到對方的FIN報文時,僅僅表示對方不再發送資料了但是還能接收資料,己方也未必全部資料都發送給對方了,所以己方可以立即close,也可以傳送一些資料給對方後,再發送FIN報文給對方來表示同意現在關閉連線,因此,己方ACK和FIN一般都會分開發送。

為什麼TIME_WAIT狀態需要經過2MSL(最大報文段生存時間)才能返回到CLOSE狀態?

原因有二:
一、保證TCP協議的全雙工連線能夠可靠關閉
二、保證這次連線的重複資料段從網路中消失

先說第一點,如果Client直接CLOSED了,那麼由於IP協議的不可靠性或者是其它網路原因,導致Server沒有收到Client最後回覆的ACK。那麼Server就會在超時之後繼續傳送FIN,此時由於Client已經CLOSED了,就找不到與重發的FIN對應的連線,最後Server就會收到RST而不是ACK,Server就會以為是連線錯誤把問題報告給高層。這樣的情況雖然不會造成資料丟失,但是卻導致TCP協議不符合可靠連線的要求。所以,Client不是直接進入CLOSED,而是要保持TIME_WAIT,當再次收到FIN的時候,能夠保證對方收到ACK,最後正確的關閉連線。

再說第二點,如果Client直接CLOSED,然後又再向Server發起一個新連線,我們不能保證這個新連線與剛關閉的連線的埠號是不同的。也就是說有可能新連線和老連線的埠號是相同的。一般來說不會發生什麼問題,但是還是有特殊情況出現:假設新連線和已經關閉的老連線埠號是一樣的,如果前一次連線的某些資料仍然滯留在網路中,這些延遲資料在建立新連線之後才到達Server,由於新連線和老連線的埠號是一樣的,又因為TCP協議判斷不同連線的依據是socket pair,於是,TCP協議就認為那個延遲的資料是屬於新連線的,這樣就和真正的新連線的資料包發生混淆了。所以TCP連線還要在TIME_WAIT狀態等待2倍MSL,這樣可以保證本次連線的所有資料都從網路中消失。