TCP/IP结构
四层:自底而上分别是
1.数据链路层
- 网卡接口驱动程序,处理数据在物理上的传输
- 协议:
a.ARP(地址解析协议)
实现了IP地址和物理地址之间的互相转换。网络层使用IP地址寻址,数据链路层使用物理地址寻址,所以网络层必须先将目标机器IP地址转换为物理地址,才能使用数据链路层提供的服务。
b.RARP(逆地址解析协议)
2.网络层
- 实现数据包的选路和转发,确定两台主机之间的通信路径。使得在传输层和网络应用程序看来通信双方是直接相连的。
-
协议:
a.IP(因特网协议)
根据数据包的目的IP地址决定如何投递它。如果数据包不能直接发送给目标主机,IP协议就为他寻找合适的下一跳路由器,将数据包交给路由器转发(多次重复最终到达目标主机,失败则丢弃)。
b.ICMP(因特网控制报文协议)
ip协议的重要补充,检测网络连接。
报文格式:8位类型、8位代码、16位校验和
类型字段用于区分报文类型。差错报文:主要用来回应网络错误,比如目标不可到达(3)、重定向(5);查询报文:查询网络信息,如ping程序查看目标是否可到达(8)。
代码字段:进一步对类型字段细分,比如0表示网络重定向,1表示对主机重定向。
校验和:对整个报文进行循环冗余校验,检验报文在传输过程中是否损坏。
3.传输层
- 为两台主机上的应用程序提成端到端的通信。与网络层的逐跳方式不同,传输层只关心通信的起始端和目的端,不在乎数据包的中转过程。负责数据的收发、链路的超时重连等。
- 协议:
a.TCP(传输控制协议)
为应用层提供可靠的、面向连接的和基于流的服务。TCP使用超时重传、数据确认等方式确保数据包被正确的发送到目的端。使用TCP双方必须要建立TCP连接,并在内核中为该连接维持一些必要的数据结构,如连接状态、读写缓冲区,诸多定时器。结束时双方必须关闭连接释放这些内核数据。TCP基于流,基于流的数据没有长度限制。他源源不断地从通信的一端流入另一端,发送端可以逐个字节的向数据流中写入数据,接收端也可以逐个字节地将他们读出。
b.UDP(用户数据报协议)
为应用层提供不可靠,无连接和基于数据报的服务器。UDP无法保证数据从发送端正确的传送到目的端。如果数据中途丢失,或者目的端通过数据校验发现数据错误而将其丢弃,UDP协议只是简单的通知应用程序发送失败。要自己处理数据确认、超时重传等逻辑。通信双方不保持长久联系。基于数据报的服务是相对基于流的服务而言的,每个UDP数据报都有一个长度,接收端必须以该长度为最小单位讲其所有内容一次性读出,否则数据将被截断。
c.SCTP(流控制传输协议)
是一种相对较新的传输层协议。为了在因特网上传输电话信号而设计的。
4.应用层
- 负责处理应用程序的逻辑
ping是应用程序,而不是协议。他利用ICMP报文检测网络连接,是调试网络环境的必备工具。
a.telnet协议(远程登录协议)
他使我们能在本地完成远程任务。
b.OSPF协议(开放最短路径优先)
是一种动态理由更新协议,用于路由器之间的通信。已告知对方各自的路由信息。
c.DNS协议(域名服务)
提供机器域名到IP地址的转换。
ARP协议工作原理
-
ARP协议能实现任意网络层地址到任意物理层地址的转换。其工作原理:
主机向自己所在的网络广播一个ARP请求,该请求包含目标机器的网络地址。此网络上的其他机器都将收到这个请求。但只有被请求的目标机器会回应一个ARP应答。其中包含自己的物理地址。
使用tcpdump观察ARP通信过程
A主机:
IP:192.168.30.108
MAC:00:0c:29:36:12:a5
B主机:
192.168.30.109
MAC:00:0c:29:41:42:eb
主机A:
#查看ARP高速缓存
season@ubuntu:~$ arp -a
? (192.168.30.2) 位于 00:50:56:f8:bd:7a [ether] 在 ens33
? (192.168.30.109) 位于 00:0c:29:41:42:eb [ether] PERM 在 ens33
#清楚ARP缓存中B主机对应项
season@ubuntu:~$ sudo arp -d 192.168.30.109
#使用tcpdump抓包
sudo tcpdump -i ens33 -ent '(dst 192.168.30.109 and src 192.168.30.108)or (dst 192.168.30.108 and src 192.168.30.109)'
主机A打开新终端:
season@ubuntu:~$ sudo telnet 192.168.30.109 echo
Trying 192.168.30.109...
Connected to 192.168.30.109.
Escape character is '^]'.
^] #输入Ctrl + ] 并回车
telnet> quit
Connection closed.
PS:如果B主机echo服务没开启,则需要手动开启。
1.安装openbsd-inetd
sudo apt-get install openbsd-inetd
2.配置,打开文件/etc/inetd.conf,去年注释可以打开相应服务,也可以添加不存在的服务
复制上面一行time 改为 echo
3.启动服务,并查看是否打开了echo服务
sudo /etc/init.d/openbsd-inetd start
4.查看是否成功
netstat -l |grep echo
抓取的数据包:
00:0c:29:36:12:a5 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Request who-has 192.168.30.109 tell 192.168.30.108, length 28
上述数据包:ARP通信的源端物理地址是00:0c:29:36:12:a5(主机A),目的端的物理地址是 ff:ff:ff:ff:ff:ff,这是以太网的广播地址,表示整个LAN,该LAN上的所有机器都会收到并处理这样的帧。数值0x0806是以以太网帧头部的类型字段值,他表示分用的目标是ARP模块。该以太网帧的长度为42字节(实际上是46字节,tcpdump未统计以太网帧尾部4字节的CRC字段),其中数据部分长度为28字节。Request 表示这是一个ARP请求,who-has 192.168.30.109 tell 192.168.30.108 表示A主机要查询B主机的IP地址。
00:0c:29:41:42:eb > 00:0c:29:36:12:a5, ethertype ARP (0x0806), length 60: Reply 192.168.30.109 is-at 00:0c:29:41:42:eb, length 46
上述数据包:ARP通信的源端的物理地址是00:0c:29:41:42:eb(主机B),目的端的物理地址是 00:0c:29:36:12:a5(主机A),Reply 表示这是一个ARP应答,192.168.30.109 is-at 00:0c:29:41:42表示目标主机B报告其物理地址。该以太网帧长度为60字节(实际上64字节),可见他使用了填充字节来满足最小帧长度。
使用tcpdump观察DNS通信过程
linux使用 /etc/resolv.conf 文件存放DNS服务器的IP地址
season@ubuntu:~$ cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 223.5.5.5
#host 命令使用
season@ubuntu:~$ host -t A www.baidu.com
www.baidu.com is an alias for www.a.shifen.com.
www.a.shifen.com has address 180.97.33.107
www.a.shifen.com has address 180.97.33.108
season@ubuntu:~$ sudo tcpdump -i ens33 -nt -s 500 port domain
#使用port domain 过滤数据包,只抓使用domain服务的数据包
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens33, link-type EN10MB (Ethernet), capture size 500 bytes
另开终端
season@ubuntu:~$ host -t A www.baidu.com
www.baidu.com is an alias for www.a.shifen.com.
www.a.shifen.com has address 180.97.33.108
www.a.shifen.com has address 180.97.33.107
IP 192.168.30.108.59259 > 223.5.5.5.53: 34842+ A? www.baidu.com. (31)
IP 223.5.5.5.53 > 192.168.30.108.59259: 34842 3/0/0 CNAME www.a.shifen.com., A 180.97.33.108, A 180.97.33.107 (90)
第一个数据包:数值34842是DNS查询报文的标识值,因此该值也出现在DNS应答报文中。+ 表示启用递归查询标志,A? 表示使用A 类型的查询方式。www.baidu.com 则是DNS查询问题中查询名。括号中的数值31是DNS查询报文的长度(字节)
第二个数据包:3/0/0 表示该报文中包含3个应答资源记录、0个授权资源记录、0个额外信息记录。CNAME www.a.shifen.com., A 180.97.33.108, A 180.97.33.107 表示3个应答资源记录的内容。其中CNAME表示紧随其后的记录是机器的别名,A表示紧随其后的记录是IP地址。该应答报文长度为90