TCP/IP结构

四层:自底而上分别是
1.数据链路层

• 网卡接口驱动程序,处理数据在物理上的传输
• 协议:
  a.ARP(地址解析协议)
  实现了IP地址和物理地址之间的互相转换。网络层使用IP地址寻址，数据链路层使用物理地址寻址，所以网络层必须先将目标机器IP地址转换为物理地址,才能使用数据链路层提供的服务。
  b.RARP(逆地址解析协议)

2.网络层

• 实现数据包的选路和转发，确定两台主机之间的通信路径。使得在传输层和网络应用程序看来通信双方是直接相连的。

• 协议：
  a.IP（因特网协议）
  根据数据包的目的IP地址决定如何投递它。如果数据包不能直接发送给目标主机，IP协议就为他寻找合适的下一跳路由器，将数据包交给路由器转发（多次重复最终到达目标主机，失败则丢弃）。
  b.ICMP（因特网控制报文协议）
  ip协议的重要补充，检测网络连接。
  报文格式：8位类型、8位代码、16位校验和

  
  
  ICMP报文格式
  
  

  类型字段用于区分报文类型。差错报文：主要用来回应网络错误，比如目标不可到达（3）、重定向（5）；查询报文：查询网络信息，如ping程序查看目标是否可到达（8）。
  代码字段：进一步对类型字段细分，比如0表示网络重定向，1表示对主机重定向。
  校验和：对整个报文进行循环冗余校验，检验报文在传输过程中是否损坏。

3.传输层

• 为两台主机上的应用程序提成端到端的通信。与网络层的逐跳方式不同，传输层只关心通信的起始端和目的端，不在乎数据包的中转过程。负责数据的收发、链路的超时重连等。
• 协议：
  a.TCP（传输控制协议）
  为应用层提供可靠的、面向连接的和基于流的服务。TCP使用超时重传、数据确认等方式确保数据包被正确的发送到目的端。使用TCP双方必须要建立TCP连接，并在内核中为该连接维持一些必要的数据结构，如连接状态、读写缓冲区，诸多定时器。结束时双方必须关闭连接释放这些内核数据。TCP基于流，基于流的数据没有长度限制。他源源不断地从通信的一端流入另一端，发送端可以逐个字节的向数据流中写入数据，接收端也可以逐个字节地将他们读出。
  b.UDP（用户数据报协议）
  为应用层提供不可靠，无连接和基于数据报的服务器。UDP无法保证数据从发送端正确的传送到目的端。如果数据中途丢失，或者目的端通过数据校验发现数据错误而将其丢弃，UDP协议只是简单的通知应用程序发送失败。要自己处理数据确认、超时重传等逻辑。通信双方不保持长久联系。基于数据报的服务是相对基于流的服务而言的，每个UDP数据报都有一个长度，接收端必须以该长度为最小单位讲其所有内容一次性读出，否则数据将被截断。
  c.SCTP（流控制传输协议）
  是一种相对较新的传输层协议。为了在因特网上传输电话信号而设计的。

4.应用层

• 负责处理应用程序的逻辑
  ping是应用程序，而不是协议。他利用ICMP报文检测网络连接，是调试网络环境的必备工具。
  a.telnet协议（远程登录协议）
  他使我们能在本地完成远程任务。
  b.OSPF协议（开放最短路径优先）
  是一种动态理由更新协议，用于路由器之间的通信。已告知对方各自的路由信息。
  c.DNS协议（域名服务）
  提供机器域名到IP地址的转换。

ARP协议工作原理

• ARP协议能实现任意网络层地址到任意物理层地址的转换。其工作原理：
  主机向自己所在的网络广播一个ARP请求，该请求包含目标机器的网络地址。此网络上的其他机器都将收到这个请求。但只有被请求的目标机器会回应一个ARP应答。其中包含自己的物理地址。

  
  
  以太网ARP请求/应答报文

使用tcpdump观察ARP通信过程

A主机：
IP:192.168.30.108
MAC:00:0c:29:36:12:a5

B主机:
192.168.30.109
MAC:00:0c:29:41:42:eb

主机A：

#查看ARP高速缓存
season@ubuntu:~$ arp -a
? (192.168.30.2) 位于 00:50:56:f8:bd:7a [ether] 在 ens33
? (192.168.30.109) 位于 00:0c:29:41:42:eb [ether] PERM 在 ens33

#清楚ARP缓存中B主机对应项
season@ubuntu:~$ sudo arp -d 192.168.30.109

#使用tcpdump抓包
sudo tcpdump -i ens33 -ent '(dst 192.168.30.109 and src 192.168.30.108)or (dst 192.168.30.108 and src 192.168.30.109)'  

主机A打开新终端：

season@ubuntu:~$ sudo telnet 192.168.30.109 echo
Trying 192.168.30.109...
Connected to 192.168.30.109.
Escape character is '^]'.
^]      #输入Ctrl + ] 并回车
telnet> quit
Connection closed.

PS:如果B主机echo服务没开启，则需要手动开启。

1.安装openbsd-inetd
sudo apt-get install openbsd-inetd
2.配置，打开文件/etc/inetd.conf，去年注释可以打开相应服务，也可以添加不存在的服务
复制上面一行time 改为 echo
3.启动服务，并查看是否打开了echo服务
sudo /etc/init.d/openbsd-inetd start
4.查看是否成功
netstat -l |grep echo

抓取的数据包：

00:0c:29:36:12:a5 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Request who-has 192.168.30.109 tell 192.168.30.108, length 28

上述数据包：ARP通信的源端物理地址是00:0c:29:36:12:a5（主机A），目的端的物理地址是 ff:ff:ff:ff:ff:ff，这是以太网的广播地址，表示整个LAN，该LAN上的所有机器都会收到并处理这样的帧。数值0x0806是以以太网帧头部的类型字段值，他表示分用的目标是ARP模块。该以太网帧的长度为42字节（实际上是46字节，tcpdump未统计以太网帧尾部4字节的CRC字段），其中数据部分长度为28字节。Request 表示这是一个ARP请求，who-has 192.168.30.109 tell 192.168.30.108 表示A主机要查询B主机的IP地址。

00:0c:29:41:42:eb > 00:0c:29:36:12:a5, ethertype ARP (0x0806), length 60: Reply 192.168.30.109 is-at 00:0c:29:41:42:eb, length 46

上述数据包：ARP通信的源端的物理地址是00:0c:29:41:42:eb（主机B），目的端的物理地址是 00:0c:29:36:12:a5（主机A），Reply 表示这是一个ARP应答，192.168.30.109 is-at 00:0c:29:41:42表示目标主机B报告其物理地址。该以太网帧长度为60字节（实际上64字节），可见他使用了填充字节来满足最小帧长度。

使用tcpdump观察DNS通信过程

linux使用 /etc/resolv.conf 文件存放DNS服务器的IP地址

season@ubuntu:~$ cat /etc/resolv.conf 
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 223.5.5.5

#host 命令使用
season@ubuntu:~$ host -t A www.baidu.com
www.baidu.com is an alias for www.a.shifen.com.
www.a.shifen.com has address 180.97.33.107
www.a.shifen.com has address 180.97.33.108

season@ubuntu:~$ sudo tcpdump -i ens33 -nt -s 500 port domain  
#使用port domain  过滤数据包，只抓使用domain服务的数据包

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens33, link-type EN10MB (Ethernet), capture size 500 bytes

另开终端

season@ubuntu:~$ host -t A www.baidu.com
www.baidu.com is an alias for www.a.shifen.com.
www.a.shifen.com has address 180.97.33.108
www.a.shifen.com has address 180.97.33.107

IP 192.168.30.108.59259 > 223.5.5.5.53: 34842+ A? www.baidu.com. (31)
IP 223.5.5.5.53 > 192.168.30.108.59259: 34842 3/0/0 CNAME www.a.shifen.com., A 180.97.33.108, A 180.97.33.107 (90)

第一个数据包：数值34842是DNS查询报文的标识值，因此该值也出现在DNS应答报文中。+ 表示启用递归查询标志，A? 表示使用A 类型的查询方式。www.baidu.com 则是DNS查询问题中查询名。括号中的数值31是DNS查询报文的长度（字节）
第二个数据包：3/0/0 表示该报文中包含3个应答资源记录、0个授权资源记录、0个额外信息记录。CNAME www.a.shifen.com., A 180.97.33.108, A 180.97.33.107 表示3个应答资源记录的内容。其中CNAME表示紧随其后的记录是机器的别名，A表示紧随其后的记录是IP地址。该应答报文长度为90