tcpip学习笔记.doc

7层网络协议PhysicalData linkEthernet、X.25、SLIP、PPPNetworkIP, ARP, RARPTransportTCP/UDPSession/User LayersPresentationApplication/HTTP、Telnet、FTP、SMTP、SNMP以太网(IEEE8023)CSMA/CD(Carrier Sense Multiple Access/Collision Detect) （1）传输前侦听（2）如果忙则等待（3）传输并检测冲突（4）如果冲突发生，重传前等待1.前七个字节的功能是使接收端的时脉（CLOCK）能与封包的时脉同步后一个字节代表Preamble与封包内容的分界2. Destination Address(目的地址)3. Source Address(目的地址)4. Type(协议种类) 占2个字节，以代码指定上层（网络层）所采用的协议。0x0800代表IP、0x8137代表IPX、0x0600代表XNS, 0x0806代表ARP, 0x8035代表RARP, 0x86DD-IPv6协议、0x880B-PPP协议5. Data(数据), 也就是Payload,长度为46字节到1500字节。6、FCS（FRAMECHECKSEQUENCE，封包检查结果占4个字节，记录着由硬件（网卡）自动产生的CRC值。将来接收端收到封包时，也会产生一个CRC值，并比对两个CRC值，是否相符，以判断封包是否完整无损。PPP协议三个阶段：阶段1：创建PPP链路, 创建阶段LCP负责创建链路。在这个阶段，将对基本的通讯方式进行选择。链路两端设备通过LCP向对方发送配置信息报文（Configure Packets）。一旦一个配置成功信息包（Configure-Ack packet）被发送且被接收，就完成了交换，进入了LCP开启状态。应当注意，在链路创建阶段，只是对验证协议进行选择，用户验证将在第2阶段实现。阶段2：用户验证, 认证阶段在这个阶段，客户端会将自己的身份发送给远端的接入服务器。该阶段使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。在认证完成之前，禁止从认证阶段前进到网络层协议阶段。如果认证失败，认证者应该跃迁到链路终止阶段。在这一阶段里，只有链路控制协议、认证协议，和链路质量监视协议的packets是被允许的。在该阶段里接收到的其他的packets必须被静静的丢弃。最常用的认证协议有口令验证协议（PAP）和挑战握手验证协议（CHAP).阶段3：调用网络层协议, 网络协商阶段认证阶段完成之后，PPP将调用在链路创建阶段（阶段1）选定的各种网络控制协议（NCP）。选定的NCP解决 PPP链路之上的高层协议问题，例如，在该阶段IP控制协议（IPCP）可以向拨入用户分配动态地址。PPP与其他的协议共同派生出了符合宽带接入要求的新的协议，如PPPoE（PPP over Ethernet），PPPoA（PPP over ATM）。封包的格式IP协议Protocol (8): ICMP(1), IGMP(2), TCP(6), UDP(17)ARP协议RAPR 協定問的 IP 位址不是別人而是自己的 IP 位址而已HARDWARE TYPE :這是指網路界面卡的種類如果該值為 1則表示為乙太網 ( Ethernet )。 PROTOCOL TYPE :這是指高階網路協定位址種類如果該值為 0x0800則表示為 IP 位址格式。 HLEN :這是指硬體位址長度(單位為 byte)乙太網的位址長度為 6 。 PLEN :這是指網路協定位址的長度(單位為 byte)IP 協定位址長度為 4。 OPERATION :這是指封包類別一共有四種 1. ARP Request 2. ARP Reply 3. RARP Request 4. RARP Reply SENDER HA :這是指發送端的實體位址如果是乙太網的話將會是一個 6 byte 長度的乙太網位址。 SENDER IP :這是指發送端的 IP 位址會是一個 4 byte 長度的 IP 位址。 TARGET HA :這是指目的端的實體位址如果是乙太網的話將會是一個 6 byte 長度的乙太網位址。 TARGET IP :這是指目的端的 IP 位址會是一個 4 byte 長度的 IP 位址。 ICMP協議RIP (Routing Information Protocol)命令字段为1表示请求，2表示应答版本字段通常为1，而第2版R I P（1 0 . 5节）将此字段设置为2。TCP协议客户I P地址、客户端口号、服务器 I P地址和端口号的四元组可唯一确定互联网络中每个T C P连接的双方序号用来标识从T C P发端向T C P收端发送的数据字节流，它表示在这个报文段中的的第一数据字节。如果将字节流看作在两个应用程序间的单向流动，则 T C P用序号对每个字节进计数。序号是32 bit的无符号数，序号到达2321后又从0开始。当建立一个新的连接时，S Y N标志变1。序号字段包含由这个主机选择的该连接的初始序号I S N（Initial Sequence Number） 。该主机要发送数据的第一个字节序号为这个 I S N加1，因为S Y N标志消耗了一个序号（将在下章详细介绍如何建立和终止连接，届时我们将看到 F I N标志也要占用一个序号）.既然每个传输的字节都被计数，确认序号包含发送确认的一端所期望收到的下一个序号。因此，确认序号应当是上次已成功收到数据字节序号加 1。只有A C K标志（下面介绍）为1时确认序号字段才有效.发送A C K无需任何代价，因为32 bit的确认序号字段和A C K标志一样，总是T C P首部的一部分。因此，我们看到一旦一个连接建立起来，这个字段总是被设置， A C K标志也总是被设置为1.T C P为应用层提供全双工服务。这意味数据能在两个方向上独立地进行传输。因此，连接的每一端必须保持每个方向上的传输数据序号。T C P可以表述为一个没有选择确认或否认的滑动窗口协议（滑动窗口协议用于数据传输将在2 0 . 3节介绍） 。我们说T C P缺少选择确认是因为T C P首部中的确认序号表示发方已成功收到字节，但还不包含确认序号所指的字节。当前还无法对数据流中选定的部分进行确认。例如，如果11 0 2 4字节已经成功收到，下一报文段中包含序号从 2 0 4 93 0 7 2的字节，收端并不能确认这个新的报文段。它所能做的就是发回一个确认序号为 1 0 2 5的A C K。它也无法对一个报文段进行否认。例如，如果收到包含 1 0 2 52 0 4 8字节的报文段，但它的检验和错， T C P接收端所能做的就是发回一个确认序号为 1 0 2 5的A C K。在2 1 . 7节我们将看到重复的确认如何帮助确定分组已经丢失。字段1 4 1 5 5 3 1 5 2 1 : 1 4 1 5 5 3 1 5 2 1 ( 0 )表示分组的序号是1 4 1 5 5 3 1 5 2 1，而报文段中数据字节数为0。t c p d u m p显示这个字段的格式是开始的序号、一个冒号、隐含的结尾序号及圆括号内的数据字节数UDP协议Udp destination port:547, dhcpv6-serversource port:546, dhcpv6-clientDHCPDHCP discovery:MACdst:FF:FF:FF:FF:FF:FF:FF:FFIPsrc:, dst:55UDPsrc port: 68, bootpcDes port: 67 bootpsOffer:MAC:des:FF:FF:FF:FF:FF:FF:FF:FFIPdst:55UDPsrc: 67, bootpsDes: 68, bootpcRequest:同discovery.ACK:同offer1.DHCPDiscover, Client 剛啟動時, 並沒有 IP , 所以會試著用電腦名稱(Name)去問 DHCP2.DHCPOFFER, 伺服器(DHCP)接收到DHCPDISCOVER回應給Client3.DHCPREQUEST, 訊息是從Client那裡發出來向伺服器(DHCP)檢查X.X.X.X這組IP能不能使用4.DHCPACK, 訊息則是從伺服器(DHCP)發出,所接收的DHCPREQUEST訊息中X.X.X.X這組IP可以使用5.DHCPNACK訊息則跟第4情況相反,X.X.X.X這組IP不可以使用據我所知, DHCP Inform 是要求一些額外的資訊, 例如 IE 有自動取得 proxy, 就是透過 DHCP Inform 取得.我抓了包看到DHCP option252, 就是Private/Proxy autodiscovery以下為各欄位的簡要說明：OP :若是 client 送給 server 的封包，設為 1 ，反向為 2 。 HTYPE :硬體類別，Ethernet 為 1 。 HLEN :硬體位址長度， Ethernet 為 6 。 HOPS若封包需經過 router 傳送，每站加 1 ，若在同一網內，為 0 。 TRANSACTION ID:DHCPREQUEST 時產生的數值，以作 DHCPREPLY 時的依據。 SECONDS:Client 端啟動時間(秒)。 FLAGS :從 0 到 15 共 16 bits ，最左一 bit 為 1 時表示 server 將以廣播方式傳送封包給 client ，其餘尚未使用。 ciaddr :要是 client 端想繼續使用之前取得之 IP 位址，則列於這裡。 yiaddr :從 server 送回 client 之 DHCPOFFER 與 DHCPACK 封包中，此欄填寫分配給 client 的 IP 位址。 siaddr :若 client 需要透過網路開機，從 server 送出之 DHCPOFFER、DHCPACK、DHCPNACK 封包中，此欄填寫開機程式碼所在 server 之位址。 giaddr :若需跨網域進行 DHCP 發放，此欄為 relay agent 的位址，否則為 0 。 chaddr :Client 之硬體位址。 sname :Server 之名稱字串，以 0x00 結尾。 file :若 client 需要透過網路開機，此欄將指出開機程式名稱，稍後以 TFTP 傳送。 options :允許廠商定議選項(Vendor-Specific Area)，以提供更多的設定資訊(如：Netmask、Gateway、DNS、等等)。其長度可變，同時可攜帶多個選項，每一選項之第一個 byte 為資訊代碼，其後一個 byte 為該項資料長度，最後為項目內容。 DNS:在tcp/udp上, destination port:53, DNS下面讓我們看看 DNS 是怎樣運作的 1. 客戶端向伺服器提出查詢項目 2. 當被詢問到有關本域名之內的主機名稱的時候DNS 伺服器會直接做出回答 3. 如果所查詢的主機名稱屬於其它域名的話會檢查快取記憶體(Cache)看看有沒有 相關資料 5. 如果沒有發現則會轉向 root 伺服器查詢 6. 然後 root 伺