计算机网络基础之运输层

运输层

概述

• 运输层向它上面的应用层提高通信服务
• 当网络的边缘部分中的两个主机使用网络的核型部分的功能进行端到端的通信时，只有主机的协议栈才有运输层，而网络和兴部分中的路由器在转发分组时都只用到下三层的功能。

• 网络层是为主机之间提供逻辑通信，而运输层为应用进程之间提供端到端的逻辑通信。运输层有复用和分用的功能。
-

应用层所有的应用进程都可以通过运输层再传送到IP层（网络层），这就是复用。运输层从IP层收到数据后必须交付指明的应用进程，就是分用。

• 通过协议端口号将报文交付给特定的进程，这就是说，虽然通信的终点是应用进程 ，但我们只要把要传送的报文交到目的主机的某一个合适的目的端口，剩下的工作（即最后交付目的进程）就有TCP来完成。

UDP和TCP的首部格式中都有源端口和目的端口。

服务器端常用的端口号

应用进程 FTP TELNET SMTP DNS TFTP HTTP SNMP SNMP（trap） 熟知端口号 21 23 25 53 69 80 161 162

运输层协议

TCP对应的协议：

• FTP：定义了文件传输协议，使用21端口。
• Telnet：远程登录协议，一种用于远程登陆的端口，使用23端口，用户可以以自己的身份远程连接到计算机上，可提供基于DOS模式下的通信服务。
• SMTP：邮件传送协议，用于发送邮件。服务器开放的是25号端口。
• POP3：它是和SMTP对应，POP3用于接收邮件。POP3协议所用的是110端口。
• HTTP：是从Web服务器传输超文本到本地浏览器的传送协议。

UDP对应的协议：

• DNS：用于域名解析服务，将域名地址转换为IP地址。DNS用的是53号端口。
• SNMP：简单网络管理协议，使用161号端口，是用来管理网络设备的。由于网络设备很多，无连接的服务就体现出其优势。
• TFTP(Trival File Tran敏感词er Protocal)，简单文件传输协议，该协议在熟知端口69上使用UDP服务。
• NFS、BOOTP
  

UDP概述

用户数据报协议UDP只在IP的数据报服务之上增加了很少一点的功能，这就是复用和分用以及差错检测的功能。

1. UDP主要特点：

1. UDP是无连接的，因此减少了开销和发送数据之前的时延
2. UDP使用尽最大努力交付，不保证可靠交付，因此主机不需要维持复杂的链接状态表
3. UDPshi面向报文的。即一次交付一个完整的报文。因此，应用程序必须选择合适大小的报文。若报文太长，UDP把它交付给IP层后，IP层在传送时可能要进行分片，这会降低IP层的效率。反之，若报文太短，UDP把它交给IP层后，会使IP数据报的首部的相对长度太大，这也降低了IP层的效率。
4. UDP没有拥塞控制。因此网络出现的拥塞不会使源主机的发送速率降低。
5. UDP支持一对一，一对多，多对一和多对多的交互通信。
6. UDP的首部开销小，只有8个字节，比TCP的20个字节的首部短。

2. UDP首部格式

3. 端口分用

当运输层从IP层收到UDP数据报时，就根据首部中的目的端口，把UDP数据报通过相应的端口，上交最后的终点-应用进程。

如果接收方UDP发现收到的报文中的目的端口号不正确（即不存在对应于该端口号的应用进程），就丢弃该报文，并由网际控制报文协议ICMP发送“端口不可达”差错报文给发送放。

4. 计算检验和

在计算检验和时，要在UDP用户数据报之前增加12个字节的伪首部。所谓“伪首部”只是在计算检验和时，临时添加在UDP用户数据报前面，得到一个临时的UDP用户数据报。检验和就是根据这个临时的UDP用户数据报来计算的。伪首部既不向下传送也不向上递交，而仅仅是为了计算检验和。

IP数据报的检验和只检验IP数据报的首部，但UDP的检验和时把首部和数据部分一起检验。

具体的计算过程还是看书吧

TCP

TCP概述

• TCP提供一种面向连接的、可靠的字节流服务 。
• TCP提供可靠交付，无差错，不丢失，不重复，且按序到达。
• 提供全双工通信，TCP连接的两端都设有发送缓存和接收缓存，用来临时存放双向通信的数据。
• 在一个TCP连接中，仅有两方一对一进行彼此通信。广播和多播不能用于TCP
• TCP使用校验和，确认和重传机制来保证可靠传输
• TCP使用累积确认
• TCP使用滑动窗口机制来实现流量控制，通过动态改变窗口的大小进行拥塞控制

三次握手与四次挥手

三次握手

所谓三次握手(Three-way Handshake)，是指建立一个 TCP 连接时，需要客户端和服务器总共发送3个包。

三次握手的目的是连接服务器指定端口，建立 TCP 连接，并同步连接双方的序列号和确认号，交换 TCP 窗口大小信息。在 socket 编程中，客户端执行 connect() 时。将触发三次握手。

• 第一次握手(SYN=1, seq=x):

  客户端发送一个 TCP 的 SYN 标志位置1的包，指明客户端打算连接的服务器的端口，以及初始序号 X,保存在包头的序列号(Sequence Number)字段里。

  发送完毕后，客户端进入 SYN_SEND 状态。

• 第二次握手(SYN=1, ACK=1, seq=y, ACKnum=x+1):

  服务器发回确认包(ACK)应答。即 SYN 标志位和 ACK 标志位均为1。服务器端选择自己 ISN 序列号，放到 Seq 域里，同时将确认序号(Acknowledgement Number)设置为客户的 ISN 加1，即X+1。
  发送完毕后，服务器端进入 SYN_RCVD 状态。

• 第三次握手(ACK=1，ACKnum=y+1)

  客户端再次发送确认包(ACK)，SYN 标志位为0，ACK 标志位为1，并且把服务器发来 ACK 的序号字段+1，放在确定字段中发送给对方，并且在数据段放写ISN的+1

  发送完毕后，客户端进入 ESTABLISHED 状态，当服务器端接收到这个包时，也进入 ESTABLISHED 状态，TCP 握手结束。

三次握手的过程的示意图如下：

四次挥手

TCP的连接的拆除需要发送四个包，因此称为四次挥手(Four-way handshake)，也叫做改进的三次握手。客户端或服务器均可主动发起挥手动作，在 socket 编程中，任何一方执行 close() 操作即可产生挥手操作。

• 第一次挥手(FIN=1，seq=x)

假设客户端想要关闭连接，客户端发送一个 FIN 标志位置为1的包，表示自己已经没有数据可以发送了，但是仍然可以接受数据。

发送完毕后，客户端进入 FIN_WAIT_1 状态。

• 第二次挥手(ACK=1，ACKnum=x+1)

服务器端确认客户端的 FIN 包，发送一个确认包，表明自己接受到了客户端关闭连接的请求，但还没有准备好关闭连接。

发送完毕后，服务器端进入 CLOSE_WAIT 状态，客户端接收到这个确认包之后，进入 FIN_WAIT_2 状态，等待服务器端关闭连接。

• 第三次挥手(FIN=1，seq=y)

服务器端准备好关闭连接时，向客户端发送结束连接请求，FIN 置为1。

发送完毕后，服务器端进入 LAST_ACK 状态，等待来自客户端的最后一个ACK。

• 第四次挥手(ACK=1，ACKnum=y+1)

客户端接收到来自服务器端的关闭请求，发送一个确认包，并进入 TIME_WAIT状态，等待可能出现的要求重传的 ACK 包。

服务器端接收到这个确认包之后，关闭连接，进入 CLOSED 状态。

客户端等待了某个固定时间（两个最大段生命周期，2MSL，2 Maximum Segment Lifetime）之后，没有收到服务器端的 ACK ，认为服务器端已经正常关闭连接，于是自己也关闭连接，进入 CLOSED 状态。

四次挥手的示意图如下：

SYN攻击

• 什么是 SYN 攻击（SYN Flood）？

在三次握手过程中，服务器发送 SYN-ACK 之后，收到客户端的 ACK 之前的 TCP 连接称为半连接(half-open connect)。此时服务器处于 SYN_RCVD 状态。当收到 ACK 后，服务器才能转入 ESTABLISHED 状态.

SYN 攻击指的是，攻击客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送SYN包，服务器回复确认包，并等待客户的确认。由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，导致目标系统运行缓慢，严重者会引起网络堵塞甚至系统瘫痪。

SYN 攻击是一种典型的 DoS/DDoS 攻击。

• 如何检测 SYN 攻击？

检测 SYN 攻击非常的方便，当你在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本上可以断定这是一次SYN攻击。在 Linux/Unix 上可以使用系统自带的 netstats 命令来检测 SYN 攻击。

• 如何防御 SYN 攻击？

SYN攻击不能完全被阻止，除非将TCP协议重新设计。我们所做的是尽可能的减轻SYN攻击的危害，常见的防御 SYN 攻击的方法有如下几种：

1. 缩短超时（SYN Timeout）时间
2. 增加最大半连接数
3. 过滤网关防护
4. SYN cookies技术

TCP报文段首部格式

TCP虽然是面向字节流的，但是TCP传送的数据单元是报文段。
TCP报文段首部的前20个字节是固定的。后面4n(n是整数)字节是根据需要而增加的选项。因此TCP首部的最小长度是20字节。

1.源端口和目的端口：各占2个字节，通过端口实现分用功能。

2.序号：占4个字节。TCP是面向字节流的。在一个TCP连接中传送的字节流中的每一个字节都按顺序编号。

3.确认号： 占4个字节，是期望收到对方下一个报文的第一个数据字节的序号。若确认号=N，则表明，到序号N-1为止的所有数据都已正确收到。

4.数据偏移：占4位，它指出TCP报文段的数据起始处距离TCP报文段的起始处有多远。这个字段实际上是指出TCP报文段的首部长度。由于首部中还有长度不确定的选项字段，因此数据偏移字段是必要的。4位二进制数能表示的最大数是15，因此数据偏移最大值是60字节，这也是TCP首部的最大长度（即选项长度不能超过40字节）

5.保留： 占6位，保留为今后使用，但目前应置为0；

以下6个控制位说明本报文段的性质

6. 紧急URG： 当URG=1时，，表明紧急指针字段有效。它告诉系统此报文段中有紧急数据，应尽快传送，而不要按原来的排队顺序来传送。

7.确认ACK： 仅当ACK=1时确认号字段才有效。当ACK=0时，确认号无效。TCP规定，在连接建立后所有传送的报文段都必须把ACK置1。

8.推送PSH：当两个应用进程进行交互式的通信时，有时在一端的应用进程希望在键入一个命令后立即就能够收到对方的响应。在这种情况下，TCP就可以使用推送操作。这时，发送方TCP把PSH置为1，并立即创建一个报文段发送出去。接收方TCP收到PSH=1的报文段，就尽快地交付接收应用进程，而不再等到整个缓存都填满了后再向上交付。

9.复位RST：当RST=1时，表明TCP连接中出现严重差错，必须释放连接，然后再重新建立运输连接。RST置1还用来拒绝一个非法的报文段或拒绝打开一个连接。

10. 同步SYN：在连接建立时用来同步序号。当SYN=1而ACK=0时，表明这是一个连接请求报文段。对方若同意建立连接，则应在响应的报文段中使用SYN=1和ACK=1.因此SYN置为1表示这是一个连接请求或连接接受报文。

11.终止FIN：用来释放一个连接。当FIN=1时，说明此报文段的发送方的数据已发送完毕，并要求释放运输连接。

12. 窗口： 占2个字节。窗口指的是发送本报文段的一方的接收窗口（而不是自己的发送窗口）。窗口告诉对方：从本报文段首部中的确认号算起，接收方目前允许对方发送的数据量。之所以要有这个限制，是因为接收方的数据缓存空间是有限的。总之，窗口字段明确指出了现在允许对方发送的数据量。窗口值是经常在动态变化着。

13.检验和： 占2个字节。检验和字段检验的范围包括首部和数据这两部分。和UDP用户数据报一样，在计算检验和时，要在TCP报文段的前面加上12字节的伪首部。

14.紧急指针：占2个字节。紧急指针仅在URG=1时才有意义，它指出本报文段中的紧急数据的字节数（紧急数据结束后就是普通数据）。因此，紧急指针指出了紧急数据的末尾在报文段中的位置。注意，即使窗口为零时也可发送紧急数据。
15.选项：长度可变，最长可达40字节。

TCP的流量控制

TCP的拥塞控制