链路层
帧组成(按顺序):
目标MAC:6B
源MAC:6B
类型:2B
数据:46B-1500B
CRC:4B
其中,源MAC为主机网卡地址,类型为来源网络层的数据类型,ipv4为0800,arp为0806,pppoe为8864,1qtag为8100,ipv6为86dd
python可以通过uuid模块获取到本机mac地址
网络层
数据报结构
首部:20-60B,其中前20B必选项,后40B可选项
数据:0-65516B
首部结构
版本:4位,表示ipv4还是ipv6
ihl:4位,表示首部长度,单位位4B,所以最大为4x15=60B,刚好是首部最大长度
ds:区分服务,8位,前三位表示优先级,接下来四位表示最小时延,最大吞吐量,最高可靠性和最小代价,最后一位未使用
总长度:16位,表示首部和数据总长度,单位为B。注意到链路层数据长度为46-1500,当网络层数据报不够46B时会填补数据,超过1500时会切片
标识:16位,表示分片数据的唯一id
标志:3位,最高位为预留位,第二位表示是否可分片,0表示可分片,1表示不可分片,最后一位表示此数据报是否为分片,0表示非分片,且是最后一个分片,1表示分片,且后面还有分片
分片位移:13位,8B
生存时间,8位,最大255,表示路由最大跳数
协议:8位,表ip数据报类型,如ICMP,IGMP,TCP,UDP等
首部校验和:16位
源ip地址和目标ip地址,各32位
python获取网络信息可通过psutil和netifaces两个模块去获取,其中netifaces版本废弃了,可以安装netifacce2
传输层
udp
不保证数据可达
报头8B:源端口2B,目标端口2B,长度2B,校验和2B
数据0-65527B
TCP
创建连接3次握手,关闭连接4次握手
数据报结构
首部20-60B
数据0-65535B
首部结构
源端口16位
目标端口16位
序号:32位:每个字节的数据都有序号,到pow(2,32)后从0开始
确认号:32位,接收方发给发送方,希望收到下一个数据报文第一个字节的序号,比如发送方发了0-999字节,接收方发的确认号就是1000
数据偏移:4位,单位位4B,类似ipv4报头的ihl
保留:6位,一般为0
URG:1位,1表示紧急数据,紧急指针有效
ACK:1位,为1表示确认号字段有效
PSH:1位,1表示报文被创建并立即发出去,接收端收到后会立即交给进程,而不是放缓存中等缓存满了才递交
RST:1位,为1表示当前连接出现严重问题,徐奥释放连接并重新创建连接,RST为1还可用于拒绝接受非法报文或拒绝打开非法连接
SYN:1位,为1表示报文为连接请求或连接接受报文
FIN:1位,为1表示数据发送完毕并要求释放连接
窗口:16位,由接收方发给发送方,表示期望接受下个报文的长度
校验和:16位
紧急指针:16位,URG为1时指出紧急数据结束位置
python获取网络信息
psutil可以获取网络一些统计信息,net_io_counters方法默认收集整机的网络统计信息,入参pernic=True会单独收集每个网卡的统计信息
应用层
http
http默认是无状态通信,可以通过cookie进行有状态的服务
http端口一般为80
报文结构
请求报文:方法,url,版本,其他首部字段,报文实体(可选)
应答报文:版本,状态码,短语,其他首部字段,报文实体(可选)
方法:有8种,get,post,head,put,delete,option,connect,trace
版本:http版本号
其他首部字段:比如Cache-Control, Accept-Encoding等
报文实体:长度不限,可以为0
状态码:即404这种,三位数。1xx表示服务器收到了请求,2xx表示服务器接受客户端请求,3xx表示服务器对客户端请求重定向,4xx表示客户端请求有误,5xx表示服务端有问题
短语:对状态码的注释,比如202返回码对应的短语是Accept,404对应的短语是Not Fount
https
http没有安全保证,可以被抓包,https使用ssl或tls对数据报文加密后tcp传输,默认端口443
一般会使用对称加密和非对称加密,对称加密一般用于报文加密,非对称加密一般用于密码加密
请求流程
客户端请求时会将自己支持的一套加密规则发给服务器
服务器根据客户端加密规则组合出一组加密和hash算法,连同自己的身份信息,以数字证书形式返回给客户端
客户端验证服务器证书合法性,通过后生成一串随机数密码,并用服务器公钥对这个随机数密码加密。客户端对要发送的消息计算hash,用随机数密码对要发送的消息和消息的hash值进行加密,最后将服务器公钥加密的随机数密码,用随机数密码加密的消息和消息是hash一起返回给服务器
服务端收到客户端数据后,用自己的私钥揭密处随机数密码,然后用随机数密码解密消息和消息hash值,对比解密出的hash值和收到消息的hash值是否一致。若一致,则客户端和服务端连接建立成功,此后,双方使用随机数密码对数据进行加解密。后续数据传输过程中,如果出错或hash不一致则连接自动终止
ftp
dns
snmp
snmp简单邮件传输协议,用于将邮件从源地址传送到目的地址,端口一般为25
是常用的邮件发送协议,发邮件后,邮件会发到snmp服务器上
pop3
收信方用来从自己服务器上接受其他用户发给自己的邮件,端口一般110
pop3是离线协议,用户登录时会一次性将pop3服务器的邮件下载到本地,同时服务器的邮件都删掉自动
imap是在线的收信协议,弥补了pop3离线的问题,是目前最常用的邮件接受协议,端口一般143
dhcp
有dhcp的客户端连接网络时,会广播dhcp disocover报文,按一定规则进行有限次次数广播后如果未收到响应则dhcp失败
服务器收到报文后会从可用地址池挑一个ip,广播形式发送dhcp offer报文把这个ip返回给客户端
客户端收到dhcp服务器分配的ip后,会发送一个arp请求看这个ip有没有被占用,如果被占用了则客户端发送dhcp decline报给dhcp服务器,如果没被占用则发送dhcp request给服务器,服务器收到后会给客户端发送一个dhcp ack响应,至此一个dhcp服务流程结束
dhcp服务端端口一般67,dhcp客户端端口一般68.dhcp使用udp通信