【网络入门】详解常用的基础网络知识（面试笔试常考内容）

不仅仅客户端和浏览器需要和远端平台侧的服务器进行网络通信平台侧部署了多台服务器比如web服务器、业务服务器、集群服务器、负载均衡服务器这些服务器之间也要进行网络通信。一旦通过网络进行通信就会不可避免地出现各种网络问题或网络故障。客户端与远端的服务器之间可能有多台服务器和网路设备比如DNS服务器、路由器、交换机、集线器等一旦客户端与服务器之间出现网络问题和数据交互问题就可能是多个原因引起的需要逐步地进行排查。

我们这里讲的网络问题主要有两大类一类是客户端与服务器无法建立连接的问题一类是建立连接后有网络延时或严重丢包问题。至于建立通信连接后客户端与服务器之间收发的数据内容不正确等问题可能和网络有关也可能是业务上存在的问题导致的。对于客户端无法和服务器建立连接可能有多种原因可能是客户端与服务器之间的网络是不通的也有可能是客户端使用了错误的地址或端口也有可能服务器侧没有开启监听端口导致的也有可能是中间的网络设备故障了或者中间网络设备启动了部分安全规则将数据包拦截了。对于网络延时和丢包问题可能是业务上的问题也有可能是网络不稳定也有可能是中间的网络设备拦截数据导致的。

对于网络不稳定的场景比如一般在家里或公司我们尽量使用网线连接路由器即使用有线网络不使用无线网络。无线网络会因为距离、信号强弱等原因会出现网络信号弱或网络不稳定所以走无线网络可能会导致延时或丢包与服务器频繁断链等问题。

对于网络设备拦截数据包的场景比如网络环境中的网络设备设置了安全规则拦截了部分或全部数据包再比如有些路由器会拦截SIP协议下的TCP包和UDP包。

要排查网络通信过程中遇到的一系列网络问题需要掌握一些基础的网络知识了解一些常用的网络命令必要时要使用wireshark进行抓包分析。接下来我们就来具体地讲解一下这些网络知识以及常用的网络命令。

2、OSI七层模型和TCP/IP四层模型

OSI七层模型和TCP/IP四层模型的构成以及它们的对应关系如下所示

OSI七层模型的全称为开放式系统互联通信参考模型Open System Interconnection Reference Model它是一种概念模型由国际标准化组织提出一个试图使各种计算机在世界范围内互连为网络的标准框架。OSI参考模型分为7层分别为应用层、表示层、会话层、传输层、网络层、数据链路层和物理层。

TCP/IP的全称为传输控制协议/网际协议Transmission Control Protocol/Internet Protocol它是一组用于实现网络互连的通信协议是构建Internet互联网的基础Internet网络体系结构是以TCP/IP为核心的。基于TCP/IP的参考模型将协议分成四个层次分别为应用层、传输层、网络层和物理链路层。也可以将物理链路层拆为两层一个是数据链路层一个是物理层这样TCPIP模型就变成了五层一般我们使用的四层模型。

我们平时使用的都是TCP/IP四层模型。从wireshark中抓到的数据包中能看到每一层的数据信息如下所示

3、数据进入TCP/IP协议栈时的封装过程

最上面的应用层的数据进入TCP/IP协议栈时的封装过程如下(以TCP数据为例与TCP/IP四层模型相对应)

经过传输层时会加上TCP头部经过网络层时会加上IP头经过数据链路层时会加上以太网头。对于数据接收端会按照相反的方向将各层的头部剥离掉最终到上层的数据就是发送端应用层的数据。

从数据发送到接收端的整个流程可以用下图来说明以QQ1给QQ2发一个“你好”的聊天内容为例

4、端口的概念

此处讲的端口是TCP或UDP通信中数字端口号属于传输层的概念是软件中的端口。端口号用16位整型数据来表示端口的范围为0-65535。要进行TCP或UDP通信时除了要有IP必须要有端口。

操作系统会有很多默认端口是留给指定的协议使用的比如21是ftp协议的默认端口80是http协议的默认端口443是https协议的默认端口。作为接收客户端连接请求的服务器可以设定自己的服务端口。

对于TCP需要先绑定目标端口调用bind再开启对目标端口的监听调用listen准备接收客户端的请求如下所示

对于UDP是无连接的只需要绑定端口不需要开启对端口的监听如下所示

如果端口已经被绑定了即端口被占用了再绑定这个端口会失败除非设置了端口复用。

对于TCP通信前需要先建立连接连接发起方向指定的IP和端口发起连接请求被连接方必须开启对该端口的监听程序中调用listen接口开启对目标端口的监听才能接收别人发来的请求。如果目标端口没有开启监听是连接不上的。对于UDP是无连接的直接收发数据也是需要端口的。

有时即使程序开启了端口可能也连接不上可能是路由器或者防火墙禁用了该端口导致发给该端口的数据包括连接请求都被拦截了此时需要在网络环境中放行该端口即不再拦截与该端口相关的数据。比如在一些安全级别比较高的客户系统中默认情况下很多端口都是被禁用的我们需要给客户提供一下软件系统中使用的端口列表包括客户端和服务器用到的所有端口需要客户在其网络环境中放行这些端口。只有放行了这些端口我们的软件系统才能正常的运行。

如何判断远端服务器的端口有没有开启监听有个简单的方法只要使用Telnet命令去测试即可比如telnet 192.168.102.176 7800。如果远端的7800端口没有开启监听就是显示连接失败。如果cmd窗口中提示找不到Telnet需要到控制面板->程序与功能->启用和关闭Windows功能中开启Telnet客户端如下图所示

5、TCP建立连接时的三次握手

TCP建立连接时的三次握手是个重要的基础概念同样也是面试时常问的一个知识点。

5.1、TCP头的构成

TCP建立连接的过程就是三次握手的过程三次握手成功完成TCP连接就建立了。在看三次握手的完整过程之前我们先来看一下TCP报文中的TCP头都由哪些部分构成。TCP头的构成如下所示

上图中有几个字段需要重点说明一下

1源端口和目标端口源端口是该包数据发送者的端口目标端口是这包数据要发送到的目的端口。

2包序号当前数据包的包序号Seq序号占4字节32bit用来标识从TCP源端向目的端已经发送了多少字节的数据发起方发送数据时对此进行标记。包序号的最大值是65535如果达到最大值则会从0开始重新计数。

3确认号Ack序号占4字节32bit只有ACK标志位为1时该确认序号字段才有效。在TCP中接收端收到发送端发来的数据后会给客户端回一个ACK确认包确认收到数据了这就是TCP的ACK机制。

当客户端给服务器发送一包数据时假设发送该包数据时设置的序号为seq1本包要发送的数据长度为len1服务器收到这包数据后会回给客户端一个ACK包表示我服务器收到你客户端发来的这包数据了此ACK包的ACK号等于收到的这包数据的序号seq1加上收到这包数据的长度len1该ACK包的ACK号表示我服务器一共收到了你客户端发来的多少字节数据了。注意这个含义只是一种理解方式因为包序号达到65535后会再从0开始计数。此外此处说到的数据长度都是不包含TCP头的数据长度。

4标志位
共6个即URG、ACK、PSH、RST、SYN、FIN等用来标记该包的类型如下

① URG紧急当 URG = 1 时表明此报文段中有紧急数据是高优先级的数据应尽快发送不用在缓存中排队。
② ACK确认仅当 ACK = 1 时确认号字段才有效当 ACK = 0 时确认号无效。TCP 规定在连接建立后所有传送的报文段都必须把 ACK 置为 1。
③ PSH推送接收方收到 PSH = 1 的报文段时就直接发送给应用进程而不用等到整个缓冲区都填满了后再向上传送。
④ RST复位当 RST = 1 时表明 TCP 连接中出现了严重错误如由于主机崩溃或其他原因必须释放连接然后再重新建立传输连接。
⑤ SYN同步SYN = 1 表示这是一个连接请求或连接接受报文。当 SYN = 1 而 ACK = 0 时表明这是一个连接请求报文段。对方若同意建立连接则应在响应的报文段中使 SYN = 1 且 ACK = 1。
⑥ FIN终止用来释放一个连接。当 FIN = 1时表明此报文段的发送发的数据已发送完毕并要求释放运输连接。

在我们使用wireshark抓包并分析数据包时可以使用这些标记位作为过滤条件过滤出对应类型的包比如使用tcp.syn==1过滤出发起三次握手的SYN包使用tcp.rst==1过滤出RST包。

5.2、三次握手的流程说明

TCP三次握手是指建立一个TCP连接时客户端和服务器一共发送3个包完成连接的建立。三次握手的目的是连接服务器指定端口建立TCP连接并同步连接双方的序列号和确认号并交换 TCP 窗口大小等信息。在socket编程中客户端执行connect接口去连接目标IP和端口触发三次握手。

从wireshark的抓包来看可以看出完整的三次握手的全过程

三次握手的示意图如下

第一次握手

客户端发送一个TCP的SYN标志位置1的包指明客户打算连接的服务器的端口并将包的序号设置1。

第二次握手:

服务器收到客户端发来的SYN包给客户端回ACK确认包包中的SYN标志位和ACK标志位设置为1并将ACK确认号设置为1。

第三次握手

客户端收到服务器的ACK包客户端给服务器发送一个ACK确认包包中的SYN标志位设置为0ACK标志位设置为1并把包中的SEQ号设置为1把ACK号设置为1。

服务器收到客户端发来的ACK包后TCP连接建立了连接就编程了established已建立状态。

如果三次握手流程没有完成则连接建立失败遇到三次握手失败的情况用wireshark抓包立马便能知道原因。比如有次我们的客户端登录后连不上某个业务服务器我们第一反应就是先去ping一下该业务服务器地址结果是能ping通则说明网络是通的。于是直接使用wireshark抓包发现当我们给业务服务器发三次握手的SYN包后服务器直接回了一个RST包

强行将三次握手终止了可能是业务服务器的端口有问题。经平台侧核实业务服务器出问题了无故退出了这样服务器的端口也就没有处于监听状态所以就连接不上了。一般三次握手时直接回RST包都是由端口问题引起的。

5.3、为什么必须使用三次握手不能用两次握手去建立连接

三次握手的好处

① 三次握手目的是确认双方的接收与发送能力是否正常同步连接双方的初始化序列号 ISN为后面的可靠性传输做准备。而两次握手只有服务端对客户端的起始序列号做了确认但客户端却没有对服务端的初始序列号做确认不能保证传输的可靠性。
② 三次握手可以防止已失效的连接请求报文段突然又传送到了服务端导致服务器错误地建立连接浪费服务端的连接资源。

如果客户端发出的第一个连接请求报文并没有丢失而是在某个网络结点长时间的滞留了以致延误到连接释放以后的某个时间才到达服务器侧。本来这是一个早已失效的报文但服务器收到此失效的连接请求报文后

① 假设不采用“三次握手”那么只要Server发出确认新的连接就建立了。但由于现在Client并没有发出建立连接的请求因此不会理睬Server的确认也不会向Server发送数据。而Server却以为新的连接已经建立并一直等待Client发来数据这样Server的很多资源就白白浪费掉了
② 而采用“三次握手”协议只要Server收不到来自Client的确认就知道Client并没有要求建立请求就不会建立连接了。

5.4、SYN包攻击简介

SYN 包攻击是指利用 TCP 需要三次握手的特性攻击者伪造 SYN 报文向服务器发起连接服务器在收到报文后用 ACK 应答但之后攻击者不再对该响应进行应答造成一个半连接。假设攻击者发送大量这样的报文那么被攻击主机就会造成大量的半连接服务器支持的总的连接数是有限的最终会导致服务器连接资源耗尽导致正常的 SYN 请求因为队列满而被丢弃使得正常用户无法访问。

这个问题我们以前遇到过在一个项目中客户的网络环境比较复杂其安全系统竟然向我们的业务服务器发SYN包攻击导致我们的业务服务器无法提供正常的连接服务。

服务器侧有一个半连接队列和一个全连接队列。半连接队列是指服务器第一次收到客户端的 SYN 之后就会处于 SYN_RCVD 状态此时双方还没有完全建立其连接服务器会把这种状态下的请求连接放在一个队列里我们把这种队列称之为半连接队列。对于全连接队列完成三次握手后建立起的连接就会放在全连接队列中。

6、TCP与UDP的区别及使用场景

这也是面试时经常问到的点需要搞清楚他们的区别。此处根据日常工作实践详细地阐述一下这个话题。

6.1、TCP与UDP的区别

1TCP是可靠传输UDP是不可靠传输

TCP是面向连接的需要建立连接后才能收发数据TCP在收发数据时有ACK机制即数据接收方收到数据后会给数据发送方回一个ACK确认包表示已经收到对方的数据如果数据发送方没收到ACK包就会触发丢包重传机制所以TCP是可靠的。从网络通信的socket套接字编程上看必须先connect去连ip和端口先建立连接才能使用send和recv收发数据对于接收连接的服务端需要先使用bind函数给socket套接字绑定端口紧接着调用listen开启端口的监听然后调用accept接收客户端的连接。

UDP不需要建立连接可以直接收发数据没有收发数据的ACK机制所以UDP通信是不可靠的。从网络通信的socket套接字编程上看客户端直接给sendto函数设置ip和端口不需要建立连接直接将数据投递过去不管数据受到与否。对于服务端只需要使用bind绑定端口然后调用recvfrom接收数据即可

2TCP传输的数据是有序的UDP数据可能是乱序的

网络层的ip协议不能保证数据的有序收发所以数据接收端ip协议层收到的网络数据都可能是乱序的无论是TCP数据还是UDP数据。之所以TCP能得到有序的数据是因为数据到达传输层时TCP协议会将乱序的包按前后顺序重组即排好顺序后再投递给应用层所以到应用层经过TCP传输的数据都是有序的。而UDP协议没有对数据包进行排序所以经UDP传输的数据到达应用层后还是乱序的需要应用层自己去排序

3其他方面的区别

此外TCP和UDP还有一些其他方面的区别

TCP首部长度是20个字节而UDP的首部长度是8个字节所以TCP数据传输的网络传输开销大一些UDP数据传输的开销小一些。
TCP有拥塞控制和流量控制而UDP没有拥塞控制和流量控制。
TCP提供全双工通信但不提供广播或多播服务UDP则提供广播和多播所以要广播或多播都使用UDP。

6.2、TCP与UDP的使用场景

TCP收发数据时有ACK机制是可靠的对要求数据准确无误地发送给对方的场景需要选择TCP比如软件中的控制信令控制信令要保证准确无误地被投递到目的地。但也正因为接收到数据后每次都要ACK所以实时性要差一些。

UDP没有数据的ACK直接发送数据实时性好对实时性要求较高且对可靠性要求不太高的场景一般都要选择UDP。比如通信中的音视频数据数据量比较大数据接收端要实时地看到视频听到声音所以需要保证实时性要有较低的延时即使有少量的丢包也是没多大问题的所以音视频数据都是通过UDP来传输的比如QQ和微信的音视频、视频会议中音视频、直播中的音视频。

上面讲述了TCP与UDP区别的关键点很多同学可以留意一下下次面试再被问到时一定要说到关键点上

6.3、使用TCP和UDP的常用协议

TCP 是可靠的能将数据准确无误的传递给对方一般处理文件传输的HTTP、HTTPS、FTP协议、用于发送和接收邮件的POP3、SMTP等邮件传输协议使用的都是TCP。对实时性要求高且对可靠性要求低的协议则使用UDP。

1TCP对应的协议

FTP文件传输协议默认使用21端口。
Telnet远程终端接入默认使用23端口用户可以以自己的身份远程连接到计算机上可提供基于DOS模式下的通信服务。
SMTP邮件传送协议用于发送邮件默认使用25端口。
POP3邮件传送协议P用于接收邮件默认使用110端口。
HTTP万维网超文本传输协议是从Web服务器传输超文本到本地浏览器的传送协议默认使用80端口。

2UDP对应的协议

DNS域名解析服务将域名地址转换为IP地址默认使用53号端口。
SNMP网络管理协议用来管理网络设备默认使用161号端口。
TFTP简单文件传输协议提供不复杂、开销不大的文件传输服务默认使用 69 端口。
NFS远程文件服务器。
RIP路由信息协议。
DHCP动态主机配置协议。
IGMP网际组管理协议。

7、TCP的心跳检测机制与丢包重传机制

TCP心跳检测和丢包重传机制是TCP的两个重要特性其中丢包重传机制也是保证可靠传输的一种机制。这两种机制都要搞清楚下面我们就来大概的讲述一下。

7.1、TCP心跳检测机制

TCP心跳检测是通过定时在链路上发心跳包去保持链路的活性keepalive这样链路中的网络设备就不会因为链路上有段时间没有数据在跑将链路强行断开了。

以上是TCP/IP协议栈的心跳机制有时我们应用层会添加一个应用层的心跳检测比如客户端可以给服务器发心跳包根据服务器的回应情况来判断服务器是否还活着客户端和服务器之间的网络是否出现问题如果心跳检测异常客户端会主动断开与服务器的连接。

大家经常使用的libwebsockets开源库支持设置心跳检测参数默认情况下是不启用心跳检测的。libwebsockets内部的心跳检测实际上使用的是TCP/IP协议栈的心跳检测将心跳检测参数设置给对应的socketlibwebsockets内部相关的接口如下所示调用WSAIoctl接口给socket套接字设置心跳参数

LWS_VISIBLE int
lws_plat_set_socket_options(struct lws_vhost *vhost, lws_sockfd_type fd)
{
	int optval = 1;
	int optlen = sizeof(optval);
	u_long optl = 1;
	DWORD dwBytesRet;
	struct tcp_keepalive alive;
	int protonbr;
#ifndef _WIN32_WCE
	struct protoent *tcp_proto;
#endif
 
	if (vhost->ka_time) {
		/* enable keepalive on this socket */
		// 先调用setsockopt打开发送心跳包设置选项
		optval = 1;
		if (setsockopt(fd, SOL_SOCKET, SO_KEEPALIVE,
					     (const char *)&optval, optlen) < 0)
			return 1;
 
		alive.onoff = TRUE;
		alive.keepalivetime = vhost->ka_time*1000;
		alive.keepaliveinterval = vhost->ka_interval*1000;
 
		if (WSAIoctl(fd, SIO_KEEPALIVE_VALS, &alive, sizeof(alive),
					      NULL, 0, &dwBytesRet, NULL, NULL))
			return 1;
	}
 
	/* Disable Nagle */
	optval = 1;
#ifndef _WIN32_WCE
	tcp_proto = getprotobyname("TCP");
	if (!tcp_proto) {
		lwsl_err("getprotobyname() failed with error %d\n", LWS_ERRNO);
		return 1;
	}
	protonbr = tcp_proto->p_proto;
#else
	protonbr = 6;
#endif
 
	setsockopt(fd, protonbr, TCP_NODELAY, (const char *)&optval, optlen);
 
	/* We are nonblocking... */
	ioctlsocket(fd, FIONBIO, &optl);
 
	return 0;
}

7.2、TCP丢包重传机制

对于TCP连接数据发送方将数据发出去后会启动一个定时器等待接收端回ACK确认包如果在指定的时间内没有收到ACK确认包就会触发TCP的丢包重传机制。如果发送重传包后还是没收到ACK下一次的重传时间间隔会加倍当重传次数达到系统上限Windows默认的上限是5次Linux默认的上限是15次后协议栈就认为网络出故障了协议栈会直接将对应的连接关闭了。

所以当网络出现故障时有数据交互协议栈会在数十秒内检测到网路出现异常就会直接将连接直接关闭掉。丢包重传机制的详细描述如下所示

8、常用的网络命令

这里主要介绍一下Windows系统下一些常用的网络相关命令。Linux系统也有对应的命令后面会写一篇关于Linux命令文章此处就不再就Linux系统的命令进行详细展开了。这些命令均是在命令行窗口中执行的可使用“命令名 /?”去查看命令支持参数和使用上的说明还会有使用范例。

8.1、ping命令

当无法连接到远端的地址及端口时我们最先想到的是先ping一个远端的地址看看网络是不是通的如下

如果软件系统在交互的过程中数据出现延时或抖动可以在ping指令后面加上一个-t的参数比如ping 192.168.0.1 -t查看连续的ping包看网络是否存在明显的延迟或抖动如下

如果要停止持续的ping按下Ctrl+C组合键就可以终止当前命令的执行。

8.2、telnet命令

telnet命令其实对应的是telnet客户端程序telnet.exe该程序使用的是telnet协议。telnet协议是TCP/IP协议族中的一员是远程登陆服务的标准协议和主要方式它为用户提供了从本地计算机远程登录远程主机的能力。

使用该命令可以检查服务器上的端口有没有开启监听比如telnet 192.168.100.196 7800如果7800端口没有开启监听则会提示连接失败。

如果远端开启了telnet服务器可以使用telnet命令远程登录到该telnet服务器上。如果cmd窗口中提示找不到Telnet需要到控制面板->程序与功能->启用和关闭Windows功能中开启Telnet客户端如下所示

8.3、ipconfig命令

ipconfig命令主要用来查看网卡的配置信息比如IP地址子网掩码和默认网关等一般使用ipconfig /all如下所示

还有比较常用的是ipconfig /flushdns命令用来清除系统中的DNS缓存

这样在发起新的域名解析请求时会向域名服务器上去实时地查询最新的IP。比如某时某个域名对应的IP变更了但Windows系统DNS缓存中有域名-IP对的记录导致程序使用的还是老的IP出现访问失败的问题。所以出现域名访问失败的时候可以尝试使用ipconfig /flushdns命令刷新系统DNS缓存。

经常有朋友询问使用DNS系统查询IP的完整流程这里我们普及一下这一过程。DNS服务器大致分为三种类型根DNS服务器、顶级域DNS服务器和权威DNS服务器其中顶级域DNS服务器主要负责诸如com、org、net、edu、gov 等顶级域名。

根DNS服务器存储了所有顶级域DNS服务器的 IP 地址可以通过根服务器找到顶级域服务器比如百度的域名www.baidu.com根服务器会返回所有维护 com 这个顶级域服务器的 IP 地址。然后你任选其中一个顶级域服务器发送请求该顶级域服务器拿到域名后能够给出负责当前域的权威服务器地址。以百度的域名为例顶级域服务器将返回所有负责百度这个域的权威服务器地址。接着任选其中一个权威服务器地址查询“www.baidu.com”的具体 IP 地址最终权威服务器会返回给你具体的 IP 地址。此外本地 DNS 服务器是具有缓存功能的通常两天内的记录都会被缓存。

所以通过DNS系统查询域名对应的 IP 的具体步骤可以总结为

① 操作系统先查本地 hosts文件 中是否有记录如果有则直接返回相对应映射的IP地址。
② 如果本地hosts文件中没有配置则主机向自己的本地DNS服务器发送查询报文如果本地DNS服务器缓存中有将直接返回结果。
③ 如果本地服务器缓存中没有则从内置在内部的根DNS服务器列表全球13台固定的IP地址中选一个发送查询报文。
④ 根服务器解析域名中的后缀名告诉本地服务器负责该后缀名的所有顶级服务器列表。
⑤ 本地服务器选择其中一个顶级域服务器发送查询请求顶级域服务器拿到域名后继续解析返回对应域的所有权威服务器列表。
⑥ 本地服务器再向返回的权威服务器发送查询报文最终会从某一个权威服务器上得到具体的 IP 地址。
⑦ 主机返回结果IP。

8.4、netstat命令

netstat命令用来查看本机的网络连接与端口占用情况如下

netstat命令支持多个参数具体使用netstat /?去查看详细说明

这里就不再赘述了。

8.5、route相关命令

route相关命令主要用来查看路由表、添加/删除路由等。首先来看看route print命令该命令是将Windows系统中的路由表打印出来如下图所示

route add命令可以往路由表中添加一条路由route delete命令可以删除一条路由。命令具体怎么使用可以使用route /?命令查看一下参数的说明以及范例

一般在处理Windows系统中的多网卡问题时会用到这些路由相关的命令。比如以前我们遇到的一个场景Windows系统中有两张网卡一张是连接局域网的内网网卡一张是连接外网的外网网卡

Windows系统中只能设置一个默认网关外网网卡的IP和默认网关是从路由器自动获取的肯定是有默认网关的所以内网的网卡不能设置默认网关。如果要通过内网的网卡访问局域网中的地址则需要使用route add命令添加策略路由来控制ip的访问走向即通过策略路由让访问内网地址的都走内网的网关。给内网的网卡添加策略路由的命令为

route add 172.16.0.0 mask 255.255.0.0 172.16.30.186172.16.30.186为内网中的网关

该命令的含义是所以访问172.16开头的地址时都通过内网的网关172.16.30.186走出去。
服务器上一般都会配置多个网卡有时也会通过添加策略路由去处理服务器之间无法访问的问题这样的场景我们都遇到过。

8.6、arp命令

该arp命令主要用来显示和修改地址解析协议(ARP)使用的“IP 到物理”地址转换表

系统中会保存IP和MAC地址的映射表。其中ARP协议Address Resolution Protocol是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机并接收返回消息以此确定目标的物理地址收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间下次请求时直接查询ARP缓存以节约资源。

可以使用arp -a的命令查看系统缓存的映射表使用arp -s保存一个IP和MAC地址的映射对使用arp -d删除符合条件的映射对条件中支持使用通配符比如arp -d 192.168.*.*。

这里我们详细介绍一下ARP协议它是根据 IP 地址获取 MAC 地址的一种协议核心原理就是广播发送ARP请求单播发送ARP响应。关于ARP相关流程的说明如下

① 每个主机都在自己的ARP缓冲区中建立一个ARP列表以表示 IP 地址和 MAC 地址之间的对应关系。
② 当源主机要发送数据时先检查ARP列表中是否有该 IP 地址对应的 MAC 地址如果有则直接发送数据如果没有就向本网段的所有主机发送ARP数据包用于查询目的主机的MAC地址该数据包包括的内容有源主机IP地址源主机MAC地址目的主机的IP。
③ 当本网络的所有主机收到该ARP数据包时首先检查数据包中的IP地址是否是自己的IP地址如果不是则忽略该数据包如果是则首先从数据包中取出源主机的IP和MAC地址写入到ARP列表中如果已经存在则覆盖然后将自己的MAC地址写入ARP响应包中告诉源主机自己是它想要找的MAC地址。
④ 源主机收到 ARP 响应包后将目的主机的 IP 和 MAC 地址写入ARP列表并利用此信息发送数据。如果源主机一直没有收到ARP响应数据包表示ARP查询失败。

8.7、tracert命令

该命令可以追踪访问目标地址所经历的网络节点如下所示

通过该命令可以看出数据包是从那个网卡发出去的看默认网关也可以看出从哪个运营商线路联通线路、移动线路、电信线路访问到目标地址的

9、在Linux和Windows两个平台中抓包

出现网络问题后最直接最有效的办法就是抓包对抓到的网络包进行分析有时不仅要在客户端抓包还要在服务器抓包要综合分析。服务器一般是运行在Linux系统之上的所以此处也简单的介绍一下如何在服务器上使用tcpdump命令抓包。

9.1、在Windows系统中抓包

Windows上抓包很简单只要在系统中安装wireshark即可。启动wireshark后选择要抓包的那个网卡

开启抓包即可。抓完包之后可以将抓包数据保存到文件中。接下来就是分析抓包文件抓包文件中是抓取了整个网卡的数据包而我们要分析的是我们软件中的数据包所以要用过滤条件将要查看的包过滤出来。

数据包的过滤条件很讲究可以使用ip或端口进行过滤也可以通过协议去过滤比如如下的一些过滤条件

① 用ip地址过滤比如ip.addr==192.168.2.1、ip.src==192.168.2.1、ip.dst==192.168.2.1
② 用端口来过滤比如tcp.port==7800、tcp.srcport==7800、tcp.dstport==7800、udp.port==7800;
③ 使用协议过滤比如tcp、udp、http、websocket、xmpp、rtp等协议名称进行过滤比如下图

④ 上面我们还说过可以使用tcp.syn==1来过滤三次握手的SYN包
⑤ 使用数据包的字符串来过滤比如http contains "destport"、xmpp contains “123”。

具体使用什么过滤条件要具体问题具体分析吧。

9.2、在Linux系统中抓包

服务器中一般使用的是Linux操作系统比如最常用的是CentOS系统。当然CentOS开发商Red Hat(红帽)公司已经宣布不再对CentOS进行维护更新了对于大多数国产IT厂商是个很不好的消息。好在华为、阿里和腾讯快速地推出了CentOS的替代服务器操作系统华为发布了欧拉系统、阿里发布了龙蜥系统、腾讯发布了TencentOS系统这些服务器操作系统都是在开源的Linux系统演化而来的也都开源了大家都可以使用。鉴于华为在鸿蒙手机操作系统上的卓越表现很多厂商都选择了使用华为的欧拉系统有的厂商则选择继续使用国外的Linux系统比如Ubuntu、Debian等。

好像扯的有点远了还是回到本文的主题上来。在Linux上抓包之前我们需要使用SSH工具远程登录到Linux系统中登录到Linux系统的命令行上然后在Linux命令行中使用tcpdump命令启动抓包比如使用如下的命令