说一下网络四层协议?

[MicroKibaco]

万物互联,每一天我们都离不开网络,对于程序员来说网络是基础,我们怎么巩固这方面的基础呢?需要阅读大量的书籍,学好网络我们首先要对那四层协议要有清晰的认知,然后需要掌握一些基本的抓包和反抓包策阅,当然常用的加解密其实也是需要掌握的,好了话不多说,就让我们打开网络之旅吧

一. 网络分层

为什么要网络分层呢?

其实因为网络的不稳定性

从广义来说: 网络其实是可以分为七层,但是我们这里学习四层就行了:

1.1 Application Layer 应用层

1.2 HTTP

1.2.1 HTTP版本

1.2.1.1 HTTP/1

A. 连接无法复用

HTTP/1.0 数据时，每次都需要重新建立连接，增加延迟。

B. HOLB（队头阻塞）

• HTTP 1.0：下个请求必须在前一个请求返回后才能发出，request-response对按序发生。显然，如果某个请求长时间没有返回，那么接下来的请求就全部阻塞了。

• HTTP 1.1：尝试使用 pipeling 来解决，即浏览器可以一次性发出多个请求（同个域名，同一条 TCP 链接）。但 pipeling 要求返回是按序的，那么前一个请求如果很耗时（比如处理大图片），那么后面的请求即使服务器已经处理完，仍会等待前面的请求处理完才开始按序返回。所以，pipeling 只部分解决了 HOLB。

1.2.1.2 HTTP/2

1.2.1.2.1 二进制传输

HTTP/2 将请求和响应数据分割为更小的帧，并且它们采用二进制编码

1.2.1.2.2 多路复用

多路复用解决痛点

解决了浏览器限制同一个域名下的请求数量的问题，同时也接更容易实现全速传输，毕竟新开一个 TCP 连接都需要慢慢提升传输速度。

多路复用特性

1. 同域名下所有通信都在单个连接上完成。
2. 单个连接可以承载任意数量的双向数据流。
3. 数据流以消息的形式发送，而消息又由一个或多个帧组成，多个帧之间可以乱序发送，因为根据帧首部的流标识可以重新组装。

   多路复用优点

4. 同个域名只需要占用一个 TCP 连接，使用一个连接并行发送多个请求和响应,消除了因多个 TCP 连接而带来的延时和内存消耗。
5. 并行交错地发送多个请求，请求之间互不影响。
6. 并行交错地发送多个响应，响应之间互不干扰。
7. 在HTTP/2中，每个请求都可以带一个31bit的优先值，0表示最高优先级， 数值越大优先级越低。有了这个优先值，客户端和服务器就可以在处理不同的流时采取不同的策略，以最优的方式发送流、消息和帧。

   1.2.1.2.3 Header压缩

   

   • 在 header 携带 cookie 的情况下，可能每次都需要重复传输几百到几千的字节,为了减少这块的资源消耗并提升性能
     1. 使用“首部表”来跟踪和存储之前发送的键－值对，对于相同的数据，不再通过每次请求和响应发送；
     2. 首部表在HTTP/2的连接存续期内始终存在，由客户端和服务器共同渐进地更新;
     3. 每个新的首部键－值对要么被追加到当前表的末尾，要么替换表中之前的值

        1.2.1.2.4 缓存push

        提前给客户端推送必要的资源，这样就可以相对减少一点延迟时间。当然在浏览器兼容的情况下你也可以使用 prefetch。

        1.2.1.3 HTTP/3

        QUIC,基于UDP

        1.2.2 HTTP定义

8. ⼀种网络传输协议，位于 TCP / IP 协议族的最顶层——应⽤层
9. Hypertext Transfer Protocol，超文本传输协议，和 HTML (Hypertext Markup Language 超文本标记语言) 一起诞生，用于在网络上请求和传输 HTML 内容。
10. 超⽂本，即「扩展型文本」，指的是 HTML 中可以有链向别的文本的链接(hyperlink)

    1.2.3 HTTP 的 Header

    1.2.3.1 Header 的作用

    HTTP 消息的 metadata

    1.2.3.2 Header

    1.2.3.3 Host

    • ⽬标主机
    • 注意: 不是在网络上用于寻址的，而是在目标服务器上用于定位子服务器的

      1.2.3.3.1 Content-Length

      指定 Body 的长度(字节)。

      1.2.3.3.2 Content-Type

      1.2.3.3.3 Content-Type概念

      指定 Body 的类型

      1.2.3.3.4 Content-Type分类

11. text/html 请求 Web ⻚⾯是返回响应的类型，Body 中返回 html 文本。格式如下:
12. x-www-form-urlencoded
13. multipart/form-data
14. application/json , image/jpeg , application/zip
15. Accept
    客户端能接受的数据类型。如 text/html
16. Accept-Charset
    客户端接受的字符集。如 utf-8
17. Accept-Encoding
    客户端接受的压缩编码类型。如 gzip
18. Content-Encoding
    压缩类型。如 gzip

    1.2.4 HTTP 状态码

    • 1xx
      临时性消息。如:100 (继续发送)、101(正在切换协议)
    • 2xx
      成功。最典型的是 200(OK)、201(创建成功)

• 3xx
  重定向。如 301(永久移动)、302(暂时移动)、304(内容未改变)
• 4xx
  客户端错误。如 400(客户端请求错误)、401(认证失败)、403(被禁止)、404(找不到内容)
• 5xx
  服务器错误。如 500(服务器器内部错误)

  1.2.5 HTTP 代理

  
  HTTP 传输过程中的“中转站”，可以实现缓存加速、负载均衡等功能。

  1.2.6 HTTP Cache-Control

  

1.2.6.1 Cache-Control作⽤

在客户端或中间⽹络节点缓存数据，降低从服务器取数据的频率，以提高⽹网络性能。

1.2.6.2 Cache-Control字段属性

• max-age
  • no_store 不允许缓存
  • no_cache 可以缓存
  • must-revalidate 如果缓存不过期就可以继续使用，但过期了如果还想用就必须去服务器验证

1.2.6.3 验证资源是否失效需要使用“条件请求”

• 常用的类型
  • if-Modified-Since
  • If-None-Match
• 收到 304 就可以复用缓存里的资源

1.2.6.4 验证资源是否被修改

• 常用的条件
  • Last-modified
  • ETag
• 需要服务器预先在响应报文里设置，搭配条件请求使用

1.2.6.5 浏览器刷新数据的方式

• 可以发送“Cache-Control”字段
  • 使用“max-age=0”或“no_cache”

    1.2.7 Http如何传输大文件

    1.2.7.1 数据压缩

• Accept-Encoding
  • 类型
  • gzip
  • deflate
  • br
  • 缺点
  • 通常只对文本文件有较好的压缩率，而图片、音频视频等多媒体数据本身就已经是高度压缩的，再用 gzip 处理也不会变小（甚至还有可能会增大一点）
• Content-Encoding

1.2.7.2 分块传输

• 类型
  • Transfer-Encoding: chunked
• 缺点
  • 如果大文件整体不能变小，那就把它“拆开”，分解成多个小块，把这些小块分批发给浏览器，浏览器收到后再组装复原。这样浏览器和服务器都不用在内存里保存文件的全部，每次只收发一小部分，网络也不会被大文件长时间占用，内存、带宽等资源也就节省下来了。
• 注意事项
  • Transfer-Encoding: chunked”和“Content-Length”这两个字段是互斥的，也就是说响应报文里这两个字段不能同时出现，一个响应报文的传输要么是长度已知，要么是长度未知（chunked）

    1.2.7.3 多段数据

• MIME 类型

  • “multipart/byteranges”

  

  • 表示报文的 body 是由多段字节序列组成的，并且还要用一个参数“boundary=xxx”给出段之间的分隔标记。

1.2.8 登录授权

1.2.8.1 Cookie

1.2.8.1.1 Cookie 工作机制

1. 服务器需要客户端保存的内容，放在 Set-Cookie headers ⾥返回，客户端会⾃动保存。
2. 客户端保存的 Cookies，会在之后的所有请求⾥都携带进 Cookie header ⾥发回给服务器。
3. 客户端保存 Cookie 是按照服务器域名来分类的，例如 shop.com发回的 Cookie 保存下来以后，在之后向 games.com的请求中并不会携带。
4. 客户端保存的 Cookie 在超时后会被删除、没有设置超时时间的 Cookie （称作 SessionCookie）在浏览器关闭后就会⾃动删除；另外，服务器也可以主动删除还未过期的客户端Cookies。

   1.2.8.1.2 如何实现一个CookieMannager?

   

1.2.8.1.3 Cookie持久化存储

如果Cookie 仅存在 内存里,那么 App 关闭后,所有的 Cookie 都会消失;我们期望的是下次打开app的时候期望的是依然自动登录进入主页面,这就需要我们对Cookie进行文件级别的持久化。但是,Okhttp.cookie 有个很坑的地方;他没有实现Serivalziable,无法序列化,所以我们只能自己实现序列化

1.2.8.1.4 OKHttp的Cookie支持及调用机制

在不设置Cookie的时候,OKHttp默认是没有Cookie的,所以我们需要自定义CookieJar的时候,从拿到CookieJar的Cookie然后进行加载

而获取请求的时候,还是在HttpEngine,使用saveFromResponse方法将erver的Cookie存储本地

重点在于: Cookie的校验和存储机制,首先我们得专门设置一个负责管理Cookie的类.这个类显然不是CookieJar的实现类,我们专门设置了一个CookieMannanger,有二级存储功能,即文件存储和内存存储,如果app关闭那么内存存储就会清空,而用到的Cookie都会存到本地文件里面;app启动则从文件里面加载Cookie

1.2.8.1.5 webview 和 OkHttp 实现 Session共享

服务端通过 Session 来得知连接的 客户端,因此需要一套okHttp 和 Cookie 共有的一套机制,就可以实现在H5页面与原生app同步登陆,通过阅读源码知道 OKHttp 是通过 cookieJar 来设置 Cookie 的,而在 OKhttpClient 的 Builder 方法中,默认的CookieJar是一个空对象,没有设置任何Cookie

所以我们只需要手动获取webView的Cookie并设置在 okHttp的 CookieJar 上即可实现 Cookie 的 共享。webview的引擎为webkit,在webkit是有CookieManaager 对 Cookie 进行管理的

再创建okhttpclient工具类中自定义的cookieJar

1.2.8.1.6 Cookie作用

会话管理：登录状态、购物⻋

个性化：⽤户偏好、主题

Tracking：分析⽤户⾏为

1.2.8.1.7 如何保证Cookie的安全性

• XSS (Cross-site scripting)（了解即可）：跨站脚本攻击。即使⽤ JavaScript 拿到浏览器的 Cookie之后，发送到⾃⼰的⽹站，以这种⽅式来盗取⽤户 Cookie。
  • 应对⽅式1：Server 在发送 Cookie时，敏感的 Cookie 加上 HttpOnly。
  • 应对⽅式2：HttpOnly——这个 Cookie 只能⽤于 HTTP 请求，不能被 JavaScript 调⽤。它可以防⽌本地代码滥⽤ Cookie。

    1.2.8.2 Authorization

    1.2.8.3 Authorization 实现方式

方式1: Basic

• 格式：Authorization: Basic <username:password(Base64ed)>

  方式2: Bearer

• 格式：Authorization: Bearer
• token 的获取⽅式：通过 OAuth2 的授权流程

1.2.8.4 Authorization 授权流程

0. 第三⽅ App 向腾讯申请第三⽅授权合作，拿到 client_id 和 client_secret
1. ⽤户在使⽤第三⽅ App 时，点击「通过微信登录」，第三⽅ App 将使⽤微信 SDK 跳转到微信，并传⼊⾃⼰的 client_id 作为⾃⼰的身份标识
2. 微信通过和服务器交互，拿到第三⽅ App 的信息，并限制在界⾯中，然后询问⽤户是否同意授权该 App 使⽤微信来登录
3. ⽤户点击「使⽤微信登录」后，微信和服务器交互将授权信息提交，然后跳转回第三⽅App，并传⼊ Authorization_code 作为⽤户认可的凭证
4. 第三⽅ App 调⽤⾃⼰服务器的「微信登录」Api，并传⼊ Authorization_code，然后等待服务器的响应
5. 服务器在收到登录请求后，拿收到的 Authorization_code 去向微信的第三⽅授权接⼝发送请求，将 Authorization_code 和⾃⼰的 client_secret ⼀起作为参数发送，微信在验证通过后，返回 access_token
6. 服务器在收到 access_token 后，⽴即拿着 access_token 去向微信的⽤户信息接⼝发送请求，微信验证通过后，返回⽤户信息
7. 服务器在收到⽤户信息后，在⾃⼰的数据库中为⽤户创建⼀个账户，并使⽤从微信服务器拿来的⽤户信息填⼊⾃⼰的数据库，以及将⽤户的 ID 和⽤户的微信 ID 做关联
8. ⽤户创建完成后，服务器向客户端的请求发送响应，传送回刚创建好的⽤户信息
9. 客户端收到服务器响应，⽤户登录成功在⾃家 App 中使⽤ Bearer_token 有的 App 会在 Api 的设计中，将登录和授权设计成类似OAuth2 的过程，但简化掉 authorization_code 概念。即：登录接⼝请求成功时，会返回 access_token，然后客户端在之后的请求中，就可以使⽤这个 access_token 来当做 bearer_token 进⾏⽤户操作了。

为什么 OAuth 要引⼊ Authorization code，并需要申请授权的第三⽅将 Authorization code 发送回⾃⼰的服务器，再从服务器来获取 access token，⽽不是直接返回 access token ？这样复杂的流程意义何在？

为了安全。OAuth 不强制授权流程必须使⽤ HTTPS，因此需要保证当通信路径中存在窃听者时，依然具有⾜够⾼的安全性。

1.2.8.5 如何刷新token

用法

access_token 有失效时间，在它失效后，调⽤ refresh token 接⼝，传⼊ refresh_token 来获取新的 access_token。

目的

安全。当 access_token 失窃，由于它有失效时间，因此坏⼈只有较短的时间来「做坏事」；同时，由于（在标准的 OAuth2 流程中）refresh token 永远只存在与第三⽅服务的服务器中，因此 refresh token ⼏乎没有失窃的⻛险。

Line 实现三方登录授权

构建授权实体类

提供授权回调

构造LineSDK回调结果数据

1.3 HTTPS

HTTPS 定义

1. HTTP over SSL 的简称，即⼯作在 SSL (或 TLS)上的 HTTP。说白了就是加密通信的 HTTP。
2. HTTPS 把下层的协议由 TCP/IP 换成了 SSL/TLS

HTTPS 背景

1. 支持的https的网站基本都是CA机构颁发的证书，默认情况下是可以信任的；
2. 自己通过keytool去生成一个证书，然后使用，并不是CA机构去颁发的。使用自签名证书的网站，大家在使用浏览器访问的时候，一般都是报风险警告

HTTPS 证书

数字证书是 HTTPS 实现 安全传输的基础,它是由权威的CA机构颁发,证书的主要内容有: 公钥,证书颁发机构,证书持有者,证书有效期,签名算法,指纹及指纹算法

HTTPS 证书内容

可以看到公钥是一串很长的2048.bits的字符串,同时也看到使用者额内容包括了一些网站,后面会跟随颁发者,有效期,签名算法等等,当然还有指纹和指纹算法等等

证书的指纹和签名

签名在证书后面加一段字符串,可以证明该信息没有被修改过,CA机构将证书的指纹和指纹算法通过私钥加密就是证书签名了

需要⾃⼰写证书验证过程的场景

HTTPS 证书的指纹和签名

HTTPS 证书验证请求过程

HTTPS 证书类型

• CA
• X.509

  HTTPS 证书作用

• 认证用户和服务器,确保数据能正确的发送给客户和服务器(验证证书)
• 加密数据,以防止数据中途被窃取(加密)
• 维护数据的完整性,确保数据传输过程中不改变

  HTTPS 如何自定义证书

  HTTPS SSL/TLS

  SSL/TLS概念

SSL/TLS 是信息安全领域中的权威标准，采用多种先进的加密技术保证通信安全

SSL/TLS 版本

• TLS 1.3

TLS 1.3 相比 TLS 1.2的优化空间

• 明确禁止在记录协议里使用压缩；
• 保留了 AES、ChaCha20 对称加密算法
• 废除了 ECB、CBC 等传统分组模式；分组模式只能用 AEAD 的 GCM、CCM 和 Poly1305
• 废除了 MD5、SHA1、SHA-224 摘要算法；摘要算法只能用 SHA256、SHA384，
• 废除了 RSA、DH 密钥交换算法和许多命名曲线,密钥交换算法只有 ECDHE 和 DHE
• 废除了 RC4、DES 对称加密算法；椭圆曲线也被“砍”到只剩 P-256 和 x25519 等 5种

HTTPS 认证方式

HTTPS 单向认证

• （1）客户端发起HTTPS请求，将SSL协议版本的信息发送给服务端。
• （2）服务端去CA机构申请来一份CA证书，在前面提过，证书里面有服务端公钥和签名。将CA证书发送给客户端
• （3）客户端读取CA证书的明文信息，采用相同的hash散列函数计算得到信息摘要（hash目的：验证防止内容被修改），然后用操作系统带的CA的公钥去解密签名（因为签名是用CA的私钥加密的），对比证书中的信息摘要。如果一致，则证明证书是可信的，然后取出了服务端公钥
• （4）客户端生成一个随机数（密钥F），用刚才等到的服务端B_公钥去加密这个随机数形成密文，发送给服务端。
• （5）服务端用自己的B_私钥去解密这个密文，得到了密钥F
• （6）服务端和客户端在后续通讯过程中就使用这个密钥F进行通信了。和之前的非对称加密不同，这里开始就是一种对称加密的方式

HTTPS 双向认证

• （1）客户端发起HTTPS请求，将SSL协议版本的信息发送给服务端。
• （2）服务端去CA机构申请来一份CA证书，在前面提过，证书里面有服务端公钥和签名。将CA证书发送给客户端
• （3）客户端读取CA证书的明文信息，采用相同的hash散列函数计算得到信息摘要（hash目的：验证防止内容被修改），然后用操作系统带的CA的公钥去解密签名（因为签名是用CA的私钥加密的），对比证书中的信息摘要。如果一致，则证明证书是可信的，然后取出了服务端公钥 -（4）客户端发送自己的客户端证书给服务端，证书里面有客户端的公钥：C_公钥
• （5）客户端发送支持的对称加密方案给服务端，供其选择
• （6）服务端选择完加密方案后，用刚才得到的C_公钥去加密选好的加密方案
• （7）客户端用自己的C_私钥去解密选好的加密方案，客户端生成一个随机数（密钥F），用刚才等到的服务端B_公钥去加密这个随机数形成密文，发送给服务端。
• （8）服务端和客户端在后续通讯过程中就使用这个密钥F进行通信了。和之前的非对称加密不同，这里开始就是一种对称加密的方式

  HTTPS 连接建立过程(⼯作原理)

  在客户端和服务器之间协商出⼀套对称密钥，每次发送信息之前将内容加密，收到之后解密，达到内容的加密传输

  1. Client Hello
  2. Server Hello
  3. 服务器证书 信任建立
  4. Pre-master Secret
  5. 客户端通知:将使⽤加密通信
  6. 客户端发送:Finished
  7. 服务器通知:将使⽤加密通信
  8. 服务器发送:Finished

HTTPS 优化

• 协议优化

尽量采用 TLS1.3，它大幅度简化了握手的过程，完全握手只要 1-RTT，而且更加安全

• 证书优化
  • 可以选择椭圆曲线（ECDSA）证书而不是 RSA 证书，因为 224 位的 ECC 相当于 2048 位的 RSA，所以椭圆曲线证书的“个头”要比 RSA 小很多
  • 服务器端应当开启“OCSP Stapling”功能，避免客户端访问 CA 去验证证书
  • 会话复用的效果类似 Cache，前提是客户端必须之前成功建立连接，后面就可以用“Session ID”“Session Ticket”等凭据跳过密钥交换、证书验证等步骤，直接开始加密通信

HTTPS 保证通信安全

• 机密性

  • 指对数据的“保密”，只能由可信的人访问，对其他人是不可见的“秘密”，简单来说就是不能让不相关的人看到不该看的东西。

• 完整性

  • 数据在传输过程中没有被窜改，不多也不少，“完完整整”地保持着原状。

• 身份认证

  • 确认对方的真实身份,保证消息只能发送给可信的人

• 不可否认

  • 保证事务通信的真实性

    1.3 Transport Layer 传输层

    TCP

• 四次挥手

挥手目的:

TCP的连接的拆除需要发送四个包

什么是TCP连接?

通信双⽅方建立确认「可以通信」，不会将对方的消息丢弃，即为「建立连接」

挥手过程:

• 主机A会发送一个报文段（序列号seq＝p，标志位FIN＝1），然后进入FIN-WAIT-1状态，发送了标志位FIN＝1之后，表示我要关闭这个连接，后续将不会再有数据传输过来，但是这时候主机A还是可以收到主机B发送过来的数据；

• 主机B接受到主机A发送的FIN报文段，会发送一个确认报文段，标志位ACK＝1，确认序列号ack＝p+1，然后就进入CLOSE-WAIT状态，这个过程表示接受到关闭方发送的关闭请求了。

• 当主机B的数据都发送完毕后，就会想主机A发送释放连接的报文，主机B发送FIN报文段，标志位FIN＝1，序列号seq＝q，确认序列号p+1，标志位ACK＝1，然后就进入LAST-ACK状态;

• 主机A接收到关闭报文段后，会发出确认报文段，标志位ACK＝1，确认序列号ack＝q+1，序列号seq＝u+1，然后进入TIME-WAIT状态，此时TCP连接还没有释放，会等待2∗MSL(最长报文段寿命)的时间后，才会进入CLOSED状态;

三次握手

握手目的

连接服务器指定端口，建立TCP连接,并同步连接双方的序列号和确认号并交换 TCP 窗口大小信息

握手过程

• Client发送一个 syn = 1 的包指明Client打算连接的服务器的端口，以及 Seq =X, 保存在包头的序列号(Sequence Number)字段里。

• 服务器发回确认包(ACK)应答。即 SYN= 1 和 ACK= 1 时，将确认序号 (Acknowledgement Number) 设置为客户的 ISN = X+1。

• Clint再次发送确认包(ACK) SYN标志位为0,ACK=1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN+1

为什么要建立长连接

因为移动⽹络并不在 Internet 中，⽽是在运营商的内网，并不具有真正的公网 IP，因此当某个 TCP 连接在⼀段时间不通信之后，⽹关会出于网络性能考虑而关闭这条 TCP 连接和公网的连接通道，导致这个TCP 端口不再能收到外部通信消息，即 TCP 连接被动关闭。

长连接实现⽅式

⼼跳。即在一定间隔时间内，使用 TCP 连接发送超短无意义消息来让网关不能将自己定义为「空闲连接」，从⽽防止网关将自己的连接关闭。

TCP报文格式

UDP

1.4 Internet Layer ⽹络层

• IP

• IPv4
• IPv6

  1.5 Link Layer 数据链路层

  • Wi-Fi
  • 以太⽹