一、协议分层

应用层：Telnet、FTP和email等

运输层：TCP、UDP

网络层：IP、ICMP和IGMP

链路层：设备驱动程序及接口卡

网络层IP提供的是一种不可靠服务。也就是说，它只是尽可能快的把分组从源节点送到目的节点，但是并不提供任何可靠性保证。而另一方面，TCP在不可靠的IP层上提供了一个可靠的运输层。为了提供这种可靠的服务，TCP采用了超时重传、发送和接收端到端的确认分组等机制。

二、IP层

    IP数据报格式。普通的IP首部长为20个字节，除非含有选项字段。

    高字节存放高地址是小端模式，大端模式则相反。网络字节序是大端模式，必须在传输数据之前把首部转换成网络字节序。

三、TCP层

    TCP数据被封装在一个IP数据包中。

    TCP首部中有6个标志比特。他们中的多个可同时被设置为1.

    URG 紧急指针。

    ACK 确认序号有效。

    PSH 接收方应该尽快将这个报文段交给应用层。

    RST 重建连接。

    SYN 同步序号用来发起一个连接。

    FIN 发端完成发送任务。

3.1 TCP 连接建立

    连接的建立需要三次握手。这个过程也称为三次握手（three-way handshake）。

1. （C—–>SYN=1—–>S）客户端发送一个SYN段指明客户打算连接的服务器的端口，以及初始序号（ISN）；

2. （C<—–SYN=1，ACK=1<—–S）服务端发回包含服务器的初始序号的SYN报文段作为应答。同时，将确认序号设置为客户端的ISN+1以对客户端的SYN报文段进行确认；

3. （C—–>ACK=1—–>S）客户端将发送确认序号设置为服务器的ISN+1以对服务器的SYN报文段进行确认。

3.2 TCP连接终止

    终止一个连接需要四次握手。这是由TCP的半关闭造成的。既然一个TCP连接是全双工的，因此每个方向必须单独的进行关闭。收到一个FIN只意味着在这一方向上没有数据流动。一个TCP连接在收到一个FIN后仍能发送数据。首先进行关闭的一方将执行主动关闭，而另一方执行被动关闭。

1. （C—–>FIN=1—–>S）客户端发送一个FIN；

2. （C<—–ACK=1<—–S）服务端接收到这个FIN，它发回一个ACK，确认序号为收到序号加1；

3. （C<—–FIN=1<—–S）服务端向客户端发送一个FIN；

4. （C—–>ACK=1—–>S）客户端向服务端发送一个ACK，并将确认序号设置为收到序号+1。

3.3 Socket状态详解

    CLOSED:关闭状态

    ESTABLISHED:连接建立。其他状态可以参考下图：

3.4 TCP滑动窗口协议

3.4.1 滑动窗口协议简介

    用于网络数据传输时的流量控制，以避免拥塞的发生。该协议允许发送方在停止并等待确认前发送多个数据分组。由于发送方不必每发一个分组就停下来等待确认，因此该协议可以加速数据的传输，提高网络吞吐量。

1. 发送端不必发送一个全窗口大小的数据；

2. 来自服务端的报文段会确认数据并把窗口向右边移动；

3. 窗口的大小可以减少，但是窗口的右边却不能向左移动；

4. 接收方在发送一个ACK前不必等待窗口被填满。

3.4.2 几种滑动窗口协议

1. 停止等待协议（stop-and-wait），也就是1比特滑动窗口协议；

2. 回退n步协议（GO-BACK-N），提高了效率，但是一旦网络情况糟糕，则会导致大量数据重发，反而不如停等协议；

3. 选择重传协议（selective repeat），重传协议解决了回退n步协议的问题。

3.5 TCP拥塞控制算法

网络中的链路容量和交换结点中的缓存和处理机都有着工作的极限，当网络的需求超过它们的工作极限时，就出现了拥塞。拥塞控制就是防止过多的数据注入到网络中，这样可以使网络中的路由器或链路不致过载。

拥塞窗口cwnd (congestion window)

慢启动门限ssthresh (slow start thresh)

3.5.1 慢开始、拥塞避免算法

-1. 发送方维持一个叫做“拥塞窗口”的变量，发送者取拥塞窗口与通告窗口中的最小值作为发送上限；

-2. 当主机开始发送数据时，避免一下子将大量字节注入到网络，造成或者增加拥塞，选择发送一个1字节的试探报文；

-3. 当收到第一个字节的数据的确认后，就发送2个字节的报文；

-4. 若再次收到2个字节的确认，则发送4个字节，依次递增2的指数级；

-5. 最后会达到一个提前预设的“慢开始门限”，比如24，即一次发送了24个分组，此时遵循下面的条件判定：

*1. cwnd < ssthresh， 继续使用慢开始算法；

*2. cwnd > ssthresh，停止使用慢开始算法，改用拥塞避免算法；

*3. cwnd = ssthresh，既可以使用慢开始算法，也可以使用拥塞避免算法；

-6. 所谓拥塞避免算法就是：每经过一个往返时间RTT就把发送方的拥塞窗口+1，即让拥塞窗口缓慢地增大，按照线性规律增长；

-7. 当出现网络拥塞，比如丢包时，将慢开始门限设为原先的一半，然后将cwnd设为1，执行慢开始算法（较低的起点，指数级增长）；

3.5.2 快重传、快恢复

   上述算法的目的是在拥塞发生时循序减少主机发送到网络中的分组数，使得发生拥塞的路由器有足够的时间把队列中积压的分组处理完毕。慢开始和拥塞控制算法常常作为一个整体使用，而快重传和快恢复则是为了减少因为拥塞导致的数据包丢失带来的重传时间，从而避免传递无用的数据到网络。快重传的机制是：

-1. 接收方建立这样的机制，如果一个包丢失，则对后续的包继续发送针对该包的重传请求；

-2. 一旦发送方接收到三个一样的确认，就知道该包之后出现了错误，立刻重传该包；

-3. 此时发送方开始执行“快恢复”算法：

*1. 慢开始门限减半；

*2. cwnd设为慢开始门限减半后的数值；

*3. 执行拥塞避免算法（高起点，线性增长）；

四、UDP层

1. TCP：面向连接，可靠，速度慢，效率低

UDP：无连接，不可靠，速度快，效率高

五、几个小问题

1. 为什么建立连接协议是三次握手，而关闭连接却是四次握手呢？

建立连接三次握手：

两次握手可能因为丢包而出现死锁。比如C->S发送SYN，S返回的包因为网络原因丢掉了，C不认为连接建立了，S扔会向C发送数据，造成资源的死锁。

关闭连接四次握手

这是因为服务端的LISTEN状态下的SOCKET当收到SYN报文的建连请求后，它可以把ACK和SYN（ACK起应答作用，而SYN起同步作用）放在一个报文里来发送。

但关闭连接时，当收到对方的FIN报文通知时，它仅仅表示对方没有数据发送给你了；但未必你所有的数据都全部发送给对方了，所以你可以未必会马上会关闭SOCKET,也即你可能还需要发送一些数据给对方之后，再发送FIN报文给对方来表示你同意现在可以关闭连接了，所以它这里的ACK报文和FIN报文多数情况下都是分开发送的。

2. 为什么TIME_WAIT状态还需要等2MSL后才能返回到CLOSED状态？

简单来说，是为了可靠地实现TCP全双工连接的终止。虽然双方都同意关闭连接了，而且握手的4个报文也都协调和发送完毕，按理可以直接回到CLOSED状态（就好比从SYN_SEND状态到ESTABLISH状态那样）；但是因为我们必须要假想网络是不可靠的，你无法保证你最后发送的ACK报文会一定被对方收到，因此对方处于LAST_ACK状态下的SOCKET可能会因为超时未收到ACK报文，而重发FIN报文，所以这个TIME_WAIT状态的作用就是用来重发可能丢失的ACK报文。 

3. 简述SYN flood原理及防御

SYN flood是攻击方伪造大量连接请求，耗尽了服务端资源，导致服务端崩溃的攻击方法。

防御：a,监视无效连接；b,延迟分配TCB，由于TCB占用系统资源，可以使用Syn Cache和Syn Cookie技术延迟分配TCB；