TCP/IP 學習筆記

電三甲 111010141 胡佳慧

手動設定網路所需的資訊

1. IP
2. Network Mask 網路遮罩
   • 判斷來源端與目的端是否為同網路
   • 同網路直接傳送
   • 不同網路需透過路由器(Router)傳送
3. Default Router IP

設定好上列三項 $\to$ ping8.8.8.8 成功

4. DNS Server IP

0.0.0.0

1. 電腦剛開機完全沒有任何IP時，代表尚未取得IP
2. 任意IP
3. 0.0.0.0/0
   • Any source $\to$ 防火牆

封包傳送

• directly直接傳送 $\to$ 目的地位址寫的是目的端網路卡卡號
• forward轉送 $\to$ 目的地位址寫的是路由器網路卡卡號

ARP位址解析協定(Address Resolution Protocol)

• request : broadcase $\to$ 發廣播封包(廣播IP 255.255.255.255)到整個網路上
• reply : unicase $\to$ 被指定的IP回應

NAT(Network Address Translation)網路位址轉譯

SNAT(Source NAT)

• 最簡單的轉換方式
• 缺點 : 只適用於小規模
• NAPT(Network Address Port Translation)
  • 不只轉換Address，也轉換Port(連接埠號)
  • 目前正在使用的方法，口語化縮寫NAT
  • 此技術歸類在SNAT

DNAT(Destination NAT)=port forwarding

• 只轉換Address，不轉換Port(連接埠號)

網際網路上正常使用時會用到的三種位址

1. Mac Address 實體位址(網路卡卡號)
2. IP Address (又稱邏輯位址、通訊位址)
3. 埠號

Loop Back Test(電腦不能運作時使用)

1. ping 127.0.0.1 $\to$ 確認作業系統的TCP/IP協定是否正常運作
2. ipconfig $\to$ 查詢自己的IP、內定路由器位址
   • route print $\to$ 顯示機器上所有介面的卡號，也可查詢內定路由器位址
3. ping自己的IP位址 $\to$ 測試自己的網路卡
4. ping內定路由器的位址 $\to$ 確認網路卡、網路線是否正常
5. ping網際網路上知名的伺服器IP $\to$ 確認封包傳送是否正常
   • ex. 8.8.8.8
6. ping DNS $\to$ 確認DNS設定
   • ex. tw.yahoo.com

不同作業系統ping自己的IP比較

RTT(Round Trip Time)

• RTT = 送去目的端的時間 + 處理時間 + 送回傳送端的時間
• 數字越大代表傳送端與目的端距離越遠
• 平均每一秒量測一次
• 穩定的網路各數值間變化量不大

DHCP通訊協定(自動)

• 採用客戶端伺服器端的模型(一般電腦為DHCP客戶端)
• DHCP Server 提供IP,Network Mask,Default Router IP,DNS Server IP等必要資訊進行設定
• DORA
  1. Discover $\to$ 發現DHCP Server，發送一個廣播去詢問整個網路誰可以提供相關資訊
  2. Offer $\to$ DHCP Server收到廣播後，會回傳資料
     • 誰先提供就用誰的
  3. Request $\to$ 為Broadcase(廣播)封包，告知所有人選擇用誰的資料
  4. Ack確認訊息 $\to$ 被選擇者確認訊息
• 建構在UDP通訊協定上

  UDP協定

  1. 快速、不講求資料安全性和完整性(傳送失敗就重傳)
  2. 早期的通訊協定，沒有安全機制，不會進行雙方認證

  ---

• DHCP uses UDP port 67 on the server side and UDP port 68 on the client side.
• 特殊功能 : 大規模電腦自動安裝

DNS(Domain Name System)

• 為了解決IP記憶不容易
• DNS轉換
  • 正向解析 : Domain Name轉換成IP
  • 反向解析 : IP轉換成Domain Name
• 使用UDP通訊協定, use port 53
• 本地端電腦裡叫hosts的資料夾
  • 紀錄IP和DNS的對照
  • 早期使用
• 查詢結果放在local cache裡
• 由ICANN負責統籌

DNS環境

• 客戶端(Client) : 提出名稱解析請求，稱為Resolver
  伺服端(Server) : 接受要求的一方
• DNS為全球性的分散式資料庫
• 每個Domain至少有一台名稱伺服器
• Zone : DNS伺服器的管理區域

查詢DNS Server

1. 查詢hosts裡有無對照表
2. 查詢loccal cache裡有無對照表
3. 最後都查不到再到DNS Server查

ipconfig/displaydns //查詢
ipconfig/flushdns  //clear DNS cache

DDNS(動態DNS)

• 每次上網得到的IP不一樣，但希望能有固定的對應名稱
• 應用於家庭或小公司

FQDN完整網域名稱(Fully Qualified Domain Name)

• 最後面還有一個 • (代表root)
• 一階層方式組成，階層間以小數點區隔
• 最多五個階層
• 每一級名稱至少2個字元，最多不超過63個字元
• 分為3個部分
  1. 主機名稱Host Name
  2. 網域名稱Domain Name
  3. 根網域Root Domain
     • 以 • 表示，實際上是個空標記
     • 頂級網域TLD(Top-Level Domain):根網域的下面一層

IPv4

真正的封包是由連續的位元依序排列在一起的

IHL

• IPv4標頭長度(header length)通常為20Bytes，>20Bytes時會有Options

TOS(Type of Service)服務類型

• Precedence 優先權

  • 有8種不同的優先權值
  • 7(111) $\to$ 最高優先權；控制傳送

• D延遲(Delay)

  • 0 $\to$ 一般延遲
  • 1 $\to$ 低延遲

• T傳送流通量(Throoughput)

  • 0 $\to$ 一般傳送量
  • 1 $\to$ 高傳送量

• R可靠度(Reliability)

  • 0 $\to$ 低可靠度傳送
  • 1 $\to$ 高可靠度傳送

• C路徑成本(Cost)

  • 0 $\to$ 一般成本路徑
  • 1 $\to$ 最小成本路徑

• 0

  • 最後一個位元，未做定義

TL封包總長度(Total Length)

• TL =IP Header Length + IP Payload Length
• 以byte為單位
• 範圍為0~65535(2^16−1)

ID識別代碼

• 由發送端對每個IP資料封包進行唯一辨識代碼的設定，以便接收端執行封包辨認工作
• 傳輸過程中因為MTU的限制，須將封包切割成幾個分片(Fragments)再傳輸，各分片需記錄原封包的辨識代碼，以便接收端進行封包重組

MTU(Maximum Transmission Unit)

• MTU = IP Header + IP Payload

• ethernet的MTU為1500bytes

  IP標準的MTU為65535bytes

• Path MTU

  • IPv6的機制
  • 在傳送封包前，會先了解傳送端到目的端之間最小的MTU，並將最小的MTU設為Path MTU

切割&重組(Fragmentating&Assembly)需要的三個資料欄位

1. Identifier
2. Flags
3. Fragment Offset

• IPv4可在網路的過程當中將大的封包切割成小的封包

  IPv6只能允許在來源端做切割，只能允許在接收端做重組

Flags 旗幟識別

• 3byte

• Flags = 0 + DF + MF

• Don't Fragment(DF)

  More Fragment(MF)

TTL存活時間(Time to Live)

• 避免網路發生問題時占用資源
• IPv4稱TTL，IPv6稱hop count
• 不同作業系統TTL的初始值會不一樣

Protocol 網路協定

• 指定下一個欄位或標頭

1. TCP $\to$ 6
2. UDP $\to$ 17 or 0x11
3. ICMP $\to$ 1

HC標頭檢查碼(Header Checksum)

• protect IP Header，若有錯誤發生會告知
• 僅對IP標頭的部分執行運算，不含資料部分
• 運算方法 : 1補數演算法(1's Compllement Algorithm)

SA來源端IP位址(Source IP Address)

• 來源端主機的IP位址

DA目的端IP位址(Destination IP Address)

• 目的端主機的IP位址

• ether $\to$ dst在前，src在後
• IP $\to$ src在前，dst在後

OPT選擇項(options)

• 用作測試與除錯

1. Source Route來源端路徑
   • Loose Source Routing 寬鬆源路行徑
     • 對封包行經的每一個路徑進行規範
     • 相鄰路徑節點間不得有其他節點存在
     • 路徑次序不得更改
   • Strict Source Routing 嚴謹源路行徑\
     • 允許相鄰路徑節點間有其他節點
     • 要點式行進路徑，並非提供完備的路徑
     • 未描述的路徑由各路徑節點自行決定
2. Route Record路徑紀錄
3. Time Stamp時間標記
4. Security Label安全標誌

//how to know the immediate routers between source and destination:  traceroute ,  tracert, pathping
traceroute //linux   
tracert //windows

pathping //了解從src到dst會經過哪些 router

PAD填充(Padding)

• 配合選擇項使用
• 使IP標頭總長度為32bits的整倍數
• 填補資料通常以0作為處理

IPv4位址不夠 (address insufficient)解決方法

• NAT
• IPv6

IPv4 與 IPv6

• IPv4 32bits
• IPv5 存在於實驗室，並未實際應用
• IPv6 (IPNg ; IP Next Generation ) 128bits $\to$ 標頭40bytes

IPv4換到IPv6的原因

1. 位址不夠 address insufficient
2. 安全性 security
3. 效能 performance

資料傳送方式

IPv6

• 128位元，分成8個區塊，每個區塊16個位元，以16進位法表示，區塊間以「:」區隔
  「::」

傳輸型態

1. Unicast單點傳播(一對一)
2. Multicast多點群波(一對多)
3. Anycast任點傳播(一對全部) $\to$ IPv6以多點群播位址架構來取代廣播傳播(Broadcase)

通訊方式

1. Unicast 一對一 $\to$ 彼此都要有自己的識別碼
2. Multicast一對多
3. Broadcase一對全部(廣播)

Traffic Class訊務等級

• 如IPv4標頭的TOS、DS欄位

• 前6個位元稱為DSCP(Differentiated Service Codepoint)

  後2個位元作為ECN壅塞明確通知之用

ECN(Explicit Congestion Notification)

• 網路壅塞時，對來源端進行壅塞通知
• 搭配ack從目的端回傳資料給傳送端

Flow Label流量標籤

• IPv6新增的欄位 $\to$ 用以對某些特定封包進行標示，配合相關協定進行封包分類傳送
• 相同封包群資料流必須擁有相同的流量標籤、來源端IPv6位址與目的端IPv6位址

Payload Length 承載資料長度

• 與IPv4的TotalLength位能相同,表示封包長度
  • 同樣佔16位元
  • 同樣以位元組為單位
• 只計算IPv6標頭後資料的長度

Next Header 下一個標頭

• 如Pv4的PROT欄位
• 可以是IPv4 PROT所列的項目，也可以是IPv6新增延伸標頭(Extension Header)項目

Hop Limit最大節點數

• 取代IPv4的TTL欄位
• 最大節點數欄位以經過節點數為單位
• 數值為0,封包便會被丟棄

佇列管理機制(queue management)

• 當緩存快慢了或滿了時，要怎麼丟棄封包

1. Drop Tail $\to$ 當佇列滿了新進來的都丟掉
2. Drop Front $\to$ 當佇列滿了，新的封包進來時，把第一個丟掉，新的加進去
3. Random Drop
   • 佇列滿了以後，隨機挑一個丟棄
   • 為passive mode

QoS(Quality of Service)

1. Integrated Service(IS)整合性服務
   • 較嚴謹，為參數型服務，會保留所需資源
   • 優:能滿足每種應用的需求，缺:維護與建立成本高，可擴充性(scalability)差
2. Differentiated Service(DS)
   • 較寬鬆

• IPv6提供的QoS較IPv4多

FTP (File Transfer Protocol)

• 優:傳檔案時，若中途斷線，重新連接後可繼續傳送，不用重傳
• 主要用來傳送大型檔案
• 早期的通訊協定，無加密

網際網路上所用到的位址

1. 實體位址pyhsical address(網路卡卡號)
2. Logical address
3. Port number

• Host address(http,位於應用層) $\to$ 用於多網站架構下，指名連到哪個網站

DoS(Denial of Service)阻斷式攻擊

• 讓機器不能服務新客戶

1. 消耗性能
2. 消耗記憶體
3. 消耗儲存空間
4. 消耗網路資源

資訊安全的目標CIA

1. 機密性Confidentiality
2. 完整性Integrity
3. 可用性Availability

ZT零信任架構(Zero Trust)

• AAA $\to$ Authentication 認證(to prove identity), Authorization 授權(to give permission) ,and Accounting 稽查(to log an audit trail)
• MFA(Multi-factor authentication) $\to$ 透過簡訊等，增加額外的驗證