密码学学习笔记(二十四)：TCP/IP协议栈

TCP/IP协议栈的基础结构包括应用层、传输层、网络层、数据链路层和物理层。

应用层?

应用层位于TCP/IP协议栈的最顶层，是用户与网络通信的接口。这一层包括了各种高级应用协议，如HTTP（用于网页浏览）、FTP（用于文件传输）、SMTP（用于电子邮件）和DNS（用于域名解析）。应用层协议规定了应用软件如何通过网络进行通信，处理特定类型的网络活动，并为用户提供直观的操作界面。

传输层?

传输层负责在网络中不同主机间的数据传输。这一层主要使用两种协议：TCP（传输控制协议）和UDP（用户数据报协议）。TCP提供可靠的、有序的数据传输，通过三次握手建立连接，确保数据完整性。UDP则提供更快但不保证数据完整性的连接，适用于对速度要求高但可以容忍一定丢包的应用，如视频流和在线游戏。

网络层

网络层处理数据包在网络中的路由和转发。最重要的协议是IP（互联网协议），它为每个网络设备分配一个独特的地址（IP地址），确保数据包能够找到正确的目的地。网络层决定数据包的最佳路径，通过路由器进行数据包转发，并处理不同网络之间的互连问题。

数据链路层

数据链路层负责在相邻网络节点间的数据传输。这一层将数据封装成帧，然后进行物理传输。它同时也负责错误检测和纠正，确保数据在局部网络中的准确传输。此层中的以太网（Ethernet）是最常见的技术标准，用于有线网络中。

物理层

物理层是协议栈中最基础的部分，负责在物理媒介上进行原始数据的传输。这包括了电缆、光纤、无线电波等传输媒介的使用，以及数据的编码和信号调制。物理层确保数据可以在不同的物理设备间传输，无论是通过电缆还是无线方式。

示例

在Web浏览会话中，应用层主要使用HTTP协议。当用户在浏览器中输入一个网址或点击一个链接时，浏览器会通过HTTP协议向服务器发送请求。HTTP协议规定了这些请求和响应的格式。

传输层 - TCP：HTTP请求通过传输层的TCP协议传输。TCP提供可靠的数据传输服务，确保数据包的正确顺序和完整性。在TCP层，数据被分割成小的段，并在到达目的地后重新组合。

网络层 - IPv4：网络层使用IP协议（这个例子中是IPv4）来处理数据包的寻址和路由。每个数据包都包含源IP地址和目的IP地址，这些地址确保数据包能够正确地路由到目的地。

数据链路层 - Ethernet：在数据链路层，数据包被进一步封装为帧，用以在局部网络中的物理设备之间传输。以太网是最常见的数据链路层技术。

物理层 - 物理信号：最后，在物理层，数据以电子或光信号的形式通过物理媒介（如铜线、光纤或无线电波）进行传输。

TCP 和 UDP 使用端口允许主机之间的多个主机之间的同时连接

• 公共IP地址作为唯一标识符：公共IP地址是分配给网络中每个设备的独特标识符。在互联网上，每个设备的IP地址必须是唯一的，以确保数据可以准确地发送到正确的目的地。
• TCP和UDP的端口使用：TCP（传输控制协议）和UDP（用户数据报协议）都使用端口号来管理多个连接。端口号允许一个IP地址上的不同应用或服务进行区分。例如，HTTP通常使用端口80，HTTPS使用端口443。这样即使多个服务在同一IP地址上运行，也能够被正确地区分和访问

NAT 在多台主机之间共享同一个 IP 地址多个主机共享同一 IP 地址，以应对 IPv4 短缺问题

• 网络地址转换(NAT)：NAT是一种在IPv4地址不足的情况下广泛使用的技术。它允许多个设备共享同一个公共IP地址，通过在私有网络和公共网络之间转换IP地址来实现。这样，内部网络中的多个设备可以使用私有IP地址，而对外表现为单一的公共IP地址。
• IP数据包的基本结构：IP数据包包括一个头部和数据部分。头部包含了重要的控制信息，如源IP地址、目的IP地址、版本号、长度等。这些信息对于正确路由和传输数据包至关重要。

IP数据包在网段上的传递不涉及路由器

为了到达同一网络（链路）中的计算机，IP 数据包被封装在数据链路帧中，最常见（在有线帧中）是以太网

以太网实现基本链路功能，例如冲突避免和 CRC

网卡仅将那些发往该主机的帧传递给操作系统（即以其 MAC 地址作为目的地）

IP漏洞和路由

互联网最初的设计没有将安全作为首要考虑因素，导致了许多潜在的安全漏洞。随着网络攻击的增加，改进网络安全成为了一个重要的挑战。?

路由算法决定了数据包在网络中的传输路径。BGP（边界网关协议）是互联网上使用的主要路由协议。然而，BGP自身存在安全问题，如路由劫持，这可能导致数据流量被错误地或恶意地重定向。

IPSec 和 IPv6

IPSec 为 IP 添加身份验证和加密

IPSec 可以验证和加密每个 IP 数据包。IPSec是一个在网络层提供认证和加密的协议框架，以增强数据传输的安全性。它包括两种模式：传输模式和隧道模式。传输模式只加密IP数据包的数据部分，而隧道模式则加密整个IP数据包。

• 安全关联 (SA)：在通信开始之前定义（端点之间）——指定用于身份验证和加密的算法，并通过 IPSec 密钥交换 (IKE) 交换密钥
• 身份验证标头 (AH)：IP 扩展，提供数据报的身份验证和完整性，加上时间戳以防止重放攻击
• 封装安全有效负载 (ESP)：对 IP 的扩展，提供身份验证、完整性和机密性（加密）

IPv6应对了IPv4地址耗尽的问题，提供了几乎无限的地址空间。它还引入了一些其他改进，如自动地址配置、更简单的头部格式和改进的安全性（例如内置IPSec支持）。

IPSec有两种模式：传输（主机到主机）和隧道（VPN）

在传输模式下，IPSec 被“添加”到原始数据包中。

AH 可以为 IP 标头和有效负载提供完整性（通过散列）和身份验证问题：IP 选项是可变的，并且可以在传输过程中更改因此被排除在外?。

在隧道模式下，原始数据包封装在 IPSec 中，例如 用于虚拟专用网络 (VPN)

网关将 IP 数据包封装到附加的 IP 标头中，一旦数据包到达另一个网关，该标头就会被删除。网络中的主机看到彼此就好像它们在同一网络中一样。IPv6的引入大大增加了可用的IP地址数量，并带来了其他改进，例如自动配置和简化的路由器处理。