传输层

在学习应用层协议（HTTP）时，我们简单的认为数据直接发送到了网络中。然而，在实际的网络协议栈中，应用层协议需要将数据交给传输层协议进行处理，然后再将数据传递给网络层协议进行传输。这个过程是协。议栈中的一环，确保数据能够可靠地传输到目的地址。

因此，尽管在学习应用层协议时可以简单的理解可以将数据直接发送到网络中。实际上，在网络协议栈你中，传输层协议起到了关键的作用，确保数据可以安全、可靠地传输到目的地址。

再谈端口号

端口号（Port）标识了一个主机上进行通信的不同的应用程序。当数据到达主机后，传输层协议会检查数据包中的目的端口号，并将数据包传递给与该端口号对应的应用程序。

在 TCP/IP 协议中，用 “源IP”，“源端口号”，“目的IP”，“目的端口号”，“协议号” 这样一个五元组来标识一个通信，可以通过 netstat -n 查看。

在一个网络中，多台客户端主机可以同时访问同一台服务器。每个客户端主机上可以有一个或多个客户端进程，它们与服务器进行通信，每个客户端进程都会被分配一个唯一的源端口号，用于标识该进程的通信端口。

通过 netstat 命令就可以查看到这样的五元组信息：

上面的 Proto 标识的就是协议类型，Local Address 表示的就是源IP地址和源端口号，Foreign Address 表示的就是目的IP地址和目的端口号。

端口号划分

端口号的范围是 0 ~ 65535：

• 0 ~ 1023：知名端口号，也称为系统端口号或保留端口号。这些端口号被预先分配给一些常见的服务和协议，如：HTTP、FTP、SSH 等这些广为使用的应用层协议。它们的端口号都是固定的。
• 1024 ~ 65535：是动态端口号，也称为私有端口号或临时端口号。这些端口号由操作系统分配给客户端程序，用于建立临时网络连接。当客户端与服务器建立连接时，操作系统就会分配一个该范围内的未被使用过的端口号给客户端程序，以标识该连接。

操作系统分配的动态端口号都是临时的，一旦连接关闭，该端口号就会被释放，可以被其它程序再次使用。这样就可以实现多个客户端与服务器进行通信，每个客户端程序都有一个自己的端口号。

知名端口号（Well-Know Port Number）

有些服务器时非常常用的，为了使用方便，人们约定了一些常用的服务器，都是使用以下这些固定的端口号：

• ssh 服务器 - 22端口；
• ftp 服务器 - 21端口；
• telnet 服务器 - 23端口；
• http 服务器 - 80 端口；
• https 服务器 - 443端口；

我们可以查看 /etc/services 文件，该文件记录了网络服务名和其对应的端口号：

文件中的每一行代表一个服务，它分别由 “服务名称”、“端口号”、“协议名”、“别名” 组成。

我们自己写一个程序使用端口号时，应该避免使用这些知名端口号。

一个端口号是否可以被多个进程 bind ? 一个进程是否可以 bind 多个端口号?

一个端口号只能被一个进程绑定，而一个进程可以绑定多个端口号。

在网路通信中，端口号用于标识不同的应用程序或服务。操作系统通过端口号来传入的网路数据包路由到相应的服务或应用程序。为确保数据能够正确的到达目标进程，一个端口号在特定的时间点只能由一个进程绑定。

即一个端口号不能同时被多个进程绑定。当一个进程已经绑定了一个特定的端口号时，其它进程无法再使用相同的端口号。如果尝试绑定已经被其它进程占用的端口号，那么会导致绑定失败或出现冲突错误。

总之：

• 一个端口号特定时间只能被一个进程绑定。
• 一个进程可以绑定多个不同的端口号，以提供多个服务或处理多个网络通信。

netstat 命令

netstat 是一个用来查看网路状态的重要工具。

语法：netstat [选项]
功能：查看网络状态
常用选项：

• n： 拒绝显示别名，能显示数字的全部转化为数字；
• l： 仅列出有在 Listen（监听）的服务状态；
• p： 显示建立相关链接的程序名；
• t： 仅显示 TCP 相关的选项；
• u： 仅显示 UDP 相关的选项；
• a： 显示所有选项，默认不显示 LISTEN 相关；

示例：查看与 TCP 有关且处于监听状态的网路服务。

iostat 命令

iostat 是一个用于监控系统磁盘和 CPU 活动的命令行工具。它提供了关于磁盘和 CPU 使用情况的实时数据和统计信息。

iostat 工具通常再 Linux 系统上使用，并配合系统监控、性能分析和故障排除等任务使用。

iostat 的基本用法：

iostat [选项] [时间间隔] [次数]

常用选项：

• -c：显示 CPU 使用情况统计信息；
• -d：显示磁盘使用情况统计信息；
• -x：显示扩展的磁盘使用情况统计信息，包括更多的字段；
• -t：在输出信息中包括时间戳；
• -p：显示磁盘分区的统计信息；
• -k：以 KB/s（千字节/秒）为单位显示数据传输速率；
• -m：以 MB/s（兆字节/秒）为单位显示数据传输速率；

示例：

pidof

pidof 用于查找正在运行的进程的命令行工具，在查看服务器进程ID时非常方便。

语法：pidof [选项] [进程名]
常用选项：

• -s：仅返回一个进程 ID，如果有多个匹配的进程，只返回其中一个。
• -o：以空格分隔输出的进程 ID。
• -x：根据可执行文件名而不是进程名进行匹配。

示例：根据进程名查找该进程对应的进程ID。

UDP 协议

用户数据包协议 UDP 是一种传输层协议。UDP 是 Internet 协议套件的一部分，称为 UDP/IP 套件。它特别用于时间敏感的传输，如视频播放或 DNS 查找。它通过在数据传输之前不正式建立连接来加快通信速度，这使得数据可以很快的传输，但它也可能导致数据包在传输中丢失，并以 DDos 攻击的形式为利用创造机会。

UDP 协议格式

UDP 协议格式如下：

• 16位 UDP 长度，表示整个数据报（UDP 首部 + UDP 数据）的最大长度；
• 检验和用于验证数据报传输是否出现错误，如果检验和错误，就直接丢弃报文；

UDP 数据报头结构

UDP 数据报由数据报头和数据部分（应用程序的有效负载数据）组成。UDP 报头有4个字段组成，每个字段2字节（16位）：

在 IPv4 中，校验和和源端口字段的使用是可选的。在 IPv6 中，只有源端口字段是可选的。

源端口号：在使用时，该字段标识发送方的端口，如果需要，应该假定它是要应答的端口。如果不使用，它应该是0.如果源主机是客户端，则端口号可能是临时端口；如果源主机是服务器，那么端口号很可能是 0 ~ 1023 中众多周知的端口号。

目的端口号：在字段标识接收者的端口，是必需的。

长度：该字段指定 UDP 报头和 UDP 数据的字节长度。最小长度为8字节，即报头的长度。

检验和：检验和字段可用于报头和数据的错误检查。该字段在 IPv4 中为可选字段，在 IPv6 中多数情况下为必选字段。

如何将 UDP 数据报的报头与有效载荷进行分离？

在 UDP 数据报中，报头包含8个字节，这8个字节是固定的。因此，UDP 报头是一种定长报头。读取数据报时，将8个字节的报头读取之后，剩下的就全部是数据。

UDP 协议的特点

UDP 传输的过程类似与寄信。

• 无连接：知道对端的IP和端口号就可以直接进行传输，不需要建立连接。
• 不可靠：UDP 传输不提供任何确认机制、重传机制和拥塞控制。如果发生网路故障、丢包或传输错误，UDP 协议层不会向应用层返回任何错误信息。
• 面向数据报：UDP 采用数据报的方式进行传输，每个 UDP 数据包都是一个独立的、完整的数据单元，具有自己的报头和有效载荷。UDP 的数据报可以很小，也可以很大，但 UDP 本身并不提供对数据报的拆分、重组或顺序控制。这意味着应用程序需要自行处理数据报的读写次数和数量，以及数据报的顺序问题。

面向数据报

UDP 是一种面向数据包的传输协议，它将应用层交给它的数据原样发送，既不拆分也不合并。

用 UDP 传输100个字节的数据：

• 如果发送端调用一次 sendto，发送100个字节，那么接收端也必须调用对应的一次 recvfrom，接收100个字节；而不能循环调用10次 recvfrom，每次接收10个字节。

也就是说，UDP 的 sendto 和 recvfrom 操作是一 一对应的。发送端一次调用 sendto 发送的数据，接收端必须一次调用 recvfrom 接收相同长度的数据。

UDP 的缓冲区

• UDP 没有真正意义上的发送缓冲区。当应用程序调用 sendto 发送数据时，数据会直接传递给内核，并由内核将数据传给网络层协议进行后续的传输动作。即发送操作不会被阻塞，数据不会在发送缓冲区中等待。
• UDP 具有接收缓冲区。当 UDP 数据到达时，内核将其数据存储在接收缓冲区中，应用可以通过 recvfrom 函数来读取数据。但是这个接收缓冲区不能保证收到的 UDP 报文的顺序和发送 UDP 报文的数据一致；如果缓冲区满了，后续到达的 UDP 数据段将会被丢弃。
• UDP 的 socket 既可以读取数据，也可以发送数据，这种能力叫做全双工。

UDP 使用注意事项

UDP 的最大传输数据长度是受限的，其由16位的长度字段决定，最大长度为64K（65535字节），其中包含 UDP 的首部长度。

然而，64K在当今的互联网环境下是一个非常小的数字，如果我们需要传输的数据超过64K，就需要在应用层手动的分包，多次进行发送，并在接收端进行手动拼接。

UDP 协议的应用

用户数据报协议（UDP）用于：

• 相对少量数据的直接请求/响应通信，消除了对应控制错误或数据包流动的问题。
• 多播，因为 UDP 与数据包交换相配合。
• 实时应用程序，其中信息需要快速、流程地传递。

基于 UDP 的应用层协议

• NFS: 网络文件系统
• TFTP: 简单文件传输协议
• DHCP: 动态主机配置协议
• BOOTP: 启动协议(用于无盘设备启动)
• DNS: 域名解析协议

当然, 也包括你自己写UDP程序时自定义的应用层协议;

在 DDoS 攻击中如何使用 UDP ？

在大多数用例中，像丢包这样的 UDP “风险” 并不是一个严重的问题。但是，UDP 可被用于恶意的目的。由于 UDP 不需要握手，因此攻击者需要先获得服务器得通信许可，即可使用 UDP 流量 “淹没” 目标服务器。

典型的 UDP 洪水攻击向目标计算机的随机端口发送大量的 UDP 数据报。这迫使目标计算机以同样大量的 ICMP 数据包进行响应，表明这些端口是不可达的。对每个欺骗性数据报的响应所需的计算资源可能会耗尽目标计算机，从而导致拒绝为合法流量提供服务。

组织可以采用多种方法来防御 UDP 洪水攻击。其中一种方法是限制 ICMP 数据报的响应速率，尽管这种方法也可能过滤掉合法的数据包。另一种方法是通过许多分布式数据中心的中间网络接收和响应 UDP 流量，防止单个源服务器被欺骗性请求淹没。