链路层

帧组成（按顺序）：

目标MAC：6B

源MAC：6B

类型：2B

数据：46B-1500B

CRC：4B

其中，源MAC为主机网卡地址，类型为来源网络层的数据类型，ipv4为0800，arp为0806，pppoe为8864，1qtag为8100，ipv6为86dd

python可以通过uuid模块获取到本机mac地址

网络层

数据报结构

首部：20-60B，其中前20B必选项，后40B可选项

数据：0-65516B

首部结构

版本：4位，表示ipv4还是ipv6

ihl：4位，表示首部长度，单位位4B，所以最大为4x15=60B，刚好是首部最大长度

ds：区分服务，8位，前三位表示优先级，接下来四位表示最小时延，最大吞吐量，最高可靠性和最小代价，最后一位未使用

总长度：16位，表示首部和数据总长度，单位为B。注意到链路层数据长度为46-1500，当网络层数据报不够46B时会填补数据，超过1500时会切片

标识：16位，表示分片数据的唯一id

标志：3位，最高位为预留位，第二位表示是否可分片，0表示可分片，1表示不可分片，最后一位表示此数据报是否为分片，0表示非分片，且是最后一个分片，1表示分片，且后面还有分片

分片位移：13位，8B

生存时间，8位，最大255，表示路由最大跳数

协议：8位，表ip数据报类型，如ICMP，IGMP，TCP，UDP等

首部校验和：16位

源ip地址和目标ip地址，各32位

python获取网络信息可通过psutil和netifaces两个模块去获取,其中netifaces版本废弃了，可以安装netifacce2

传输层

udp

不保证数据可达

报头8B：源端口2B，目标端口2B，长度2B，校验和2B

数据0-65527B

TCP

创建连接3次握手，关闭连接4次握手

数据报结构

首部20-60B

数据0-65535B

首部结构

源端口16位

目标端口16位

序号：32位：每个字节的数据都有序号，到pow(2,32)后从0开始

确认号：32位，接收方发给发送方，希望收到下一个数据报文第一个字节的序号，比如发送方发了0-999字节，接收方发的确认号就是1000

数据偏移：4位，单位位4B，类似ipv4报头的ihl

保留：6位，一般为0

URG：1位，1表示紧急数据，紧急指针有效

ACK：1位，为1表示确认号字段有效

PSH：1位，1表示报文被创建并立即发出去，接收端收到后会立即交给进程，而不是放缓存中等缓存满了才递交

RST：1位，为1表示当前连接出现严重问题，徐奥释放连接并重新创建连接，RST为1还可用于拒绝接受非法报文或拒绝打开非法连接

SYN：1位，为1表示报文为连接请求或连接接受报文

FIN：1位，为1表示数据发送完毕并要求释放连接

窗口：16位，由接收方发给发送方，表示期望接受下个报文的长度

校验和：16位

紧急指针：16位，URG为1时指出紧急数据结束位置

python获取网络信息

psutil可以获取网络一些统计信息，net_io_counters方法默认收集整机的网络统计信息，入参pernic=True会单独收集每个网卡的统计信息

应用层

http

http默认是无状态通信，可以通过cookie进行有状态的服务

http端口一般为80

报文结构

请求报文：方法，url，版本，其他首部字段，报文实体（可选）

应答报文：版本，状态码，短语，其他首部字段，报文实体（可选）

方法：有8种，get，post，head，put，delete，option，connect，trace

版本：http版本号

其他首部字段：比如Cache-Control, Accept-Encoding等

报文实体：长度不限，可以为0

状态码：即404这种，三位数。1xx表示服务器收到了请求，2xx表示服务器接受客户端请求，3xx表示服务器对客户端请求重定向，4xx表示客户端请求有误，5xx表示服务端有问题

短语：对状态码的注释，比如202返回码对应的短语是Accept，404对应的短语是Not Fount

https

http没有安全保证，可以被抓包，https使用ssl或tls对数据报文加密后tcp传输，默认端口443

一般会使用对称加密和非对称加密，对称加密一般用于报文加密，非对称加密一般用于密码加密

请求流程

客户端请求时会将自己支持的一套加密规则发给服务器

服务器根据客户端加密规则组合出一组加密和hash算法，连同自己的身份信息，以数字证书形式返回给客户端

客户端验证服务器证书合法性，通过后生成一串随机数密码，并用服务器公钥对这个随机数密码加密。客户端对要发送的消息计算hash，用随机数密码对要发送的消息和消息的hash值进行加密，最后将服务器公钥加密的随机数密码，用随机数密码加密的消息和消息是hash一起返回给服务器

服务端收到客户端数据后，用自己的私钥揭密处随机数密码，然后用随机数密码解密消息和消息hash值，对比解密出的hash值和收到消息的hash值是否一致。若一致，则客户端和服务端连接建立成功，此后，双方使用随机数密码对数据进行加解密。后续数据传输过程中，如果出错或hash不一致则连接自动终止

ftp

dns

snmp

snmp简单邮件传输协议，用于将邮件从源地址传送到目的地址，端口一般为25

是常用的邮件发送协议，发邮件后，邮件会发到snmp服务器上

pop3

收信方用来从自己服务器上接受其他用户发给自己的邮件，端口一般110

pop3是离线协议，用户登录时会一次性将pop3服务器的邮件下载到本地，同时服务器的邮件都删掉自动

imap是在线的收信协议，弥补了pop3离线的问题，是目前最常用的邮件接受协议，端口一般143

dhcp

有dhcp的客户端连接网络时，会广播dhcp disocover报文，按一定规则进行有限次次数广播后如果未收到响应则dhcp失败

服务器收到报文后会从可用地址池挑一个ip，广播形式发送dhcp offer报文把这个ip返回给客户端

客户端收到dhcp服务器分配的ip后，会发送一个arp请求看这个ip有没有被占用，如果被占用了则客户端发送dhcp decline报给dhcp服务器，如果没被占用则发送dhcp request给服务器，服务器收到后会给客户端发送一个dhcp ack响应，至此一个dhcp服务流程结束

dhcp服务端端口一般67，dhcp客户端端口一般68.dhcp使用udp通信