作者：Specs

1、客户端需要访问devops.webres.wang网站，首先查找本地dns缓存是否存在devops.webres.wang的IP记录。
2、如果本地缓存没有记录，则向本地首选DNS服务器发送devops.webres.wang的DNS查询请求。
3、本地DNS服务器接收查询请求后，首先查询缓存是否存在此域名的dns记录，如果找不到记录，则向根DNS服务器发送DNS解析请求。
4、根DNS服务器向本地DNS服务器返回此域名的NS记录（即此域名的DNS服务器）。
5、本地DNS服务器向此域名的DNS服务器发送DNS解析请求。
6、此域名的DNS服务器查找此域名的IP解析，并返回给本地DNS服务器。
7、本地DNS服务器对此记录进行缓存，并返回给客户端此域名的DNS解析结果。
DNS原理演示:

什么是子网掩码

子网掩码是一个32位地址，。是与IP地址结合使用的一种技术。用4个字节的点分二进制数来表示时，其网络地址部分全置为1，它的主机地址部分全置为0。它的主要作用有两个，一是用于屏蔽IP地址的一部分以区别网络标识和主机标识，并说明该IP地址是在局域网上，还是在远程网上。二是用于将一个大的IP网络划分为若干小的子网络。
根据子网掩码与IP计算出网络地址：
　 IP地址　192.168.0.254
　　子网掩码 255.255.255.0
　　转化为二进制进行运算：
　　I P 地址　11000000.10101000.00000000.11111110
　　子网掩码　11111111.11111111.11111111.00000000
　　AND运算
　　11000000.10101000.00000000.00000000
　　转化为十进制后为：
　　192.168.0.0

子网的划分

企业或者机关从连接服务商ISP那里申请的IP地址是网络地址，如179.130.0.0，企业或机关的网络管理员需要将在这个网络地址上为本单位的主机分配IP地址。在分配IP地址之前，首先需要根据本单位的行政关系、网络拓朴结构划分网，为各个子网分配子网地址。然后才能在子网地址的基础上为各个子网中的主机分配IP地址。
我们从ISP那里申请得到的网络地址也称为主网地址，这是一个没有挪用主机位的网络地址。单位自己划分出的子网地址需要挪用主网地址中的主机位来为各个子网编址。网络地址或主网地址不用掩码也可以计算出来，只需要看出它是哪一类IP地址。A类主网地址是255.0.0.0，B类主网地址是255.255.0.0，C类主网地址是255.255.255.0。
下面我们从一个例子来学习完整的IP地址设计。
设某单位申请得到一个C类地址200.210.95.0，需要划分出6个子网。我们需要为这6个子网分配子网地址，然后计算出本单位子网的子网掩码、各个子网中IP地址的分配范围、可用IP地址数量和广播地址。
步骤1：计算机需要挪用的主机位数的位数。
需要多少主机位需要试算。借1位主机位可以分配出21=2个子网地址；借2位主机位可以分配出22=4个子网地址；借3位主机位可以分配出23=8个子网地址。因此我们决定挪用3位主机位作为子网地址的编码。
步骤2：用二进制数为各个子网编码。
子网1的地址编码：200.210.95.00000000
子网2的地址编码：200.210.95.00100000
子网3的地址编码：200.210.95.01000000
子网4的地址编码：200.210.95.01100000
子网5的地址编码：200.210.95.10000000
子网6的地址编码：200.210.95.10100000
步骤3：将二进制数的子网地址编码转换为十进制数表示，成为能发布的子网地址。
子网1的子网地址：200.210.95.0
子网2的子网地址：200.210.95.32
子网3的子网地址：200.210.95.64
子网4的子网地址：200.210.95.96
子网5的子网地址：200.210.95.128
子网6的子网地址：200.210.95.160
步骤4：计算出子网掩码
先计算出二进制的子网掩码：11111111.11111111.11111111.11100000
（下划线的位是挪用的主机位）
转换为十进制表示，成为对外发布的子网掩码：255.255.255.224
步骤5：计算出各个子网的广播IP地址
先计算出二进制的子网广播地址，然后转换为十进制：200.210.95.00011111
子网1的广播IP地址：200.210.95. 00011111 / 200.210.95.31
子网2的广播IP地址：200.210.95. 00111111 / 200.210.95.63
子网3的广播IP地址：200.210.95. 01011111 / 200.210.95.95
子网4的广播IP地址：200.210.95. 01111111 / 200.210.95.127
子网5的广播IP地址：200.210.95. 10011111 / 200.210.95.159
子网6的广播IP地址：200.210.95. 10111111 / 200.210.95.191
实际上，简单地用下一个子网地址减1，就得到本子网的广播地址。我们列出二进制的计算过程是为了让读者更好地理解广播地址是如何被编码的。
步骤6：列出各个子网的IP地址范围
子网1的IP地址分配范围：200.210.95.1至200.210.95.30
子网2的IP地址分配范围：200.210.95.33至200.210.95.62
子网3的IP地址分配范围：200.210.95.65至200.210.95.94
子网4的IP地址分配范围：200.210.95.97至200.210.95.126
子网5的IP地址分配范围：200.210.95.129至200.210.95.158
子网6的IP地址分配范围：200.210.95.161至200.210.95.190
步骤7：计算出每个子网中的IP地址数量
被挪用后主机位的位数为5，能够为主机编址的数量为2^5-2=30。
减2的目的是去掉子网地址和子网广播地址。

划分子网会损失主机IP地址的数量。这是因为我们需要拿出一部分地址来表示子网地址、子网广播地址。另外，连接各个子网的路由器的每个接口也需要额外的IP地址开销。但是，为了网络的性能和管理的需要，我们不得不损失这些IP地址。

一、二进制数转换成十进制数

由二进制数转换成十进制数的基本做法是，把二进制数首先写成加权系数展开式，然后按十进制加法规则求和。这种做法称为”按权相加”法。
例1105 把二进制数110.11转换成十进制数。

二、十进制数转换为二进制数

十进制数转换为二进制数时，由于整数和小数的转换方法不同，所以先将十进制数的整数部分和小数部分分别转换后，再加以合并。
1. 十进制整数转换为二进制整数
十进制整数转换为二进制整数采用”除2取余，逆序排列”法。具体做法是：用2去除十进制整数，可以得到一个商和余数；再用2去除商，又会得到一个商和余数，如此进行，直到商为零时为止，然后把先得到的余数作为二进制数的低位有效位，后得到的余数作为二进制数的高位有效位，依次排列起来。
例1107 把 (173)10 转换为二进制数。
解：

2．十进制小数转换为二进制小数
十进制小数转换成二进制小数采用”乘2取整，顺序排列”法。具体做法是：用2乘十进制小数，可以得到积，将积的整数部分取出，再用2乘余下的小数部分，又得到一个积，再将积的整数部分取出，如此进行，直到积中的小数部分为零，或者达到所要求的精度为止。
然后把取出的整数部分按顺序排列起来，先取的整数作为二进制小数的高位有效位，后取的整数作为低位有效位。
【例1108】把（0.8125）转换为二进制小数。
解：

例1109 （173.8125）10＝（ ）2
解： 由［例1107］得（173）10＝（10101101）2
由［例1108］得（0.8125）10＝（0.1101）2
把整数部分和小数部分合并得： （173.8125）10＝（10101101.1101）2
原文：http://zyk.thss.tsinghua.edu.cn/29/elecTec/resource/knowledge/zsd11/z1103.htm

相对于SOCKET开发者,TCP创建过程和链接折除过程是由TCP/IP协议栈自动创建的.因此开发者并不需要控制这个过程.但是对于理解TCP底层运作机制,相当有帮助.

而且对于有网络协议工程师之类笔试,几乎是必考的内容.企业对这个问题热情之高,出乎我的意料：-）。有时上午面试前强调这个问题，并重复讲一次，下午几乎每一个人都被问到这个问题。

因此在这里详细解释一下这两个过程。

TCP三次握手

所谓三次握手(Three-way Handshake)，是指建立一个TCP连接时，需要客户端和服务器总共发送3个包。

三次握手的目的是连接服务器指定端口，建立TCP连接,并同步连接双方的序列号和确认号并交换 TCP 窗口大小信息.在socket编程中，客户端执行connect()时。将触发三次握手。

第一次握手:
客户端发送一个TCP的SYN标志位置1的包指明客户打算连接的服务器的端口，以及初始序号X,保存在包头的序列号(Sequence Number)字段里。

第二次握手:
服务器发回确认包(ACK)应答。即SYN标志位和ACK标志位均为1同时，将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即X+1。

第三次握手.
客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1

SYN攻击
在三次握手过程中，服务器发送SYN-ACK之后，收到客户端的ACK之前的TCP连接称为半连接(half-open connect).此时服务器处于Syn_RECV状态.当收到ACK后，服务器转入ESTABLISHED状态.
Syn攻击就是 攻击客户端 在短时间内伪造大量不存在的IP地址，向服务器不断地发送syn包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直 至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。
Syn攻击是一个典型的DDOS攻击。检测SYN攻击非常的方便，当你在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本上可以断定这是一次SYN攻击.在Linux下可以如下命令检测是否被Syn攻击
netstat -n -p TCP | grep SYN_RECV
一般较新的TCP/IP协议栈都对这一过程进行修正来防范Syn攻击，修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、增加最大半连接和缩短超时时间等.
但是不能完全防范syn攻击。
TCP 四次挥手
TCP的连接的拆除需要发送四个包，因此称为四次挥手(four-way handshake)。客户端或服务器均可主动发起挥手动作，在socket编程中，任何一方执行close()操作即可产生挥手操作。

参见wireshark抓包，实测的抓包结果并没有严格按挥手时序。我估计是时间间隔太短造成。

来源：http://blog.chinaunix.net/space.php?uid=20587912&do=blog&id=405055

一、pc1与pc2的通信过程

pc1 telnet pc2

1 从pc1的应用层向pc2发出一个telnet请求

2 该请求下到pc1的传输层，传输层在上层数据前面加上tcp报头，报头中包括目标端口为23,以及一个大于1024，小于65535的随机端口作为源端口。

3 传输层数据下到网络层，pc1在网络层封装，源ip地址为pc1的地址，目标ip地址为pc2的地址。

4 pc1将pc2的ip地址和子网掩码与自己做比对，可以发现pc2与自己处于相同的子网。所以数据传输不必经过网关设备。

5 数据包下到pc1的数据链路层进行封装，源mac地址为pc1的mac地址，目标mac地址查询自己的arp表。

6 如果pc1 arp表里没有pc2对应的mac地址，pc1发出一个arp广播查找pc2的mac地址，arp报文直接封装在2层之上，发送者（sender）的mac地址为pc1的mac地址，sender ip为pc1的ip地址。指向（target）mac为全0，target ip为pc2的ip。二层数据帧的目标指向二层广播地址（12个F）。

7 交换机sw1收到pc1的arp报文后，若mac地址表不存在pc1的mac地址，就会将pc1的mac地址和pc1所连端口号记录到mac地址表，pc1的mac地址对应的端口号为1。然后将其做除发送端口外的泛洪处理。若存在的pc1-mac与端口的对应关系，则复位其老化计时器。并按mac地址表所记录的接口发送出该报文

8 局域网所有其他pc，包括网关设备都能接收到pc1的arp广播，并拆封二层帧头，target ip地址，target ip地址是否为自己。因为target ip是pc2的ip地址，此时pc2会将pc1与其mac的对应关系写入自己的ARP缓存表，这样减少了pc2发送arp广播请求pc1的mac的广播报文，提高了网络效率。之后pc2会以单播的方式给pc1回应消息，消息内包括pc2的mac地址作为sender mac地址，pc1的mac地址作为target地址。pc2的ip地址作为sender ip地址，pc1的ip地址作为target ip地址。（具体ARP Reply报文如下）

9 交换机sw1收到pc2的回复帧后，读取二层的目标mac地址，并在自己的mac地址表里查询，mac地址表里有pc1的mac地址和端口的对应关系，所以sw1直接将报文从该端口发送出去，同时读出这个二层帧的源mac地址，记录pc2的mac地址和端口2的对应关系到mac地址表中。

10 pc1收到pc2的arp回复后将pc2的ip地址和mac地址对应关系写到自己的arp表中，并将pc2的mac地址作为目标mac地址写到待发送的帧内。

11 pc1把帧转换成bit流，从物理接口发出。

12 sw1收到这段bit流，读前6个字节的目标MAC地址，然后查看自己的mac地址表，表中有这个目标mac地址和端口的对应关系，并且和源mac地址不在同一个端口上。于是sw1把这个二层帧从对应的端口转发出去，其他端口不会转发该帧。

13 pc2接收到这个二层数据帧，查看帧的目标mac地址，和自己相等，说明该帧是发送给自己的，于是将二层帧头解开。

14 pc2查看三层包头，只要目标ip地址和自己匹配，即解开第三层封装。

15 pc2查看传输层报头，目标端口为23,pc2向上层应用查看自己是否开启了端口为23的上层服务。若开启则把传输层报头解封装后将数据送往上层。

二、pc1与pc4的通信

pc1 telnet pc4

1 从pc1的应用层向pc4发出一个telnet请求

2 该请求下到pc1的传输层，传输层在上层数据前面加上tcp报头，报头中包括目标端口为23,以及一个大于1024，小于65535的随机端口作为源端口。

3 传输层数据下到网络层，pc1在网络层封装，源ip地址为pc1地址，目标ip地址为pc4地址。

4 pc1将pc4的ip地址和子网掩码与自己做比对，可以发现pc4和自己不处于相同的子网。对于不处于相同子网的通信，是要通过网关处理的。本例中pc1的网关为r1的E0接口。

5 数据包下到pc1的数据链路层进行封装，源mac地址为pc1的mac地址，目标mac也就是网关mac地址，通过查询自己的arp表获取。

6 如果pc1 arp表里没有网关对应的mac地址，pc1发出一个arp广播查找网关的mac地址，arp报文直接封装在2层之上，发送者（sender）的mac地址为pc1的mac地址，sender ip为pc1的ip地址。指向（target）mac为全0，target ip为网关的ip。二层数据帧的目标指向二层广播地址（12个F）。

7 交换机sw1收到pc1的arp报文后，若mac地址表不存在pc1的mac地址，就会将pc1的mac地址和pc1所连端口号记录到mac地址表，之后将其做除发送端口外的泛洪处理。若存在该条目，则复位其aging timer老化计时器，之后按mac地址表所记录的接口发送出该报文。

8 局域网所有其他pc，包括网关设备都能接收到pc1的arp广播，并拆封二层帧头，查看target ip地址，target ip地址是否为自己。因为target ip是网关的ip地址，此时网关设备会将pc1与其mac的对应关系写入自己的ARP缓存表，这样减少了网关设备发送arp广播请求pc1的mac的广播报文，提高了网络效率。之后网关会以单播的方式给pc1回应消息，消息内包括网关的mac地址作为sender mac地址，pc1的mac地址作为target地址。网关的ip地址作为sender ip地址，pc1的ip地址作为target ip地址。

9 交换机sw1收到网关的回复帧后，读取二层的目标mac地址，并在自己的mac地址表里查询，mac地址表里有pc1的mac地址和端口的对应关系，所以sw1直接将报文从该端口发送出去，不再泛洪到其他端口。同时读出这个二层帧的源mac地址，记录路由器e0口的mac地址和端口4的对应关系到mac地址表中。

10 pc1收到网关的arp回复后将网关的ip地址和mac地址对应关系写到自己的arp表中，并将网关的mac地址作为目标mac地址写到待发送的帧内。

11 pc1把帧转换成bit流，从物理接口发出。

12 sw1收到这段bit流，读前6个字节的目标MAC地址，然后查看自己的mac地址表，表中有这个mac地址和端口的对应关系，并且和源mac地址不在同一个端口上。于是sw1把这个二层帧从对应的端口转发出去。

13 网关路由器接收到这个二层数据帧，查看帧的目标mac地址，和自己相等，说明该帧是发送给自己的，于是将二层帧头解开。

14 路由器R1查看三层包头，目标ip地址自己的e0口不匹配，也不等同于自己其他接口的ip地址，说明这不是一个给自己的包，而是一个去往其他网段的包，所以网关不再往上解封装。

15 路由器R1在自己的路由表里查询和数据包的目标ip地址匹配的路由，找出一条去往pc4所在网段的路由，该路由以自己的E1口为出口,下一跳路由器是r2。

16 路由器r1对数据包的三层数据不做任何改动，并封装上二层帧头，源mac地址是r1的e1口的mac地址，目标地址是r2的e1口的mac地址。（此处省略路由器r1获得r2的e1口mac地址的arp流程。）

17 路由器r1将这个二层帧转换成bit流从e1口发送出去。

18 路由器r2的e1口接收到这段bit流，并整合成帧，查看帧的目标mac地址，和自己的mac地址相等，说明这个帧是发送给自己的，于是路由器r2将该二层帧的帧头解掉。

19 路由器r2读取数据包的第三层信息。目标ip地址自己的e1口不匹配，也不等同于自己其他接口的ip地址，说明这不是一个给自己的包。于是不再往上解封装。

20 路由器R2在自己的路由表里查询和报文的目标ip地址匹配的路由，找出一条直连路由和数据包的目标网络匹配，于是认定该数据包是发往自己一个直连网段。

21 路由器R2对数据包的三层数据不做任何改动，并封装上二层帧头，源mac地址是r2的e0口的mac地址，目标地址是pc4的mac地址。

22 路由器查找自己的arp表，找寻和pc4对应的mac地址。如果arp表中没有和pc4对应的条目，就从e0口向该网段发起一个arp广播。arp报文直接封装在2层之上，sender mac地址为路由器e0口的mac地址，sender ip为路由器e0口的ip地址。Target mac为全0，target ip为pc4的ip。二层数据帧的目标指向二层广播地址（12个F）。

23 交换机sw2收到r2 e0口的arp报文后，若mac地址表不存在pc4的mac地址，就会将r2 e0口的mac地址和r2 e0所连端口号记录到mac地址表，之后将其做除发送端口外的泛洪处理。若存在该条目，则复位其aging timer老化计时器，之后按mac地址表所记录的接口发送出该报文。

24局域网所有其他pc，都能接收到路由器（网关）的arp广播，并拆封二层帧头，查看target ip地址，target ip地址是否为自己。因为target ip是pc4的ip地址，此时pc4会将网关e0口与其mac的对应关系写入自己的ARP缓存表，这样减少了设备发送arp广播请求网关e0口的mac的广播报文，提高了网络效率。之后pc4会以单播的方式给网关e0口回应消息，消息内包括pc4的mac地址作为sender mac地址，网关e0口的mac地址作为target地址。Pc4的ip地址作为sender ip地址，网关的ip地址作为target ip地址。

25 交换机sw2收到pc4的回复帧后，读取二层的目标mac地址，并在自己的mac地址表里查询，mac地址表里有该mac地址和端口的对应关系，所以sw2直接将报文从该端口发送出去，同时读出这个二层帧的源mac地址，记录pc4的mac地址和端口1的对应关系到mac地址表中(若原来不存在的话）。

26 路由器的e0口收到pc4的arp回复后将pc4的ip地址和mac地址对应关系写到自己的arp表中，并将pc4的mac地址作为目标mac地址写到待发送的帧内。

27 路由器e0口把帧转换成bit流，在物理从物理接口发出。

28 sw2收到这段bit流，读前6个字节的目标MAC地址，然后查看自己的mac地址表，表中有这个mac地址和端口的对应关系，并且和源mac地址不在同一个端口上。于是sw2把这个二层帧从对应的端口转发出去。

29 pc4接收到这个二层数据帧，查看帧的目标mac地址，和自己相等，说明该帧是发送给自己的，于是将二层帧头解开。

30 pc4查看三层包头，目标ip地址和mask和自己也是相等，于是解开第三层封装。

31 pc4查看传输层报头，目标端口为23,pc4向上层应用查看自己是否开启了端口为23的上层服务。若开启则把传输层报头解封装后将数据送往上层。

来源：http://www.12090603.com