明天的事情后天会知道。心怀梦想,脚踏实地!
分类: 网络与安全
2014-10-31 15:01:20
为了区分不同应用进程间的网络通信和连接,主要有3个参数:通信的目的IP地址、使用的传输层协议(TCP 或 UDP)和使用的端口号。
Socket的原意是“插座”。通过将这3个参数结合起来,与一个“插座”Socket绑定,应用层就可以和传输层通过套接字接口,区分来自不同应用程序进程或网络连接的通信,实现数据传输的并发服务。
accept()产生的Socket端口号是多少?
要写网络程序就必须用Socket,这是程序员都知道的。而且,面试的时候,我们也会问对方会不会Socket编程?一般来说,很多人都会说,Socket编程基本就是listen, accept, 以及send, write等几个基本的操作。是的,就跟常见的文件操作一样,只要写过就一定知道。
对于网络编程,我们也言必称TCP/IP,似乎其他网络协议已经不存在了。对于TCP/IP,我们还知道TCP和UDP,前者可以保证数据的正确和可靠性,后者则允许数据丢失。最后,我们还知道,在建立连接前,必须知道对方的IP地址和端口号。除此,普通的程序员就不会知道太多了,很多时候这些知识已经够用了。最多,写服务程序的时候,会使用多线程来处理并发访问。
我们还知道如下几个事实:
1. 一个指定的端口号不能被多个应用程序共用。比如,如果IIS占用了80端口,那么Apache就不能也用80端口了;
2. 很多防火墙只允许特定目标端口的数据包通过。
3. 服务程序在listen某个端口并accept某个连接请求后,会生成一个新的socket来对请求进行处理。
于是,一个困惑了我很久的问题就产生了,如果一个socket创建后并与80端口绑定后,是否就意味着该socket占用了80端口呢?
如果是这样的,那么当其accept一个请求后,生成的新的socket到底使用的是什么端口呢(我一直以为系统会默认给其分配一个空闲的端口号)?
如果是一个空闲的端口,那么一定不是80端口了,于是以后的TCP数据包的目标端口就不是80了——防火墙一定会阻止其通过的!
实际上,我们可以看到,防火墙并没有阻止这样的连接,而且这是最常见的连接请求和处理方式。我不理解的就是,为什么防火墙没有阻止这样的连接?它是如何判断那条连接是因为connect80端口而生成的?是不是TCP数据包里有什么特别的标志?或者防火墙记住了什么东西?
后来,我又仔细研读了TCP/IP的协议栈原理,对很多概念有了更深刻的认识。比如,TCP和UDP同属传输层,共同架设在IP层(网络层)之上。而IP层主要负责的是在节点之间(End to End)的数据包传送,这里的节点是一台网络设备,比如计算机。因为IP层只负责把数据送到节点上,而不能区分上面的不同应用,所以TCP和UDP协议在其基础上加入了端口的信息,端口于是标识的是一个节点上的一个应用。除了增加端口信息,UDP协议基本就没有对IP层的数据进行任何处理了。而TCP协议还加入了更复杂的传输控制,比如滑动的数据发送窗口(Slice Window),以及接收确认和重发机制,以达到数据的可靠传送。不管应用层看到的是怎样一个稳定的TCP数据流,下面传送的都是一个个的IP数据包,需要由TCP协议来进行数据重组。
所以,我有理由怀疑,防火墙并没有足够的信息判断TCP数据包的更多信息,除了IP地址和端口号。而且,我们也看到,所谓的端口,是为了区分不同的应用的,以在不同的IP包来到的时候能够正确转发。
TCP/IP只是一个协议栈,就像操作系统的运行机制一样,必须要具体实现,同时还要提供对外的操作接口。就像操作系统会提供标准的编程接口,比如Win32编程接口一样,TCP/IP也必须对外提供编程接口,这就是Socket编程接口——原来是这么回事啊!
在Socket编程接口里,设计者提出了一个很重要的概念,那就是socket。这个socket跟文件句柄很相似,实际上,在BSD系统里就是跟文件句柄一样存放在一样的进程句柄里。这个socket其实是一个序号,表示其在句柄表中的位置。这一点,我们已经见过很多了,比如文件句柄,窗口句柄等。这些句柄,其实是代表了系统中的某些特定的对象,用于在各种函数中作为参数传入,以对特定对象进行操作——这其实是C语言的问题,在C++语言里,这个句柄其实就是this指针,实际就是对象指针啦。
现在我们知道,socket跟TCP/IP并没有必然的联系。Socket编程接口在设计的时候,就希望也能适应其他的网络协议。所以,socket的出现只是可以更方便的使用TCP/IP协议栈而已,其对TCP/IP进行了抽象,形成了几个最基本的函数接口。比如create, listen, accept, connect, read和write等。
现在我们明白,如果一个程序创建了一个socket,并让其监听80端口,其实是向TCP/IP协议栈声明了其对80端口的占有。以后,所有目标是80端口的TCP数据包都会转发给该程序(这里的程序,因为使用的是Socket编程接口,所以首先由Socekt层来处理)。所谓的accept函数,其实抽象的是TCP的连接建立过程。accept函数返回的新socket其实指代的是本次创建的连接,而一个连接是包括两部分信息的,一个是源IP和源端口,另一个宿IP和宿端口。这样的话,这些socket宿端口就可以都是80!而同时,防火墙的对IP包的处理规则也是清晰明了,不存在前面设想的种种复杂的情形。
明白socket只是对TCP/IP协议栈操作的抽象,而不是简单的映射关系,这很重要!
昨天和朋友聊了下网络编程,关于Socket,这里写一下我个人的一些理解:)
程序里可以创建Socket,分为普通Socket和原始Socket两种类型。
一:普通Socket是对TCP/IP协议栈中传输层的操作的编程接口(一种API)。
有面向连接的流式套接字(SOCK_STREAM),属于针对TCP方式的应用;
有无连接数据包式套接字(SOCK_DGRAM),属于针对UDP方式的应用。
对于普通Socket,我曾经有个模糊的问题,在多线程情况下,服务器端监听(listen)某个端口(假设8080)后,每accept一个客户端的连接就会产生一个新的Socket。那么这些新产生的Socket的端口是什么?程序里肯定没有指定,那就应该有两种可能,1:产生随机端口。2:还是8080端口。第一种假设想了就觉得不可能,防火墙非常有可能会阻止这些随机端口的包。那么就是第二种假设了,服务端端口还是8080。但这推翻了我原有的认识,就是“一个端口被程序占有,其他程序就不能用该端口了”。我觉得其实最有可能的是范围不同:就是在程序与程序间不能用同一端口,但是在程序内部不同的Socket还是可以用同一端口的。所以,为了能够使“客户端发给服务端的同一端口(8080)不同线程(即不同的Socket连接)的包能够被区分开并进行组合”,必须得有一个区分包是来自不同连接的显著特征,那就是传输层包头里的源端口了,即一个Socket连接里客户端那方的端口。总结一下,对于这种情况,就是传输层包头里源端口(客户端)会随着产生的Socket不同,而宿端口相同(服务器端)。(这里不能说客户端发出连接的端口会随着产生的socket不同而不同,标识一个TCP连接的四个因素,任何一个不同都说明这是不同的两个连接)。
二:原始Socket,建立在网络层上,所以我们可以在传输层上构建自己的协议。
如果是自己做个Sniffer(网络嗅探器),那么监听到的包是来自同一网段的普通Socket包(TCP方式或UDP方式),所以在程序里我们要自己写数据结构(IP头和TCP或UDP头),并绑定数据。
如果是客户端和服务端都是由自己用原始Socket写的,那么可以自己控制协议,像一些网络应用(MSN, skype等),可以在网络层往上重写协议。