本文详细介绍了Redis中的字符串命令,包括set用于设置键值对,get获取键值,getrange实现子串获取,getset结合旧值更新,以及mset和mget批量操作。此外,还涵盖了incr、decr、append、strlen等关键操作。
1. OSI模型的七个层次分别是什么?
网络协议分层是理解网络通信的基石。七层协议(OSI模型) 是理论框架,四层协议(TCP/IP模型) 是实际标准。下面从设计目标、核心功能到协议对比进行详解:
一、OSI七层模型(理论参考模型)
目标:标准化网络通信流程,实现不同厂商设备的互操作性。
核心思想:分层解耦,每层独立处理特定任务,通过接口与相邻层交互。
| 层级 | 名称 | 核心功能 | 关键协议/设备 | 数据单元 | 生活化类比 |
|---|---|---|---|---|---|
| 7 | 应用层 | 为应用程序提供网络服务接口(用户直接交互) | HTTP, FTP, SMTP, DNS | 数据(Data) | 写信内容(具体需求) |
| 6 | 表示层 | 数据格式化:加密、压缩、编码转换(如JPEG, MPEG, ASCII) | SSL/TLS(加密部分) | 数据(Data) | 将信翻译成对方语言 |
| 5 | 会话层 | 建立/维护/终止会话(控制对话逻辑,如断点续传) | NetBIOS, RPC | 数据(Data) | 约定通话时间与规则 |
| 4 | 传输层 | 端到端可靠传输:流量控制、拥塞控制、错误校验 | TCP, UDP | 段(Segment) | 快递公司(确保包裹完整送达) |
| 3 | 网络层 | 路由寻址与转发(跨网络传输数据包) | IP, ICMP, OSPF, BGP | 包(Packet) | 邮政系统分拣中心(规划路线) |
| 2 | 数据链路层 | 相邻节点间可靠传输:帧同步、MAC寻址、差错控制 | Ethernet, PPP, Switch | 帧(Frame) | 卡车在高速路段运输(单段路程) |
| 1 | 物理层 | 比特流传输:定义电气/机械/时序接口(电压、光信号、电缆类型) | RJ45, 光纤, 中继器, 集线器 | 比特(bit) | 公路和汽车(物理载体) |
关键特性:
- 封装与解封装:
数据自上而下逐层添加头部(尾部)(封装),自下而上逐层移除头部(尾部)(解封装)。 - 各层独立性:
修改某层协议不影响其他层(如物理层从电缆升级到光纤,应用层无感知)。
二、TCP/IP四层模型(实际应用标准)
目标:解决真实网络通信问题,推动互联网爆发式增长。
核心思想:实用主义优先,合并OSI中功能相近的层。
| 层级 | 名称 | 对应OSI层 | 核心协议 | 核心设备 |
|---|---|---|---|---|
| 4 | 应用层 | 应用层+表示层+会话层 | HTTP, FTP, SMTP, DNS, SSH, RTP | 主机(应用程序) |
| 3 | 传输层 | 传输层 | TCP(可靠), UDP(不可靠) | 主机(操作系统) |
| 2 | 网络层(网际层) | 网络层 | IP, ICMP, ARP, IPSec | 路由器 |
| 1 | 网络接口层 | 数据链路层+物理层 | Ethernet, Wi-Fi, PPP, MAC, FDDI | 交换机, 网卡 |
关键特性:
- 端到端原则(End-to-End Principle):
智能功能(如可靠传输)放在终端(传输层/应用层),网络核心(IP层)保持简单高效。 - IP核心地位:
IP协议实现全球互联,所有设备通过IP地址标识。 - 灵活传输层:
TCP提供可靠连接(如网页浏览),UDP提供高效无连接服务(如视频流)。
三、OSI vs TCP/IP 核心区别
| 特性 | OSI七层模型 | TCP/IP四层模型 |
|---|---|---|
| 起源 | 国际标准化组织(ISO)理论设计 | 美国国防部ARPANET实践演化而来 |
| 目标 | 通用标准,强调严格分层 | 解决实际问题,允许跨层优化 |
| 层级数量 | 7层(严格分离会话/表示层) | 4层(合并应用相关功能) |
| 实际影响力 | 理论指导(教学、故障分析框架) | 互联网事实标准(所有设备支持) |
| 协议绑定 | 未强制绑定具体协议 | 与TCP/IP协议栈深度绑定 |
| 会话管理 | 明确会话层独立处理 | 会话由应用层或传输层管理(如TCP连接) |
四、关键协议详解
1. 传输层协议
-
TCP (Transmission Control Protocol)
- 可靠传输:三次握手建立连接,四次挥手断开连接。
- 有序交付:通过序列号/确认号保证数据顺序。
- 流量控制:滑动窗口机制(基于接收方能力)。
- 拥塞控制:慢启动、拥塞避免、快速重传/恢复。
-
UDP (User Datagram Protocol)
- 无连接:无需建立连接,直接发送数据。
- 不可靠:不保证数据到达或顺序。
- 轻量高效:头部仅8字节(TCP至少20字节)。
- 适用场景:实时音视频、DNS查询、游戏数据包。
2. 网络层协议
- IP (Internet Protocol)
- 无连接:每个数据包独立路由。
- 寻址:通过IP地址(IPv4 32位 / IPv6 128位)定位主机。
- 分片重组:将大数据包分割以适应底层MTU(如以太网MTU=1500字节)。
- ICMP (Internet Control Message Protocol)
- 网络诊断:
ping(测试连通性)、traceroute(路径跟踪)。
- 网络诊断:
- ARP (Address Resolution Protocol)
- 地址解析:根据IP地址查询MAC地址(局域网内)。
五、数据封装流程(以发送HTTP请求为例)
- 应用层:生成HTTP请求(
GET /index.html)
→ 封装为 HTTP报文 - 传输层:添加TCP头部(源端口+目的端口)
→ 封装为 TCP段 - 网络层:添加IP头部(源IP+目的IP)
→ 封装为 IP包 - 网络接口层:
- 添加MAC头部(源MAC+目的MAC)
- 添加帧尾(CRC校验码)
→ 封装为 以太网帧
- 物理层:转换为比特流通过网线/光纤传输
✅ 解封装:接收端反向逐层剥离头部,最终将数据交付给目标应用程序。
六、为什么实际网络更多采用TCP/IP模型?
- 历史成功:互联网基于TCP/IP构建,所有设备默认支持。
- 简化设计:合并会话/表示层到应用层,符合大多数应用实现方式(如HTTP自带加密/会话管理)。
- 跨层优化:允许协议栈灵活交互(如OSPF直接运行在IP上,跳过传输层)。
- 生态成熟:DNS、HTTP、BGP等核心协议均属于TCP/IP体系。
总结图示
OSI七层模型(理论框架) TCP/IP四层模型(实际标准)
┌───────────────────┐ ┌───────────────────┐
│ 7. 应用层 │ │ │
│ 6. 表示层 ├───────►│ 应用层 │
│ 5. 会话层 │ │ │
├───────────────────┤ ├───────────────────┤
│ 4. 传输层 ├───────►│ 传输层 │
├───────────────────┤ ├───────────────────┤
│ 3. 网络层 ├───────►│ 网络层 │
├───────────────────┤ ├───────────────────┤
│ 2. 数据链路层 ├───────►│ │
│ 1. 物理层 │ │ 网络接口层 │
└───────────────────┘ └───────────────────┘
核心记忆点:
- 应用数据 始于应用层,终于应用层。
- IP协议 是互联网的“邮政系统”,负责全局寻址。
- TCP/UDP 是“快递公司”,TCP提供精准服务,UDP提供廉价速递。
- 物理设备:路由器看IP地址(网络层),交换机看MAC地址(数据链路层)。
2. TCP和UDP的主要区别是什么?
解析:
-
TCP(传输控制协议):
- 面向连接:在数据传输前,TCP需要通过三次握手建立连接。
- 可靠性:保证数据的顺序和完整性,丢包会自动重传。
- 流量控制:通过滑动窗口机制避免网络拥塞。
- 适用场景:用于对数据传输可靠性要求较高的应用,如HTTP、FTP、Email等。
-
UDP(用户数据报协议):
- 无连接:UDP不需要建立连接,数据可以立即发送。
- 不可靠性:UDP不保证数据的顺序和完整性,丢包不可恢复。
- 速度更快:因为没有连接的建立和流量控制,UDP的开销较小,适合实时应用。
- 适用场景:用于对传输速度要求较高,但对可靠性要求较低的应用,如VoIP、视频会议、DNS等。
3. IP地址的分类有哪些?
解析:
IP地址(Internet Protocol Address)用于唯一标识网络中的每个设备。IP地址可以分为5类:
- A类地址(1.0.0.0 ~ 127.255.255.255):网络号占8位,主机号占24位。适用于大规模网络,支持约1677万个主机。
- B类地址(128.0.0.0 ~ 191.255.255.255):网络号占16位,主机号占16位。适用于中等规模网络,支持约65万个主机。
- C类地址(192.0.0.0 ~ 223.255.255.255):网络号占24位,主机号占8位。适用于小规模网络,支持最多254个主机。
- D类地址(224.0.0.0 ~ 239.255.255.255):用于组播(Multicast)通信,不可分配给单个主机。
- E类地址(240.0.0.0 ~ 255.255.255.255):实验性地址,保留未用。
4. ARP协议的作用是什么?
解析:
ARP(地址解析协议)用于将网络层的IP地址映射到数据链路层的MAC地址。在局域网中,当一个设备需要向某个IP地址发送数据时,它需要知道目标设备的MAC地址。如果设备没有该信息,它会发送一个ARP请求到局域网,询问目标IP地址对应的MAC地址。拥有该IP地址的设备会回应ARP回复包,包含自己的MAC地址。
流程:
- 设备发送ARP请求:目标IP地址发送到局域网内的所有设备。
- 目标设备回应ARP回复:如果该IP地址存在,目标设备会发送其MAC地址。
- 发送方缓存该MAC地址并继续数据传输。
5. 什么是子网掩码?
解析:
子网掩码是用来划分IP地址的网络部分和主机部分的工具。通过与IP地址进行按位与操作,能够提取出网络地址。子网掩码由一串连续的1和0组成,1表示网络部分,0表示主机部分。
例如,IP地址 192.168.1.10 和子网掩码 255.255.255.0 进行按位与操作:
IP地址: 11000000.10101000.00000001.00001010
子网掩码: 11111111.11111111.11111111.00000000
网络地址: 11000000.10101000.00000001.00000000
网络地址为 192.168.1.0,这表示该地址所在的子网。
6. 路由表的作用是什么?
解析:
路由表是路由器用于确定数据包转发路径的数据结构。路由表存储了目标网络、子网掩码、下一跳地址等信息。路由器根据数据包的目标地址,查找路由表并选择最合适的路径进行转发。
路由表包含以下关键元素:
- 目标网络地址:目的地的网络地址。
- 子网掩码:用于匹配目标地址的子网掩码。
- 下一跳地址:数据包应该发送到的下一台路由器或最终目的地。
- 接口:用于发送数据包的物理或虚拟接口。
7. 什么是DNS?
解析:
DNS(域名系统)是将易于记忆的域名(如www.example.com)映射为IP地址(如192.168.1.1)的系统。由于人类更容易记住域名,而计算机通过IP地址来进行通信,DNS起到了桥梁的作用。DNS是一个分布式的系统,通常由多个层级的DNS服务器组成,包括根服务器、顶级域服务器、权威DNS服务器等。
流程:
- 客户端向本地DNS服务器发出域名解析请求。
- 如果本地DNS没有缓存结果,它会向上级DNS服务器发送请求,逐步查询根DNS、TLD DNS等。
- 最终,查询结果返回给客户端,并缓存一定时间以减少查询次数。
8. IP分片的过程是什么?
解析:
IP分片是在网络层中,当一个IP数据包的大小超过路径中的最小MTU(最大传输单元)时,数据包会被分割成多个较小的片段进行传输。每个片段都包含一个IP头,且每个片段都包括一个偏移量字段,以便接收端将这些片段重新组装成原始数据包。
分片过程:
- 检查MTU:发送方检查路径中的最大MTU,若数据包过大,则进行分片。
- 分片:将数据包按MTU大小分割成多个片段,生成多个IP包。
- 发送:分片数据包逐个发送,接收方收到后根据偏移量进行重组。
注意:分片会增加延迟和网络负载,因此在现代网络中,尽量避免使用分片。
9. 什么是NAT?
解析:
NAT(网络地址转换)是一种通过在路由器或防火墙上转换IP地址来实现内部网络与外部网络通信的技术。常见的应用场景是家庭或企业网络中的路由器,它将内部网络的私有IP地址转换为公网IP地址,从而实现多个设备共享一个公网IP地址的功能。
常见类型:
- 静态NAT:一一映射,将每个内部地址映射到固定的公网地址。
- 动态NAT:动态分配公网地址,通常为多个内部设备共享一个公网IP地址池。
- **端
口地址转换(PAT)**:也称为“NAPT”,多个内网设备共享一个公网IP地址,不同的端口号区分不同的会话。
10. TCP的三次握手和四次挥手过程是什么?
TCP 的 三次握手(Three-way Handshake) 和 四次挥手(Four-way Wavehand) 是建立和终止可靠连接的核心机制。下面从流程、状态变迁、底层原理到常见问题进行深度解析:
一、三次握手:建立连接(Client → Server)
核心目的:同步双方初始序列号(ISN),确保双方具备双向通信能力。
本质:通过交换SYN(Synchronize)和ACK(Acknowledge)标志位完成协商。
流程详解:
-
第一次握手(SYN):
- 客户端发送
SYN=1(请求建立连接),携带随机初始序列号Seq=client_isn。 - 客户端状态:
SYN_SENT(等待服务器确认)。
- 客户端发送
-
第二次握手(SYN + ACK):
- 服务器收到
SYN后:- 记录
client_isn,分配连接资源。 - 回复
SYN=1(同意建立连接) +ACK=1(确认客户端SYN)。 - 携带自己的初始序列号
Seq=server_isn和Ack=client_isn + 1(期待接收的下一个字节序号)。
- 记录
- 服务器状态:
SYN_RCVD(等待客户端确认)。
- 服务器收到
-
第三次握手(ACK):
- 客户端收到
SYN+ACK后:- 检查
Ack值是否为client_isn+1(验证合法性)。 - 发送
ACK=1(确认服务器的SYN),携带Seq=client_isn+1(初始序列号+1)和Ack=server_isn+1。
- 检查
- 双方状态:进入
ESTABLISHED(连接建立成功)。
- 客户端收到
关键问题解答:
-
为什么需要三次握手?
防止历史连接(Old Duplicate SYN)导致的资源浪费。
若只有两次握手:网络延迟的旧SYN到达服务器时,服务器直接分配资源并进入ESTABLISHED,但客户端会忽略该连接,导致服务器资源被占用(SYN Flood攻击利用此漏洞)。 -
初始序列号(ISN)为什么随机生成?
避免被黑客预测序列号,防止伪造数据注入(安全考虑)。
二、四次挥手:终止连接(双向关闭)
核心目的:安全关闭双向数据流(TCP是全双工协议,需独立关闭两个方向)。
本质:通过交换FIN(Finish)和ACK标志位逐步释放资源。
流程详解:
-
第一次挥手(FIN):
- 主动方(如Client)发送
FIN=1(请求终止连接),携带序列号Seq=u(等于已发送数据的最后一个字节序号+1)。 - 主动方状态:
ESTABLISHED→FIN_WAIT_1(等待对端ACK)。
- 主动方(如Client)发送
-
第二次挥手(ACK):
- 被动方(如Server)收到
FIN后:- 发送
ACK=1(确认收到FIN),携带Ack=u+1。 - 此时连接处于半关闭(Half-Close):主动方→被动方的数据通道关闭,但被动方仍可发送数据。
- 发送
- 被动方状态:
ESTABLISHED→CLOSE_WAIT(等待应用层调用close)。 - 主动方状态:
FIN_WAIT_1→FIN_WAIT_2(等待被动方的FIN)。
- 被动方(如Server)收到
-
第三次挥手(FIN):
- 被动方完成数据发送后,调用
close()发送FIN=1(请求关闭反向连接),携带序列号Seq=w。 - 被动方状态:
CLOSE_WAIT→LAST_ACK(等待主动方最后一个ACK)。
- 被动方完成数据发送后,调用
-
第四次挥手(ACK):
- 主动方收到
FIN后:- 发送
ACK=1(确认被动方的FIN),携带Ack=w+1。 - 进入
TIME_WAIT状态,等待 2MSL(Maximum Segment Lifetime)。
- 发送
- 被动方状态:收到ACK后立即进入
CLOSED(释放资源)。 - 主动方状态:2MSL超时后进入
CLOSED(释放资源)。
- 主动方收到
关键问题解答:
-
为什么需要四次挥手?
TCP 是全双工协议,必须独立关闭两个方向:
- 第一次挥手:关闭 Client→Server 的数据流。
- 第二次挥手:Server 确认收到关闭请求(但Server→Client仍可发送数据)。
- 第三次挥手:Server 关闭 Server→Client 的数据流。
- 第四次挥手:Client 确认双向关闭完成。
-
TIME_WAIT状态的作用是什么?- 确保被动方收到最后一个ACK:若ACK丢失,被动方会重发FIN,此时仍在
TIME_WAIT的主动方可重传ACK。 - 让旧连接的数据包在网络中消亡:等待2MSL(报文最大生存时间)确保网络中属于该连接的包全部消失,避免与新连接混淆。
- 确保被动方收到最后一个ACK:若ACK丢失,被动方会重发FIN,此时仍在
-
MSL通常设置为多少?Linux 默认 60秒(即
TIME_WAIT持续 120秒),可通过sysctl调整。 -
大量
TIME_WAIT连接如何优化?- 开启
SO_REUSEADDR选项:允许重用TIME_WAIT状态的端口。 - 缩短
TIME_WAIT时间(风险:可能影响连接可靠性)。 - 客户端使用连接池复用连接。
- 开启
三、核心状态机变迁
主动方(Client)状态流:
SYN_SENT → ESTABLISHED → FIN_WAIT_1 → FIN_WAIT_2 → TIME_WAIT → CLOSED
被动方(Server)状态流:
LISTEN → SYN_RCVD → ESTABLISHED → CLOSE_WAIT → LAST_ACK → CLOSED
四、异常场景处理
-
握手阶段丢包:
- SYN丢失:客户端超时重传(默认重试5次,间隔1s, 2s, 4s, 8s, 16s)。
- SYN+ACK丢失:服务器超时重传。
- 第三次ACK丢失:服务器处于
SYN_RCVD状态,超时后发送RST复位连接。
-
挥手阶段丢包:
- FIN丢失:主动方重传FIN(触发超时重传机制)。
- 最后一个ACK丢失:被动方在
LAST_ACK状态重传FIN,主动方在TIME_WAIT状态可重发ACK。
-
连接复位(RST):
- 收到无效报文(如端口未监听)时,立即发送
RST强制关闭连接。
- 收到无效报文(如端口未监听)时,立即发送
五、抓包实战(Wireshark示例)
三次握手:
No. Time Source Destination Protocol Info
1 0.000 192.168.1.2 192.168.1.3 TCP [SYN] Seq=0
2 0.025 192.168.1.3 192.168.1.2 TCP [SYN, ACK] Seq=0, Ack=1
3 0.050 192.168.1.2 192.168.1.3 TCP [ACK] Seq=1, Ack=1
四次挥手:
No. Time Source Destination Protocol Info
1 10.000 192.168.1.2 192.168.1.3 TCP [FIN, ACK] Seq=100, Ack=200
2 10.025 192.168.1.3 192.168.1.2 TCP [ACK] Seq=200, Ack=101
3 10.200 192.168.1.3 192.168.1.2 TCP [FIN, ACK] Seq=200, Ack=101
4 10.225 192.168.1.2 192.168.1.3 TCP [ACK] Seq=101, Ack=201
六、总结
| 阶段 | 核心动作 | 关键状态 | 必要性 |
|---|---|---|---|
| 三次握手 | 交换初始序列号(ISN) | SYN_SENT/SYN_RCVD | 防止历史连接和序列号同步 |
| 数据传输 | 滑动窗口 + 拥塞控制 | ESTABLISHED | 可靠高效传输数据 |
| 四次挥手 | 双向独立关闭数据流 | TIME_WAIT | 确保连接安全终止,处理丢包重传 |
核心原则:
- 三次握手 =
SYN→SYN+ACK→ACK - 四次挥手 =
FIN→ACK→FIN→ACK
理解这些机制,就能掌握 TCP 如何像电话系统一样:
- 拨号(握手):确认双方在线并准备好通话。
- 挂断(挥手):礼貌道别并确认对方已挂机。
11. TCP 和 HTTP的差异是什么?
TCP 和 HTTP 是计算机网络中两个根本不同层级的核心协议,它们的区别本质上是传输层与应用层的差异。下面从协议定位、功能特性到实际应用进行全面对比:
一、本质区别:协议层级与定位
| 维度 | TCP (Transmission Control Protocol) | HTTP (HyperText Transfer Protocol) |
|---|---|---|
| OSI层级 | 传输层(第4层) | 应用层(第7层) |
| TCP/IP模型 | 传输层 | 应用层 |
| 核心职责 | 端到端的可靠数据传输(建立连接、确保数据完整送达) | 定义数据内容的格式和交互规则(客户端-服务器通信语义) |
| 依赖关系 | 基于IP协议(网络层)运行 | 必须依赖TCP(或其他传输层协议) 才能传输数据 |
| 类比 | 快递公司(保证包裹从A到B完整送达) | 包裹内的说明书(规定包裹内容如何解读和使用) |
二、核心功能对比
1. TCP:可靠传输的“管道工”
- 连接管理:
- 通过三次握手建立连接,四次挥手断开连接。
- 维护连接状态(如
ESTABLISHED,TIME_WAIT)。
- 可靠性保障:
- 重传机制:丢失数据包时自动重传。
- 序列号与确认号:保证数据有序到达。
- 流量控制:滑动窗口机制(防止接收方缓冲区溢出)。
- 拥塞控制:慢启动、拥塞避免等算法(避免网络拥堵)。
- 无内容感知:
只传输原始字节流,不关心数据内容(可以是HTTP、FTP、SSH等任意应用层数据)。
2. HTTP:应用交互的“翻译官”
- 无连接性:
HTTP/1.1 前每次请求需新建TCP连接(HTTP/1.1 引入持久连接复用TCP通道)。 - 无状态性:
每个请求独立,需依赖 Cookies/Session 维持会话状态。 - 明确定义的语义:
- 请求方法:
GET(获取资源)、POST(提交数据)、PUT(更新资源)等。 - 状态码:
200 OK(成功)、404 Not Found(资源不存在)、500 Server Error(服务器错误)。
- 请求方法:
- 内容格式规范:
- 头部(Headers):描述数据属性(如
Content-Type: text/html)。 - 主体(Body):传输实际内容(HTML、JSON、图片等)。
- 头部(Headers):描述数据属性(如
- 安全性扩展:
HTTPS = HTTP + TLS/SSL(在TCP之上加密数据)。
三、工作流程对比
TCP 建立连接 → 传输数据 → 断开连接
HTTP 请求与响应(依赖TCP连接)
✅ 关键结论:HTTP 消息必须通过 TCP 连接传输,但 TCP 传输的不一定是 HTTP(可能是 FTP、SMTP 等)。
四、协议特性深度对比
| 特性 | TCP | HTTP |
|---|---|---|
| 连接性 | 面向连接(需握手建立) | 无连接(自身无连接概念,依赖下层TCP) |
| 状态管理 | 维护连接状态(序列号、窗口大小等) | 无状态(每个请求独立) |
| 数据格式 | 原始字节流(无结构) | 严格结构(请求行/状态行+头部+主体) |
| 传输对象 | 分段(Segment) | 报文(Message) |
| 端口号 | 需指定端口(如80用于HTTP) | 不涉及端口(由TCP层处理) |
| 安全性 | 明文传输(内容可被窃听) | HTTP明文,HTTPS通过TLS加密 |
| 典型应用 | 所有需要可靠传输的应用 | Web浏览器、API调用、资源传输 |
五、常见误区澄清
误区1:HTTP = TCP + HTTP?
✅ 正解:HTTP 消息通过 TCP 连接传输,但 TCP 的传输内容不限于 HTTP。
例如:FTP 也使用 TCP,但和 HTTP 是不同应用层协议。
误区2:HTTP 不能基于 UDP?
✅ 正解:HTTP/3 已基于 QUIC(运行在UDP上) 实现,规避 TCP 队头阻塞问题。
误区3:TCP 比 HTTP 更底层,所以更快?
✅ 正解:TCP 的可靠传输机制(如拥塞控制)可能增加延迟,HTTP 的设计(如请求头大小)也影响速度。性能需综合考量。
六、技术演进中的协作与变革
- HTTP/1.1:
- 引入持久连接(Keep-Alive),复用 TCP 连接,减少握手开销。
- HTTP/2:
- 多路复用、头部压缩,仍基于 TCP。
- HTTP/3:
- 弃用 TCP,改用 QUIC 协议(基于 UDP),解决队头阻塞问题,提升弱网性能。
📌 关键趋势:HTTP 正在向下层协议渗透,优化传输效率。
七、总结:核心区别图示
┌──────────────────────────┐ ┌──────────────────────────┐
│ 应用层 │ │ HTTP │
│ (定义数据语义与格式) │ │ (请求/响应、状态码、头部) │
├──────────────────────────┤ ├──────────────────────────┤
│ 传输层 │ │ TCP │
│ (确保数据可靠端到端传输) │ │ (连接管理、重传、流量控制) │
└──────────────────────────┘ └──────────────────────────┘
一句话记忆:
TCP 是“公路系统”(保证货物运输的可靠性),HTTP 是“货物订单规则”(定义货物如何打包、标签如何填写、如何处理损坏赔偿)。
没有公路,订单无法送达;没有订单,公路不知运送何物。两者协同,方能完成完整的Web服务。
12. 什么是ICMP协议?
解析:
ICMP(Internet Control Message Protocol,互联网控制消息协议)是网络层的协议,主要用于在网络中传递控制消息和诊断信息。它不是用来传送用户数据的,而是帮助路由器和主机报告网络问题和错误。
常见用途:
- Ping命令:ICMP的回显请求(Echo Request)和回显应答(Echo Reply)常用于检测目标主机是否可达。
- Traceroute命令:通过发送带有不同TTL(生存时间)值的ICMP报文来追踪数据包的路径。
常见ICMP类型:
- Type 0:回显应答(Echo Reply)
- Type 3:目标不可达(Destination Unreachable)
- Type 8:回显请求(Echo Request)
- Type 11:超时(Time Exceeded)
13. 什么是CIDR?
解析:
CIDR(无类域间路由选择)是一种IP地址的表示方法,它不再使用传统的A、B、C类IP地址,而是用斜线(/)后面跟数字表示网络的前缀长度。例如,192.168.1.0/24表示该网络地址使用24位作为网络部分,剩余的8位是主机部分。
CIDR提供了比传统IP类划分更灵活的IP地址分配方式,减少了IP地址浪费,改善了路由表的效率。
优点:
- 更灵活的地址划分,可以更精细地管理IP地址空间。
- 减少了路由表条目的数量,有助于优化路由选择。
14. MAC地址和IP地址有什么区别?
解析:
- MAC地址(介质访问控制地址):是硬件地址,通常是网卡在生产时由厂家设定的,全球唯一,用于局域网内的设备识别。MAC地址在数据链路层工作。
- IP地址(互联网协议地址):是网络层地址,用于识别网络中每台设备。IP地址可以是静态的(手动分配)或动态的(通过DHCP自动分配)。它可以根据子网划分分为不同的网络。
主要区别:
- 作用不同:MAC地址用于物理网络中识别设备,IP地址用于逻辑上识别网络中的设备。
- 唯一性:MAC地址是全球唯一的,而IP地址可能在不同的子网中重复使用。
15. VLAN的作用是什么?
解析:
VLAN(虚拟局域网)是一种通过逻辑划分局域网的技术,即使设备物理上连接在同一网络上,它们也可以通过VLAN进行隔离,从而提高网络的安全性和效率。
主要作用:
- 网络隔离:将同一物理网络划分为多个逻辑子网络,不同VLAN之间的设备默认无法直接通信。
- 提高安全性:通过划分VLAN,可以有效限制不同部门或用户之间的直接通信,从而提高网络安全性。
- 提高性能:通过减少广播风暴的范围,VLAN可以有效减少网络拥堵。
- 灵活管理:VLAN的划分可以基于设备的功能、部门或用户需求,而不仅仅是物理位置。
常见VLAN协议:
- 802.1Q:这是最常见的VLAN标记协议,允许一个物理端口同时属于多个VLAN。
16. TCP流量控制和拥塞控制的机制有哪些?
TCP的**流量控制(Flow Control)和拥塞控制(Congestion Control)**是确保网络可靠、高效传输数据的核心机制,两者目标不同但紧密协作。下面详细解析:
一、流量控制 (Flow Control)
目标:防止发送方发送数据过快,导致接收方缓冲区溢出。
核心机制:滑动窗口协议(Sliding Window Protocol)。
关键概念:
-
接收窗口(rwnd, Receive Window):
- 接收方通过TCP头部中的
Window Size字段告知发送方当前空闲的缓冲区大小(单位:字节)。 - 发送方需保证:
已发送但未确认的数据量 ≤ rwnd。
- 接收方通过TCP头部中的
-
滑动窗口原理:
- 发送窗口(Sending Window) =
min(拥塞窗口, 接收窗口)。 - 窗口内的数据允许被发送,窗口外的数据需等待。
- 当接收方确认部分数据后,窗口向前“滑动”,允许发送新数据。
- 发送窗口(Sending Window) =
工作流程:
- 接收方在ACK包中携带当前
rwnd值。 - 发送方根据
rwnd调整发送速率。 - 若
rwnd=0,发送方停止发送(零窗口),并启动**持续计时器(Persist Timer)**定期探测接收方窗口是否恢复。
解决零窗口死锁:
- 发送方收到
rwnd=0后,暂停发送。 - 持续计时器到期时,发送1字节探测报文。
- 接收方回应携带当前
rwnd的ACK,若缓冲区有空闲则恢复传输。
二、拥塞控制 (Congestion Control)
目标:避免网络因过量数据注入而瘫痪(路由器丢包、延迟激增)。
核心思想:动态调整发送速率,通过丢包或延迟增加判断网络拥塞。
四大核心算法:
-
慢启动(Slow Start)
- 目的:初始时试探网络可用带宽。
- 规则:
- 拥塞窗口
cwnd从1 MSS(Max Segment Size)开始。 - 每收到一个ACK,
cwnd增加1 MSS(指数增长:1, 2, 4, 8…)。
- 拥塞窗口
- 结束条件:
cwnd ≥ ssthresh(慢启动阈值,初始值通常较高)。- 发生丢包(超时或重复ACK)。
-
拥塞避免(Congestion Avoidance)
- 目的:接近网络容量时转为线性增长,避免拥塞。
- 规则:
- 每RTT(Round Trip Time)
cwnd增加1 MSS(加法增大:每ACK增加1/cwnd)。 - 增长公式:
cwnd = cwnd + 1/cwnd(每ACK)。
- 每RTT(Round Trip Time)
- 结束条件:检测到丢包。
-
快速重传(Fast Retransmit)
- 目的:尽快修复丢包,避免等待超时。
- 规则:
- 收到3个重复ACK时,立即重传丢失的报文段。
- 无需等待超时计时器。
-
快速恢复(Fast Recovery)
- 目的:避免因单次丢包大幅降低速率。
- 规则(经典TCP Tahoe/Reno实现):
- 触发条件:收到3个重复ACK(判断为单报文丢失)。
- 行为:
ssthresh = cwnd / 2cwnd = ssthresh + 3 MSS(每个重复ACK代表一个报文离开网络)。- 每收到一个重复ACK,
cwnd增加1 MSS。 - 收到新数据的ACK后,退出快速恢复,进入拥塞避免阶段。
拥塞控制的完整流程:
- 初始:
cwnd = 1 MSS,ssthresh= 初始值(如65535字节)。 - 慢启动:指数增长直至
cwnd ≥ ssthresh。 - 拥塞避免:线性增长直至检测到丢包。
- 丢包处理:
- 超时重传:认为网络严重拥塞 →
ssthresh = cwnd/2,cwnd = 1 MSS→ 重新慢启动。 - 3个重复ACK:触发快速重传 → 进入快速恢复 → 之后进入拥塞避免。
- 超时重传:认为网络严重拥塞 →
三、流量控制 vs 拥塞控制的区别
| 特性 | 流量控制 | 拥塞控制 |
|---|---|---|
| 目标 | 保护接收方缓冲区 | 保护网络整体稳定性 |
| 依据信号 | 接收方的rwnd | 网络丢包/延迟 |
| 控制窗口 | 接收窗口(rwnd) | 拥塞窗口(cwnd) |
| 最终发送窗口 | min(rwnd, cwnd) | 同上 |
| 主要机制 | 滑动窗口 + 零窗口探测 | AIMD(慢启动/拥塞避免) |
四、现代TCP的改进算法
- TCP BBR(Google):基于带宽和延迟估计动态调整速率,避免缓冲区膨胀。
- TCP CUBIC(Linux默认):使用三次函数调整
cwnd,在高带宽下更公平高效。 - PRR(Proportional Rate Reduction):在快速恢复阶段更精确控制重传速率。
关键总结
- 流量控制是端到端的接收能力保障,依赖
rwnd动态调整。 - 拥塞控制是全局性的网络保护,通过
cwnd响应网络状态。 - 实际发送速率由两者共同决定:
Send Rate = min(rwnd, cwnd)。 - TCP通过慢启动→拥塞避免→快速重传/恢复的闭环机制,实现高效公平的带宽利用。
17. 什么是窗口缩放选项?
解析:
在TCP协议中,窗口大小被用来控制流量。传统的TCP窗口大小最大为64KB(即16位窗口字段),这对于现代高速网络来说可能不够用。窗口缩放选项(Window Scaling)是TCP协议的一种扩展机制,通过使用选项字段,允许窗口大小最大可达到1GB(32位窗口字段)。
窗口缩放的工作原理:
- 在三次握手时,双方协商一个窗口缩放因子(Window Scale)。
- 每个数据包中的窗口大小会乘以这个缩放因子,允许更大的窗口大小。
- 这使得TCP可以更高效地使用带宽,特别是在高带宽和高延迟的网络中。
18. 什么是SYN Flood攻击?
解析:
SYN Flood是一种拒绝服务(DoS)攻击,攻击者通过发送大量伪造的SYN请求包(即连接请求),使目标服务器的连接表被填满。由于目标服务器并没有收到合法的确认请求,因此它会等待ACK包的到来,导致服务器资源被耗尽,无法处理正常用户的请求。
防御方式:
- SYN Cookies:一种防止SYN Flood攻击的技术,当服务器收到SYN包时,不立即分配资源,而是发送一个带有加密信息的SYN-ACK包。
- 增加连接超时:缩短连接的等待时间,及时清理未完成的连接。
- 防火墙或IDS/IPS系统:通过检测异常流量并进行过滤。
19. 什么是防火墙的工作原理?
解析:
防火墙是用来监控和控制进出网络流量的安全设备。它根据预定的规则来决定是否允许数据包通过,从而保护内部网络免受外部攻击和未授权访问。
工作原理:
- 包过滤:根据源IP地址、目标IP地址、端口号等信息,决定是否允许数据包通过。
- 状态检测:通过跟踪数据包的连接状态(如建立、终止、数据传输等),判断是否允许该连接。
- 代理模式:防火墙充当中介,代理客户端与服务器之间的通信,能够检查传输的数据内容。
- 深度包检查:检查数据包的内容,而不仅仅是头部信息,能够有效防止恶意代码通过。
防火墙的类型:
- 网络层防火墙(包过滤防火墙)
- 应用层防火墙(代理防火墙)
- 下一代防火墙(NGFW):结合了传统防火墙与入侵检测/防御、应用控制等功能。
20. IPV6和IPV4的主要区别是什么?
解析:
IPV6是对IPV4的升级,提供
了更广阔的地址空间,并且对网络效率、安全性等方面做了优化。
主要区别:
- 地址长度:IPV4地址为32位(约42亿个地址),而IPV6地址为128位,提供了几乎无限的地址空间。
- 地址表示:IPV4地址使用点分十进制(如
192.168.1.1),而IPV6地址使用冒号分隔的十六进制表示(如2001:0db8:85a3:0000:0000:8a2e:0370:7334)。 - 路由效率:IPV6具有更高效的路由和更小的路由表。
- 安全性:IPV6内置了IPSec(网络层加密和认证)来提高安全性,而IPV4需要额外配置。
- 自动配置:IPV6支持无状态地址自动配置(SLAAC),无需依赖DHCP。
21. 什么是链路状态路由协议?
解析:
链路状态路由协议(Link-State Routing Protocol)是一个基于网络拓扑信息的路由协议。与距离向量协议不同,链路状态协议通过每个路由器向其他路由器发送其链路状态信息,从而使每个路由器拥有网络拓扑的完整视图。这些信息被称为链路状态包(LSA)。
特点:
- 每个路由器通过广播链路状态信息到网络中的其他路由器。
- 路由器通过算法(如Dijkstra算法)计算最短路径。
- 每个路由器知道网络的整体结构,从而选择最佳路径。
常见协议:
- OSPF(开放最短路径优先):最广泛使用的链路状态协议。
- IS-IS(中间系统到中间系统):主要在大型ISP中使用。
优势:
- 更快的收敛时间(响应网络拓扑变化的速度)。
- 更适合大型网络,能够提供更精确的路由选择。
缺点:
- 消耗更多的网络带宽,因为每个路由器都必须传递自己的链路状态。
- 配置和管理相对复杂。
22. 什么是RIP协议?
解析:
RIP(路由信息协议)是一个距离向量路由协议,通过计算跳数(hop count)来选择最优路径。它是早期的IP路由协议之一,但因为其存在跳数限制(最大15跳)和收敛慢等缺点,逐渐被其他协议取代。
RIP的特点:
- 距离向量:每个路由器只知道到达其他路由的“跳数”,通过和邻居交换信息来更新路由表。
- 跳数限制:RIP的跳数限制为15跳,超过15跳的目标被认为不可达。
- 定期更新:RIP协议每30秒会交换路由信息,进行路由表的更新。
RIP版本:
- RIP v1:不支持子网掩码,属于无类路由协议。
- RIP v2:支持子网掩码、路由认证等功能,适合现代网络。
优势:
- 简单、易于配置。
- 不依赖于网络的拓扑结构。
缺点:
- 路由收敛较慢。
- 跳数限制适用于小型网络,不适合大型网络。
- 不支持更复杂的路由策略。
23. SNMP协议的作用是什么?
解析:
SNMP(简单网络管理协议)是一种用于网络设备(如路由器、交换机、服务器)管理和监控的协议。它使得网络管理员可以查询设备的状态、配置参数,并获取网络性能信息。
SNMP的工作原理:
- 管理站(Manager):负责从网络设备收集信息和发送管理命令。
- 代理(Agent):运行在网络设备上的程序,负责收集设备的信息并将其提供给管理站。
- MIB(管理信息库):定义设备可以被管理的信息项,如CPU使用率、内存利用率、接口状态等。
SNMP的版本:
- SNMPv1:最早的版本,支持基本的功能,但安全性较差。
- SNMPv2c:改进了性能,增加了支持更多的操作,但仍然缺乏加密机制。
- SNMPv3:增强了安全性,支持加密、认证等功能。
SNMP的作用:
- 网络设备的状态监控。
- 网络流量和带宽的管理。
- 设备配置和故障诊断。
24. 什么是BGP协议?
解析:
BGP(边界网关协议)是自治系统之间的路由协议,它是Internet的核心路由协议,负责在多个自治系统(AS)之间交换路由信息。BGP使用路径向量算法,基于路径(路径是由自治系统ID组成)选择最佳路由。
BGP的特点:
- 路径向量协议:BGP使用路径信息(由自治系统标识符组成)来判断路由。
- 策略性路由:BGP允许网络管理员基于各种策略选择路由(如路径、AS路径、优先级等)。
- 支持多协议:BGP不仅支持IP路由,还支持多种协议的路由(如MPLS)。
BGP的工作原理:
- 邻居关系:BGP使用TCP协议(端口号179)建立相邻路由器(邻居)之间的连接,交换路由信息。
- 路由传播:BGP通过交换路由公告和撤销路由来实现路径选择。
BGP的类型:
- eBGP(外部BGP):用于不同自治系统之间的路由。
- iBGP(内部BGP):用于同一自治系统内的路由。
优势:
- 支持广泛的策略控制和复杂的路由策略。
- 适合大型Internet环境。
缺点:
- 配置复杂。
- 路由收敛速度较慢。
25. 什么是DHCP协议?
解析:
DHCP(动态主机配置协议)是一种自动化的IP地址分配协议。DHCP服务器根据客户端的请求,动态地为客户端分配IP地址、子网掩码、网关、DNS等信息。
DHCP的工作原理:
- DHCP Discover:客户端发送DHCP Discover消息,寻找可用的DHCP服务器。
- DHCP Offer:DHCP服务器接收到请求后,发送DHCP Offer消息,包含IP地址和其他配置信息。
- DHCP Request:客户端选择一个DHCP服务器的Offer并回复DHCP Request,确认接受分配的IP地址。
- DHCP ACK:DHCP服务器确认并向客户端发送DHCP ACK,完成IP地址分配。
DHCP的优势:
- 自动化IP地址管理,减少人工配置。
- 支持动态更新,避免IP冲突。
- 支持设备的移动,方便设备重新连接网络。
常见问题:
- IP地址冲突:如果DHCP服务器无法有效管理IP地址池,可能导致地址冲突。
- DHCP攻击:恶意设备可能充当伪造的DHCP服务器,给客户端分配错误的配置。
26. 防火墙的工作模式有哪些?
解析:
防火墙根据其工作模式的不同,可以分为几种类型,每种类型的工作原理有所不同,适用于不同的网络环境和需求。
工作模式:
-
包过滤模式(Packet Filtering):
- 防火墙检查每个数据包的头部信息(如源IP、目标IP、端口号等),根据预定的规则判断是否允许通过。
- 优点:简单、高效。
- 缺点:无法检查数据包内容,容易被绕过。
-
状态检测模式(Stateful Inspection):
- 防火墙不仅检查数据包的头部信息,还会跟踪连接的状态,确保数据包符合会话的状态。
- 优点:比包过滤更加安全,可以防止伪造的连接。
- 缺点:需要维护状态表,对性能要求较高。
-
代理模式(Proxying):
- 防火墙充当中介,所有进出的请求都必须通过代理服务器。防火墙检查每个请求的内容,然后决定是否转发。
- 优点:能深入检查数据包内容,提供更强的安全性。
- 缺点:增加了网络延迟,配置复杂。
适用场景:
- 包过滤:适合对性能要求较高,但安全性要求较低的场景。
- 状态检测:适用于中等安全要求的企业网络。
- 代理:适用于需要严格控制数据流、需要深度包检查的高安全性场景。
27. NAT的端口映射有什么作用?
解析:
NAT(网络地址转换)端口映射,又称为端口转发(Port Forwarding),是将内网主机的某一端口映射到公网IP地址的端口上,从而使外部网络能够访问内网的某个服务。
端口映射的作用:
- 允许外部访问内网服务:例如,外部用户可以通过公网IP和指定的端口号访问内网的Web服务器。
- 多个内网设备共享公网IP:通过不同的端口号将多个内网设备的服务映射到同一个公网IP上,实现端口的复用。
- 解决NAT问题:通过端口映射,能够突破NAT带来的地址限制问题,确保内网服务对外可见。
应用场景:
- Web服务:将内网Web服务器的80端口映射到公网IP的8080端口。
- 游戏服务器:将内网的游戏服务器端口映射到公网IP,允许玩家通过公网IP访问游戏。
好的,非常抱歉之前的回答过于简略。接下来我将为您提供一份详尽、深入的解析,涵盖HTTPS、TLS握手和HTTP/3的核心原理和工作机制。
28. 详解 HTTPS
HTTPS 的本质是 HTTP over SSL/TLS。它不是在应用层创造一个新协议,而是在 HTTP 协议和 TCP 协议之间插入了一个安全层(TLS/SSL),为原本明文的 HTTP 通信提供加密、认证和完整性保护。
一、 核心解决的安全问题
- 保密性:通过对称加密防止窃听。传输的数据是密文,只有持有密钥的通信双方才能解密。
- 完整性:通过消息认证码 防止篡改。接收方可以验证数据在传输过程中是否被意外更改或恶意篡改。
- 认证性:通过数字证书和非对称加密 防止中间人攻击。客户端可以确认正在通信的服务端的真实身份,而不是一个冒充的服务器。
二、 工作流程与数据包结构
一次完整的 HTTPS 通信建立过程如下:
一个封装好的 HTTPS 数据包结构如下:
应用层数据 (HTTP) -> TLS 记录层协议 -> TCP -> IP -> Ethernet
- HTTP 数据:原始的 HTTP 请求或响应。
- TLS 处理:
- 分片:将数据分成不超过 16KB 的块。
- 压缩(已基本弃用):可选地压缩分片后的数据。
- 添加 MAC:计算数据的消息验证码,附加在数据后面,用于校验完整性。
- 加密:使用对称加密算法(如 AES)和协商好的会话密钥,对“数据+MAC”进行加密。
- 添加 TLS 头:加上内容类型、版本、长度等信息,形成一个完整的 TLS 记录。
- TCP/IP 处理:这个 TLS 记录被交给 TCP 层,被拆分成 TCP 段,加上 TCP 头。再交给 IP 层,加上 IP 头,最终通过网络传输。
对方收到数据后,执行完全相反的过程:解密 -> 验证 MAC -> 解压缩 -> 重组,最后将原始的 HTTP 数据交给应用层。
三、 关键组件详解
- 数字证书:服务器的“电子身份证”。由受信任的证书颁发机构签发,包含服务器公钥、域名、签发者等信息。其核心是 CA 的数字签名,客户端内置了信任 CA 的根证书,可以用它来验证服务器证书的真伪。
- 混合加密体系:
- 非对称加密:用于 TLS 握手阶段,安全地交换对称加密的密钥。常见算法:RSA, ECDSA。它加密解密速度慢,但能安全交换密钥。
- 对称加密:用于 加密传输数据。常见算法:AES, ChaCha20。它加密解密速度快,适合大数据量通信。
- 散列算法:用于确保完整性,生成消息认证码。常见算法:SHA256。
29. 详解 TLS 握手
TLS 握手是 HTTPS 安全性的基石,其核心目标是安全地协商出一个只有双方知道的“会话密钥”。
一、 TLS 1.2 握手过程(基于 RSA)
-
ClientHello- 客户端向服务器发送:客户端随机数、支持的 TLS 版本、支持的密码套件列表。
-
ServerHello- 服务器返回:服务器随机数、从客户端列表中选择的一个密码套件、它的数字证书。
-
证书验证与密钥交换
- 客户端验证服务器证书的有效性(是否过期、域名是否匹配、签发 CA 是否可信、签名是否有效)。
- 客户端生成第三个随机数,称为
Pre-Master Secret。 - 客户端用从服务器证书中提取的公钥加密
Pre-Master Secret,发送给服务器。
-
密钥派生
- 服务器用自己的私钥解密,得到
Pre-Master Secret。 - 此时,客户端和服务器共享三个随机数:Client Random, Server Random, Pre-Master Secret。
- 双方使用相同的密钥派生函数,根据这三个随机数,生成相同的主密钥,进而派生出后续通信使用的会话密钥和MAC 密钥。
- 服务器用自己的私钥解密,得到
-
握手完成
- 双方互相发送一条用会话密钥加密的
Finished消息,其中包含之前所有握手消息的摘要。对方解密并验证摘要,以确保整个握手过程未被篡改。
- 双方互相发送一条用会话密钥加密的
二、 TLS 1.3 的重大改进
TLS 1.3 极大地简化了握手,提升了速度和安全性。
- 密钥交换与算法协商合一:
ClientHello消息中就直接包含了密钥共享信息(例如客户端的 Diffie-Hellman 公钥参数),并支持更少的、更安全的密码套件。 - 1-RTT 模式:默认情况下的握手只需一次往返,速度更快。
ClientHello:客户端发送 DH 参数和支持的密码套件。ServerHello:服务器选择密码套件,发送自己的 DH 参数、证书和Finished消息。- 客户端和服务器在收到对方的 DH 参数后,可以立即计算出
Pre-Master Secret,而无需等待额外的消息。客户端在发送完自己的Finished后就可以立即发送加密的应用数据。
- 0-RTT 模式:对于之前连接过的服务器,客户端可以在第一个消息中就携带加密的应用数据,实现零往返延迟,但存在重放攻击的风险,通常只用于 GET 请求等非关键操作。
- 更强的安全性:完全移除了 RSA 密钥交换、静态 DH、SHA-1、AES-CBC 等不安全的算法和特性,强制使用前向安全。
3. 详解 HTTP/3
HTTP/3 是 HTTP 协议的第三个主要版本,它带来了革命性的变化:将底层传输协议从 TCP 改为基于 UDP 的 QUIC。
一、 为什么需要 HTTP/3?为了解决 TCP 的固有问题
-
队头阻塞
- TCP 是字节流协议,要求数据包按序到达。如果一个包丢失,后续所有包都必须等待重传,即使它们不属于同一个 HTTP 请求。
- HTTP/2 的多路复用 在 TCP 上加剧了这个问题。多个 HTTP 流共享一个 TCP 连接,一个 TCP 包丢失会阻塞所有 HTTP 流。
-
连接建立延迟
- 建立一个新的 TCP 连接需要三次握手。再加上 TLS 握手(TLS 1.2 需要两次往返),延迟很高。
-
连接迁移问题
- TCP 连接由四元组标识。当用户的手机网络从 WiFi 切换到 4G/5G(IP 地址改变)时,所有现有的 TCP 连接都会中断,需要重新建立。
二、 QUIC 协议的核心特性
HTTP/3 的核心是 QUIC,它在用户空间实现,位于 UDP 之上。
-
基于 UDP:绕过操作系统内核的 TCP 协议栈,使得协议迭代更快,避免了中间设备对 TCP 的僵化处理。
-
内置加密:QUIC 将加密和认证作为核心设计,握手总是加密的。即使是握手消息本身也被保护起来。
-
连接迁移:QUIC 使用一个唯一的 Connection ID 来标识连接,而不是四元组。即使网络发生变化,只要 Connection ID 不变,连接就可以继续。
-
解决队头阻塞:QUIC 在单个连接上实现了多个独立的流。每个流的数据帧在 UDP 数据报中独立传输和封装。一个流的包丢失只会影响该流,其他流不受任何影响。
-
更快的握手:QUIC 将传输和加密握手合并。
- 首次连接时,客户端发送第一个
ClientHello消息。 - 服务器回复时,既包含了加密参数,也包含了可以用于“0-RTT”的令牌。
- 因此,QUIC 的首次连接通常只需要 1-RTT(与 TLS 1.3 over TCP 类似),但重复连接可以实现 0-RTT,且 0-RTT 的安全性比 TLS 1.3 的 0-RTT 更高。
- 首次连接时,客户端发送第一个
三、 HTTP/3 协议栈
- 传统 HTTP/2 over TLS over TCP
- HTTP/2 -> TLS -> TCP -> IP
- HTTP/3 over QUIC
- HTTP/3 -> QUIC -> UDP -> IP
在 HTTP/3 中,原先在 HTTP/2 中的帧(Frames)和流(Streams)等概念被直接映射到了 QUIC 的流之上。QUIC 自己处理多路复用、丢包重传和拥塞控制。
四、 总结对比
| 特性 | HTTP/1.1 | HTTP/2 | HTTP/3 |
|---|---|---|---|
| 传输协议 | TCP | TCP | QUIC (over UDP) |
| 多路复用 | 否 | 是 | 是 |
| 队头阻塞 | 有 (连接级) | 有 (TCP 级) | 无 (流级) |
| 标头压缩 | 无 | HPACK | QPACK |
| 握手延迟 | 高 (TCP+TLS) | 高 (TCP+TLS) | 极低 (QUIC合并握手) |
| 连接迁移 | 否 | 否 | 是 |
结论
- HTTPS 是目标,它为 Web 提供了安全层。
- TLS 是实现 HTTPS 安全性的引擎,负责密钥协商和加密。
- HTTP/3 是下一代应用层协议,它通过用 QUIC 取代 TCP,不仅继承了 HTTPS 的所有安全特性(因为 QUIC 内置了 TLS 1.3),还从根本上解决了性能瓶颈问题,为 Web 提供了更快速、更稳健的连接。
扫一扫
4679
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
