吊打面试官:面试官问到三次握手,我甩出这张脑图,他服了!

2024-01-27 20:18

本文主要是介绍吊打面试官:面试官问到三次握手,我甩出这张脑图,他服了!,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

失业期间闲来无事,看了本《网络是怎样连接的》与两本HTTP相关的专栏。

一方面补充专业知识,另一方面也是为了跳槽面试做准备。

避免看了即忘,就画了一张XMind图:

 

吊打面试官:面试官问到三次握手,我甩出这张脑图,他服了!

 

值得深入的问题太多了,今儿就先来讲讲: Web中的几种“握手”

吊打面试官:面试官问到三次握手,我甩出这张脑图,他服了!

 

 

1. 不止一种握手

在早期的网络传输中,也就存在TCP协议需要“握手”的过程,但早期的协议有一个缺陷:通信只能由客户端发起,做不到服务器主动向客户端推送信息。

吊打面试官:面试官问到三次握手,我甩出这张脑图,他服了!

 

 

于是WebSocket 协议在2008年诞生,2011年成为国际标准。所有浏览器都已经支持了。

而随着SSL/TLS的完善,存在已久的安全版网络协议:HTTPS也是迸发式发展。

最后前端领域的协议握手便成了三分天下:

  1. TCP三次握手,归HTTP。
  2. TLS握手,归HTTPS
  3. WebSocket握手,基于TCP协议,都能用。

2. TCP三次握手的终极意义


就和大家一样,只在面试前会记得,过后即忘。

直到我看到《网络是怎样连接的》中的一段话:

在实际的通信中,序号并不是从 1 开始的,而是需要用随机数计算出一个初始值,这是因为 如果序号都从 1 开始,通信过程就会非常容易预测,有人会利用这一点来发动攻击。 但是如果初始值是随机的,那么对方就搞不清楚序号到底是从 多少开始计算的,因此需要在开始收发数据之前将初始值告知通信对象。

 

吊打面试官:面试官问到三次握手,我甩出这张脑图,他服了!

 

你品,你细品。三次握手不就是相互试探暗号,来确定是不是对的人吗?

 

2.1 知识补充:一个网络包的最大长度

计算每个网络包能容纳的数据长度,协议栈会根据一个叫作 MTU的参数来进行判断。

MTU表示一个网络包的最大长度,在以太网中一般是1500字节

MTU是包含头部的总长度,因此需要从MTU减去头部的长度,然后得到的长度就是一个网络包中所能容纳的最大数据长度,这一长度叫作MSS。

 

吊打面试官:面试官问到三次握手,我甩出这张脑图,他服了!

 

 

吊打面试官:面试官问到三次握手,我甩出这张脑图,他服了!

 

 

由上两图可知,MSS值是1460(1500-40)字节,其中:

  • TCP固定头部20字节。
  • IP固定头部20字节。
  • TCP头部最长可以达到60字节。

3. TLS握手:HTTPS的核心

吊打面试官:面试官问到三次握手,我甩出这张脑图,他服了!

 

HTTPS 其实是一个“非常简单”的协议,RFC 文档很小,只有短短的 7 页,里面规定了新的协议名“https”,默认端口号 443,至于其他的什么请求 - 应答模式、报文结构、请求方法、URI、头字段、连接管理等等都完全沿用 HTTP,没有任何新的东西。---- 《透视HTTP协议》

3.1 TLS/SSL究竟是啥?

 

吊打面试官:面试官问到三次握手,我甩出这张脑图,他服了!

 

 

很多人看到TLS/SSL这对词就开始蒙圈了。实际上,这两个东西是一个玩意儿:

 

吊打面试官:面试官问到三次握手,我甩出这张脑图,他服了!

 

 

1999 年改名:SSL 3 === TLS 1.0

目前运用最广泛的是TLS 1.2:

TLS 由记录协议、握手协议、警告协议、变更密码规范协议、扩展协议等几个子协议组成,综合使用了对称加密、非对称加密、身份认证等许多密码学前沿技术。

由于TLS/SSL 协议位于应用层和传输层 TCP 协议之间。TLS 粗略的划分又可以分为 2 层:

  1. 靠近应用层的握手协议 TLS Handshaking Protocols
  2. 靠近 TCP 的记录层协议 TLS Record Protocol

这个篇幅展开来写就太多了,我们先关心下TLS握手吧。

3.2 TLS握手详解

TLS握手何时发生?:

  1. 每当用户通过HTTPS导航到网站并且浏览器首先开始查询网站的原始服务器时,就会进行TLS握手。
  2. 每当其他任何通信使用HTTPS(包括API调用和HTTPS查询上的DNS)时,也会发生TLS握手。
  3. 通过TCP握手打开TCP连接后,会发生TLS 握手。

吊打面试官:面试官问到三次握手,我甩出这张脑图,他服了!

 

TLS握手期间会发生什么?

 

在TLS握手过程中,客户端和服务器将共同执行以下操作:

  • 指定将使用的TLS版本(TLS 1.0、1.2、1.3等)
  • 确定将使用哪些加密套件。
  • 通过服务器的公钥和SSL证书颁发机构的数字签名来验证服务器的身份
  • 握手完成后,生成会话密钥以使用对称加密

加密套件决定握手方式::在TLS中有两种主要的握手类型:一种基于RSA,一种基于Diffie-Hellman。 这两种握手类型的主要区别在于主秘钥交换和认证上。

吊打面试官:面试官问到三次握手,我甩出这张脑图,他服了!

 

主流的握手类型,基本都是基于RSA,所以以下讲解都基于RSA版握手。

整个流程如下图所示:

吊打面试官:面试官问到三次握手,我甩出这张脑图,他服了!

 

具体流程描述:

  1. 客户端hello:客户端通过向服务器发送“问候”消息来发起握手。该消息将包括客户端支持的TLS版本,支持的加密套件以及称为“客户端随机”的随机字节字符串。
  2. 服务器hello:为回复客户端hello消息,服务器发送一条消息,其中包含服务器的SSL证书,服务器选择的加密套件和“服务器随机数”,即服务器生成的另一个随机字节串。
  3. 客户端发送公钥加密的预主密钥。
  4. 服务器用自己的私钥解密加密的预主密钥。 客户端finished:客户端发送“完成”消息,该消息已用会话密钥加密。 服务器finished:服务器发送一条用会话密钥加密的“完成”消息。
  5. 握手完成,后续通过主密钥加解密。

只有加密套件,讲解的话需要有抓包基础。改天,改天我一定讲。。。

4. WebSocket握手

 

吊打面试官:面试官问到三次握手,我甩出这张脑图,他服了!

 

 

WebSocket协议实现起来相对简单。它使用HTTP协议进行初始握手。成功握手之后,就建立了连接,WebSocket基本上使用原始TCP读取/写入数据。

《图解HTTP》一书中的图讲的比较清楚:

吊打面试官:面试官问到三次握手,我甩出这张脑图,他服了!

 

具体步骤表现是:

  1. 客户端请求:
  GET /chat HTTP/1.1     
Host: server.example.com     
Upgrade: websocket     
Connection: Upgrade     
Sec-WebSocket-Key: x3JJHMbDL1EzLkh9GBhXDw==     
Sec-WebSocket-Protocol: chat, superchat     
Sec-WebSocket-Version: 13     
Origin: http://example.com
复制代码
  1. 服务端响应:
    HTTP/1.1 101 
Switching Protocols     
Upgrade: websocket     
Connection: Upgrade     
Sec-WebSocket-Accept: HSmrc0sMlYUkAGmm5OPpG2HaGWk=     
Sec-WebSocket-Protocol: chat
复制代码

4.1 Websocket全双工通信

Websocket协议解决了服务器与客户端全双工通信的问题。

那什么是单工、半双工、全双工通信?

吊打面试官:面试官问到三次握手,我甩出这张脑图,他服了!

 

4.2 Websocket和Socket区别

可以把WebSocket想象成HTTP应用层),HTTP和Socket什么关系,WebSocket和Socket就是什么关系。

1. WebSocket与HTTP的关系

相同点

  1. 都是一样基于TCP的,都是可靠性传输协议。
  2. 都是应用层协议。

不同点

  1. WebSocket是双向通信协议,模拟Socket协议,可以双向发送或接受信息。HTTP是单向的。
  2. WebSocket是需要握手进行建立连接的。

2. Socket是什么?

Socket是应用层与TCP/IP协议族通信的中间软件抽象层,它是一组接口。

在设计模式中,Socket其实就是一个门面模式,它把复杂的TCP/IP协议族隐藏在Socket接口后面,对用户来说,一组简单的接口就是全部,让Socket去组织数据,以符合指定的协议。

 

吊打面试官:面试官问到三次握手,我甩出这张脑图,他服了!

 


4.1 扩展知识:Socket.IO的七层降级

在Golang、Java Spring等框架中,websocket都有一套实现API。

吊打面试官:面试官问到三次握手,我甩出这张脑图,他服了!

 

 

Socket.IO 由两部分组成:

  1. 一个服务端用于集成 (或挂载) 到 Node.JS HTTP 服务器: socket.io
  2. 一个加载到浏览器中的客户端: socket.io-client

很多人以为Socket.IO只是WebSocket和XHR长轮询。

实际上,Socket.io有很多传输机制:

1. WebSockets 
2. FlashSocket 
3. XHR长轮询
4. XHR部分流:multipart/form-data
5. XHR轮询
6. JSONP轮询
7. iframe
复制代码

得益于这么多种传输机制,Socket.io兼容性完全不用担心。

5. 扩展:HTTPS 与HTTP 核心区别

上面讲到 Socket是什么?,有一点我忘了讲:

HTTPS 与HTTP 核心区别在于两点:

  1. 把 HTTP 下层的传输协议由 TCP/IP 换成了 SSL/TLS
  2. 收发报文不再使用 Socket API,而是调用专门的安全接口。

具体区别:

  1. HTTPS协议需要到CA申请证书,一般免费证书很少,需要交费。
  2. HTTP是超文本传输协议,信息是明文传输,HTTPS 则是具有安全性的ssl加密传输协议。
  3. HTTP和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
  4. HTTP的连接很简单,是无状态的。HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比HTTP协议安全。

这篇关于吊打面试官:面试官问到三次握手,我甩出这张脑图,他服了!的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/651371

相关文章

图解TCP三次握手|深度解析|为什么是三次

写在前面 这篇文章我们来讲解析 TCP三次握手。 TCP 报文段 传输控制块TCB:存储了每一个连接中的一些重要信息。比如TCP连接表,指向发送和接收缓冲的指针,指向重传队列的指针,当前的发送和接收序列等等。 我们再来看一下TCP报文段的组成结构 TCP 三次握手 过程 假设有一台客户端,B有一台服务器。最初两端的TCP进程都是处于CLOSED关闭状态,客户端A打开链接,服务器端

【吊打面试官系列-Redis面试题】说说 Redis 哈希槽的概念?

大家好,我是锋哥。今天分享关于 【说说 Redis 哈希槽的概念?】面试题,希望对大家有帮助; 说说 Redis 哈希槽的概念? Redis 集群没有使用一致性 hash,而是引入了哈希槽的概念,Redis 集群有 16384 个哈希槽,每个 key 通过 CRC16 校验后对 16384 取模来决定放置哪个槽, 集群的每个节点负责一部分 hash 槽。

面试官:synchronized的锁升级过程是怎样的?

大家好,我是大明哥,一个专注「死磕 Java」系列创作的硬核程序员。 回答 在 JDK 1.6之前,synchronized 是一个重量级、效率比较低下的锁,但是在JDK 1.6后,JVM 为了提高锁的获取与释放效,,对 synchronized 进行了优化,引入了偏向锁和轻量级锁,至此,锁的状态有四种,级别由低到高依次为:无锁、偏向锁、轻量级锁、重量级锁。 锁升级就是无锁 —>

【Unity面经】实习篇:面试官常问的一百个面试题

👨‍💻个人主页:@元宇宙-秩沅 👨‍💻 hallo 欢迎 点赞👍 收藏⭐ 留言📝 加关注✅! 👨‍💻 本文由 秩沅 原创 👨‍💻 专栏交流🧧🟥Unity100个实战基础✨🎁🟦 Unity100个精华一记✨🎁🟩 Unity50个demo案例教程✨🎁🟨 Unity100个精华细节BUG✨🎁🟨 Unity100个面试题✨🎁 文章

TCP三次握手详解!

TCP(Transmission Control Protocol) 传输控制协议 三次握手 TCP是主机对主机层的传输控制协议,提供可靠的连接服务,采用三次握手确认建立一个连接: 位码即tcp标志位,有6种标示:SYN(synchronous建立联机) ACK(acknowledgement 确认) PSH(push传送) FIN(finish结束) RST(reset重置) UR

作为面试官的一点点感悟,谈谈技术人的成长之路

因为工作上的原因,做过几次面试官,面试的同学有应届生,也有工作3-5年的老技术人。最近也频繁作为面试官帮助筛选候选人,中间有很多值得深思的东西,我记录了下来分享给大家。 以下观点仅为个人观点,不代表任何公司的立场。        01 面试不是简单的你问我答 一般来讲,作为面试官和候选人进行沟通的第一个问题是一般是自我介绍,整个自我介绍的情况应该控制在2分钟左右,阐述自己的教育背景,项目经历

触类旁通Elasticsearch之吊打同行系列:分析篇

点击上方蓝色字体,选择“设为星标” 回复”资源“获取更多资源 大数据技术与架构 点击右侧关注,大数据开发领域最强公众号! 大数据真好玩 点击右侧关注,大数据真好玩! 目录 一、什么是分析 二、分析文 三、分析API 四、分析器、分词器、分词过滤器 内置分析器分词器分词过滤器 五、N元语法、侧边N元语法、滑动窗口 六、IK中文分词插件 一、什么是分析 分析(analysis)是在文档被

触类旁通Elasticsearch之吊打同行系列:搜索篇

点击上方蓝色字体,选择“设为星标” 回复”资源“获取更多资源 大数据技术与架构 点击右侧关注,大数据开发领域最强公众号! 大数据真好玩 点击右侧关注,大数据真好玩! 目录 一、搜索请求的结构 1. 确定搜索范围 2. 搜索请求的基本模块 3. 基于请求主体的搜索请求 4. 回复的结构 二、查询和过滤器 1. match 2. term 3. query_string 三、复合查询 1.

【对线面试官】阿里面试经历,有些人走一步看一步就挂了

点击上方蓝色字体,选择“设为星标” 回复”资源“获取更多资源 这个其实说来就话长了。是小编曾经面试阿里妈妈的经历。 这次面试最终在HR面挂掉,以至于后面回忆起来,仍然是一桩美谈。 这次面试长达一个月之久,共经历了4轮技术面,1轮HR。前四轮面试过关斩将,简直开了挂一般,跟面试官正面对线,丝毫不虚。听我一一道来。 第一轮 第一面是电话面试,晚上10点半。我特么一脸问号?你们这是刚加完班吧?事实上我

【大数据哔哔集20210122】面试官问我HDFS丢不丢数据?我啪就把这个文章甩到他脸上

数据一致性 HDFS作为分布式文件系统在分布式环境下如何保证数据一致性。HDFS中,存储的文件将会被分成若干的大小一致的block分布式地存储在不同的机器上,需要NameNode节点来对这些数据进行管理,存储这些block的结点称为DataNode,NameNode是用来管理这些元数据的。 NameNode保证元数据的一致性 客户端上传文件时,NameNode首先往edits log文件