本文以Bmob后端云(www.bmob)為例,借助Bmob后端云,一周時間開發了一個藝術簽名的小軟件,簡單講述一下bmob提供api服務的流程,也就是使用該app的用戶發出一條請求的完整流程,全當科普。
首先,我們要了解請求包如下:
HTTP REQUEST:
響應包如下:
HTTP RESPONSE:
一次完整的http請求如下圖:
請求流程包括:
- 將域名解析為ip地址(DNS)
- 通過ip建立端到端的tcp連接(TCP/IP)
- 建立http連接(HTTP)
- http請求與響應
- 斷開連接
先詳細講講DNS解析請求,它包含如下過程:
- 本機DNS緩存(瀏覽器緩存、hosts文件)
- DNS代理發起DNS解析請求
- DNS遞歸/迭代查詢
- DNS代理返回查詢到的ip
DNS遞歸查詢如下圖:
DNS迭代查詢如下圖:
這里,就不得不談到令很多人聞聲色變又無可奈何的DNS攻擊(印象中,Bmob平臺還有我用過的好些平臺都受過惡意的攻擊,好在Bmob當時官方反應迅速,抵擋了一陣子,我的app沒有受太大影響)
DNS攻擊包括:
1.利用DNS服務器對目標服務器進行放大攻擊(偽造源IP+大量肉雞);
2.DNS緩存感染/本機DNS污染(利用某個DNS服務器的漏洞將某個惡意ip寫入緩存);
3.DNS信息劫持(本機與DNS服務器通訊時的劫持);
4.對頂級dns服務器ddos攻擊(2016 dyn github amazon);
5.其他
DNS放大攻擊如下圖:
那目前針對DNS的攻擊還沒有百分百的預防辦法,DNS攻擊的防御主要有兩個:
1.針對本機的攻擊,可使用cdn廠商ip安全加速功能;
2.DNS域名服務商被攻擊導致不可用的情況,可使用多個域名服務商。
回過來繼續講到TCP了,TCP的特點是可靠,自動糾錯、面向連接;它提供一個可靠的字節流保證數據完整、無損且按順序到達。適用場景包含HTTP、SSH、FTP等服務。
與TCP對應的是UDP,UDP的特點是:無連接、高效,但是不那么不可靠,它是一個“盡力傳遞”(best effort)或者說“不可靠”協議——不是因為它特別不可靠,而是因為它不檢查數據包是否已經到達目的地,并且不保證它們按順序到達。適用場景如:流媒體服務、DNS查詢等
TCP連接的建立與斷開如下圖:
OSI網絡模型,如圖:
TCP/IP協議族(典型的UDP封包流程):
對上邊的內容有所了解之后,我們知道bmob提供api服務的流程,也就是一條api請求的過程大致如下:
1.通過DNS獲取域名對應的ip (應用層 dns協議);
2.客戶端封裝HTTP請求報文data (應用層 http協議);
3.封裝TCP報文頭部及信息segment (傳輸層 tcp協議);
4.封裝IP報文頭部及信息packet (網絡層 ip協議);
5.封裝mac地址及鏈路信息frame (數據鏈路層);
6.將封裝好的數據以bit為單位傳輸 (物理層);
7.數據路由到達服務器之后反向層層解封;
8.最后服務器web server處理解封獲取的HTTP報文, 將響應數據以同樣1-7步驟返回給客戶端。
歡迎大家多交流!
