HTTP

HTTP ist verantwortlich für das Senden und Empfangen von HTML-Dokumenten (Hypertext Markup Language) - du weißt schon, eine Webseite. Ein großer Teil dessen, was wir im Internet sehen und tun, läuft über HTTP: Amazon-Einkäufe, Reddit-Posts und Tweets nutzen alle HTTP. Ein Client stellt eine HTTP-Anfrage an unseren minimalen Golang-Webserver aus Beispiel 1-1 und dieser sendet eine HTTP-Antwort mit dem Text "Hallo". Der Webserver läuft lokal in einer virtuellen Ubuntu-Maschine, um den kompletten TCP/IP-Stack zu testen.

package main

import (
	"fmt"
	"net/http"
)

func hello(w http.ResponseWriter, _ *http.Request) {
	fmt.Fprintf(w, "Hello")
}

func main() {
	http.HandleFunc("/", hello)
	http.ListenAndServe("0.0.0.0:8080", nil)
}

In unserer virtuellen Ubuntu-Maschine müssen wir unseren minimalen Webserver starten. Wenn du Golang lokal installiert hast, kannst du dies auch einfach ausführen:

go run web-server.go

Lass uns die Anfrage für jede Schicht des TPC/IP-Stacks aufschlüsseln.

cURL ist der anfordernde Client für unser HTTP-Anfragebeispiel. Normalerweise wäre der Client für eine Webseite ein Webbrowser, aber wir verwenden cURL, um die Befehlszeile zu vereinfachen und anzuzeigen.

In Beispiel 1-2 können wir jeden Teil der HTTP-Anfrage, die der cURL-Client stellt, und die Antwort sehen. Schauen wir uns an, was all diese Optionen und Ausgaben sind.

○ → curl localhost:8080 -vvv 
*   Trying ::1...
* TCP_NODELAY set
* Connected to localhost (::1) port 8080 
> GET / HTTP/1.1 
> Host: localhost:8080 
> User-Agent: curl/7.64.1 
> Accept: */* 
>
< HTTP/1.1 200 OK 
< Date: Sat, 25 Jul 2020 14:57:46 GMT 
< Content-Length: 5 
< Content-Type: text/plain; charset=utf-8 
<
* Connection #0 to host localhost left intact
Hello* Closing connection 0 

curl localhost:8080 -vvv ist der Befehl curl, der eine Verbindung zum lokal laufenden Webserver localhost am TCP-Port 8080 öffnet. -vvv stellt die Ausführlichkeit der Ausgabe ein, damit wir alles sehen können, was mit der Anfrage passiert. Außerdem weist TCP_NODELAY die TCP-Verbindung an, die Daten ohne Verzögerung zu senden, eine von vielen Optionen, die der Client einstellen kann.

Connected to localhost (::1) port 8080 Es hat funktioniert! cURL hat sich mit dem Webserver auf localhost und über Port 8080 verbunden.

Get / HTTP/1.1 HTTP hat mehrere Methoden, um Informationen abzurufen oder zu aktualisieren. In unserer Anfrage führen wir einen HTTP GET aus, um unsere "Hallo"-Antwort abzurufen. Der Schrägstrich ist der nächste Teil, ein Uniform Resource Locator (URL), der angibt, wohin wir die Client-Anfrage an den Server senden. Der letzte Teil dieses Headers ist die Version von HTTP, die der Server verwendet, nämlich 1.1.

Host: localhost:8080 HTTP hat mehrere Möglichkeiten, Informationen über die Anfrage zu senden. In unserer Anfrage hat der cURL-Prozess den HTTP-Host-Header gesetzt. Der Client und der Server können Informationen mit einer HTTP-Anfrage oder -Antwort übermitteln. Ein HTTP-Header enthält seinen Namen, gefolgt von einem Doppelpunkt (:) und dann seinen Wert.

User-Agent: cURL/7.64.1: Der User Agent ist eine Zeichenfolge, die das Computerprogramm angibt, das die HTTP-Anfrage im Namen des Endnutzers stellt; in unserem Zusammenhang ist es cURL. Diese Zeichenkette identifiziert oft den Browser, seine Versionsnummer und sein Host-Betriebssystem.

Accept: */* Header: Dieser Header teilt dem Webserver mit, welche Inhaltstypen der Client versteht. Tabelle 1-3 zeigt Beispiele für gängige Inhaltstypen, die gesendet werden können.

HTTP/1.1 200 OK Dies ist die Antwort des Servers auf unsere Anfrage. Der Server antwortet mit der HTTP-Version und dem Statuscode der Antwort. Es gibt mehrere mögliche Antworten des Servers. Ein Statuscode von 200 bedeutet, dass die Antwort erfolgreich war. 1XX steht für Informationen, 2XX für erfolgreich, 3XX für Weiterleitungen, 4XX Antworten weisen auf Probleme mit den Anfragen hin und 5XX bezieht sich im Allgemeinen auf Probleme mit dem Server.

Date: Sat, July 25, 2020, 14:57:46 GMT: Das Date Header-Feld gibt das Datum und die Uhrzeit an, zu der die Nachricht erstellt wurde. Der Absender generiert den Wert als ungefähres Datum und Uhrzeit der Nachrichtenerstellung.

Content-Length: 5: Der Content-Length Header gibt die Größe des Nachrichtentextes in Bytes an, der an den Empfänger gesendet wird; in unserem Fall ist die Nachricht 5 Bytes groß.

Content-Type: text/plain; charset=utf-8: Der Content-Type entity header wird verwendet, um den Medientyp der Ressource anzugeben. Unsere Antwort gibt an, dass es sich um eine reine Textdatei handelt, die in UTF-8 kodiert ist.

Hello* Closing connection 0: Damit wird die Antwort von unserem Webserver ausgedruckt und die HTTP Verbindung geschlossen.

Dies ist eine vereinfachte Ansicht, die bei jeder HTTP-Anfrage passiert. Heutzutage stellt eine einzige Webseite eine exorbitante Anzahl von Anfragen, wenn eine Seite geladen wird, und das in nur ein paar Sekunden! Dies ist ein kurzes Beispiel für Cluster-Administratoren, wie HTTP (und damit auch die Anwendungen der anderen sieben Schichten) funktionieren. Wir werden unser Wissen darüber erweitern, wie diese Anfrage auf jeder Schicht des TCP/IP-Stapels abgeschlossen wird und wie Kubernetes dieselben Anfragen abwickelt. All diese Daten werden auf Schicht 7 formatiert und Optionen festgelegt, aber die eigentliche Arbeit wird auf den unteren Schichten des TCP/IP-Stacks erledigt, die wir in den nächsten Abschnitten besprechen werden.

TCP

Wie bereits erwähnt, ist TCP ein verbindungsorientiertes, zuverlässiges Protokoll, das Flusskontrolle und Multiplexing bietet. TCP gilt als verbindungsorientiert, weil es den Verbindungsstatus während des gesamten Lebenszyklus der Verbindung verwaltet. Bei TCP wird die Flusskontrolle durch die Fenstergröße gesteuert, im Gegensatz zu UDP, das den Stau nicht steuert. Außerdem ist UDP unzuverlässig, und die Daten können außer der Reihe ankommen. Jeder Port identifiziert den Host-Prozess, der für die Verarbeitung der Informationen aus der Netzwerkkommunikation verantwortlich ist. TCP ist bekannt als ein Host-zu-Host-Schichtprotokoll. Um den Prozess auf dem Host, der für die Verbindung verantwortlich ist, zu identifizieren, kennzeichnet TCP die Segmente mit einer 16-Bit-Portnummer. HTTP Server verwenden den bekannten Port 80 für unsichere Kommunikation und 443 für sichere Kommunikation mit Transport Layer Security (TLS). Clients, die eine neue Verbindung anfordern, erstellen einen lokalen Quellport im Bereich von 0-65534.

Um zu verstehen, wie TCP das Multiplexing durchführt, schauen wir uns einen einfachen HTML-Seitenabruf an:

1. Gib in einem Webbrowser die Adresse einer Webseite ein.

2. Der Browser öffnet eine Verbindung, um die Seite zu übertragen.

3. Der Browser öffnet Verbindungen für jedes Bild auf der Seite.

4. Der Browser öffnet eine weitere Verbindung für das externe CSS.

5. Jede dieser Verbindungen verwendet einen anderen Satz von virtuellen Ports.

6. Alle Assets der Seite werden gleichzeitig heruntergeladen.

7. Der Browser rekonstruiert die Seite.

Schauen wir uns an, wie TCP das Multiplexing mit Hilfe der Informationen in den TCP-Segment-Headern verwaltet:

Source port (16 Bits)

Damit wird der sendende Port identifiziert.

Destination port (16 Bits)

Dies kennzeichnet den empfangenden Anschluss.

Sequence number (32 Bits)

Wenn das SYN-Flag gesetzt ist , ist dies die anfängliche Sequenznummer. Die Sequenznummer des ersten Datenbytes und die bestätigte Nummer in der entsprechenden ACK ist diese Sequenznummer plus 1. Sie wird auch verwendet, um die Daten wieder zusammenzusetzen, wenn sie nicht in der richtigen Reihenfolge ankommen.

Acknowledgment number (32 Bits)

Wenn das ACK Flag gesetzt ist, ist der Wert dieses Feldes die nächste Sequenznummer der ACK, die der Absender erwartet. Damit wird der Empfang aller vorangegangenen Bytes (falls vorhanden) bestätigt. Die erste ACK eines jeden Endes bestätigt die erste Sequenznummer des anderen Endes, aber es wurden noch keine Daten gesendet.

Data offset (4 Bits)

Hier wird die Größe des TCP-Headers in 32-Bit-Wörtern angegeben.

Reserved (3 Bits)

Dies ist für die zukünftige Verwendung von und sollte auf Null gesetzt werden.

Flags (9 Bits)

Es gibt neun 1-Bit-Felder, die für den TCP-Header definiert sind:

• NS-ECN-nonce: Tarnkappenschutz.

• CWR: Congestion Window Reduced (Überlastungsfenster reduziert); der Absender hat seine Übertragungsrate reduziert.

• ECE: ECN Echo; der Absender hat eine frühere Überlastungsmeldung erhalten.

• URG: Dringend; das Feld Urgent Pointer ist gültig, wird aber selten verwendet.

• ACK: Acknowledgment; das Feld Acknowledgment Number ist gültig und leuchtet immer, nachdem eine Verbindung hergestellt wurde.

• PSH: Push; der Empfänger sollte diese Daten so schnell wie möglich an die Anwendung weitergeben.

• RST: Zurücksetzen der Verbindung oder Verbindungsabbruch, normalerweise aufgrund eines Fehlers.

• SYN: Synchronisiere Sequenznummern, um eine Verbindung zu initiieren.

• FIN: Der Absender des Segments hat die Datenübertragung an seine Gegenstelle beendet.

Hinweis

Das NS-Bitfeld wird in RFC 3540, "Robust Explicit Congestion Notification (ECN) Signaling with Nonces" näher erläutert. Diese Spezifikation beschreibt einen optionalen Zusatz zu ECN, der die Robustheit gegen böswilliges oder versehentliches Verstecken von markierten Paketen verbessert.

Window size (16 Bits)

Dies ist die Größe des Empfangsfensters.

Checksum (16 Bits)

Das Feld Prüfsumme wird zur Fehlerprüfung des TCP-Headers verwendet.

Urgent pointer (16 Bits)

Dies ist ein Offset von der Sequenznummer, der das letzte dringende Datenbyte angibt.

Options

Variable 0-320 Bits, in Einheiten von 32 Bits.

Padding

Das TCP-Header Padding wird verwendet, um sicherzustellen, dass der TCP-Header an einer 32-Bit-Grenze endet und die Daten beginnen.

Data

Dies ist der Teil der Anwendungsdaten, die in diesem Segment gesendet werden.

In Abbildung 1-4 siehst du alle TCP-Segment-Header, die Metadaten über die TCP-Streams liefern.

Abbildung 1-4. TCP-Segmentkopf

Diese Felder helfen dabei, den Datenfluss von zwischen zwei Systemen zu verwalten. Abbildung 1-5 zeigt, wie jeder Schritt des TCP/IP-Stacks Daten von einer Anwendung auf einem Host durch ein Netzwerk sendet, das auf den Schichten 1 und 2 kommuniziert, um die Daten zum Zielhost zu bringen.

Abbildung 1-5. tcp/ip-Datenfluss

Im nächsten Abschnitt werden wir zeigen, wie TCP diese Felder verwendet, um eine Verbindung durch den Drei-Wege-Handshake zu initiieren.

TCP-Handshake

TCP verwendet ein Drei-Wege-Handshake, das in Abbildung 1-6 dargestellt ist, um eine Verbindung herzustellen, indem es unterwegs Informationen mit verschiedenen Optionen und Flags austauscht:

1. Der anfordernde Knoten sendet eine Verbindungsanfrage über ein SYN-Paket, um die Übertragung zu starten.

2. Wenn der empfangende Knoten den vom Absender angeforderten Port abhört, antwortet der empfangende Knoten mit einem SYN-ACK, um zu bestätigen, dass er den anfordernden Knoten gehört hat.

3. Der anfragende Knoten sendet ein ACK-Paket zurück, in dem er Informationen austauscht und mitteilt, dass die Knoten bereit sind, sich gegenseitig Informationen zu senden.

Abbildung 1-6. TCP Drei-Wege-Handshake

Jetzt ist die Verbindung hergestellt. Die Daten können über das physische Medium übertragen und zwischen den Netzwerken geroutet werden, um ihren Weg zum lokalen Ziel zu finden - aber woher weiß der Endpunkt, wie er die Informationen verarbeiten soll? Auf den lokalen und entfernten Hosts von wird ein Socket erstellt, um diese Verbindung zu verfolgen. Ein Socket ist nur ein logischer Endpunkt für die Kommunikation. InKapitel 2 werden wir besprechen, wie ein Linux-Client und -Server mit Sockets umgehen.

TCP ist ein zustandsbehaftetes Protokoll, das den Zustand der Verbindung während ihres gesamten Lebenszyklus verfolgt. Der Zustand der Verbindung hängt davon ab, dass sowohl der Sender als auch der Empfänger sich darüber einig sind, wo sie sich im Verbindungsfluss befinden. Der Verbindungsstatus gibt Auskunft darüber, wer Daten im TCP-Stream sendet und empfängt. TCP verfügt über einen komplexen Zustandsübergang, der mit Hilfe der 9-Bit-TCP-Flags im TCP-Segmentheader erklärt, wann und wo sich die Verbindung befindet, wie du in Abbildung 1-7 sehen kannst.

Die TCP-Verbindungszustände sind:

LISTEN (Server)

Steht für das Warten auf eine Verbindungsanfrage von einem beliebigen entfernten TCP und Port

SYN-SENT (Kunde)

Steht für das Warten auf eine passende Verbindungsanfrage nach dem Senden einer Verbindungsanfrage

SYN-RECEIVED (Server)

Steht für das Warten auf eine Bestätigung der Verbindungsanforderung, nachdem eine Verbindungsanforderung sowohl empfangen als auch gesendet wurde.

ESTABLISHED (sowohl Server als auch Client)

Stellt eine offene Verbindung dar; empfangene Daten können dem Nutzer zugestellt werden - der Zwischenzustand für die Datenübertragungsphase der Verbindung

FIN-WAIT-1 (sowohl Server als auch Client)

Steht für das Warten auf eine Verbindungsabbruchanforderung vom entfernten Host

FIN-WAIT-2 (sowohl Server als auch Client)

Steht für das Warten auf eine Verbindungsabbruchanforderung vom entfernten TCP

CLOSE-WAIT (sowohl Server als auch Client)

Steht für das Warten auf die Verbindungsabbruchanfrage eines lokalen Benutzers

CLOSING (sowohl Server als auch Client)

Steht für das Warten auf eine Bestätigung des Verbindungsabbruchs von der entfernten TCP

LAST-ACK (sowohl Server als auch Client)

Steht für das Warten auf eine Bestätigung der zuvor an den entfernten Host gesendeten Verbindungsabbruchanfrage

TIME-WAIT (entweder Server oder Client)

Stellt dar, dass genügend Zeit verstrichen ist, um sicherzustellen, dass der entfernte Host die Bestätigung seiner Verbindungsabbruchanfrage erhalten hat.

CLOSED (sowohl Server als auch Client)

Stellt überhaupt keinen Verbindungsstatus dar

Abbildung 1-7. TCP-Zustandsübergangsdiagramm

Beispiel 1-3 ist ein Beispiel für die TCP-Verbindungen eines Macs, ihren Status und die Adressen für beide Enden der Verbindung.

○ → netstat -ap TCP
Active internet connections (including servers)
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
tcp6       0      0  2607:fcc8:a205:c.53606 g2600-1407-2800-.https ESTABLISHED
tcp6       0      0  2607:fcc8:a205:c.53603 g2600-1408-5c00-.https ESTABLISHED
tcp4       0      0  192.168.0.17.53602     ec2-3-22-64-157..https ESTABLISHED
tcp6       0      0  2607:fcc8:a205:c.53600 g2600-1408-5c00-.https ESTABLISHED
tcp4       0      0  192.168.0.17.53598     164.196.102.34.b.https ESTABLISHED
tcp4       0      0  192.168.0.17.53597     server-99-84-217.https ESTABLISHED
tcp4       0      0  192.168.0.17.53596     151.101.194.137.https  ESTABLISHED
tcp4       0      0  192.168.0.17.53587     ec2-52-27-83-248.https ESTABLISHED
tcp6       0      0  2607:fcc8:a205:c.53586 iad23s61-in-x04..https ESTABLISHED
tcp6       0      0  2607:fcc8:a205:c.53542 iad23s61-in-x04..https ESTABLISHED
tcp4       0      0  192.168.0.17.53536     ec2-52-10-162-14.https ESTABLISHED
tcp4       0      0  192.168.0.17.53530     server-99-84-178.https ESTABLISHED
tcp4       0      0  192.168.0.17.53525     ec2-52-70-63-25..https ESTABLISHED
tcp6       0      0  2607:fcc8:a205:c.53480 upload-lb.eqiad..https ESTABLISHED
tcp6       0      0  2607:fcc8:a205:c.53477 text-lb.eqiad.wi.https ESTABLISHED
tcp4       0      0  192.168.0.17.53466     151.101.1.132.https    ESTABLISHED
tcp4       0      0  192.168.0.17.53420     ec2-52-0-84-183..https ESTABLISHED
tcp4       0      0  192.168.0.17.53410     192.168.0.18.8060      CLOSE_WAIT
tcp6       0      0  2607:fcc8:a205:c.53408 2600:1901:1:c36:.https ESTABLISHED
tcp4       0      0  192.168.0.17.53067     ec2-52-40-198-7..https ESTABLISHED
tcp4       0      0  192.168.0.17.53066     ec2-52-40-198-7..https ESTABLISHED
tcp4       0      0  192.168.0.17.53055     ec2-54-186-46-24.https ESTABLISHED
tcp4       0      0  localhost.16587        localhost.53029        ESTABLISHED
tcp4       0      0  localhost.53029        localhost.16587        ESTABLISHED
tcp46      0      0  *.16587                *.*                    LISTEN
tcp6      56      0  2607:fcc8:a205:c.56210 ord38s08-in-x0a..https CLOSE_WAIT
tcp6       0      0  2607:fcc8:a205:c.51699 2606:4700::6810:.https ESTABLISHED
tcp4       0      0  192.168.0.17.64407     do-77.lastpass.c.https ESTABLISHED
tcp4       0      0  192.168.0.17.64396     ec2-54-70-97-159.https ESTABLISHED
tcp4       0      0  192.168.0.17.60612     ac88393aca5853df.https ESTABLISHED
tcp4       0      0  192.168.0.17.58193     47.224.186.35.bc.https ESTABLISHED
tcp4       0      0  localhost.63342        *.*                    LISTEN
tcp4       0      0  localhost.6942         *.*                    LISTEN
tcp4       0      0  192.168.0.17.55273     ec2-50-16-251-20.https ESTABLISHED

Nachdem wir nun wissen, wie TCP Verbindungen aufbaut und verfolgt, wollen wir die HTTP-Anfrage für unseren Webserver auf der Transportschicht mit TCP überprüfen. Dazu verwenden wir ein Kommandozeilen-Tool namens tcpdump.

tcpdump

tcpdump gibt eine Beschreibung des Inhalts von Paketen auf einer Netzwerkschnittstelle aus, die mit dem booleschen Ausdruck übereinstimmt.

tcpdump man page

tcpdump ermöglicht es Administratoren und Benutzern, alle Pakete anzuzeigen, die auf dem System verarbeitet wurden, und sie anhand vieler TCP-Segment-Header-Details herauszufiltern. In der Anfrage filtern wir alle Pakete mit dem Zielport 8080 auf der Netzwerkschnittstelle mit der Bezeichnung lo0; das ist die lokale Loopback-Schnittstelle des Macs. Unser Webserver läuft auf 0.0.0.0:8080. Abbildung 1-8 zeigt , wo tcpdump Daten in Bezug auf den gesamten TCP/IP-Stack sammelt, zwischen dem Treiber der Netzwerkkarte (NIC) und der Schicht 2.

Abbildung 1-8. tcpdump packet capture

Das allgemeine Format einer tcpdump Ausgabe enthält die folgenden Felder: tos,TTL, id, offset, flags, proto, length, und options. Schauen wir uns diese an:

tos

Der Typ des Dienstfeldes.

TTL

Die Zeit zu leben; sie wird nicht gemeldet, wenn sie Null ist.

id

Das IP Identifikationsfeld.

offset

Das Fragment Offset-Feld; es wird gedruckt, ob dieses Teil eines fragmentierten Datagramms ist oder nicht.

flags

Das Flag DF, Don't Fragment, das anzeigt, dass das Paket für die Übertragung nicht fragmentiert werden kann. Wenn es nicht gesetzt ist, bedeutet es, dass das Paket fragmentiert werden kann. Das Flag MF, More Fragments, zeigt an, dass es Pakete gibt, die noch weitere Fragmente enthalten, und wenn es nicht gesetzt ist, bedeutet es, dass keine weiteren Fragmente übrig sind.

proto

Das Protokoll ID-Feld.

length

Das Feld für die Gesamtlänge .

options

Die IP Optionen.

Systeme, die Prüfsummen-Offloading unterstützen, und IP-, TCP- und UDP-Prüfsummen werden auf der NIC berechnet, bevor sie über die Leitung übertragen werden. Da wir eine tcpdump Paketerfassung vor der NIC durchführen, erscheinen Fehler wie cksum 0xfe34 (incorrect -> 0xb4c1) in der Ausgabe von Beispiel 1-4.

Um die Ausgabe für Beispiel 1-4 zu erzeugen, öffne ein anderes Terminal und starte einen tcpdump Trace auf dem Loopback nur für TCP und Port 8080; andernfalls wirst du eine Menge anderer Pakete sehen, die für unser Beispiel nicht relevant sind. Du musst mit erweiterten Rechten verwenden, um Pakete zu verfolgen, also in diesem Fall sudo.

○ → sudo tcpdump -i lo0 tcp port 8080 -vvv  

tcpdump: listening on lo0, link-type NULL (BSD loopback),
capture size 262144 bytes  

08:13:55.009899 localhost.50399 > localhost.http-alt: Flags [S],
cksum 0x0034 (incorrect -> 0x1bd9), seq 2784345138,
win 65535, options [mss 16324,nop,wscale 6,nop,nop,TS val 587364215 ecr 0,
sackOK,eol], length 0 

08:13:55.009997 localhost.http-alt > localhost.50399: Flags [S.],
cksum 0x0034 (incorrect -> 0xbe5a), seq 195606347,
ack 2784345139, win 65535, options [mss 16324,nop,wscale 6,nop,nop,
TS val 587364215 ecr 587364215,sackOK,eol], length 0  

08:13:55.010012 localhost.50399 > localhost.http-alt: Flags [.],
cksum 0x0028 (incorrect -> 0x1f58), seq 1, ack 1,
win 6371, options [nop,nop,TS val 587364215 ecr 587364215],
length 0  

v 08:13:55.010021 localhost.http-alt > localhost.50399: Flags [.],
cksum 0x0028 (incorrect -> 0x1f58), seq 1, ack
1, win 6371, options [nop,nop,TS val 587364215 ecr 587364215],
length 0  

08:13:55.010079 localhost.50399 > localhost.http-alt: Flags [P.],
cksum 0x0076 (incorrect -> 0x78b2), seq 1:79,
ack 1, win 6371, options [nop,nop,TS val 587364215 ecr 587364215],
length 78: HTTP, length: 78  
GET / HTTP/1.1
Host: localhost:8080
User-Agent: curl/7.64.1
Accept: */*
08:13:55.010102 localhost.http-alt > localhost.50399: Flags [.],
cksum 0x0028 (incorrect -> 0x1f0b), seq 1,
ack 79, win 6370, options [nop,nop,TS val 587364215 ecr 587364215],
length 0  

08:13:55.010198 localhost.http-alt > localhost.50399: Flags [P.],
cksum 0x00a1 (incorrect -> 0x05d7), seq 1:122,
ack 79, win 6370, options [nop,nop,TS val 587364215 ecr 587364215],
length 121: HTTP, length: 121  
HTTP/1.1 200 OK
Date: Wed, 19 Aug 2020 12:13:55 GMT
Content-Length: 5
Content-Type: text/plain; charset=utf-8
Hello[!http]

08:13:55.010219 localhost.50399 > localhost.http-alt: Flags [.], cksum 0x0028
(incorrect -> 0x1e93), seq 79,
ack 122, win 6369, options [nop,nop,TS val 587364215 ecr 587364215], length 0  

08:13:55.010324 localhost.50399 > localhost.http-alt: Flags [F.],
cksum 0x0028 (incorrect -> 0x1e92), seq 79,
ack 122, win 6369, options [nop,nop,TS val 587364215 ecr 587364215],
length 0  

08:13:55.010343 localhost.http-alt > localhost.50399: Flags [.],
cksum 0x0028 (incorrect -> 0x1e91), seq 122,
\ack 80, win 6370, options [nop,nop,TS val 587364215 ecr 587364215],
length 0  

08:13:55.010379 localhost.http-alt > localhost.50399: Flags [F.],
cksum 0x0028 (incorrect -> 0x1e90), seq 122,
ack 80, win 6370, options [nop,nop,TS val 587364215 ecr 587364215],
length 0  

08:13:55.010403 localhost.50399 > localhost.http-alt: Flags [.],
cksum 0x0028 (incorrect -> 0x1e91), seq 80, ack
123, win 6369, options [nop,nop,TS val 587364215 ecr 587364215],
length 0  

 12 packets captured, 12062 packets received by filter
 0 packets dropped by kernel.  

Dies ist der Anfang der tcpdump Sammlung mit ihrem Befehl und allen Optionen. Das Paket sudo erfasst die erforderlichen erweiterten Rechte. tcpdump ist die Binärdatei tcpdump. -i lo0 ist die Schnittstelle, von der wir Pakete erfassen wollen. dst port 8080 ist der passende Ausdruck, der auf der Manpage besprochen wurde; hier werden alle Pakete erfasst, die für den TCP-Port 8080 bestimmt sind, den Port, an dem der Webservice auf Anfragen lauscht. -v ist die Verbose-Option, mit der wir mehr Details der tcpdump Erfassung sehen können.

Feedback von tcpdump, das uns über den laufenden tcpdump Filter informiert.

Dies ist das erste Paket im TCP-Handshake. Wir können erkennen, dass es sich um SYN handelt, weil das Flags-Bit mit [S] gesetzt ist und die Sequenznummer von cURL auf 2784345138 gesetzt wird, wobei die Prozessnummer von localhost 50399 ist.

Das SYN-ACK-Paket ist dasjenige, das von tcpdump aus dem Prozess localhost.http-alt, dem Webserver von Golang, gefiltert wird. Das Flag ist auf [S.] gesetzt, also ist es ein SYN-ACK. Das Paket sendet 195606347 als nächste Sequenznummer, und ACK 2784345139 wird gesetzt, um das vorherige Paket zu bestätigen.

Das Bestätigungspaket von cURL wird nun mit gesetztem ACK-Flag [.] an den Server zurückgeschickt, wobei die ACK- und SYN-Nummern auf 1 gesetzt sind, was bedeutet, dass er bereit ist, Daten zu senden.

Die Bestätigungsnummer wird auf 1 gesetzt, um den Empfang des SYN-Flags des Kunden im Eröffnungsdaten-Push anzuzeigen.

Die TCP-Verbindung ist aufgebaut; sowohl der Client als auch der Server sind bereit für die Datenübertragung. Die nächsten Pakete sind unsere Datenübertragungen der HTTP-Anfrage mit dem Flag, das auf einen Daten-Push und ACK gesetzt ist, [P.]. Die vorherigen Pakete hatten eine Länge von Null, aber die HTTP-Anfrage ist 78 Byte lang und hat eine Sequenznummer von 1:79.

Der Server bestätigt den Empfang der Datenübertragung mit dem gesetzten ACK-Flag, [.], indem er die Bestätigungsnummer 79 sendet.

Dieses Paket ist die Antwort des HTTP-Servers auf die cURL-Anfrage. Das Daten-Push-Flag ist gesetzt, [P.], und es bestätigt das vorherige Paket mit einer ACK-Nummer von 79. Bei der Datenübertragung wird eine neue Sequenznummer gesetzt, 122, und die Datenlänge beträgt 121 Byte.

Der cURL-Client bestätigt den Empfang des Pakets mit dem gesetzten ACK-Flag, setzt die Bestätigungsnummer auf 122 und die Sequenznummer auf 79.

Der Beginn des Schließens der TCP-Verbindung, wobei der Client das FIN-ACK-Paket, das [F.], sendet, das den Empfang des vorherigen Pakets, Nummer 122, und eine neue Sequenznummer an 80 bestätigt.

Der Server erhöht die Bestätigungsnummer auf 80 und setzt das ACK-Flag.

TCP erfordert, dass sowohl der Sender als auch der Empfänger das FIN-Paket zum Schließen der Verbindung setzen. In diesem Paket werden die Flaggen FIN und ACK gesetzt.

Dies ist die letzte ACK vom Kunden mit der Bestätigungsnummer 123. Die Verbindung ist jetzt geschlossen.

tcpdump beim Beenden zeigt uns die Anzahl der Pakete in diesem Capture, die Gesamtzahl der Pakete, die während des tcpdump erfasst wurden, und wie viele Pakete vom Betriebssystem verworfen wurden.

tcpdump ist eine hervorragende Anwendung zur Fehlersuche für Netzwerktechniker und Cluster-Administratoren. Die Fähigkeit, die Konnektivität auf vielen Ebenen des Clusters und des Netzwerks zu überprüfen, ist eine wertvolle Fähigkeit. Du wirst in Kapitel 6 sehen, wie nützlich tcpdump sein kann.

Unser Beispiel war eine einfache HTTP-Anwendung, die TCP verwendet. Alle diese Daten wurden im Klartext über das Netzwerk gesendet. Während es sich bei diesem Beispiel um ein einfaches Hello World handelte, müssen andere Anfragen, wie z. B. die Anmeldung bei unserer Bank, abgesichert werden. Die Transportschicht bietet keinen Schutz für Daten, die über das Netzwerk übertragen werden. TLS fügt zusätzliche Sicherheit zu TCP hinzu. Darauf gehen wir in unserem nächsten Abschnitt ein.

TLS

TLS erweitert TCP um die Verschlüsselung . TLS ist ein Zusatz zur TCP/IP-Suite und wird nicht als Teil der Basisfunktion von TCP betrachtet. HTTP-Transaktionen können ohne TLS durchgeführt werden, sind aber nicht vor Abhörern auf der Leitung sicher. TLS ist eine Kombination von Protokollen, mit denen sichergestellt wird, dass der Datenverkehr zwischen dem Absender und dem vorgesehenen Empfänger sichtbar ist. Ähnlich wie TCP verwendet TLS einen Handshake, um die Verschlüsselungsmöglichkeiten festzustellen und Schlüssel für die Verschlüsselung auszutauschen. Die folgenden Schritte beschreiben den TLS-Handshake zwischen dem Client und dem Server, der auch in Abbildung 1-9 zu sehen ist:

1. ClientHello: Dies enthält die vom Client unterstützten Cipher Suites und eine Zufallszahl.

2. ServerHello: Diese Nachricht enthält die unterstützte Chiffre und eine Zufallszahl.

3. ServerZertifikat: Dies enthält das Zertifikat des Servers und den öffentlichen Schlüssel des Servers.

4. ServerHelloDone: Dies ist das Ende des ServerHello. Wenn der Client eine Anfrage für sein Zertifikat erhält, sendet er eine ClientCertificate-Nachricht.

5. ClientKeyExchange: Ausgehend von der Zufallszahl des Servers erzeugt unser Client ein zufälliges Premaster-Geheimnis, verschlüsselt es mit dem öffentlichen Schlüsselzertifikat des Servers und sendet es an den Server.

6. Schlüsselgenerierung: Der Client und der Server generieren ein Mastergeheimnis aus dem Premastergeheimnis und tauschen Zufallswerte aus.

7. ChangeCipherSpec: Jetzt tauschen der Client und der Server ihre ChangeCipherSpec aus, um die neuen Schlüssel für die Verschlüsselung zu verwenden.

8. Beendeter Client: Der Client sendet die Fertigmeldung, um zu bestätigen, dass der Schlüsselaustausch und die Authentifizierung erfolgreich waren.

9. Beendeter Server: Jetzt sendet der Server die Fertigmeldung an den Client, um den Handshake zu beenden.

Kubernetes-Anwendungen und -Komponenten verwalten TLS für Entwickler, daher ist eine grundlegende Einführung erforderlich; in Kapitel 5 erfährst du mehr über TLS und Kubernetes.

Wie wir mit unserem Webserver cURL und tcpdump gezeigt haben, ist TCP ein zustandsabhängiges und zuverlässiges Protokoll für die Datenübertragung zwischen Hosts. Durch die Verwendung von Flags in Verbindung mit dem Sequenz- und Bestätigungsnummerntanz werden Tausende von Nachrichten über unzuverlässige Netzwerke auf der ganzen Welt übertragen. Diese Zuverlässigkeit hat jedoch ihren Preis. Von den 12 Paketen, die wir eingestellt haben, waren nur zwei echte Datenübertragungen. Für Anwendungen, die keine Zuverlässigkeit benötigen, wie z. B. Sprachübertragungen, bietet der Overhead von UDP eine Alternative. Da wir nun wissen, wie TCP als zuverlässiges verbindungsorientiertes Protokoll funktioniert, wollen wir uns ansehen, wie sich UDP von TCP unterscheidet.

Abbildung 1-9. TLS-Handshake

Das Netzwerk erkunden

Die Pakete sind adressiert und die Daten können gesendet werden, aber wie kommen die Pakete von unserem Host in unserem Netzwerk zu dem Ziel in einem anderen Netzwerk am anderen Ende der Welt? Das ist die Aufgabe des Routings. Es gibt verschiedene Routing-Protokolle, aber das Internet setzt auf das Border Gateway Protocol (BGP), ein dynamisches Routing-Protokoll, das dafür sorgt, dass die Pakete zwischen den Kanten-Routern im Internet weitergeleitet werden. Es ist für uns relevant, weil einige Kubernetes-Netzwerkimplementierungen BGP nutzen, um den Cluster-Netzwerkverkehr zwischen den Knoten zu routen. Zwischen den einzelnen Knoten in den einzelnen Netzwerken gibt es eine Reihe von Routern.

Wenn wir uns die Karte des Internets in Abbildung 1-1 ansehen, wird jedem Netzwerk im Internet eine autonome BGP-Systemnummer (ASN) zugewiesen, um eine einzelne administrative Einheit oder Gesellschaft zu bezeichnen, die eine gemeinsame und klar definierte Routing-Politik im Internet vertritt. BGP und ASNs ermöglichen es Netzwerkadministratoren, die Kontrolle über das Routing ihres internen Netzwerks zu behalten und gleichzeitig ihre Routen im Internet anzukündigen und zusammenzufassen. In Tabelle 1-5 sind die verfügbaren ASNs aufgeführt, die von IANA und anderen regionalen Stellen verwaltet werden.¹

In Abbildung 1-16 haben wir fünf ASNs, 100-500. Ein Host auf 130.10.1.200 möchte einen Host erreichen, der auf 150.10.2.300 liegt. Sobald der lokale Router oder das Standardgateway für den Host 130.10.1.200 das Paket erhält, sucht er nach der Schnittstelle und dem Pfad für 150.10.2.300, die BGP für diese Route ermittelt hat.

Abbildung 1-16. BGP-Routing-Beispiel

Anhand der Routing-Tabelle in Abbildung 1-17 hat der Router für AS 100 festgestellt, dass das Paket zu AS 300 gehört und der bevorzugte Weg über die Schnittstelle 140.10.1.1 führt. Dies wird auf AS 200 so lange wiederholt, bis der lokale Router für 150.10.2.300 auf AS 300 das Paket empfängt. Der Ablauf wird in Abbildung 1-6 beschrieben, die den TCP/IP-Datenfluss zwischen Netzwerken zeigt. Grundlegende Kenntnisse über BGP sind erforderlich, da einige Container-Netzwerkprojekte wie Calico BGP für das Routing zwischen den Knotenpunkten nutzen; mehr dazu erfährst du in Kapitel 3.

Abbildung 1-17. Lokale Routing-Tabelle

Abbildung 1-17 zeigt eine lokale Routentabelle. In der Routentabelle ist zu erkennen, dass die Schnittstelle, über die ein Paket gesendet wird, auf der IP-Adresse des Ziels basiert. Zum Beispiel wird ein Paket, das für 192.168.1.153 bestimmt ist, über das Gateway link#11 gesendet, das lokal im Netzwerk liegt und kein Routing benötigt. 192.168.1.254 ist der Router in dem Netzwerk, das mit unserer Internetverbindung verbunden ist. Wenn das Zielnetzwerk unbekannt ist, wird es über die Standardroute gesendet.

Router kommunizieren ständig über das Internet, tauschen Routeninformationen aus und informieren sich gegenseitig über Änderungen in ihren jeweiligen Netzwerken. BGP kümmert sich um einen Großteil dieses Datenaustauschs, aber Netzwerkingenieure und Systemadministratoren können das ICMP-Protokoll und die ping Befehlszeilentools verwenden, um die Konnektivität zwischen Hosts und Routern zu testen.

ICMP

ping ist ein Netzwerk Dienstprogramm, das ICMP verwendet, um die Konnektivität zwischen Hosts im Netzwerk zu testen. In Beispiel 1-6 sehen wir einen erfolgreichen ping Test an 192.168.1.2, bei dem fünf Pakete alle eine ICMP Echo-Antwort zurückgeben.

○ → ping 192.168.1.2 -c 5
PING 192.168.1.2 (192.168.1.2): 56 data bytes
64 bytes from 192.168.1.2: icmp_seq=0 ttl=64 time=0.052 ms
64 bytes from 192.168.1.2: icmp_seq=1 ttl=64 time=0.089 ms
64 bytes from 192.168.1.2: icmp_seq=2 ttl=64 time=0.142 ms
64 bytes from 192.168.1.2: icmp_seq=3 ttl=64 time=0.050 ms
64 bytes from 192.168.1.2: icmp_seq=4 ttl=64 time=0.050 ms
--- 192.168.1.2 ping statistics ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.050/0.077/0.142/0.036 ms

Beispiel 1-7 zeigt einen fehlgeschlagenen Ping-Versuch, der beim Versuch, den Host 1.2.3.4 zu erreichen, eine Zeitüberschreitung verursacht. Router und Administratoren nutzen ping, um Verbindungen zu testen, und es ist auch nützlich, um die Konnektivität von Containern zu testen. Mehr dazu erfährst du in den Kapiteln 2 und 3, wenn wir unseren minimalen Golang-Webserver in einem Container und einem Pod einrichten.

○ → ping 1.2.3.4 -c 4
PING 1.2.3.4 (1.2.3.4): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
--- 1.2.3.4 ping statistics ---
4 packets transmitted, 0 packets received, 100.0% packet loss

Wie bei TCP und UDP gibt es Header, Daten und Optionen in ICMP-Paketen; sie werden hier besprochen und inAbbildung 1-18 dargestellt:

Type

ICMP-Typ.

Code

ICMP-Subtyp.

Checksum

Internet Prüfsumme zur Fehlerprüfung, die aus dem ICMP-Header und den Daten mit dem Wert 0 berechnet wird, ersetzt dieses Feld.

Rest of Header (4-Byte-Feld)

Der Inhalt hängt vom ICMP-Typ und -Code ab.

Data

ICMP-Fehlermeldungen enthalten einen Datenteil, der eine Kopie des gesamten IPv4-Headers enthält.

Abbildung 1-18. ICMP-Header

Der Wert kennzeichnet Kontrollmeldungen im Feld Type. Das Feld code enthält zusätzliche Kontextinformationen für die Nachricht. Einige Standard-ICMP-Typnummern findest du in Tabelle 1-6.

Jetzt, da unsere Pakete wissen, in welche Netzwerke sie gesendet werden, ist es an der Zeit, diese Datenanforderung physisch über das Netzwerk zu senden; dafür ist die Verbindungsschicht zuständig.