http connection lifecycle

技術面接などでよく聞かれる質問は、ブラウザに URL を入力するとどうなりますか?というものです。 Web サイトを閲覧するときに舞台裏で何が起こっているのでしょうか?一般的な HTTP 接続のライフサイクルには何が必要ですか?私の知る限りこれらの質問にお答えします。

接続プロセスに入る前に、基本的な OSI モデル (Open Systems Interconnection モデル) について説明します。 OSI モデルは、2 つのシステム間の通信を標準化する概念モデルです。1 つはリクエストを送信するシステム (クライアント) で、もう 1 つはリクエストを処理して応答を返すシステム (サーバー) です。以下の表は、各レイヤーの重要な特性の一部を示しています。

ブラウザに URL を入力して Enter/Return キーを押すとすぐに、ブラウザ (またはさらに言えばクライアント) は URL [1] を解析して重要なコンポーネントを抽出します。 URL の例を以下に示します。

https://www.google.com/search?q=cats

ここでは、Google で猫を検索しています。上記の URL から、 https://はプロトコル、 google.comはwww (インターネット) のホスト、 /searchはパス パラメーター、 ?q=cats Google に猫をクエリしていることを示すクエリ文字列パラメーターです [ 2]。

ブラウザはアクセスしようとしているホスト (この場合はgoogle.comを認識しているため、対応する IP アドレスを取得しようとします。 「 .com 」や「 .org 」などのドメインは、私たちが覚えやすいように作成されました。ただし、ブラウザが実際のリクエストをたとえば google.com に送信するには、ホストの IP アドレスが必要です。 DNS 解決は、特定のドメイン名の IP アドレス情報を取得するのに役立ちます。 DNS は、上の表のアプリケーション層 (L7) に存在します。

DNS 解決の手順:

• ブラウザはまずローカル ブラウザ キャッシュをチェックして、ドメイン名と IP アドレスのマッピングがすでに存在するかどうかを確認します。 DNS のすべてのレコードには TTL 値があり、レコードは TTL 有効期限までキャッシュにのみ保持され、その後、レコードを再度フェッチする必要があります。
• レコードがブラウザのキャッシュに存在しない場合、DNS リゾルバーはオペレーティング システム レベルのキャッシュをチェックします。オペレーティング システムは、そのマシン上の別のクライアント (ブラウザなど) によって最近サーフィンされた Web サイト用の独自の DNS 解決キャッシュを保持します。ローカル コンピューターでは、Windows のコマンド$ ipconfig /displaydnsまたは Mac/Linux の$ log stream --predicate 'process == "mDNSResponder"' --infoを使用して、DNS キャッシュを確認できます。
• レコードが OS キャッシュにない場合は、インターネット サービス プロバイダー (ISP) が管理するキャッシュに DNS レコードが存在するかどうかがチェックされます。
• ISP レベルのキャッシュにもレコードが存在しない場合は、インターネット経由で DNS サーバーにクエリが行われます。この場合、クエリはローカル ネットワークの外部にルーティングされるため、以下で説明するように、ARP (および NATting) のプロセスと実際のネットワーク ルーティングを通過する必要があります。 DNS クエリのタイプは、再帰的 (サーバーが答えを見つけるまで再帰的にクエリを実行する)、反復的 (最終的な答えではない可能性があるクエリに対して最適なホストを取得する)、または非再帰的 (DNS がすぐに返す答えを知っている場合) のいずれかのタイプにすることができます。 。クエリはポート 53 の UDP プロトコル経由で行われます。
  • クエリのタイプが再帰的である場合、DNS リゾルバーは最初にルート DNS サーバーにアクセスします。ルート サーバーは TLD ネーム サーバーの IP アドレスを返します。
  • ここで、クエリは TLD サーバー (トップ レベル ドメイン サーバー) に対して行われます。ここで、 .com 、 .orgなどはトップレベルのドメイン名です。 TLD 名は、権威ネーム サーバーの IP アドレスを返します。
  • 権威ネームサーバーは、ドメイン名に対応する IP アドレスを持ちます。

$ dig google.com

; << >> DiG 9.10.6 <<>> google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14345
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 9

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;google.com.                    IN      A

;; ANSWER SECTION:
google.com.             180     IN      A       172.217.164.174

;; AUTHORITY SECTION:
google.com.             60552   IN      NS      ns1.google.com.
google.com.             60552   IN      NS      ns2.google.com.
google.com.             60552   IN      NS      ns3.google.com.
google.com.             60552   IN      NS      ns4.google.com.

;; ADDITIONAL SECTION:
ns1.google.com.         60438   IN      A       216.239.32.10
ns1.google.com.         58273   IN      AAAA    2001:4860:4802:32::a
ns2.google.com.         60438   IN      A       216.239.34.10
ns2.google.com.         131763  IN      AAAA    2001:4860:4802:34::a
ns3.google.com.         163770  IN      A       216.239.36.10
ns3.google.com.         60541   IN      AAAA    2001:4860:4802:36::a
ns4.google.com.         75597   IN      A       216.239.38.10
ns4.google.com.         60541   IN      AAAA    2001:4860:4802:38::a

;; Query time: 13 msec
;; SERVER: 10.4.4.10#53(10.4.4.10)
;; WHEN: Mon Jun 24 12:20:50 PDT 2019
;; MSG SIZE  rcvd: 303

OSI モデルの各層では、情報は PDU (Packet Data Unit) と呼ばれます。したがって、アプリケーション層の情報は L7 PDU と呼ばれ、ネットワーク層の情報は L3 PDU と呼ばれます。各層に、対応する層ヘッダーが追加されます。ヘッダーは本体の前にあり、アドレス指定や、目的の宛先に到達するために必要なその他のデータが含まれています。一方、データは最上位の層から下に渡されます。 L4、L3、および L2 ヘッダーを以下に示します。

パケットがインターネットに送信されて最終的に Google ドメイン サーバーに到達する前に、まずルーターを経由してルーティングされる必要があります。デバイスが別のデバイス (この場合はローカル ルーター) に物理的に接続する必要がある場合は、そのデバイスの MAC アドレス (ハードウェア アドレス) が必要になります。しかし、ローカル マシンはルーターがデフォルト ルートであることをどのようにして知るのでしょうか?この情報は、ローカル マシン内でインターフェイスごとに設定されたデフォルト ルートを通じて取得されます。デフォルトルートは$ ifconfigコマンドで確認できます。

IP アドレスはネットワーク上のデバイスの位置を特定するために使用され、MAC アドレスは実際のデバイスを識別するために使用されます。 ARP プロトコルは、IP アドレスがわかっている場合に、デバイスの MAC アドレスを取得するために使用されます。ここでは、要求側のマシンが既に IP アドレスを (静的に、または DHCP プロトコル経由で) 受信していると仮定します。

ARP は OSI モデルのデータリンク層に存在します。この場合、ローカル マシン上で実行されている Web ブラウザは、インターネットへのゲートウェイであるルーターに接続します。

• まず、コンピュータは ARP キャッシュと呼ばれる内部リンクをチェックして、接続したいデバイスの MAC アドレスがあるかどうかを確認します。 ARP テーブルは、ローカル マシンの端末上でarp -aコマンドを使用して確認できます。
• ARP 解決がローカル キャッシュにない場合、ソース マシンはアドレス解決プロトコル (ARP) 要求メッセージを生成し、独自の IP アドレスと MAC アドレスを送信します。次に、ソースは ARP 要求メッセージをローカル ネットワークにブロードキャストします。
• メッセージはブロードキャストであるため、LAN 上の各デバイスによって受信されます。各デバイスは自分の IP アドレスを比較し、一致しないデバイスは何もせずにパケットをドロップします。 IP アドレスが要求内のアドレスと一致するデバイスは、独自の MAC アドレスを含む ARP 応答メッセージを生成します。その後、応答メッセージが送信されますが、これはブロードキャストではなくユニキャストになります。
• ソース マシンは宛先からの ARP 応答を処理し、送信者のハードウェア アドレスを宛先のレイヤー 2 アドレスとして保存し、ARP キャッシュを更新します。

その後、パケットはデフォルト ルートにルーティングされます。デフォルト ルートが設定されていない場合は、ルーターにルーティングされます。コマンドを使用してデフォルトルートを確認できます。

route get default | grep gatewayまたは Mac/Linux の場合はnetstat -rn 、Windows の場合はipconfig 。

たとえば、192.168.10.0/24 ネットワーク上にいて、172.217.164.174/24 の Google ネットワークに到達しようとしている場合、たとえばパケットがルーターに到着すると、ルーターはルーティング テーブルを確認し、トラフィックをルーティングする方法を決定します。宛先ネットワークに到達します。したがって、宛先 172.217.164.174/24 に到達するように指定されたゲートウェイにパケットが送信されます。

クライアントとサーバー間の接続。この場合、ローカルマシンから Google サーバーまでに多くのホップがかかります。各ホップは本質的に、宛先へのパスに沿ったルーターです。ここのルーターは、あるネットワークから別のネットワークにリクエストを送信するのに役立ちます。途中のすべてのデバイスには、世界的に一意の MAC アドレス (ハードウェア アドレス) があります。

ここで、ローカル マシンは、L7 ヘッダー (HTTP)、L4 ヘッダー (TCP)、L3 ヘッダー (IP)、L2 ヘッダー (ARP、MAC アドレス)、L2 トレーラー (フレーム チェック シーケンス) および実際のデータを含むリクエストを作成します。ルーターはパケットを取得すると、カプセル化を解除し、L2 ヘッダー/トレーラーを変更して、パケットを再度カプセル化します。

ルーターはそれを受信し、カプセル化解除を開始します。 L2 ヘッダーを調べて、宛先 Mac が自分自身のものであることを確認します。ここで、L2 ヘッダーが削除され、L3 ヘッダーが調べられ、リクエストが自分自身に対するものではなく Google サーバーに対するものであることがわかります。次に、ルーターは L3 ヘッダー内の TTL 値をデクリメントします。ルーターは、宛先に到達する方法について、他のルーターが (RIP または IGP 経由で) このルーターにアドバタイズした可能性のあるすべてのルートをルーティング テーブルで調べます。次に、あるルータは、キャッシュ内に MAC アドレスがない場合、ARP を実行してネクスト ホップ ルータの MAC アドレスを取得します。

次にルーターは、L2 トレーラーに続く CRC も追加します。これにより、次のルータは、パケットがネットワーク上で破損するような問題がルート上で発生していないことを知ることができます。破損している場合は、フレームがドロップされます。

この場合、ルーターは L2 ヘッダーと L2 トレーラーを変更しましたが、L3 ヘッダーには触れていないため、その上のヘッダーはありません。

送信元ポート番号はエピメラルポート番号になり、宛先ポート番号は 80 になります。

TCP - 信頼性の高い同一注文サービス。ローカル マシンはサーバーへのルートを知っているので、最初に Google サーバーとの 3 ウェイ ハンドシェイクを確立します。接続の確立は、MSS サイズ、初期シーケンス番号、ACK タイプ、バッファ サイズなどのいくつかの状態変数を最終決定するのに役立ちます。

この場合、TCP ヘッダーの送信元ポートと宛先ポートは 16 ビットなので、2^16 は 65535 になります。送信元ポートはクライアント アプリケーションを識別するために使用され、宛先ポートは Web サーバー上で実行されているサービスまたはデーモンを識別するために使用されます。

クライアント (Web ブラウザ) は 49152 ～ 65535 のポートを選択します。これにより、2 つのアプリケーションが同じポートを使用することがなくなります。ポート アドレスは IP アドレスとともに TCP ソケットと呼ばれます。宛先ポートは、IP パケットのポート 80 です。

コミュニケーションを開始します:

• 何かを開始する前に、クライアント (Web ブラウザ) は Web サーバーへの接続が利用可能かどうかを確認する必要があります。このためには、送信元ポート、宛先ポート、送信元 IP、および宛先 IP にシーケンス番号 = 0 を入力する必要があります。シーケンス番号はクライアントによって割り当てられますが、サーバーによって要求されます。確認応答番号はサーバーによって割り当てられますが、クライアントによって使用されます。ステップ 1 では、確認応答するものが何もないため (SYN)、ACK フィールドは設定されません。
• ステップ 2 では、サーバーが応答すると、送信元ポートと宛先ポートを切り替えます。サーバーの応答には、ランダムなシーケンス番号、たとえば = 1000 および ACK = 1 が含まれます。この場合、同期が設定され、ACK フラグ (SYN,ACK) も設定されます。
• ステップ 3 で、クライアントが応答すると、同じセッションであるため同じポートを持ち、ステップ 2 の ACK である SYN に対して ACK を返します。シーケンス番号は 1、確認応答番号は 1001 になります。

上記の 3 つの手順により、クライアントとサーバーの間で TCP ハンドシェイクが成功し、両方がデータ転送の共通ルールに同意しました。

安全な Web サイトに接続している場合は、TCP ハンドシェイクの後、TLS ハンドシェイクが行われます。 TLS ハンドシェイクを使用すると、クライアントとサーバーは安全な通信の共通条件に同意します。

• クライアント コンピューターは、トランスポート層セキュリティ (TLS) バージョン、暗号アルゴリズムのリスト、および使用可能な圧縮方法を含む ClientHello メッセージをサーバーに送信します。
• サーバーは、TLS バージョン、選択された暗号、選択された圧縮方法、および CA (認証局) によって署名されたサーバーのパブリック証明書を含む ServerHello メッセージをクライアントに返信します。証明書には公開キーが含まれており、対称キーが合意されるまでクライアントが残りのハンドシェイクを暗号化するために使用します。
• クライアントは、信頼できる CA のリストに対してサーバーのデジタル証明書を検証します。 CA に基づいて信頼を確立できる場合、クライアントは擬似ランダムなバイト列を生成し、これをサーバーの公開キーで暗号化します。これらのランダム バイトを使用して対称キーを決定できます。
• サーバーは秘密キーを使用してランダムなバイトを復号し、これらのバイトを使用して対称マスター キーの独自のコピーを生成します。
• クライアントは、対称キーを使用してこの時点までの送信のハッシュを暗号化して、Finished メッセージをサーバーに送信します。
• サーバーは独自のハッシュを生成し、クライアントから送信されたハッシュを復号して、それが一致することを確認します。存在する場合、これも対称キーで暗号化された独自の Finished メッセージをクライアントに送信します。

これ以降、TLS セッションは、合意された対称キーで暗号化されたアプリケーション (HTTP) データを送信します。

サーバーはリクエストを処理し、適切な応答を送り返します。リクエストがポート 80 (HTTP) またはポート 443 (HTTPS) でサーバーに届くと、Apache や Nginx などの Web サーバーはポート 443 をリッスンし、リクエストの接続を処理し、Web サービスが存在する別の一時ポートにリクエストをルーティングします。走っている。

どの HTTP クライアント、サーバー、プロキシでも、いつでも TCP トランスポート接続を閉じることができます。たとえば、クライアントは、データ転送が終了し、開いている接続チャネルが不要になったことを検出すると、接続終了要求をサーバーに送信します。次回、クライアントがサーバーと通信したい場合は、2 つのマシン間に新しい接続を確立する必要があります。