深度解析网络协议：从原理到实践落地深度拆解网络协议的核心知识点，涵盖协议原理、请求类型、HTTP/HTTPS、TCP/U

日常开发中我们每天都在与网络协议打交道——从App启动时的接口请求、图片资源加载，到即时通讯、音视频通话，每一个网络交互的背后，都离不开各类网络协议的协同工作。很多开发者只停留在“会用”NSURLSession、Alamofire的层面，却对协议底层原理一知半解，导致遇到网络异常、性能瓶颈、安全漏洞时无从下手。

本文将从iOS开发视角出发，深度拆解网络协议的核心知识点，涵盖协议原理、请求类型、HTTP/HTTPS、TCP/UDP、DNS等关键内容，结合实际开发场景剖析原理、对比差异、给出落地建议，帮助iOS开发者从“会用”走向“精通”，从容应对各类网络相关问题。

一、网络协议的核心原理：分层架构与数据流转

网络协议并非单一协议，而是一套“分层协作”的协议族，最经典的是OSI七层模型（理论参考），而实际互联网通信中广泛应用的是TCP/IP四层模型（实际落地）。iOS开发中，我们接触到的HTTP、HTTPS、TCP、UDP、DNS等，都对应着TCP/IP模型的不同层级，各层级各司其职、协同完成数据传输。

1.1 TCP/IP四层模型（iOS开发核心关注）

TCP/IP模型从下到上分为4层，每层都有明确的职责，数据从应用层发起，经过层层封装，最终通过物理层传输到目标设备，再层层解封装，最终到达目标应用。

网络接口层（链路层） ：最底层，负责将上层数据封装成帧，通过物理介质（WiFi、蜂窝网络）传输，处理硬件相关的通信（如MAC地址、以太网协议）。iOS中，我们无需直接操作这一层，但网络异常（如WiFi断开、蜂窝网络切换）会直接影响这一层的传输。
网络层（网际层） ：核心职责是“路由选择”和“地址寻址”，将数据从源设备传递到目标设备。关键协议：IP协议（确定设备IP地址）、ICMP协议（网络诊断，如ping）、ARP协议（将IP地址转换为MAC地址）。iOS开发中，IP地址的获取、网络诊断（如判断网络是否可达），都与这一层相关。
传输层：负责端到端的可靠传输（或高效传输），衔接网络层和应用层。核心协议：TCP（可靠传输）、UDP（高效传输）。这一层是iOS网络开发的核心关注层，无论是接口请求（基于TCP）还是音视频通话（基于UDP），都依赖这一层的协议。
应用层：最上层，直接面向开发者，提供具体的网络应用服务。关键协议：HTTP/HTTPS（接口请求）、DNS（域名解析）、WebSocket（即时通讯）、FTP（文件传输）等。iOS开发中，我们使用的NSURLSession、Alamofire，本质上都是对应用层协议的封装。

1.2 数据流转核心逻辑（iOS视角）

以iOS App发起一个HTTP请求为例，数据流转过程如下：

应用层：开发者通过Alamofire发起HTTP请求，封装请求头、请求体（如参数），生成HTTP报文；
传输层：将HTTP报文封装成TCP段（添加源端口、目标端口、序列号等），确保数据可靠传输；
网络层：将TCP段封装成IP数据报（添加源IP、目标IP），通过路由选择确定传输路径；
网络接口层：将IP数据报封装成帧（添加MAC地址），通过WiFi/蜂窝网络传输到目标服务器；
目标服务器接收数据后，从下到上层层解封装，最终解析出HTTP请求，处理后返回响应数据；
响应数据按上述流程反向传输，最终被iOS App接收、解析，完成一次网络交互。

理解这一流程，能帮助我们快速定位网络问题：比如请求超时，可能是传输层TCP连接建立失败，也可能是网络层路由异常；比如数据乱序，可能是TCP序列号机制出现问题。

二、HTTP请求类型：核心方法与适用场景

HTTP（超文本传输协议）是应用层最核心的协议，iOS开发中90%以上的接口请求都基于HTTP。HTTP定义了多种请求方法，每种方法都有明确的语义，开发者需根据业务场景选择合适的方法，避免滥用。

2.1 常用HTTP请求方法（iOS开发高频）

GET：查询资源，从服务器获取指定资源，是最常用的请求方法（如拉取列表、详情数据）。
POST：提交资源，向服务器提交数据，用于创建、修改资源（如登录、提交表单、上传文件）。
PUT：更新资源，全量更新服务器上的资源（如全量修改用户信息），具有幂等性。
DELETE：删除资源，删除服务器上的指定资源（如删除订单），具有幂等性。
PATCH：部分更新资源，仅更新资源的部分字段（如修改用户昵称），比PUT更高效。
HEAD：获取响应头，与GET类似，但仅返回响应头，不返回响应体（如判断资源是否存在）。

注：幂等性是指多次执行同一请求，结果一致（不会因重复执行导致副作用），GET、PUT、DELETE具有幂等性，POST不具有（重复提交可能导致重复创建资源）。iOS开发中，需利用幂等性设计接口，避免重复请求带来的问题（如重复下单）。

2.2 核心重点：GET与POST的本质差别（详细对比）

很多iOS开发者对GET和POST的理解仅停留在“GET参数在URL，POST参数在请求体”，这是表面差异，其本质差别在于语义、幂等性、传输特性，具体对比如下（结合iOS开发场景）：

对比维度	GET请求	POST请求	iOS开发注意点
核心语义	查询资源（只读）	提交资源（写操作）	根据业务语义选择，不可混用（如登录不能用GET）
幂等性	具有幂等性（多次请求结果一致）	不具有幂等性（重复提交可能产生副作用）	POST请求需做去重处理（如添加请求唯一标识）
参数传输方式	参数拼接在URL中（可见）	参数放在请求体中（默认不可见）	GET参数不可包含敏感信息（如密码）；POST参数也需加密（并非绝对安全）
参数长度限制	受URL长度限制（通常2048字符）	无明确长度限制（由服务器配置决定）	大量参数（如上传表单）、大文件，必须用POST
缓存特性	可被浏览器、服务器缓存（如iOS中NSURLSession的缓存策略）	默认不缓存（可通过响应头配置缓存）	GET请求可利用缓存优化性能（如首页列表），POST需禁用缓存
编码方式	仅支持URL编码（如中文转%E4%B8%AD%E6%96%87）	支持URL编码、表单编码（form-data）、JSON编码等	上传文件用form-data编码，接口请求常用JSON编码（Alamofire可自动处理）
浏览器支持	可被浏览器收藏、刷新无提示	不可收藏，刷新会提示“重新提交”	iOS中无浏览器限制，但需注意WebView中的请求行为

关键提醒：POST请求并非绝对安全——请求体中的参数默认不显示，但通过抓包工具（如Charles）可轻松查看；GET请求的参数虽在URL中，但可通过HTTPS加密避免泄露。iOS开发中，敏感接口（如登录、支付）无论用GET还是POST，都必须搭配HTTPS，且参数需额外加密（如RSA加密）。

三、HTTP连接过程：三次握手与四次挥手的底层逻辑

HTTP基于TCP协议（HTTP/1.1、HTTP/2），因此HTTP连接的本质是TCP连接的建立、数据传输、连接关闭。其中，TCP的“三次握手”和“四次挥手”是核心，也是iOS开发中排查连接超时、连接异常的关键。

3.1 为什么HTTP连接需要三次握手？（建立TCP连接）

TCP是面向连接的可靠传输协议，三次握手的核心目的是确认双方的发送能力和接收能力均正常，避免无效连接、资源浪费，同时防止历史连接的干扰。三次握手的具体过程（结合iOS请求场景）：

第一次握手（客户端→服务器） ：iOS App（客户端）发起HTTP请求时，TCP层会向服务器发送一个SYN包（同步包），告知服务器“我要和你建立连接，请确认”，并携带一个随机序列号（seq=J）。此时客户端进入SYN_SENT状态，等待服务器响应。
第二次握手（服务器→客户端） ：服务器收到SYN包后，确认客户端的发送能力正常，会返回一个SYN+ACK包（同步+确认包），其中ACK=J+1（确认收到客户端的SYN包），同时携带自己的随机序列号（seq=K）。此时服务器进入SYN_RCVD状态，等待客户端确认。
第三次握手（客户端→服务器） ：iOS App收到SYN+ACK包后，确认服务器的发送和接收能力均正常，会返回一个ACK包（确认包），其中ACK=K+1（确认收到服务器的SYN+ACK包）。此时客户端进入ESTABLISHED状态，服务器收到ACK包后也进入ESTABLISHED状态，TCP连接建立完成，随后HTTP请求开始传输数据。

为什么不能是两次握手？

假设只有两次握手，服务器发送SYN+ACK包后就认为连接建立，开始发送数据。但如果客户端的SYN包因网络延迟“过期”，客户端会重新发送SYN包，建立正常连接；而此时“过期”的SYN包到达服务器，服务器会误认为是新的连接请求，发送SYN+ACK包后开始发送数据，但客户端已忽略该过期请求，不会回应，导致服务器资源浪费（如端口占用）。三次握手可避免这种情况，因为客户端需确认服务器的响应，服务器需确认客户端收到自己的响应，才能正式建立连接。

3.2 为什么HTTP连接需要四次挥手？（关闭TCP连接）

TCP是全双工通信（双方可同时发送和接收数据），因此关闭连接时，双方需分别关闭自己的发送通道和接收通道，这就需要四次挥手。四次挥手的具体过程（结合iOS请求场景）：

第一次挥手（客户端→服务器） ：iOS App的HTTP请求完成后，TCP层向服务器发送一个FIN包（结束包），告知服务器“我已完成数据发送，准备关闭我的发送通道”，此时客户端进入FIN_WAIT_1状态。
第二次挥手（服务器→客户端） ：服务器收到FIN包后，确认客户端的发送通道关闭，会返回一个ACK包，告知客户端“我已收到你的关闭请求，正在处理剩余数据”，此时服务器进入CLOSE_WAIT状态，客户端收到ACK包后进入FIN_WAIT_2状态。
第三次挥手（服务器→客户端） ：服务器处理完剩余数据后，向客户端发送一个FIN包，告知客户端“我也已完成数据发送，准备关闭我的发送通道”，此时服务器进入LAST_ACK状态。
第四次挥手（客户端→服务器） ：iOS App收到FIN包后，确认服务器的发送通道关闭，会返回一个ACK包，告知服务器“我已收到你的关闭请求，准备关闭我的接收通道”，此时客户端进入TIME_WAIT状态（等待2MSL，确保服务器收到ACK包），服务器收到ACK包后关闭连接，客户端等待超时后也关闭连接。

为什么不能是三次挥手？

因为服务器收到客户端的FIN包后，可能还有未传输完成的数据，无法立即发送FIN包，需先返回ACK包确认收到关闭请求，待数据处理完成后，再发送FIN包关闭自己的发送通道。因此，两次关闭（客户端→服务器、服务器→客户端）需要四次交互，无法合并为三次。

iOS开发注意点：TCP连接关闭时的TIME_WAIT状态，会导致端口暂时无法复用，若App频繁发起短连接，可能出现“端口耗尽”问题，可通过设置TCP参数（如SO_REUSEADDR）优化，或使用HTTP/1.1的长连接（Keep-Alive）减少连接建立和关闭的开销。

四、HTTP的请求特性、安全隐患及应对方案（iOS实操重点）

4.1 HTTP的核心请求特性

无状态：HTTP协议本身不记录客户端的会话状态，服务器无法通过HTTP协议判断两次请求是否来自同一客户端（如登录后，服务器无法记住客户端已登录）。这也是Session和Cookie存在的原因。
无连接（HTTP/1.0） ：每次请求完成后，TCP连接立即关闭，下次请求需重新建立连接，效率较低。HTTP/1.1引入了Keep-Alive（长连接），默认开启，可在一次TCP连接中传输多个HTTP请求，优化性能。
面向文本：HTTP请求和响应都是文本格式（如请求头、请求体都是字符串），易解析，但传输效率较低（相比二进制协议）。
可缓存：HTTP支持缓存机制，通过响应头（如Cache-Control、ETag）控制缓存，减少重复请求，提升iOS App的加载速度。

4.2 HTTP的安全隐患（iOS开发必避坑）

HTTP采用明文传输，无加密、无身份验证机制，存在诸多安全隐患，也是iOS App审核时的重点关注项（若涉及敏感数据，未使用HTTPS会被拒审）。

明文传输泄露：请求和响应数据都是明文，通过抓包工具（Charles、Fiddler）可轻松获取，敏感信息（密码、token、用户信息）易被窃取。
中间人攻击：攻击者拦截客户端和服务器之间的HTTP请求，篡改数据（如修改支付金额、返回虚假数据），导致业务异常。
CSRF攻击（跨站请求伪造） ：攻击者利用用户的登录状态，伪造HTTP请求，让用户在不知情的情况下执行操作（如转账、下单）。
XSS攻击（跨站脚本攻击） ：攻击者在HTTP响应中注入恶意脚本（如JavaScript），当iOS App的WebView加载该响应时，恶意脚本会执行，窃取用户数据。
SQL注入：攻击者通过HTTP请求参数注入SQL语句，篡改服务器数据库（如获取所有用户信息）。

4.3 安全隐患应对方案（iOS实操落地）

针对上述安全隐患，结合iOS开发场景，给出可落地的应对方案，核心是“启用HTTPS+额外加密+请求校验”。

强制使用HTTPS：这是最核心的解决方案，HTTPS在HTTP基础上添加了TLS/SSL加密，可防止明文泄露和中间人攻击。iOS开发中，需在Info.plist中配置NSAppTransportSecurity（ATS），禁用HTTP，强制使用HTTPS（NSAllowsArbitraryLoads设为NO，NSExceptionDomains配置例外域名）。
参数加密：敏感参数（如密码、token）需额外加密（如RSA、AES加密），即使HTTPS被破解，也无法获取原始数据。iOS中可使用Security框架实现加密和解密，或使用第三方库（如CryptoSwift）。
接口签名：为每个HTTP请求添加签名（如基于请求参数、时间戳、密钥生成的MD5/SHA256签名），服务器验证签名的有效性，防止请求被篡改。iOS中可封装签名工具类，自动为请求添加签名。
防止CSRF攻击：请求头中添加自定义token（如X-CSRF-Token），服务器验证token的有效性；或使用SameSite Cookie，限制Cookie的跨域使用。
防止XSS攻击：iOS App中若使用WebView加载HTTP/HTTPS响应，需对响应内容进行过滤（如过滤JavaScript脚本），或使用WKWebView的安全配置（如禁用JavaScript，若业务允许）。
数据校验：客户端和服务器双向校验请求参数（如参数类型、长度、范围），防止SQL注入和非法参数攻击。
定期更新iOS系统：Apple会在iOS新版本中修复网络安全漏洞，如旧版本iOS可能存在TLS协议漏洞，导致HTTPS加密失效，需提醒用户更新系统，同时App需适配最新iOS版本的安全特性。

五、HTTPS建立连接过程：加密机制与iOS配置

HTTPS（超文本传输安全协议）的本质是“HTTP + TLS/SSL”，通过TLS/SSL协议实现数据加密、身份验证，解决HTTP的安全隐患。iOS开发中，HTTPS是敏感接口的必选方案，理解其连接过程，能帮助我们排查HTTPS连接失败（如证书过期、证书不匹配）的问题。

5.1 HTTPS的核心加密机制

HTTPS采用“非对称加密+对称加密”结合的方式，兼顾安全性和传输效率：

非对称加密：用于传输对称加密的密钥（公钥加密、私钥解密），避免密钥泄露。服务器拥有私钥（保密），客户端获取服务器的公钥（通过证书）。
对称加密：用于传输实际的HTTP请求和响应数据（同一密钥加密、解密），传输效率高。密钥由客户端生成，通过非对称加密传输给服务器，双方使用该密钥进行数据加密传输。
数字证书：由权威CA机构颁发，用于验证服务器的身份，防止中间人伪造服务器。证书中包含服务器的公钥、服务器域名、CA签名等信息，iOS客户端会验证证书的有效性（如是否过期、是否匹配域名）。

5.2 HTTPS建立连接的完整过程（结合iOS请求）

HTTPS连接建立过程分为“TCP三次握手”和“TLS握手”两部分，TCP三次握手在前，TLS握手在后，完整流程如下：

TCP三次握手：与HTTP的TCP连接建立过程一致，完成客户端和服务器的连接建立。
TLS第一次握手（客户端→服务器） ：iOS App（客户端）向服务器发送Client Hello消息，包含支持的TLS版本、加密套件（如AES、RSA）、随机数（random_C）、扩展字段等信息，用于协商加密参数。
TLS第二次握手（服务器→客户端） ：服务器收到Client Hello后，返回Server Hello消息，包含选择的TLS版本、加密套件、随机数（random_S），同时返回服务器的数字证书（包含公钥），最后发送Server Hello Done消息，告知客户端协商信息发送完毕。
TLS第三次握手（客户端验证证书） ：iOS客户端收到证书后，验证证书的有效性（如是否由权威CA颁发、是否过期、域名是否匹配）。若证书验证失败，会拒绝建立连接（如iOS App提示“无法验证服务器身份”）；若验证通过，客户端生成一个随机数（pre-master），用服务器的公钥加密，发送给服务器（Client Key Exchange消息）。
TLS第四次握手（密钥协商） ：客户端和服务器分别使用之前的三个随机数（random_C、random_S、pre-master），通过协商的加密套件生成对称加密密钥（会话密钥）。客户端发送Change Cipher Spec消息，告知服务器后续数据使用会话密钥加密；同时发送Finished消息，包含之前所有TLS握手消息的哈希值，用于验证握手过程的完整性。
TLS第五次握手（服务器确认） ：服务器收到Client Key Exchange和Finished消息后，生成会话密钥，发送Change Cipher Spec消息和Finished消息，告知客户端后续数据使用会话密钥加密，同时验证客户端的Finished消息。
HTTP数据传输：TLS握手完成后，HTTP请求和响应数据通过会话密钥加密传输，实现安全通信。

5.3 iOS中HTTPS的配置与注意事项

ATS配置：在Info.plist中配置NSAppTransportSecurity，禁用HTTP，允许HTTPS，若服务器使用自签名证书，需配置NSExceptionDomains，允许例外域名，并设置NSAllowsArbitraryLoadsInWebContent为YES（针对WebView）。
证书验证：iOS默认会验证服务器证书的有效性（由系统信任的CA机构颁发），若服务器使用自签名证书，需手动实现证书验证（如在NSURLSession的代理方法中，验证证书的指纹或证书链），避免跳过证书验证（会导致安全漏洞）。可通过SecTrustEvaluate方法实现证书验证，将本地导入的证书作为锚点证书，验证服务器证书的合法性。
证书更新：若服务器证书过期，iOS App会无法建立HTTPS连接，需提醒服务器及时更新证书，同时App需兼容新证书（如不绑定证书指纹，避免证书更新后App无法使用）。
TLS版本适配：iOS支持TLS 1.0、1.1、1.2、1.3，建议服务器启用TLS 1.2及以上版本（TLS 1.0、1.1存在安全漏洞），iOS App可在NSURLSession配置中指定支持的TLS版本。

六、TCP与UDP详细对比：iOS开发场景选择

TCP和UDP是传输层的两大核心协议，iOS开发中，不同的业务场景需选择合适的协议，选错协议会导致性能瓶颈或业务异常（如音视频通话用TCP会导致卡顿，接口请求用UDP会导致数据丢失）。

6.1 TCP与UDP核心对比（结合iOS场景）

对比维度	TCP（传输控制协议）	UDP（用户数据报协议）	iOS开发适用场景
连接性	面向连接（需三次握手建立连接，四次挥手关闭连接）	无连接（直接发送数据，无需建立连接）	TCP：接口请求、文件传输；UDP：音视频通话、直播
可靠性	可靠传输（通过序列号、确认应答、重传机制，保证数据不丢失、不重复、按序到达）	不可靠传输（不保证数据到达、顺序和完整性，可能丢包、乱序）	TCP：支付、登录等敏感接口；UDP：实时性要求高，可容忍少量丢包的场景
传输效率	效率低（需维护连接、重传、流量控制，头部开销20~60字节）	效率高（无连接维护，头部开销仅8字节，尽力而为传输）	TCP：对效率要求不高，追求可靠性；UDP：音视频、实时游戏等对效率要求高的场景
数据形式	字节流（无边界，需应用层处理粘包、拆包）	数据报（有边界，一次发送一个完整报文，不合并、不拆分）	TCP：需处理粘包（如用分隔符、固定长度）；UDP：无需处理粘包
流量控制	支持（通过滑动窗口机制，控制发送速率，避免接收方缓冲区溢出）	不支持（需应用层自行实现流量控制）	TCP：大文件传输（如视频下载）；UDP：音视频需应用层实现丢包补偿
拥塞控制	支持（通过慢启动、拥塞避免等算法，避免网络拥塞）	不支持（发送方不管网络状态，持续发送数据）	TCP：公网接口请求；UDP：局域网设备发现（如智能家居配网）
通信形式	点对点（一对一）	一对一、一对多、多对多（支持广播、组播）	TCP：单客户端与服务器通信；UDP：直播（一对多）、局域网广播
iOS框架支持	NSURLSession、Alamofire（封装TCP）、Network.framework	GCDAsyncUdpSocket（第三方）、Network.framework	TCP：主流接口请求；UDP：需集成第三方库或使用Network.framework

6.2 iOS开发中的协议选择建议

优先使用TCP：大部分业务场景（接口请求、登录、支付、文件下载），优先选择TCP，保证数据可靠传输，避免业务异常。iOS中，NSURLSession、Alamofire默认基于TCP，无需手动处理连接管理。
选择UDP的场景：音视频通话（如FaceTime、微信视频）、直播、实时竞技游戏（如王者荣耀）、局域网设备发现（如查找打印机、智能家居配网）。这些场景对实时性要求高于可靠性，少量丢包不影响用户体验，UDP的高效传输能保证低延迟。iOS中可使用GCDAsyncUdpSocket实现UDP通信，或使用Network.framework（Apple官方推荐，替代陈旧的BSD Sockets）。
混合使用场景：即时通讯App（如微信），消息发送用TCP（保证不丢失），音视频通话用UDP（保证实时性）；直播App，弹幕用TCP，视频流用UDP。

七、TCP的流量控制和拥塞控制：底层机制与iOS优化

TCP作为可靠传输协议，核心优势在于“流量控制”和“拥塞控制”——流量控制解决“发送方速度超过接收方处理能力”的问题，拥塞控制解决“发送方速度超过网络承载能力”的问题。理解这两种机制，能帮助iOS开发者优化网络请求性能（如减少超时、提升传输速度）。

7.1 流量控制：端到端的速率匹配

流量控制的目标是使发送方的发送速率与接收方的接收能力相匹配，避免接收方缓冲区溢出导致数据丢失，核心实现是滑动窗口机制，由接收方通过“接收窗口（rwnd）”主动告知发送方可接受的数据量。

核心原理（结合iOS场景）

接收窗口（rwnd） ：接收方当前可用的缓冲区大小，随接收方处理能力动态变化。接收方在每个ACK报文的“Window”字段中告知发送方当前的rwnd值；如果接收缓冲区已满，rwnd将设为0，发送方会暂停发送；当接收方处理完部分数据释放缓冲区后，会主动发送一个携带新rwnd值的ACK（窗口更新报文）。
滑动窗口机制：TCP通过维护一个动态变化的窗口，管理已发送但未确认、可发送但未发送的数据：
- 已发送且已确认：窗口左侧之前的数据，无需关注；
- 已发送但未确认：窗口内左侧部分，等待接收方确认；
- 未发送但可发送：窗口内右侧部分，可立即发送；
- 未发送且不可发送：窗口右侧之外的数据，需等待窗口移动。
约束规则：发送方的未确认数据量不能超过接收窗口大小，即“未确认数据量 ≤ rwnd”。

7.2 拥塞控制：网络全局的流量调控

拥塞控制关注整个网络的状态，目标是避免发送方发送的数据量超过网络链路的承载能力，防止网络拥塞（丢包、延迟增加）。与流量控制不同，拥塞控制主要由发送方根据网络状况自主调节，核心是拥塞窗口（cwnd）机制。

核心原理（结合iOS场景）

拥塞窗口（cwnd） ：发送方根据网络拥塞状态估算的最大安全发送窗口，代表当前网络能够承载的数据量。实际发送窗口由拥塞窗口和接收窗口共同决定：实际发送窗口 = min(cwnd, rwnd)。
拥塞控制的四个阶段：
- 慢启动：初始阶段，cwnd从较小值（通常为1-2个报文段）开始，每收到一个ACK，cwnd就加倍（指数增长），直到cwnd达到慢启动阈值（ssthresh），进入拥塞避免阶段。目的是快速探测网络可用带宽，同时避免突然发送大量数据导致拥塞。
- 拥塞避免：cwnd达到ssthresh后，不再指数增长，而是每轮RTT（往返时间）增加1个报文段（线性增长），缓慢增长的方式避免网络突然拥塞，持续此阶段直到检测到网络拥塞。
- 拥塞检测：当检测到丢包（超时或收到3个重复ACK）时，认为网络出现拥塞，此时将ssthresh设为当前cwnd的一半，并重置cwnd。
- 恢复阶段：根据丢包情况不同，有两种恢复策略：超时重传时，cwnd重置为1，重新进入慢启动；快速重传与快速恢复时，cwnd重置为ssthresh，直接进入拥塞避免。
现代TCP拥塞控制算法：随着网络发展，出现了许多改进算法，如CUBIC（Linux默认，优化长距离高带宽网络）、BBR（Google提出，基于瓶颈带宽和往返时间估算，适合现代网络），这些算法在不同网络环境下各有优势，目标是在保证网络稳定的前提下最大化吞吐量。

7.3 iOS开发中的TCP优化建议

调整TCP参数：通过NSURLSession的配置，调整TCP的超时时间、滑动窗口大小，适配不同网络环境（如蜂窝网络、WiFi）。例如，在弱网环境下，增大超时时间，避免频繁超时重试。
使用长连接：HTTP/1.1的Keep-Alive长连接，可减少TCP连接建立和关闭的开销，尤其适合频繁发起请求的场景（如即时通讯、首页刷新）。iOS中，NSURLSession默认开启长连接，可通过请求头配置Keep-Alive的超时时间。
避免频繁短连接：频繁发起短连接会导致TCP频繁三次握手、四次挥手，增加网络开销，还可能出现端口耗尽问题。可通过请求合并、批量请求，减少连接次数。
弱网适配：在弱网环境下，TCP的拥塞控制会降低发送速率，导致请求超时。iOS App可检测网络类型（如2G、3G、4G、WiFi），动态调整请求参数（如减小请求体大小、降低请求频率）。

八、DNS解析原理和安全方案：iOS开发避坑指南

DNS（域名系统）的核心作用是“将域名（如www.baidu.com）转换为IP地址”，iOS App发起网络请求时，第一步就是DNS解析——如果DNS解析失败或被劫持，会导致请求失败、访问虚假服务器。理解DNS解析原理和安全方案，是iOS网络开发的基础。

8.1 DNS解析的核心原理（结合iOS场景）

DNS解析是一个“递归查询+迭代查询”的过程，iOS App发起DNS解析时，优先使用本地缓存，若缓存未命中，再向各级DNS服务器查询，具体流程如下：

本地缓存查询：iOS系统会缓存已解析的域名和IP地址（如之前访问过www.baidu.com，系统会缓存其IP），App发起解析时，先查询本地缓存，若命中，直接返回IP，无需网络请求，提升解析速度。
递归查询：若本地缓存未命中，iOS系统会向本地DNS服务器（如运营商DNS、路由器DNS）发起查询，本地DNS服务器会递归向更高层级的DNS服务器查询，直到获取IP地址。
迭代查询：本地DNS服务器向根DNS服务器查询，根DNS服务器返回顶级域名服务器（如.com、.cn）的IP；本地DNS服务器向顶级域名服务器查询，返回目标域名的权威DNS服务器IP；本地DNS服务器向权威DNS服务器查询，获取目标域名的IP地址。
结果返回与缓存：权威DNS服务器将IP地址返回给本地DNS服务器，本地DNS服务器将IP返回给iOS App，同时缓存该IP地址，供后续查询使用；iOS App拿到IP后，发起TCP连接，进行HTTP/HTTPS请求。

8.2 DNS解析的安全隐患

DNS劫持：攻击者篡改DNS解析结果，将域名解析到虚假IP地址（如钓鱼网站、恶意服务器），导致iOS App访问虚假服务器，窃取敏感数据或执行恶意操作。这是最常见的DNS安全隐患，尤其在公共WiFi环境下。
DNS污染：攻击者干扰DNS查询过程，返回错误的IP地址，导致解析失败或访问错误服务器。
明文传输泄露：传统DNS查询是明文传输，攻击者可通过抓包获取用户的访问记录，泄露隐私。

8.3 iOS开发中的DNS安全方案（实操落地）

使用DNS over HTTPS（DoH） ：DoH是一种通过HTTPS协议传输DNS查询和响应的机制，核心目标是保护DNS查询的隐私性与完整性，避免明文传输和劫持。iOS中虽无原生直接支持DoH的API，但可通过URLSession构造DoH请求，或使用开源库（如dns-over-https-ios、getdns）实现。主流DoH服务提供商包括Cloudflare（cloudflare-dns.com/dns-query）、…
DNS缓存校验：iOS App可缓存DNS解析结果，同时定期校验缓存的IP地址（如通过ping、TCP连接测试IP的可用性），若IP不可用，重新发起DNS解析，避免使用被劫持的IP。
自定义DNS服务器：iOS App可指定自定义的DNS服务器（如阿里云DNS、Google DNS），替代运营商的DNS服务器，减少DNS劫持的风险。可通过Network.framework配置自定义DNS服务器。
检测DNS劫持：获取真实可信的DoH IP集合，与URLSessionTaskMetrics返回的IP比对，若不一致，说明可能遭遇DNS劫持，提示用户切换网络（如从公共WiFi切换到蜂窝网络）。
结合HTTPS证书验证：即使DNS被劫持，HTTPS的证书验证会检测服务器的身份，若服务器证书不匹配，会拒绝建立连接，避免访问虚假服务器。iOS中需严格实现证书验证，不可跳过。