tcp三次握手报文分析,分析tcp的三次握手

TCP三次握手解释

大家知道,TCP建立连接时会进行3次握手和4次挥手,这里记录一下为什么必须进行3次握手

1.以A和B建立通讯为例,第一次握手

A向B发送信息,B收到信息, B 可以确认A的 发送功能 和自己的 接收功能 没有问题

B向A发送消息,A收到消息, A 可以确认B的发送功能和自己的接收功能没有问题

A再向B发送消息,B收到消息, B 就可以确认 自己的发送功能 没有问题

简述TCP的三次握手过程。

TCP握手协议 ：在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。

1、第一次握手：建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认； SYN：同步序列编号(Synchronize Sequence Numbers)

2、第二次握手：服务器收到syn包,必须确认客户的SYN（ack=j+1）,同时自己也发送一个SYN包（syn=k）,即SYN+ACK包,此时服务器进入SYN_RECV状态；

3、第三次握手：客户端收到服务器的SYN＋ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。

完成三次握手,客户端与服务器开始传送数据。

所谓的三次握手（three times handshake；three-way handshaking）即对每次发送的数据量是怎样跟踪进行协商使数据段的发送和接收同步，根据所接收到的数据量而确定的数据确认数及数据发送、接收完毕后何时撤消联系，并建立虚连接。

为了提供可靠的传送，TCP在发送新的数据之前，以特定的顺序将数据包的序号，并需要这些包传送给目标机之后的确认消息。TCP总是用来发送大批量的数据。当应用程序在收到数据后要做出确认时也要用到TCP。

TCP三次握手与四次挥手

为了更好的理解TCP建立连接与释放连接的过程，我们不妨先了解TCP报文结构。

TCP报文包含 首部 和 数据部分 ：

重点认识一下 TCP首部 结构：

1、源端口与目的端口：

各占两个字节，共4个字节。用来告知主机该报文的源与目的。

2、序号（seq number）

由于TCP是面向流的有序可靠连接，在一个TCP连接中传输的字节流中的每个字节都需要按顺序编号。

序号字段指的是本报文段所发送的数据的 第一个字节 的序号。

3、确认号（ack number）

表示 期望收到对方下一个报文段的序号值 ，同时表示前面的序号值都已经 成功接收 ，体现 累积确认机制 。

4、确认ACK

当ACK=1时，确认号有效。

5、同步SYN

当SYN=1时，表明这是一个请求连接报文段。

6、终止FIN

当FIN=1时，表示此报文段的发送方的数据已发送完毕，要求释放TCP连接。

7、 窗口大小（window size）

流量控制 中的滑动窗口大小，根据接收方的接收缓冲区剩余大小设置。

TCP 的整个交流过程可以总结为：建立连接，传输数据，释放连接。

TCP连接的建立采用客户端-服务器模式，我们将主动方成为客户端（Client），被动方成为服务器（Server）。

1、 第一次握手 ：Client主动打开连接，发送TCP报文（ SYN = 1，seq = i ），进行第一次握手，进入 SYN_SEND 状态；

2、 第二次握手 ： Server收到了SYN报文，发送返回报文（ ACK = 1，SYN = 1，ack = i+1， seq = j ），进行第二次握手，进入 SYN_RCVD 状态；

3、 第三次握手 ： Client收到来自Server的报文，返回ACK报文（ ACK = 1， ack = j+1，seq = i+1 ），进行第三次握手，进入 ESTABLISHED 状态； 另外， 第三次握手一般已经可以携带数据了 。

TCP有一个特别的概念叫做 半关闭 ，这个概念是说，TCP连接时全双工的连接，因此在关闭连接的时候，必须关闭传送和接收两个方向上的连接。

1、 第一次挥手 ： Client发送关闭连接报文段（ FIN= 1， seq = n ），进入 FIN_WAIT_1 状态；

2、 第二次挥手 ： Server收到来自Client的FIN之后，立即返回一个 ACK=1 报文段（ack = n+1），进入 CLOSE_WAIT 状态；

此时Server还是可以发送数据给Client。

3、 第三次挥手 ： 当Server确定所有数据都发送完毕之后，发送 FIN=1 报文段（seq = m），进入 LAST_ACK 状态；

4、 第四次挥手 ： Client收到之后，返回 ACK=1 报文段（ack = m+1），进入 TIME_WAIT 状态；

Client等待2MSL（MSL，最长报文段寿命）之后进入CLOSED状态，Server收到最后一个ACK之后，也进入CLOSED状态。

在三次握手过程中，Server发送第二次握手报文之后，收到Client的ACk之前的状态称为 半连接 状态。在半连接状态的Server会为其认为即将完成连接的Client分配资源。

而SYN Flood攻击就是，在短时间内伪造大量不存在的IP地址，向Server不断发送SYN包，Server为这些伪造的Client分配资源，并返回SYN+ACK报文段，由于IP地址无效，所以Server不会收到第三次握手的ACK，需要不断发送直至超时，这些伪造的Client长时间占用未连接队列与Server预分配的资源，造成Server崩溃，无法响应正常的SYN包。

1、SYN cookies技术：先不分配数据区，而根据SYN计算一个cookies值，当收到Client的ACk之后，再进行对比，分配资源。

2、增大最大半连接和缩短超时时间。

1、TIME_WAIT状态能确保Server正常进入CLOSE状态：

TIME_WAIT状态是在Client发完最后一个ACK之后进入的状态，如果这个ACK丢失，则Server不能确认进入CLOSE状态，超时后，Server会重新发送FIN报文段，此时处于TIME_WAIT状态的Client就能收到FIN，重发ACK，确保四次挥手完成。

2、TIME_WAIT状态有 净空 的效果：

防止已经失效的连接请求出现在下次连接中。经过TIME_WAIT状态，可以使本连接内的所有请求都在网络中消失（从而起到净空的效果，不会赢下下一次连接）。

1、 只有主动close一方才会出现TIME_WAIT状态，只有TCP连接为 短连接 情况下才有可能出现大龄的TIME_WAIT状态。

2、 服务器使用短连接，每次客户端请求后，服务器都会主动发送FIN关闭连接。最后进入TIME_WAIT状态。由此，如果访问量过大的Web Server，会存在大量的TIME_WAIT状态。

可以通过修改内核参数，快速回收TIME_WAIT资源。

3、如果一直存在大量TIME_WAIT状态，回收不及时的话，会占用大量服务器资源，可能造成该无法提供服务的问题。

【参考】

[1] 理解TCP 和 UDP

[2] 《计算机网络》

初识Socket，通过抓包分析TCP的三次握手，四次挥手

通过这张图，我们更容易的去理解这些API,客户端和服务端的不同点就是建立连接部分。服务端需要bind listen accept ,多个客户端可以连接一个服务端。

连接上Socket后，发消息时，用Wireshark网络封包分析工具，抓到以下数据。我们来看一下TCP的三次握手。

用上面蓝色线代表服务端，下面代表客户端。中间箭头代表发起和响应的网络请求。绿色框代表滑动窗口。

滑动窗口是控制接收以及同步数据范围的，通知发送端目前接收的数据范围，用于流量控制，接收端使用。

拥塞窗口是控制发送速率的，避免发的过多，发送端使用。

两个窗口的维护是独立的，滑动窗口主要由接收方反馈缓存情况来维护，拥塞窗口主要由发送方的拥塞控制算法检测出的网络拥塞程度来决定的。

Scoket连接和HTTP连接的区别

GET和POST的区别：

参考资料：

SocketDemo：

5.2、tcp三次握手详析，telnet，wireshark示范

发送数据包后服务端会给个收到确认包，再另外发数据返回包。

1、TCP连接的三次握手（服务器也可以主动关闭连接）

1.1、最大传输单元MTU（maximum transfer unit）

每个数据包包含的数据最可以有多少个字节，大约是1.5K

比如要发送100k的数据，操作系统会把这100k分成若干个包【分片】。

各自传送的路径可能不同，每个包可能被路由器或者交换机再次分片。

对端再次重组。

1.2、TCP包头结构

源端口，目标端口

关注SYN位，和ACK位

一个tcp包是可能没有包体，通过设置标志位达到传输控制信息的作用。

1.3、数据包首发之前的准备工作

建立tcp连接，

1.4、TCP三次握手建立连接的过程

1、客户端给服务器发送了一个SYN标志位置为1的无包体的数据包。

可能带一个序列号x，或者最大接收窗口。

2、服务器收到了SYN标志位被置位的数据包，

服务器回SYN和ACK位同时置位的数据包，序列号y，确认号x+1。

3、客户端再次发送ACK位被置位的无包体数据包，序列号x+1，确认号y+1。

1.5、为什么TCP握手是三次而不是两次。

确保数据稳定可靠的收发。减少伪造数据包对服务器的攻击。

第一次可能是伪造的请求连接，

需要拨回去应答ack包，此时伪造端收不到。

使源端下一次发送序列号+1。

拒绝服务估计就是利用tcp三次握手漏洞。

大量的syn包，服务器需要返回大量的ack，消耗服务器资源。

2、telnet工具使用介绍

是一款命令行方式运行的tcp客户端通讯工具。可以发送和接收数据。

命令格式：telnet ip port

3、wireshark监控进出本地服务器数据包

软件，分析网络数据包，windows平台上的，先要安装抓包工具

抓包：视图-重置布局

3.1、TCP断开的四次挥手

简述tcp三次握手和四次挥手的过程.tcp和udp的区别是什么

1、建立连接协议（三次握手）

（1）客户端发送一个带SYN标志的TCP报文到服务器。这是三次握手过程中的报文1。

（2） 服务器端回应客户端的，这是三次握手中的第2个报文，这个报文同时带ACK标志和SYN标志。因此它表示对刚才客户端SYN报文的回应；同时又标志SYN给客户端，询问客户端是否准备好进行数据通讯。

（3） 客户必须再次回应服务段一个ACK报文，这是报文段3。2、连接终止协议（四次挥手）

由于TCP连接是全双工的，因此每个方向都必须单独进行关闭。这原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接。收到一个 FIN只意味着这一方向上没有数据流动，一个TCP连接在收到一个FIN后仍能发送数据。首先进行关闭的一方将执行主动关闭，而另一方执行被动关闭。

（1） TCP客户端发送一个FIN，用来关闭客户到服务器的数据传送（报文段4）。

（2） 服务器收到这个FIN，它发回一个ACK，确认序号为收到的序号加1（报文段5）。和SYN一样，一个FIN将占用一个序号。

（3） 服务器关闭客户端的连接，发送一个FIN给客户端（报文段6）。

（4） 客户段发回ACK报文确认，并将确认序号设置为收到序号加1（报文段7）。CLOSED:这个没什么好说的了，表示初始状态。LISTEN:这个也是非常容易理解的一个状态，表示服务器端的某个SOCKET处于监听状态，可以接受连接了。SYN_RCVD:这个状态表示接受到了SYN报文，在正常情况下，这个状态是服务器端的SOCKET在建立TCP连接时的三次握手会话过程中的一个中间状态，很短暂，基本上用netstat你是很难看到这种状态的，除非你特意写了一个客户端测试程序，故意将三次TCP握手过程中最后一个ACK报文不予发送。因此这种状态时，当收到客户端的ACK报文后，它会进入到ESTABLISHED状态。SYN_SENT:这个状态与SYN_RCVD遥想呼应，当客户端SOCKET执行CONNECT连接时，它首先发送SYN报文，因此也随即它会进入到了SYN_SENT状态，并等待服务端的发送三次握手中的第2个报文。SYN_SENT状态表示客户端已发送SYN报文。ESTABLISHED：

这个容易理解了，表示连接已经建立了。FIN_WAIT_1:

这个状态要好好解释一下，其实FIN_WAIT_1和FIN_WAIT_2状态的真正含义都是表示等待对方的FIN报文。而这两种状态的区别是：FIN_WAIT_1状态实际上是当SOCKET在ESTABLISHED状态时，它想主动关闭连接，向对方发送了FIN报文，此时该SOCKET即进入到FIN_WAIT_1状态。而当对方回应ACK报文后，则进入到FIN_WAIT_2状态，当然在实际的正常情况下，无论对方何种情况下，都应该马上回应ACK报文，所以FIN_WAIT_1状态一般是比较难见到的，而FIN_WAIT_2状态还有时常常可以用netstat看到。FIN_WAIT_2：

上面已经详细解释了这种状态，实际上FIN_WAIT_2状态下的SOCKET，表示半连接，也即有一方要求close连接，但另外还告诉对方，我暂时还有点数据需要传送给你，稍后再关闭连接。TIME_WAIT:表示收到了对方的FIN报文，并发送出了ACK报文，就等2MSL后即可回到CLOSED可用状态了。如果FIN_WAIT_1状态下，收到了对方同时带FIN标志和ACK标志的报文时，可以直接进入到TIME_WAIT状态，而无须经过FIN_WAIT_2状态。CLOSING:这种状态比较特殊，实际情况中应该是很少见，属于一种比较罕见的例外状态。正常情况下，当你发送FIN报文后，按理来说是应该先收到（或同时收到）对方的ACK报文，再收到对方的FIN报文。但是CLOSING状态表示你发送FIN报文后，并没有收到对方的ACK报文，反而却也收到了对方的FIN报文。什么情况下会出现此种情况呢？其实细想一下，也不难得出结论：那就是如果双方几乎在同时close一个SOCKET的话，那么就出现了双方同时发送FIN报文的情况，也即会出现CLOSING状态，表示双方都正在关闭SOCKET连接。CLOSE_WAIT:

这种状态的含义其实是表示在等待关闭。怎么理解呢？当对方close一个SOCKET后发送FIN报文给自己，你系统毫无疑问地会回应一个ACK报文给对方，此时则进入到CLOSE_WAIT状态。接下来呢，实际上你真正需要考虑的事情是察看你是否还有数据发送给对方，如果没有的话，那么你也就可以close这个SOCKET，发送FIN报文给对方，也即关闭连接。所以你在CLOSE_WAIT状态下，需要完成的事情是等待你去关闭连接。LAST_ACK:这个状态还是比较容易好理解的，它是被动关闭一方在发送FIN报文后，最后等待对方的ACK报文。