其他分享
首页 > 其他分享> > 三次握手和四次挥手

三次握手和四次挥手

作者:互联网

1. TCP简介及报文格式

1.1 简介

TCP(Transmission Control Protocol)传输控制协议是一种面向连接的、可靠的、基于字节流的传输层协议。

1.2 报文格式

TCP报文格式

重要字段:

  1. 端口号:16位,用来标识同一台计算机的不同的应用进程。
  1. 序号:Seq序号,32位,一次TCP通信 (从TCP连接建立到断开) 过程中某一个传输方向上的字节流的每个字节的编号。

  2. 确认序号:ACK序号,32位,用作对另一方发送来的TCP报文段的响应。只有ACK标志位为1时,确认序号字段才有效,其值是收到的TCP报文段的序号值加1。

  3. 标志位:共6个,即URG、ACK、PSH、RST、SYN、FIN 等。

    标志位 名称 具体含义
    URG 紧急标志 紧急指针(urgent pointer)有效
    ACK 确认标志 确认序号有效
    PSH 推标志 接收方应尽快将报文交给应用层
    RST 复位标志 重置连接
    SYN 同步标志 发起一个新连接
    FIN 结束标志 释放一个连接

2. 三次握手(Three-way Handshake)

2.1 含义

建立TCP连接时,客户端和服务器总共发送3个包。

2.2 三次握手过程

三次握手
  1. 客户端发送syn报文。SYN标志为1,指明客户端打算连接的服务器的端口,以及初始序号X,保存在包头的序列号(Sequence Number)字段里。
  2. 服务器发回确认syn+ack报文。SYN标志为1,确认序号(Acknowledgement Number)为客户端的序列号加1,即X+1,并设置发送序号为Y。
  3. 客户端再次发送ack报文。 SYN标志位为0,确认序号(Acknowledgement Number)为服务器的序列号加1,即Y+1,并设置发送序号为Z。

问题1:为什么两次握手不行?

三次握手是为了让双方验证各自接收能力和发送能力。

若使用两次握手,就不能确认上述四种能力,可能有问题。

问题2:三次握手过程中可以携带数据吗?

前两次不行,第三次可以携带。 假如第一次可以,如果有人恶意攻击服务器,那他在第一次SYN 报文中放入大量数据。因为攻击者根本不理会服务器的接收、发送能力是否正常,只是疯狂重复发 SYN 报文,这会让服务器花费很多内存与时间来接收这些报文。也就是说,第一次握手不能放数据,1个简单原因服务器会更容易受到攻击。而对于第三次,此时客户端处于 ESTABLISHED 状态,已经建立起连接,知道服务器接收与发送能力正常,所以携带数据也没毛病。

问题3:ISN(Initial Sequence Number)是固定的吗?

不固定,client_isn是随机生成的,而server_isn则需要根据SYN报文中的源、IP和端口,加上服务器本身密码数进行相同散列得到,显然也不固定。

问题4:第三次握手失败了怎么办?

  1. 在第2次握手中,server向client发送SYN+ACK报文后,就会启动一个定时器,等待client返回的ACK报文。
  2. 如果第三次失败,client给server返回了ACK报文,server并不能收到这个ACK报文。那server就会启动超时重传机制,超过规定时间会重新发起第2次握手,向client发送SYNACK。重传次数默认5次。
  3. 如果到重传指定次数,仍未收到ACK应答,那一段时间后server会关闭这个连接。但client认为这个连接已建立,如果它向server写数据,server将回应RST包、强制关闭TCP连接,以防止SYN攻击。

问题5:什么是SYN攻击?如何防范?

在三次握手过程中,服务器发送SYN-ACK之后,收到客户端ACK之前的TCP连接称为半连接(half-open connect)。此时服务器处于SYN-RECV。当收到ACK后,服务器转入ESTABLISHED状态。

SYN攻击就是攻击客户端,在短时间内伪造大量不存在的IP地址,向服务器不断发送SYN包,服务器回复确认包,并等待客户确认。 由于源地址不存在,服务器需要不断重发直至超时,这些伪造SYN包将长时间占用未连接队列,正常SYN请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。

SYN攻击是一种典型的DoSe/DDoS攻击。

问题6:如何检测SYN攻击?

检测SYN攻击非常方便,当你在服务器上看到大量半连接状态时,特别是IP地址是随机的,基本可以断定这是一次SYN攻击,在Linux/Unix可用netstat命令检测。

问题7:如何防御SYN攻击?

SYN攻击不能完全被阻止,除非重新设计TCP协议。能做的就是就是尽可能减轻SYN攻击危害,常见防御方法有:缩短超时(SYN Timeout)时间、增大最大半连接数、过滤网关防护、SYN cookies技术。

问题8:握手过程中除了序号的同步,还会同步什么信息?

问题9:通过什么方式去知道某台电脑上还能建立多少个TCP连接?

系统用四元组{Local IP,Local Port,Remote IP,Remote Port} 来唯一标识TCP连接。

Client发起TCP连接时,系统通常会选取一个空闲本地端口(Local Port),该端口,类型是Unsigned short,最大65536,端口0有特殊含义,因此最大可用端口,即最大TCP连接数只有65535。

Server部分的Remote IP和Remote Port可变,因此最大TCP连接为客户端IP数*客户端Port数,IPV4简单情况(不考虑地址分类) 最大连接数为232(IP数)* 216(Port数) ,也就是Server端单机最大TCP连接数约为248

3. 四次挥手(four-way handshake)

3.1 含义

TCP连接拆除需要发送四个包,因此称为四次挥手。

Client或Server均可主动发起。在socket编程中,执行close()操作即可产生挥手操作。

3.2 四次挥手过程

四次挥手
  1. 客户端A发送一个FIN,用来关闭客户A到服务器B的数据传送。

  2. 服务器B收到这个FIN,它发回一个ACK,确认序号为收到的序号加1。和SYN一样,一个FIN将占用一个序号。

  3. 服务器B关闭与客户端A的连接,发送一个FIN给客户端A。

  4. 客户端A发回ACK报文确认,并将确认序号设置为收到序号加1。

3.3 深入理解TCP连接的释放

由于TCP连接是全双工的,因此每个方向都必须单独进行关闭。这原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接。收到一个 FIN只意味着这一方向上没有数据流动,一个TCP连接在收到一个FIN后仍能发送数据。首先进行关闭的一方将执行主动关闭,而另一方执行被动关闭。
TCP协议的连接是全双工连接,一个TCP连接存在双向的读写通道。
简单说来是 “先关读,后关写”,一共需要四个阶段。以客户机发起关闭连接为例:

  1. 服务器读通道关闭
  2. 客户机写通道关闭
  3. 客户机读通道关闭
  4. 服务器写通道关闭

关闭行为是在发起方数据发送完毕之后,给对方发出一个FIN(finish)数据段。直到接收到对方发送的FIN,且对方收到了接收确认ACK之后,双方的数据通信完全结束,过程中每次接收都需要返回确认数据段ACK。

3.4 TCP状态迁移

状态迁移

客户端TCP状态迁移:

CLOSED->SYN_SENT->ESTABLISHED->FIN_WAIT_1->FIN_WAIT_2->TIME_WAIT->CLOSED

服务器TCP状态迁移:

CLOSED->LISTEN->SYN收到->ESTABLISHED->CLOSE_WAIT->LAST_ACK->CLOSED 

各个状态的意义如下:

LISTEN - 侦听来自远方TCP端口的连接请求; 
SYN-SENT - 在发送连接请求后等待匹配的连接请求; 
SYN-RECEIVED - 在收到和发送一个连接请求后等待对连接请求的确认; 
ESTABLISHED - 代表一个打开的连接,数据可以传送给用户; 
FIN-WAIT-1 - 等待远程TCP的连接中断请求,或先前的连接中断请求的确认;
FIN-WAIT-2 - 从远程TCP等待连接中断请求; 
CLOSE-WAIT - 等待从本地用户发来的连接中断请求; 
CLOSING - 等待远程TCP对连接中断的确认; 
LAST-ACK - 等待原来发向远程TCP的连接中断请求的确认; 
TIME-WAIT - 等待足够的时间以确保远程TCP接收到连接中断请求的确认; 
CLOSED - 没有任何连接状态;

SYN_RECV

服务端收到建立连接的SYN没有收到ACK包的时候处在SYN_RECV状态。处在SYNC_RECV的TCP连接称为半连接,并存储在内核的半连接队列中,在内核收到对端发送的ack包时会查找半连接队列,并将符合的requst_sock信息存储到完成三次握手的连接的队列中,然后删除此半连接 。

CLOSE_WAIT

发起TCP连接关闭的一方称为client,被动关闭的一方称为server。在已经接收到FIN,但是还没有发送自己的FIN的时刻,连接处于CLOSE_WAIT状态。出现这种状况一般都是由于server端代码的问题,如果服务器出现大CLOSE_WAIT,应该要考虑检查代码 。

TIME_WAIT

根据TCP协议定义的3次握手断开连接规定,发起socket主动关闭的一方 socket将进入TIME_WAIT状态。TIME_WAIT状态将持续2个MSL(Max Segment Lifetime),在Windows下默认为4分钟,即240秒。TIME_WAIT状态下的socket不能被回收使用。

问题1:为什么建立连接是三次握手,而关闭连接却是四次挥手呢?

关键在中间两步:

问题2:四次挥手释放连接时,等待2MSL的意义?

  1. 保证客户端发送的最后1个ACK报文能到达服务器。假设网络不可靠,ACK报文丢失。如果服务端发出FIN报文后没收到ACK报文,就会重发FIN报文(收到不再发),此时处于TIME-WAIT的客户端就会重发ACK报文。
    当然,客户端也不能无限等待这个FIN报文,需要设置一个定时器,2MSL正好,因为1个最大发送和1个回复最长时间没收到FIN,可以推断ACK报文已经被服务器接收,所以结束TCP连接。
  2. 防止已失效的连接请求报文段出现在新连接中。客户端发完最后1个ACK报文后,再经过2MSL时间,就可以使网络不通畅产生的滞留报文段失效,这样下一个新连接中就不会出现旧的连接请求报文。

问题3:四次挥手过程中服务端的哪几种状态,哪几种包?

  1. 收到FIN之前是ESTABLISHED状态;
  2. 发完ACK过程变为CLOSE_WAIT(关闭等待) 状态;
  3. 发完FIN报文后是LAST_ACK(最后确认) 状态;
  4. 收到客户端ACK报文后变为CLOSED状态。

标签:挥手,ACK,报文,握手,SYN,TCP,发送,四次,连接
来源: https://www.cnblogs.com/nelson-wang/p/15148508.html