TCP三次握手與四次揮手詳解
TCP三次握手與四次揮手詳解
@(TCP/IP)
[TOC]
1.TCP報文格式
TCP(Transmission Control Protocol) 傳輸控制協議。TCP是主機對主機層的傳輸控制協議,提供可靠的連接服務,采用三次握手確認建立一個連接。
我們需要知道TCP在網絡OSI的七層模型中的第四層(Transport層),IP在第三層(Network層),第二層(Data Link層),在第二層上的數據,我們叫Frame,在第三層上的數據叫Packet,第四層的數據叫Segment。
TCP傳輸控制協議是面向連接的可靠的傳輸層協議,在進行數據傳輸之前,需要在傳輸數據的兩端(客戶端和服務器端)創建一個連接,這個連接由一對插口地址唯一標識,即是在IP報文首部的源IP地址、目的IP地址,以及TCP數據報首部的源端口地址和目的端口地址
上圖中有幾個字段需要重點介紹下:
(1)Sequence Number序號:Seq序號,占32位,用來標識從TCP源端向目的端發送的字節流,發起方發送數據時對此進行標記。是包的序號,用來解決網絡包亂序(reordering)問題。
(2)Acknowledgement Number確認序號:Ack序號,占32位,只有ACK標誌位為1時,確認序號字段才有效,Ack=Seq+1。
(3)標誌位:共6個,即URG、ACK、PSH、RST、SYN、FIN等,具體含義如下:
a. URG(urgent緊急):緊急指針(urgent pointer)有效。
b.ACK(acknowledgement 確認):確認序號有效。
c.PSH(push傳送):接收方應該盡快將這個報文交給應用層。
d.RST(reset重置):重置連接。
e.SYN (synchronous建立聯機):發起一個新連接。
f.FIN(finish結束):釋放一個連接。
需要註意的是:
(A)不要將確認序號Ack與標誌位中的ACK搞混了。
(B)確認方Ack=發起方Seq+1,兩端配對。
2.TCP三次握手
TCP是主機對主機層的傳輸控制協議,提供可靠的連接服務,采用三次握手確認建立一個連接。
所謂三次握手(Three-Way Handshake)即建立TCP連接,是指建立一個TCP連接時,需要客戶端和服務端總共發送3個包以確認連接的建立。
使用wireshark抓包工具分析如下:
可以得出下圖:
解釋如下:
第一次握手:Client將標誌位SYN置為1,隨機產生一個值seq=x,並將該數據包發送給Server,Client進入SYN_SENT狀態,等待Server確認。
第二次握手:Server收到數據包後由標誌位SYN=1知道Client請求建立連接,Server將標誌位SYN和ACK都置為1,ack (number )=x+1,隨機產生一個值seq=y,並將該數據包發送給Client以確認連接請求,Server進入SYN_RCVD狀態。
第三次握手:Client收到確認後,檢查ack是否為y+1,標誌位ACK是否為1,如果正確則將標誌位ACK置為1,ack=y+1,並將該數據包發送給Server,Server檢查ack是否為y+1,ACK是否為1,如果正確則連接建立成功,Client和Server進入ESTABLISHED狀態,完成三次握手,隨後Client與Server之間可以開始傳輸數據了。
3.TCP四次揮手
所謂四次揮手(Four-Way Wavehand)即終止TCP連接,就是指斷開一個TCP連接時,需要客戶端和服務端總共發送4個包以確認連接的斷開。
連接雙方在完成數據傳輸之後就需要斷開連接。由於TCP連接是屬於全雙工的,即連接雙方可以在一條TCP連接上互相傳輸數據,因此在斷開時存在一個半關閉狀態,即有有一方失去發送數據的能力,卻還能接收數據。因此,斷開連接需要分為四次
使用wireshark抓包工具分析如下:
流程如下:
由於TCP連接時全雙工的,因此,每個方向都必須要單獨進行關閉,這一原則是當一方完成數據發送任務後,發送一個FIN來終止這一方向的連接,收到一個FIN只是意味著這一方向上沒有數據流動了,即不會再收到數據了,但是在這個TCP連接上仍然能夠發送數據,直到這一方向也發送了FIN。首先進行關閉的一方將執行主動關閉,而另一方則執行被動關閉。
第一次揮手:Client將標誌位FIN和ACK置為1並且發送發送一個FIN和ACK,用來關閉Client到Server的數據傳送,Client進入FIN_WAIT_1狀態。
第二次揮手:Server收到FIN後,發送一個ACK給Client,確認序號Ack為收到Seq+1(與SYN相同,一個FIN占用一個序號),序號Seq=1,Server進入CLOSE_WAIT狀態。
第三次揮手:Server發送一個FIN,標誌位FIN和ACK置為1,用來關閉Server到Client的數據傳送,Seq=y,Ack=上次的Seq+1,Server進入LAST_ACK狀態。
第四次揮手:Client收到FIN後,Client進入TIME_WAIT狀態,接著發送一個ACK給Server,確認序號Ack為收到序號Seq+1,Server進入CLOSED狀態,完成四次揮手。
4.為什麽建立連接需要三次握手?
TCP是主機對主機層的傳輸控制協議,提供可靠的連接服務,采用三次握手確認建立一個連接。確保數據能夠完整傳輸。
這是因為服務端的LISTEN狀態下的SOCKET當收到SYN報文的建連請求後,它可以把ACK和SYN(ACK起應答作用,而SYN起同步作用)放在一個報文裏來發
送。
5.為什麽斷開連接需要四次揮手?
當被動方收到主動方的FIN報文通知時,它僅僅表示主動方沒有數據再發送給被動方了。
但未必被動方所有的數據都完整的發送給了主動方,所以被動方不會馬上關閉SOCKET,它可能還需要發送一些數據給主動方後,再發送FIN報文給主動方,告訴主動方同意關閉連接,所以這裏的ACK報文和FIN報文多數情況下都是分開發送的。
6.為什麽TIME_WAIT狀態還需要等2MSL後才能返回到CLOSED狀態?
這是因為雖然雙方都同意關閉連接了,而且握手的4個報文也都協調和發送完畢,按理可以直接回到CLOSED狀態(就好比從SYN_SEND狀態到ESTABLISH狀態那樣);但是因為我們必須要假想網絡是不可靠的,你無法保證你最後發送的ACK報文會一定被對方收到,因此對方處於LAST_ACK狀態下的SOCKET可能會因為超時未收到ACK報文,而重發FIN報文,所以這個TIME_WAIT狀態的作用就是用來重發可能丟失的ACK報文。
7.SYN攻擊原理
在三次握手過程中,Server發送SYN-ACK之後,收到Client的ACK之前的TCP連接稱為半連接(half-open connect),此時Server處於SYN_RCVD狀態,當收到ACK後,Server轉入ESTABLISHED狀態。
SYN攻擊就是Client在短時間內偽造大量不存在的IP地址,並向Server不斷地發送SYN包,Server回復確認包,並等待Client的確認,由於源地址是不存在的,因此,Server需要不斷重發直至超時,這些偽造的SYN包將長時間占用未連接隊列,導致正常的SYN請求因為隊列滿而被丟棄,從而引起網絡堵塞甚至系統癱瘓。
SYN攻擊時一種典型的DDOS攻擊,檢測SYN攻擊的方式非常簡單,即當Server上有大量半連接狀態且源IP地址是隨機的,則可以斷定遭到SYN攻擊了,使用如下命令可以可以查看SYN_RECV狀態:
# netstat -nap | grep SYN_RECV 關於建連接時SYN超時:試想一下,如果server端接到了clien發的SYN後回了SYN-ACK後client掉線了,server端沒有收到client回來的ACK,那麽,這個連接處於一個中間狀態,即沒成功,也沒失敗。於是,server端如果在一定時間內沒有收到的TCP會重發SYN-ACK。在Linux下,默認重試次數為5次,重試的間隔時間從1s開始每次都翻售,5次的重試時間間隔為1s, 2s, 4s, 8s, 16s,總共31s,第5次發出後還要等32s都知道第5次也超時了,所以,總共需要 1s + 2s + 4s+ 8s+ 16s + 32s = 2^6 -1 = 63s,TCP才會把斷開這個連接。
關於SYN Flood攻擊:一些惡意的人就為此制造了SYN Flood攻擊——給服務器發了一個SYN後,就下線了,於是服務器需要默認等63s才會斷開連接,這樣,攻擊者就可以把服務器的syn連接的隊列耗盡,讓正常的連接請求不能處理。於是,Linux下給了一個叫tcp_syncookies的參數來應對這個事——當SYN隊列滿了後,TCP會通過源地址端口、目標地址端口和時間戳打造出一個特別的Sequence Number發回去(又叫cookie),如果是攻擊者則不會有響應,如果是正常連接,則會把這個 SYN Cookie發回來,然後服務端可以通過cookie建連接(即使你不在SYN隊列中)。請註意,請先千萬別用tcp_syncookies來處理正常的大負載的連接的情況。因為,synccookies是妥協版的TCP協議,並不嚴謹。對於正常的請求,你應該調整三個TCP參數可供你選擇,第一個是:tcp_synack_retries 可以用他來減少重試次數;第二個是:tcp_max_syn_backlog,可以增大SYN連接數;第三個是:tcp_abort_on_overflow 處理不過來幹脆就直接拒絕連接了。
參考文檔
http://blog.csdn.net/hulifangjiayou/article/details/47283387
http://blog.csdn.net/yanxi252515237/article/details/51955675
《TCP那些事兒》雲頭條作者 陳皓
TCP三次握手與四次揮手詳解