一、概念及作用

TCP會話的每一端都包含一個32位（bit）的序列號，該序列號被用來跟蹤該端傳送的資料量。每一個包中都包含序列號，在接收端則通過確認號用來通知傳送端資料成功接收。

二、TCP三次握手

TCP標誌位

TCP在其協議頭中使用大量的標誌位或者說1位（bit）布林域來控制連線狀態，一個包中有可以設定多個標誌位。

TCP是主機對主機層的傳輸控制協議，提供可靠的連線服務，採用三次握手確認建立一個連線：

位碼即TCP標誌位，有6種標示：SYN(synchronous建立聯機) ACK(acknowledgement 確認) PSH(push傳送) FIN(finish結束) RST(reset重置) URG(urgent緊急)Sequence number(順序號碼) Acknowledge number(確認號碼)
我們常用的是以下三個標誌位：

• SYN - 建立一個連線

• FIN - 終結一個連線

• ACK - 確認接收到的資料

握手過程

所謂三次握手(Three-way Handshake)，是指建立一個TCP連線時，需要客戶端和伺服器總共傳送3個包。

三次握手的目的是連線伺服器指定埠，建立TCP連線,並同步連線雙方的序列號和確認號並交換 TCP 視窗大小資訊.在socket程式設計中，客戶端執行connect()時。將觸發三次握手。

1.第一次握手：建立連線時，客戶端傳送syn包(syn=j)到伺服器，並進入SYN_SEND狀態，等待伺服器確認；

2.第二次握手：伺服器收到syn包，必須確認客戶的SYN（ack=j+1），同時自己也傳送一個SYN包（syn=k），即SYN+ACK包，此時伺服器進入SYN_RECV狀態；

3.第三次握手：客戶端收到伺服器的SYN＋ACK包，向伺服器傳送確認包ACK(ack=k+1)，此包傳送完畢，客戶端和伺服器進入ESTABLISHED狀態，完成三次握手。完成三次握手，客戶端與伺服器開始傳送資料.

第一次握手：

客戶端傳送一個TCP的SYN標誌位置1的包指明客戶打算連線的伺服器的埠，以及初始序號X,儲存在包頭的序列號(Sequence Number)欄位裡。

第二次握手：

伺服器發回確認包(ACK)應答。即SYN標誌位和ACK標誌位均為1同時，將確認序號(Acknowledgement Number)設定為客戶的I S N加1以.即X+1。

第三次握手：

客戶端再次傳送確認包(ACK) SYN標誌位為0,ACK標誌位為1.並且把伺服器發來ACK的序號欄位+1,放在確定欄位中傳送給對方.並且在資料段放寫ISN的+1

syn攻擊

在三次握手過程中，伺服器傳送SYN-ACK之後，收到客戶端的ACK之前的TCP連線稱為半連線(half-open connect).此時伺服器處於Syn_RECV狀態.當收到ACK後，伺服器轉入ESTABLISHED狀態.

Syn攻擊就是 攻擊客戶端 在短時間內偽造大量不存在的IP地址，向伺服器不斷地傳送syn包，伺服器回覆確認包，並等待客戶的確認，由於源地址是不存在的，伺服器需要不斷的重發直 至超時，這些偽造的SYN包將長時間佔用未連線佇列，正常的SYN請求被丟棄，目標系統執行緩慢，嚴重者引起網路堵塞甚至系統癱瘓。

Syn攻擊是一個典型的DDOS攻擊。檢測SYN攻擊非常的方便，當你在伺服器上看到大量的半連線狀態時，特別是源IP地址是隨機的，基本上可以斷定這是一次SYN攻擊.在Linux下可以如下命令檢測是否被Syn攻擊

netstat -n -p TCP | grep SYN_RECV

一般較新的TCP/IP協議棧都對這一過程進行修正來防範Syn攻擊，修改tcp協議實現。主要方法有SynAttackProtect保護機制、SYN cookies技術、增加最大半連線和縮短超時時間等.

但是不能完全防範syn攻擊。

三、TCP四次揮手

TCP使用四次揮手關閉一個連線：

第一次揮手：主動關閉方傳送一個FIN並進入FIN_WAIT1狀態

第二次揮手：被動關閉方接收到主動關閉方傳送的FIN併發送ACK，此時被動關閉方進入CLOSE_WAIT狀態；主動關閉方收到被動關閉方的ACK後，進入FIN_WAIT2狀態

第三次揮手：被動關閉方傳送一個FIN並進入LAST_ACK狀態

第四次揮手：主動關閉方收到被動關閉方傳送的FIN併發送ACK，此時主動關閉方進入TIME_WAIT狀態，經過2MSL時間後關閉連線；被動關閉方收到主動關閉方的ACK後，關閉連線