TCP 三次握手
目的:确认双方均具有发送和接收数据的能力
- 第一次,客户端发送连接请求,标志位 SYN = 1,序号 seq = x,并进入 SYN_SEND 状态,[客户端发送能力]
- 第二次,服务端接收到客户端的连接请求,发送确认包,标志位 SYN = 1,ACK = 1,序号 seq = y,ack = x + 1,并进入 SYN_RECEIVED 状态;[服务端接收能力和发送能力]
- 第三次,客户端接收到服务端的应答请求,发送确认包,标志位 SYN = 0,ACK = 1,序号 ack = y + 1,并进入 ESTABLISHED 状态,服务器端接收到这个包时,也进入 ESTABLISHED 状态。[客户端具有接收能力]
至此,TCP 握手结束。
「TP:欠一个手绘流程图:三次握手」
四次挥手
目的:确认双方均失去发送和接收数据的能力
- 第一次,客户端发起断开连接请求,标志位 FIN = 1,序号 seq = x,并进入 FIN_WAIT_1 状态。[客户端失去发送能力]
- 第二次,服务端接收到断开连接请求,发送确认包,标志位 ACK = 1,序号 ack = x + 1,并进入 CLOSE_WAIT 状态。
- 第三次,服务端发送断开连接请求,标志位 FIN = 1,序号 seq = y,并进入 LAST_ACK 状态,等待来自客户端最后一个 ACK。[服务端失去发送能力]
- 第四次,客户端接收到断开连接请求,发送确认包,并进入 TIME_WAIT 状态,等待可能出现的重传 ACK 包。服务端接收到这个确认包之后,关闭连接,进入 CLOSED 状态。[服务端失去接收能力]
客户端等待两个最大生命周期 2MSL 之后,没有收到服务端的 ACK,认为服务器端已正常关闭,于是也关闭连接,进入 CLOSED 状态。[客户端失去接收能力]
「TP:再欠一个手绘流程图:四次挥手」
补充
SYN 攻击
在三次握手过程中,服务器半连接状态下,需要收到 ACK 包才能进入 ESTABLISHED 状态。
SYN 攻击是指,攻击客户端 在短时间内伪造大量不存在的 IP 地址,向服务器不断地发送 SYN 包,服务器会不断回复确认包,并等待客户端的确认。因为源地址是伪造的、不存在的,所以服务器会不断的重发直至超时,这些伪造的 SYN 包将长时间占用未连接队列,正常的 SYN 请求就可能会被丢弃,导致目标系统运行缓慢,严重者甚至引起网络堵塞、系统瘫痪。
SYN 攻击是一种典型的 DDoS 攻击。
检测 SYN 攻击的方法
当看到服务器上有大量的半连接状态,特别是源 IP 地址随机分布,基本上可以断定是一次 SYN 攻击。
防御 SYN 攻击的方法
- 缩短 超时时间
- 增加最大半连接数
- 过滤网关防护
- SYN cookies 技术
TCP KeepAlive
基本原理:隔一段时间给连接对端发送一个探测包,如果收到对方回应的 ACK,则认为连接依旧存活;在超过一定重试次数之后还是没有收到对方的回应,则丢弃该 TCP 连接。