TCP协议知识储备（面试必备）

一、OSI七层模型

    应用层：文件传输，文件管理，电子邮件的信息处理
    表示层：编码转换，数据解析，管理数据的解密和加密
    会话层：负责在网络中的两节点建立，维持和终止通信
    传输层：数据分段，通过端口号区分不同的服务
    网络层：通过ip地址进行逻辑寻址
    数据链路层：1、mac 媒介访问控制 2、llc 逻辑链路层 为上层提供fsc校验
    物理层：定义电气电压接口规范光学特性

传输层协议：TCP：面向连接的可靠传输协议
                      UDP：非面向连接的非可靠传输协议

         TCP协议是一个面向连接的可靠传输协议，面向连接体现在三次握手，可靠体现在确认、重传、排序、流控（滑动窗口）

二、TCP报头解读

  1、端口号：用来标识同一台计算机不同的应用进程
        源端口：源端口和IP地址的作用是标识报文的返回地址
        目标端口：端口指明接收方计算机上的应用程序接口。
  2、序列号：记录发送次数，占四个字节，TCP连接中传送的字节流的每个字节都按顺序编号
  3、确认号：占4个字节，是期望收到对方下一个报文的第一个数据字节的序号
  4、首部长度/数据偏移：占4位，它指出TCP报文的数据距离TCP报文段的起始处有多远
  5、保留位：占6位，保留今后使用，但目前应都为0，一般用于做QoS策略
  6、紧急URG：当URG=1，表明紧急指针有效。告诉系统此报文段中有紧急数据
  7、确认ACK：当ACK=1，确认字段有效，TCP规定，在建立连接后所有报文的传输都必须把ACK置1
  8、推送PSH：当两个应用程序进行交互式通信是，有时一端的应用进程希望在键入一个命令后立即就能收到对方的响应，这时就将PSH=1
  9、复位RST：当RST=1，表明TCP连接中出现严重差错，必须释放连接，然后再重新建立连接
  10、同步SYN：在连接建立是用于同步序号。当SYN=1，ACK=0，表明是连接请求报文，若同意连接，则响应报文中应该使SYN=1，ACK=1
  11、终止FIN：用来释放连接。当FIN=1，表明此报文的发送方的数据已经发送完毕，并且要求释放
  12、窗口：占2字节，指的是通知接收方，发送本报文你需要有多大的空间来接受
  13、校验和：占2字节，校验首部和数据这两部分
  14、紧急指针：占2字节，指出本报文段中的紧急数据的字节数；
  15、选项：长度可变，定义一些其他的可选的参数

三、TCP协议的三次握手和四次挥手

  1、第一次握手：建立连接时，客户端发送syn包（syn=j）到服务器，并进入SYN_SENT状态，等待服务器确认；SYN：同步序列编号（Synchronize Sequence Numbers）
  2、第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态
  3、第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ack=k+1），此包发送完毕，客户端和服务器进入ESTABLISHED（TCP连接成功）状态，完成三次握手

  SYN攻击：
        在三次握手过程中，Server发送SYN-ACK之后，收到Client的ACK之前的TCP连接称为半连接（half-open connect），此时Server处于SYN_RCVD状态，当收到ACK后，Server转入ESTABLISHED状态。SYN攻击就是Client在短时间内伪造大量不存在的IP地址，并向Server不断地发送SYN包，Server回复确认包，并等待Client的确认，由于源地址是不存在的，因此，Server需要不断重发直至超时，这些伪造的SYN包将产时间占用未连接队列，导致正常的SYN请求因为队列满而被丢弃，从而引起网络堵塞甚至系统瘫痪。SYN攻击时一种典型的DDOS攻击，检测SYN攻击的方式非常简单，即当Server上有大量半连接状态且源IP地址是随机的，则可以断定遭到SYN攻击了，使用如下命令可以让之现行：
              #netstat -nap | grep SYN_RECV

  未连接队列：
        在三次握手协议中，服务器维护一个未连接队列，该队列为每个客户端的SYN包（syn=j）开设一个条目，该条目表明服务器已收到SYN包，并向客户发出确认，正在等待客户的确认包。这些条目所标识的连接在服务器处于SYN_RECV状态，当服务器收到客户的确认包时，删除该条目，服务器进入ESTABLISHED状态。

  TIME_WAIT状态：
    TIME_WAIT状态存在有两个原因
    <1>可靠终止TCP连接。如果最后一个ACK报文因为网络原因被丢弃，此时server因为没有收到ACK而超时重传FIN报文，处于TIME_WAIT状态的client可以继续对FIN报文做回复，向server发送ACK报文。
    <2>保证让迟来的TCP报文段有足够的时间被识别和丢弃。连接结束了，网络中的延迟报文也应该被丢弃掉，以免影响立刻建立的新连接。

  为什么TCP协议需要三次握手：
    TCP是可靠的传输控制协议，三次握手能保证数据可靠传输又能提高传输效率。
        如果TCP的握手是两次：
    <1>如果client发给server的SYN报文因为网络原因，延迟发送。由于client没有收到server对SYN的确认报文，会重发SYN报文，服务器和回复ACK，连接建立。数据发送完毕，这条连接被正常关闭。这时，延迟的SYN报文发到了server，server误以为这是client重新发送的同步报文，又回复了一个ACK，和client建立了连接。
    <2>如果server给client发送的ACK报文因为网络原因，报文被丢弃，此时server认为已经建立好连接，但是client没有收到确认报文，认为没有建立好连接。client会重发SYN报文，此时server已经处于就绪状态，认为已经建立好连接。
        如果TCP的握手是四次：
        –1.client给server发送SYN同步报文；
        –2.server收到SYN后，给client回复ACK确认报文；
        –3.server给client发送SYN同步报文；
        –4.client给server发送ACK确认报文。
        第2.3步之间，server和client没有任何的数据交互，分开发送相当于多发了一次TCP报文段，SYN和ACK标识只是TCP报头的一个标识位。很明显，这两步可以合并，从而提高连接的速度和效率。

  TCP协议四次挥手：
        1、客户端A发送一个FIN，用来关闭客户A到服务器B的数据传送
        2、服务器B收到这个FIN，它发回一个ACK，确认序号为收到的序号加1。和SYN一样，一个FIN将占用一个序号
        3、 服务器B关闭与客户端A的连接，发送一个FIN给客户端A
        4、客户端A发回ACK报文确认，并将确认序号设置为收到序号加1

  为什么连接的时候是三次握手，关闭的时候却是四次握手？：
        因为当Server端收到Client端的SYN连接请求报文后，可以直接发送SYN+ACK报文。其中ACK报文是用来应答的，SYN报文是用来同步的。但是关闭连接时，当Server端收到FIN报文时，很可能并不会立即关闭SOCKET，所以只能先回复一个ACK报文，告诉Client端，”你发的FIN报文我收到了”。只有等到我Server端所有的报文都发送完了，我才能发送FIN报文，因此不能一起发送。故需要四步握手。

四、TCP的syn攻击的过程，怎么防御？

        过程：syn攻击是基于TCP连接的三次握手的半连接，属于DOS攻击。攻击者发送完第一次握手后，服务器维护一个未连接队列并发送回复，但是攻击者不发送第三次握手的ack，造成服务器会等待，浪费CPU和内存，在半连接存活时间内有大量的半连接就会造成服务器无法服务现象
        防御：减小超时时间；SYN网关和SYN代理；增大最大半连接数；SYN cookies技术

        SYN Cookie是对TCP服务器端的三次握手协议作一些修改，专门用来防范SYN Flood攻击的一种手段。它的原理是，在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时，不分配一个专门的数据区，而是根据这个SYN包计算出一个cookie值。在收到TCP ACK包时，TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法，再分配专门的数据区进行处理未来的TCP连接

        如果可以修改协议的话可以参考SCTP的四次握手机制
        注意：在TCP四次挥手时也是可以产生DOS攻击的

五、简述TCP协议在数据传输过程中收发双方是如何保证数据包的可靠性的?

        1. 为了保证数据包的可靠传递，发送方必须把已发送的数据包保留在缓冲区；
        2. 并为每个已发送的数据包启动一个超时定时器；
        3. 如在定时器超时之前收到了对方发来的应答信息（可能是对本包的应答，也可以是对本包后续包的应答），则释放该数据包占用的缓冲区;
        4. 否则，重传该数据包，直到收到应答或重传次数超过规定的最大次数为止。
        5. 接收方收到数据包后，先进行CRC校验，如果正确则把数据交给上层协议，然后给发送方发送一个累计应答包，表明该数据已收到，如果接收方正好也有数据要发给发送方，应答包也可放在数据包中捎带过去。

六、TCP是如何通过滑动窗口协议实现流量控制和拥塞控制的？

        1. 慢启动阶段(slow start)：发送方一开始便向网络发送多个报文段，直至达到接收方通告的窗口大小为止。当发送方和接收方处于同一个局域网时，这种方式是可以的。但是如果在发送方和接收方之间存在多个路由器和速率较慢的链路时，就有可能出现一些问题。一些中间路由器必须缓存分组，并有可能耗尽存储器的空间。
        2. 拥塞避免阶段（congestion avoidance）：当发现超时或收到3个相同ACK确认帧时，则表示有丢包事件，此时网络已发生拥塞现象，此时要进行相应的拥塞控制。将慢启动阈值设置为当前拥塞窗口的一半；如检测到超时，拥塞窗口就被置为l。如果拥塞窗口小于或等于慢启动阈值，TCP重新进人慢启动阶段；如果拥塞窗口大于慢启动阈值，TCP执行拥塞避免算法。
        3. 快速重传阶段(fast retransmit)：当TCP源端收到到三个相同的ACK副本时，即认为有数据包丢失，则源端重传丢失的数据包，而不必等待RTO超时。同时将ssthresh设置为当前cwnd值的一半，并且将cwnd减为原先的一半。
        4. 快速恢复阶段(fast recovery) ：当”旧”数据包离开网络后，才能发送”新”数据包进入网络，即同一时刻在网络中传输的数据包数量是恒定的。如果发送方收到一个重复的ACK，则认为已经有一个数据包离开了网络，于是将拥塞窗口加1。

七、 描述TCP和UDP的区别？

        1、TCP是基于连接的，提供可靠传输；而UDP是基于无连接的，不提供可靠传输；
        2、UDP报文是面向数据报文的，TCP是面向数据流的；
        3、UDP的报文简单，因此传输效率高；
        4、TCP只能提供点到点通信，但是UDP支持单播、组播和广播；

八、TCP有哪些定时器？

        1. 重传计时器:为了控制丢失的报文段或丢弃的报文段，也就是对报文段确认的等待时间
        2. 坚持计时器:专门为对付零窗口通知而设立的
        3. 保活计时器:每当服务器收到客户的信息，就将keeplive timer复位，超时通常设置2小时，若服务器超过2小时还没有收到来自客户的信息，就发送探测报文段，若发送了10个探测报文段（没75秒发送一个）还没收到响应，则终止连接
        4. 时间等待计时器:在连接终止期使用，当TCP关闭连接时，并不认为这个连接就真正关闭了，在时间等待期间，连接还处于一种中间过度状态。这样就可以时重复的fin报文段在到达终点后被丢弃，这个计时器的值通常设置为一格报文段寿命期望值的两倍。