前提条件:在一台主机(客户端)中的一个进程想和另一台主机(服务器端)上的一个进程建立一条连接,客户端应用进程首先通知客户端TCP,告知其想和一个服务器上的某个进程建立连接,客户中的TCP会通过三次握手与服务器的TCP建立一条属于TCP的连接。
第一次握手:客户端发送连接请求报文段,等待服务器确认,这个时候没有携带应用层数据。
此时同步位SYN=1,表明这是一个连接请求报文。seq=x
第二次握手:服务器端为该TCP连接分配缓存和变量,并且向客户端返回确认报文段,允许连接,也没有应用层数据。
此时SYN=1,表明这是一个连接接收报文。ACK=1,seq=y,ack=x+1(确认号:期望收到对方下一个报文段的第一个数据字节的序号)
第三次握手:客户端为该TCP连接分配缓存和变量,并向服务器端返回确认的确认,此时可以携带应用层数据。
此时SYN=0,ACK=1
Ps:在TCP三次握手中,可能会发生SYN洪泛攻击。
客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送syn包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪
解决方法:SYN cookie:给每一个请求连接的真实IP地址分配一个Cookie,如果短时间内连续收到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被一概丢弃