TCP协议知识总结

osi七层模型作用

应用层: OSI参考模型中最靠近用户的一层，是为计算机用户提供应用接口，也为用户直接提供各种网络服务。
我们常见应用层的网络服务协议有：HTTP，HTTPS，FTP，POP3、SMTP等。

表示层: 表示层提供各种用于应用层数据的编码和转换功能,确保一个系统的应用层发送的数据能被另一个系统的应用层识别。如果必要，该层可提供一种标准表示形式，用于将计算机内部的多种数据格式转换成通信中采用的标准表示形式。数据压缩和加密也是表示层可提供的转换功能之一。

会话层:会话层就是负责建立、管理和终止表示层实体之间的通信会话。该层的通信由不同设备中的应用程序之间的服务请求和响应组成。

传输层：
1、数据分段:标准是 MSS （最大报文段长度）1480字节 ，MTU（最大传输单元）1500字节
为什么mtu比mss多20个字节？
答：一个在传输过程中、一个在分割数据过程中。
2、通过端口号区分不同的服务
端口号范围：0-65535 0-1023是著名端口号 1024-65535是动态端口号
代表协议：TCP:面向连接的可靠传输协议 今天总结tcp的知识。 三次握手，可靠性体现在：确认 重传 排序 流控
UDP：非面向连接的不可靠传输协议

网络层：通过IP地址进行逻辑寻址
代表设备：路由器

数据链路层：1、mac媒介访问控制层
2、llc 逻辑链路层 为上层提供fcs校验
代表设备：交换机、中继器

物理层：定义电气电压接口规范光学特性

一、TCP头部

把tcp包头里的内容详细解读一下：

源端口号和目标端口号，各占两个字节（16bt），分别写入源端口和目标端口

序号：记录发送次数，不同厂商记录发送次数范围都不一样
占四个字节（32bt），tcp连接中传送的字节流，每个字节都按顺序编号。
例如，一段报文的序号字段值是 301 ，而携带的数据共有100字段，显然下一个报文段（如果还有的话）的数据序号应该从401开始

确认序号，占4个字节，是期望收到对方下一个报文的第一个数据字节的序号。
例如，B收到了A发送过来的报文，其序列号字段是501，而数据长度是200字节，这表明B正确的收到了A发送的到序号700为止的数据。因此，B期望收到A的下一个数据序号是701，于是B在发送给A的确认报文段中把确认号置为701

数据偏移：占4位，它指出TCP报文的数据距离TCP报文段的起始处有多远

保留：保留区域，6位，保留给将来使用，目前必须置为 0

控制位：

• URG：为 1 表示紧急指针有效，为 0 则忽略紧急指针值
  ACK：为 1 表示确认号有效，为 0 表示报文中不包含确认信息，忽略确认号字段
  PSH：为 1 表示是带有 PUSH 标志的数据，指示接收方应该尽快将这个报文段交给应用层而不用等待缓冲区装满
  RST：用于复位由于主机崩溃或其他原因而出现错误的连接。它还可以用于拒绝非法的报文段和拒绝连接请求。一般情况下，如果收到一个 RST 为 1 的报文，那么一定发生了某些问题
  SYN：同步序号，为 1 表示连接请求，用于建立连接和使顺序号同步（ synchronize ）
  FIN：用于释放连接，为 1 表示发送方已经没有数据发送了，即关闭本方数据流

窗口：占2字节，指的是通知接收方，发送本报文你需要有多大的空间来接受

检验和：占2字节，校验首部和数据这两部分

紧急指针：占2字节，指出本报文段中的紧急数据的字节数

选项：默认没有字节，长度可变，定义一些其他的可选的参数

二、介绍TCP的三次握手

第一次握手：建立连接时，客户端发送syn包（syn=j）到服务器，并进入SYN_SENT状态，等待服务器确认；SYN：同步序列编号（Synchronize Sequence Numbers）;

第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；

第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ack=k+1），此包发送完毕，客户端和服务器进入ESTABLISHED（TCP连接成功）状态，完成三次握手;

补充知识：

未连接队列
在三次握手协议中，服务器会维护一个未连接队列，这个队列会为每一个客户端的SYN包开设一个条目，条目会表明服务器已经收到了客户端发送的SYN包，并向客户端发出ACK包，正在等待客户端的ACK包。这些条目所标识的连接在服务器处于SYN-RECV（SYN-接受）状态，服务器收到客户端的ACK包时，会删除这个条目，进入到ESTABLISHED状态（连接成功状态）

TIME_WAIT状态

TIME_WAIT状态存在有两个原因
1、可靠终止TCP连接。
如果最后一个ACK报文因为网络原因被丢弃，此时server因为没有收到ACK而超时重传FIN报文，处于TIME_WAIT状态的client可以继续对FIN报文做回复，向server发送ACK报文。
2、保证让迟来的TCP报文段有足够的时间被识别和丢弃。
连接结束了，网络中的延迟报文也应该被丢弃掉，以免影响立刻建立的新连接。

为什么TIME_WAIT状态需要经过2MSL(最大报文段生存时间)才能返回到CLOSE状态？
1、网络是不可靠的，有可以最后一个ACK丢失。所以TIME_WAIT状态就是用来重发可能丢失的ACK报文。
2、可以确保每成功建立一个TCP连接时，来自该连接先前化身的老的重复分组都已经在网络中消逝。

RFC 793中规定MSL为2分钟，实际应用中常用的是30秒，1分钟和2分钟等。

为什么TCP握手是三次，不是两次或者四次呢？
答：TCP是可靠的传输控制协议，三次握手能保证数据可靠传输又能提高传输效率。
假如TCP的握手是两次会有以下两种情况：
1）假设客户端发给服务器的SYN报文因为网络原因而延迟发送，因为延迟发送所以实际上此时服务器并没
有收到客户端发送的SYN包，自然也就不会回复ACK包给客户端。而此时客户端因为没有收到服务器的ACK
包就会重新发送SYN包给服务器，服务器此时收到了客户端第二次发送的SYN包并回复ACK，接着建立成功。数据发送成功，连接正常关闭。而此时由于网络延迟的原因，第一次发送的SYN报文才正常发出，服务器看到后，会以为是新的同步报文，又回复一个ACK，和客户端建立了连接。 这就造成了不必要的连接。
2）假设服务器给客户端发送的ACK报文因为网络原因，报文被丢弃，此时服务器不知道自己报文被丢弃，以为已经建立好连接，但是客户端没有收到确认报文，认为没有建立好连接。客户端会重发SYN报文，此时server已经处于就绪状态，认为建立好连接。

如果TCP的握手是四次：
1、客户端给服务器发送SYN报文
2、服务器收到SYN后，给客户端回复ACK确认报文
3、服务器给客户端发送SYN同步报文
4、客户端给服务器发送ACK确认报文

第2、3步之间，服务器和客户端没有任何的数据交互，分开发送相当于多发了一次tcp报文段，syn和acl标识只是tcp报头的一个标识位。很明显这两步可以合并，从而提高连接的速度和效率。

三、介绍TCP断开的四次挥手

1、客户端发送一个FIN，用来关闭客户到服务器的数据传送
2、服务器收到FIN，回复ACK，确认序号为收到的序号+1，和SYN一样，一个FIN将占用一个序号
3、服务器关闭与客户端的连接，发送一个FIN给客户端
4、客户端收到FIN，回复ACK，确认序号为收到序号＋1

为什么连接的时候是三次握手，关闭的时候却是4次？

因为当Server端收到Client端的SYN连接请求报文后，可以直接发送SYN+ACK报文。其中ACK报文是用来应答的，SYN报文是用来同步的。但是关闭连接时，当Server端收到FIN报文时，很可能并不会立即关闭SOCKET，所以只能先回复一个ACK报文，告诉Client端，”你发的FIN报文我收到了”。只有等到我Server端所有的报文都发送完了，我才能发送FIN报文，因此不能一起发送。故需要四步握手。

TCP是全双工的连接，必须两端同时关闭连接，连接才算真正关闭。 如果一方已经准备关闭写，但是它还可以读另一方发送的数据。发送给FIN结束报文给对方对方收到后，回复ACK报文。当这方也已经写完了准备关闭，发送FIN报文，对方回复ACK。两端都关闭，TCP连接正常关闭。

四、TPC的syn攻击的过程，怎么防御？

过程：syn攻击是基于TCP连接的三次握手的半连接，属于DOS攻击。攻击者发送完第一次握手后，服务器维护一个未连接队列并发送回复，但是攻击者不发送第三次握手的ack，造成服务器会等待，浪费CPU和内存，在半连接存活时间内有大量的半连接就会造成服务器无法服务现象。
防御：减小超时时间；SYN网关和SYN代理；增大最大半连接数；SYN cookies技术
SYN Cookie是对TCP服务器端的三次握手协议作一些修改，专门用来防范SYN Flood攻击的一种手段。它的原理是，在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时，不分配一个专门的数据区，而是根据这个SYN包计算出一个cookie值。在收到TCP ACK包时，TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法，再分配专门的数据区进行处理未来的TCP连接。
如果可以修改协议的话可以参考SCTP的四次握手机制
注意：在TCP四次挥手时也是可以产生DOS攻击的

五、简述TCP协议在数据传输过程中收发双方是如何保证数据包的可靠性的?

1.为了保证数据包的可靠传递，发送方必须把已发送的数据包保留在缓冲区；
2.并为每个已发送的数据包启动一个超时定时器；
3.如在定时器超时之前收到了对方发来的应答信息（可能是对本包的应答，也可以是对本包后续包的应答），则释放该数据包占用的缓冲区;
4.否则，重传该数据包，直到收到应答或重传次数超过规定的最大次数为止。
5.接收方收到数据包后，先进行CRC校验，如果正确则把数据交给上层协议，然后给发送方发送一个累计应答包，表明该数据已收到，如果接收方正好也有数据要发给发送方，应答包也可放在数据包中捎带过去。

六、TCP是如何通过滑动窗口协议实现流量控制和拥塞控制的？

慢启动阶段(slow start)：发送方一开始便向网络发送多个报文段，直至达到接收方通告的窗口大小为止。当发送方和接收方处于同一个局域网时，这种方式是可以的。但是如果在发送方和接收方之间存在多个路由器和速率较慢的链路时，就有可能出现一些问题。一些中间路由器必须缓存分组，并有可能耗尽存储器的空间。
2.拥塞避免阶段（congestion avoidance）：当发现超时或收到3个相同ACK确认帧时，则表示有丢包事件，此时网络已发生拥塞现象，此时要进行相应的拥塞控制。将慢启动阈值设置为当前拥塞窗口的一半；如检测到超时，拥塞窗口就被置为l。如果拥塞窗口小于或等于慢启动阈值，TCP重新进人慢启动阶段；如果拥塞窗口大于慢启动阈值，TCP执行拥塞避免算法。
3.快速重传阶段(fast retransmit)：当TCP源端收到到三个相同的ACK副本时，即认为有数据包丢失，则源端重传丢失的数据包，而不必等待RTO超时。同时将ssthresh设置为当前cwnd值的一半，并且将cwnd减为原先的一半。
4.快速恢复阶段(fast recovery) ：当”旧”数据包离开网络后，才能发送”新”数据包进入网络，即同一时刻在网络中传输的数据包数量是恒定的。如果发送方收到一个重复的ACK，则认为已经有一个数据包离开了网络，于是将拥塞窗口加1。

七、描述TCP和UDP的区别？

TCP是基于连接的，提供可靠传输；而UDP是基于无连接的，不提供可靠传输；
UDP报文是面向数据报文的，TCP是面向数据流的；
UDP的报文简单，因此传输效率高；
TCP只能提供点到点通信，但是UDP支持单播、组播和广播；

八、TCP有哪些定时器？

1.重传计时器:为了控制丢失的报文段或丢弃的报文段，也就是对报文段确认的等待时间
2.坚持计时器:专门为对付零窗口通知而设立的
3.保活计时器:每当服务器收到客户的信息，就将keeplive timer复位，超时通常设置2小时，若服务器超过2小时还没有收到来自客户的信息，就发送探测报文段，若发送了10个探测报文段（没75秒发送一个）还没收到响应，则终止连接
4.时间等待计时器:在连接终止期使用，当TCP关闭连接时，并不认为这个连接就真正关闭了，在时间等待期间，连接还处于一种中间过度状态。这样就可以时重复的fin报文段在到达终点后被丢弃，这个计时器的值通常设置为一格报文段寿命期望值的两倍。