【计算机基础】【计算机网络】TCP三次握手和四次挥手等经典问题总结

1、TCP三次握手

1.1TCP首部解析图和TCP三次连接首部内容变化图

首部内容说明：重要的内容加粗

（1）序号：Seq序号，占32位，用来标识从TCP源端向目的端发送的字节流，发起方发送数据时对此进行标记。

（2）确认序号：Ack序号，占32位，只有ACK标志位为1时，确认序号字段才有效，Ack=Seq+1。

（3）标志位：共6个，即URG、ACK、PSH、RST、SYN、FIN等，具体含义如下：

（A）URG：紧急指针（urgent pointer）有效。

（B）ACK：确认序号有效。

（C）PSH：接收方应该尽快将这个报文交给应用层。

（D）RST：重置连接。

（E）SYN：发起一个新连接。

（F）FIN：释放一个连接。

注意：

（A）不要将确认序号Ack（代表确认号序号下面那个内容，图一中的201和501）与标志位中的ACK搞混了。

（B）确认方Ack=发起方Req+1，两端配对。

1.2 三次握手对应首部变化

• 第一次握手：序号：X；SYN标志位：1；
• 第二次握手：序号：Y；确认号：X+1；SYN标志位:1；ACK标志位：1；
• 第三次握手：序号：Z；确认号：Y+1；ACK标志位：1；

1.3 为什么是三次握手而不是两次？知其然更要知其所以然

• 传统意义上解释：防止已失效的连接请求又传送到服务器端，因而产生错误

       根本性探究：为了实现可靠数据传输， TCP 协议的通信双方， 都必须维护一个序列号， 以标识发送出去的数据包中， 哪些是已经被对方收到的。 三次握手的过程即是通信双方相互告知序列号起始值， 并确认对方已经收到了序列号起始值的必经步骤。如果只是两次握手， 至多只有连接发起方的起始序列号能被确认， 另一方选择的序列号则得不到确认。我们可以通过图一看出ACK代表着确认，如果两次的话很清晰的能够看出：客户端能够ACK服务端的信息，但是服务端无法确认客户端是否已经收到了信息，从而导致了问题1⃣️的答案。原文博客：https://blog.csdn.net/lengxiao1993/article/details/82771768

2、TCP四次挥手过程

2.1 TCP四次挥手流程图

流程解析：

1）假设Client端发起中断请求，也就是发送FIN报文。Server端接到FIN报文后，意思是说“我client端要发给你了”，但是如果你还没有数据要发送完成，则不必急着关闭Socket，可以继续发送数据。所以所以你先发送ACK，"告诉Client端，你的请求我收到了，但是我还没准备好，请继续你等我的消息"。这个时候Client端就进入FIN_WAIT状态，继续等待Server端的FIN报文。

2）当Server端确定数据已发送完成，则向Client端发送FIN报文，"告诉Client端，好了，我这边数据发完了，准备好关闭连接了"。

3）Client端收到FIN报文后，"就知道可以关闭连接了，但是他还是不相信网络，怕Server端不知道要关闭，所以发送ACK后进入TIME_WAIT状态，如果Server端没有收到ACK则可以重传。“，

4）Server端收到ACK后，"就知道可以断开连接了"。Client端等待了2MSL后依然没有收到回复，则证明Server端已正常关闭，那好，我Client端也可以关闭连接了。Ok，TCP连接就这样关闭了！

注意：在TIME_WAIT状态中，如果TCP client端最后一次发送的ACK丢失了，它将重新发送。TIME_WAIT状态中所需要的时间是依赖于实现方法的。典型的值为30秒、1分钟和2分钟。等待之后连接正式关闭，并且所有的资源(包括端口号)都被释放

2.2为什么连接是三次握手，关闭是四次握手

      因为当Server端收到Client端的SYN连接请求报文后，可以直接发送SYN+ACK报文。其中ACK报文是用来应答的，SYN报文是用来同步的。但是关闭连接时，当Server端收到FIN报文时，很可能并不会立即关闭SOCKET，所以只能先回复一个ACK报文，告诉Client端，"你发的FIN报文我收到了"。只有等到我Server端所有的报文都发送完了，我才能发送FIN报文，因此不能一起发送。故需要四步握手。

2.3为什么TIME_WAIT状态需要经过2MSL(最大报文段生存时间)才能返回到CLOSE状态？

原因一：保证TCP全双工连接的可靠释放

假设场景为客户端主动向服务器发起断开连接，假如在主动方（客户端）最后一次发送的ACK在网络中丢失，根据TCP的超时重传机制，被动方（服务器）需要重新向客户端发送FIN+ACK，在FIN未达到之前，必须维护这条连接；并且要接收到客户端发出的ACK确认后才能终止连接；如果直接在重传的FIN到达之前而关闭连接，当FIN到达后会促使客户端TCP传输层发送RST重新建立连接，而本质上这是一个正常断开连接的过程。

4次握手的最后一个ACK是是由主动关闭方发送出去的，若这个ACK丢失，被动关闭方会再次发一个FIN过来；若主动关闭方能够保持一个2MSL的TIME_WAIT状态，则有更大的机会让丢失的ACK被再次发送出去。

原因二：为了使就得数据包在网络中因过期而失效

    为什么是两个2MSL的原因：如果不到2MSL就断开连接，新连接又以旧连接相同的端口和ip连接服务器，就连接的重复数据报到达又会干扰第二个连接；2MSL（报文在网络最大生存时间）在发送完最后一个ACK报文段后，再经过实践2MSL，就可以使本连接持续的时间内所产生的所有报文段，都从网络中消失。这样就可以使下一个新的连接中不会出现这种就得连接请求报文段。

3、SYN攻击

Syn攻击就是客户端 在短时间内伪造大量不存在的IP地址，向服务器不断地发送syn包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。

Syn攻击是一个典型的DDOS攻击。检测SYN攻击非常的方便，当你在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本上可以断定这是一次SYN攻击.在Linux下可以如下命令检测是否被Syn攻击

netstat -n -p TCP | grep SYN_RECV

一般较新的TCP/IP协议栈都对这一过程进行修正来防范Syn攻击，修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、增加最大半连接和缩短超时时间等.但是不能完全防范syn攻击。