TCP三次握手的过程、状态码

开始, 客户端和服务器都处于 CLOSE 状态。

此时, 客户端向服务器主动发出连接请求, 服务器被动接受连接请求。

1, sever服务器进程先创建传输控制块TCB, 时刻准备接受客户端进程的连接请求, 此时服务器就进入了 LISTEN（监听）状态。

2, client客户端进程也是先创建传输控制块TCB, 然后向sever服务器发出连接请求报文（第一次握手），此时：
报文首部中的同步标志位SYN=1,
同时选择一个初始序列号 seq = j,
此时，TCP客户端client进程进入了 SYN-SENT（在发送连接请求后，等待匹配的连接请求）状态。
TCP规定, SYN报文段（SYN=1的报文段）不能携带数据，但需要消耗掉一个序号。

3, sever服务器收到请求报文后【sever确认：client的发送能力正常，自己的接收能力正常】,
如果同意连接, 则发出确认报文（第二次握手）：
确认报文中的 ACK=1, SYN=1,
确认序号是 j+1,
同时发送服务器自己的初始化序列号 seq = k,

此时, TCP服务器sever进程进入了****SYN-RCVD（在收到和发送一个连接请求后，等待对连接请求的确认）状态。
这个报文也不能携带数据, 但是同样要消耗一个序号。

4, TCP客户端进程收到确认后,【client确认：sever的发送能力和接收能力正常，自己的发送和接受能力正常】
要向服务器给出确认（第三次握手）：
确认报文的ACK=1，确认序号是 k+1，自己的序列号是 j +1。

5, 此时，TCP连接建立，客户端进入ESTABLISHED（已建立连接，代表一个打开的连接，数据可以传送给用户；）状态。
当服务器收到客户端的确认后【sever确认：client的接受能力正常，自己的发送能力正常】也进入ESTABLISHED状态，此后双方就可以开始通信了。

**LISTENING ：侦听来自远方的TCP端口的连接请求 **
首先服务端需要打开一个 socket 进行监听，状态为LISTEN。
有提供某种服务才会处于LISTENING状态， TCP状态变化就是某个端口的状态变化，提供一个服务就打开一个端口，例如：提供www服务默认开的是80端口，提供ftp服务默认的端口为21，当提供的服务没有被连接时就处于LISTENING状态。FTP服务启动后首先处于侦听(LISTENING)状态。处于侦听LISTENING状态时，该端口是开放的，等待连接，但还没有被连接。就像你房子的门已经敞开的，但还没有人进来。
看LISTENING状态最主要的是看本机开了哪些端口，这些端口都是哪个程序开的，关闭不必要的端口是保证安全的一个非常重要的方面，服务端口都对应一个服务(应用程序)，停止该服务就关闭了该端口，例如要关闭21端口只要停止IIS服务中的FTP服务即可。关于这方面的知识请参阅其它文章。
如果你不幸中了服务端口的木马，木马也开个端口处于LISTENING状态。

SYN-SENT： 客户端SYN_SENT状态：
在客户端发送连接请求后，等待匹配的连接请求:
客户端通过应用程序调用connect进行active open.于是客户端tcp发送一个SYN以请求建立一个连接之后状态置为SYN_SENT. /*The socket is actively attempting to establish a connection. 在发送连接请求后等待匹配的连接请求 */

当请求连接时客户端首先要发送同步信号给要访问的机器，此时状态为SYN_SENT，如果连接成功了就变为ESTABLISHED，正常情况下SYN_SENT状态非常短暂。例如要访问网站http://www.baidu.com,如果是正常连接的话，用TCPView观察 IEXPLORE .EXE(IE)建立的连接会发现很快从SYN_SENT变为ESTABLISHED，表示连接成功。SYN_SENT状态快的也许看不到。

如果发现有很多SYN_SENT出现，那一般有这么几种情况，一是你要访问的网站不存在或线路不好，二是用扫描软件扫描一个网段的机器，也会出出现很多SYN_SENT，另外就是可能中了病毒了，例如中了"冲击波"，病毒发作时会扫描其它机器，这样会有很多SYN_SENT出现。

SYN-RECEIVED： 服务器端状态SYN_RCVD
在收到和发送一个连接请求后，等待对方对连接请求的确认。当服务器收到客户端发送的同步信号时，将标志位ACK和SYN置1发送给客户端，此时服务器端处于SYN_RCVD状态，如果连接成功了就变为ESTABLISHED，正常情况下SYN_RCVD状态非常短暂。如果发现有很多SYN_RCVD状态，那你的机器有可能被SYN Flood的DoS(拒绝服务攻击)攻击了。

SYN Flood（SYN洪水攻击）的攻击原理是：
在进行三次握手时，攻击软件向被攻击的服务器发送SYN连接请求(握手的第一步)，但是这个地址是伪造的，如攻击软件随机伪造了51.133.163.104、65.158.99.152等等地址。 服务器 在收到连接请求时将标志位 ACK和 SYN 置1发送给客户端(握手的第二步)，但是这些客户端的IP地址都是伪造的，服务器根本找不到客户机，也就是说握手的第三步不可能完成。
这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级(大约为30秒-2分钟)；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的 CPU 时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。此时从正常客户的角度看来，服务器失去响应，这种情况我们称做： 服务器端受到了SYN Flood攻击(SYN洪水攻击 )。

ESTABLISHED：代表一个打开的连接
ESTABLISHED状态是表示两台机器正在传输数据，观察这个状态最主要的就是看哪个程序正在处于ESTABLISHED状态。
服务器出现很多 ESTABLISHED状态： netstat -nat |grep 9502或者使用lsof -i:9502可以检测到。
当客户端未主动close的时候就断开连接：即客户端发送的FIN丢失或未发送。
这时候若客户端断开的时候发送了FIN包，则服务端将会处于CLOSE_WAIT状态;
这时候若客户端断开的时候未发送FIN包，则服务端处还是显示ESTABLISHED状态;
结果客户端重新连接服务器。
而新连接上来的客户端(也就是刚才断掉的重新连上来了)在服务端肯定是ESTABLISHED; 如果客户端重复的上演这种情况，那么服务端将会出现大量的假的ESTABLISHED连接和CLOSE_WAIT连接。
最终结果就是新的其他客户端无法连接上来，但是利用netstat还是能看到一条连接已经建立，并显示ESTABLISHED，但始终无法进入程序代码。

在三次握手的时候，如果第三次客户端回应的ACK丢失，
因为客户端在第一次接收到SYN+ACK的时候处于的是SYN_SENT状态，这时候接收到SYN+ACK，会回一个ACK进入ESTABLISTEND状态，那么ACK丢失了，服务器重传SYN+ACK，客户端处于ESTABLISTEND状态而并非之前的SYN_SENT状态，收到服务器重传的 SYN+ACK , 那么客户端并不会给服务器回复 ACK , 这时客户端会认为连接建立失败了 , 会重新发起连接请求 .一切又重新开始 。。