TCP

三次握手，四次挥手

三次握手建立连接：

1. 第一次握手：客户端发送syn包(seq=x)到服务器，并进入SYN_SEND状态，等待服务器确认；
2. 第二次握手：服务器收到syn包，必须确认客户的SYN(ack=x+1)，同时自己也发送一个SYN包(seq=y)，即SYN+ACK包，此时服务器进入SYN_RECV状态；
3. 第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ack=y+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

握手过程中传送的包里不包含数据，三次握手完毕后，客户端与服务器才正式开始传送数据。理想状态下，TCP连接一旦建立，在通信双方中的任何一方主动关闭连接之前，TCP 连接都将被一直保持下去.

四次挥手断开连接：

1. 主机A发送位码为FIN＝1，用来关闭客户A到服务器B的数据传送。此时A的状态为FIN_WAIT_1
2. 服务器B收到这个FIN，它发回一个ACK，确认序号为收到的序号加1。此时A为FIN_WAIT_2，B为CLOSE_WAIT
3. 服务器B关闭与客户端A的连接，发送一个FIN给客户端A。此时A为TIME_WAIT，B为LAST_ACK
4. 客户端A发回ACK报文确认，并将确认序号设置为收到序号加1。此时A、B都关闭了，状态变为CLOSED。
   当（2）、（3）步中的ACK和FIN在一个包中发送时，A的状态会直接从FIN_WAIT_1变为TIME_WAIT
   
   参考：
   https://juejin.im/post/5a0444d45188255ea95b66bc#heading-2

为什么建立连接是三次握手，而关闭连接却是四次挥手呢?

这是因为服务端在LISTEN状态下，收到建立连接请求的SYN报文后，把ACK和SYN放在一个报文里发送给客户端。而关闭连接时，当收到对方的FIN报文时，仅仅表示对方不再发送数据了但是还能接收数据，己方也未必全部数据都发送给对方了，所以己方可以立即close，也可以发送一些数据给对方后，再发送FIN报文给对方来表示同意现在关闭连接，因此，己方ACK和FIN一般都会分开发送,就需要四次握手了。

TCP/IP 分层模型与通信示例

• 发包过程
  表示层转码，会话层决定何时建立连接，传输层负责建立连接，断开连接和发送数据，保证数据能顺利发送至对端。TCP 协议（传输层）在数据前附加一个首部，这个首部除了包含发送端和接收端地址以外，还包含序号，检验和（判断数据是否被破坏）。IP （网络层）模块将 TCP 传来的首部和数据当数据。加首部，这个首部中包含地址和上一层的协议。链路层除了添加首部，还会添加 FCS 到包尾

• 收包过程
  链路层判断 MAC 地址，判断IP 协议。网络层做的事情差不多，在这里，对于有路由器的情况下，借助路由控制表，在找到应该送达的主句或路由器以后再转发数据。传输层检验数据是否被损坏，检验数据是否按照顺序发送，然后再做相同的事情

超时重传和快速重传

• 超时重传：当超时时间到达时，发送方还未收到对端的ACK确认，就重传该数据包
• 快速重传：当后面的序号先到达，如接收方接收到了1、 3、 4，而2没有收到，就会立即向发送方重复发送三次ACK=2的确认请求重传。如果发送方连续收到3个相同序号的ACK，就重传该数据包。而不用等待超时

TCP选项有哪些

TCP首部选项字段多达40B，一些常用的字段有：
　　1) 选项结束字段（EOP，0x00），占1B，一个报文段仅用一次。放在末尾用于填充，用途是说明：首部已经没有更多的消息，应用数据在下一个32位字开始处
　　2) 无操作字段（NOP, 0x01），占1B，也用于填充，放在选项的开头
　　3) MSS（最大报文段长度），格式如下：种类（1B，值为2），长度（1B，值为4），数值（2B）
　　用于在连接开始时确定MSS的大小，如果没有确定，就用默认的（一般实现是536B）
　　4) 窗口扩大因子，格式如下：种类（1B，值为3），长度（1B，值为3),数值（1B）
　　新窗口值 = 首部窗口值 * 2的（扩大因子）次方
　　当通信双方认为首部的窗口值还不够大的时候，在连接开始时用这个来定义更大的窗口。仅在连接开始时有效。一经定义，通信过程中无法更改。
　　5) 时间戳（应用测试RTT和防止序号绕回）
　　6) 允许SACK和SACK选项

三次握手过程中有哪些不安全性

1. 伪装的IP向服务器发送一个SYN请求建立连接，然后服务器向该IP回复SYN和ACK，但是找不到该IP对应的主机，当超时时服务器收不到ACK会重复发送。当大量的攻击者请求建立连接时，服务器就会存在大量未完成三次握手的连接，服务器主机backlog被耗尽而不能响应其它连接。即SYN泛洪攻击
   　　防范措施：
   　　1、降低SYN timeout时间，使得主机尽快释放半连接的占用
   　　2、采用SYN cookie设置，如果短时间内连续收到某个IP的重复SYN请求，则认为受到了该IP的攻击，丢弃来自该IP的后续请求报文
   　　3、在网关处设置过滤，拒绝将一个源IP地址不属于其来源子网的包进行更远的路由
2. 当一个主机向服务器发送SYN请求连接，服务器回复ACK和SYN后，攻击者截获ACK和SYN。然后伪装成原始主机继续与服务器进行通信。

TCP和UDP的区别

TCP是有连接的，两台主机在进行数据交互之前必须先通过三次握手建立连接；而UDP是无连接的，没有建立连接这个过程
TCP是可靠的传输，TCP协议通过确认和重传机制来保证数据传输的可靠性；而UDP是不可靠的传输
TCP还提供了拥塞控制、滑动窗口等机制来保证传输的质量，而UDP都没有
确认和重传机制来保证数据传输的可靠性；而UDP是不可靠的传输
TCP还提供了拥塞控制、滑动窗口等机制来保证传输的质量，而UDP都没有
TCP是基于字节流的，将数据看做无结构的字节流进行传输，当应用程序交给TCP的数据长度太长，超过MSS时，TCP就会对数据进行分段，因此TCP的数据是无边界的；而UDP是面向报文的，无论应用程序交给UDP层多长的报文，UDP都不会对数据报进行任何拆分等处理，因此UDP保留了应用层数据的边界