在客户端与服务端的通信中,首先要建立TCP连接,再进行数据传输,数据传输完成后,客户端再与服务端断开连接。
建立TCP连接有3个步骤,就是一般说得3次握手;而断开TCP连接有4个步骤,就是一般说得4次挥手。
建立连接过程:
1, Client将标志位SYN置为1,seq=A,并将该数据包发送给Server,客户端向服务端发送一个SYN请求信号;Client进入SYN_SENT状态,等待Server确认。
2, 服务端接收数据包后,知道客户端要请求连接,服务端将SYN和ACK都置为1,产生一个随机序列B,并将ack置为A+1,表示确认收到了客户端的请求,Server进入SYN_RCVD状态;
3,客户端收到了服务端的确认信号后,检查ack和ACK,若ack=A+1&& ACK=1,则将ACK置为1,ack置为B+1,并将数据包发送给Server, Server检查ack是否为K+1,ACK是否为1,如果正确则连接建立成功,Client和Server进入ESTABLISHED状态,三次握手完成,接下来客户端和服务端可相互传输数据,进行通讯。
SYN攻击:发生在Server发送SYN+ACK之后,收到Client的ACK之前
在三次握手过程中,Server发送SYN+ACK之后,收到Client的ACK之前的TCP连接称为半连接(half-open connect),此时Server处于SYN_RCVD状态,当收到ACK后,Server转入ESTABLISHED状态。SYN攻击就是Client在短时间内伪造大量不存在的IP地址,并向Server不断地发送SYN包,Server回复确认包,并等待Client的确认,由于源地址是不存在的,发送不到真正的Client上,因此,Server需要不断重发直至超时,这些伪造的SYN包将长时间占用未连接队列,导致正常的SYN请求因为队列满而被丢弃,从而引起网络堵塞甚至系统瘫痪。SYN攻击时一种典型的DDOS攻击,检测SYN攻击的方式非常简单,即当Server上有大量半连接状态且源IP地址是随机的,则可以断定遭到SYN攻击了,使用如下命令可以让之现行:
- #netstat -nap |grep SYN_RECV
断开连接过程:
1, Client发送一个FIN,表示Client要发送的数据已经发送完成,请求结束连接,Client进入FIN_WAIT_1状态;
2, Server收到Client的FIN后,会向Client发送一个ACK,表示收到了Client的FIN请求,确认序号为收到序号+1(即ack=A+1),Server进入CLOSE_WAIT状态(此时Server可能没有完成向Client的数据传输);
3, 当Server完成向Client的数据传输后,向Client发送一个FIN ,,表示Server已经完成发送,Client可以断开连接,Server进入LAST_ACK状态;
4, Client接收到Server的FIN后,Client进入TIME_WAIT状态,并向Server发送一个ACK,确认序号为收到序号+1(ack=C+1),表示确认收到Server的FIN,Server进入CLOSED状态,Client断开连接,Server关闭连接,四次挥手完成。
由于TCP连接时全双工的,因此,每个方向都必须要单独进行关闭,这一原则是当一方完成数据发送任务后,发送一个FIN来终止这一方向的连接,收到一个FIN只是意味着这一方向上没有数据流动了,即不会再收到数据了,但是在这个TCP连接上仍然能够发送数据,直到这一方向也发送了FIN。首先进行关闭的一方将执行主动关闭,而另一方则执行被动关闭.
【注意】 在TIME_WAIT状态中,如果TCP client端最后一次发送的ACK丢失了,它将重新发送。TIME_WAIT状态中所需要的时间是依赖于实现方法的。典型的值为30秒、1分钟和2分钟。等待之后连接正式关闭,并且所有的资源(包括端口号)都被释放。
扫一扫
763
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
