TCP连接的建立(三次握手)

        

一、TCP报文段首部格式

l        序号:本报文段所发送的数据的第一个字节的序号。

l        确认号ack期待收到对方下一个报文段的第一个数据字节的序号

l        确认ACK占1位,仅当ACK=1时,确认号字段才有效。ACK=0时,确认号无效

l       同步SYN连接建立时用于同步序号。当SYN=1,ACK=0时表示:这是一个连接请求报文段。若同意连接,则在响应报文段中使得SYN=1,ACK=1。因此,SYN=1表示这是一个连接请求,或连接接受报文。

l        终止FIN用来释放一个连接。FIN=1表示:此报文段的发送方的数据已经发送完毕,并要求释放运输连接

 

二、TCP三次握手

        所谓三次握手(Three-wayHandshake),是指建立一个TCP连接时,需要客户端和服务器总共发送3个包。

三次握手的目的是连接服务器指定端口,建立TCP连接,并同步连接双方的序列号和确认号并交换 TCP 窗口大小信息.在socket编程中,客户端执行connect()时。将触发三次握手。


第一次握手:
        客户端发送一个TCP的SYN标志位置1的包指明客户打算连接的服务器的端口,以及初始序号(X),保存在包头的序列号(Sequence Number)字段里。

第二次握手:
       服务器发回确认包(ACK)应答。即SYN标志位和ACK标志位均为1,同时,将确认序号(AcknowledgementNumber)设置为客户的sequence加1,即X+1。那么服务器也必须要确认客户端确实可以收到我们的包才行,所以也会发送一个sequence(Y)给客户端,并且等待客户端响应。


第三次握手.
        当客户端收到来自服务端的ACK后,就能确认之前的那个包已经被正确接收。客户端再次发送确认包(ACK), SYN标志位为0,ACK标志位为1.并且把服务器发来的Sequence序号字段+1,放在ACK字段中发送给对方.并且在数据段放写ISN的+1


类比打电话的过程:

张三:李四你在不在?

李四:我在! 那张三你在不在?

张三:我也在!

 

SYN攻击
        在三次握手过程中,服务器发送SYN-ACK之后,收到客户端的ACK之前的TCP连接称为半连接(half-openconnect).此时服务器处于Syn_RECV状态.当收到ACK后,服务器转入ESTABLISHED状态.
        Syn攻击就是 攻击客户端 在短时间内伪造大量不存在的IP地址,向服务器不断地发送syn包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直 至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。
Syn攻击是一个典型的DDOS攻击。检测SYN攻击非常的方便,当你在服务器上看到大量的半连接状态时,特别是源IP地址是随机的,基本上可以断定这是一次SYN攻击.在Linux下可以如下命令检测是否被Syn攻击
netstat -n -p TCP | grep SYN_RECV
一般较新的TCP/IP协议栈都对这一过程进行修正来防范Syn攻击,修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、增加最大半连接和缩短超时时间等.
但是不能完全防范syn攻击。

 

这里我们通过 wireshark 来演示三次握手的过程。

我们以CentOS 的一个FTP镜像服务器作为连接目标。IP为: 116.193.170.18


在wireshark软件中,设置 Capture Filter: TCP only


抓取TCP包如下:


第一次:


第二次:


第三次:

在学习网络的过程中, 通过相关软件可以更直观的了解具体实现。

 

已标记关键词 清除标记
©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页