TCP连接的状态详解以及故障排查

TCP状态

 

linux查看tcp的状态命令

netstat -nat                             查看TCP各个状态的数量

lsof  -i:port                              可以检测到打开套接字的状况

sar -n SOCK                          查看TCP创建的连接数

tcpdump -iany tcp port 9000  对TCP端口9000的进行抓包

 

 

网络测试常用命令

1）ping： 检测网络连接的正常与否，主要是测试延时、抖动、丢包率。但是很多服务器为了防止攻击，一般会关闭对ping的相应。so一般作为测试连接通性使用。

ping后会接收到对方发送的回馈信息，其中记录着对方IP和TTL（该字段指定IP被路由器丢弃之前允许通过的最大网段数量）。

TTL是IPv4包头中一个8bit字段，例如IP包在服务器中发送前设置的TTL是64，使用ping后，得到服务器反馈信息，其中TTL为56，说明途中一共经过8道路由器转发，每经过一个路由TTL就减1.

2）traceroute hostname  ：raceroute跟踪数据包到达网络主机所经过的路由工具

3）pathping www.baidu.com ：路由跟踪工具，将ping和tracert结合二者的 功能

4）mtr ： 以结合ping nslookup tracert来判断网络的相关特性

5）nslookup：用于解析域名，一般用来检测本机的DNS设置是否正确

• LISTENING：侦听来自远方TCP端口的连接请求

首先服务端需要打开一个socket进行监听，状态为LISTEN。

有提供某种服务才会处于LISTENING状态，TCP状态就是某个端口的状态变化，提供一个服务就打开一个端口。当提供的服务没有被连接就处于LISTENING

FTP服务启动后处于侦听LISTENING，此时该端口是分开放的，等待连接，但还没有被连接。就像你房子的门已经敞开的但还没有人进来

看LISTENING状态最主要的是看本机开放了哪些端口，是哪个程序开的，关闭不必要的端口是保证安全一个非常重要的方面，服务端口都对应一个服务（应用程序），停止该服务就关闭了改端口。如不幸中了服务端口的木马，木马也开个端口处于LISTENING状态

• SYN-SENT：客户端SYN_SENT状态：

再发送连接请求后等待匹配的连接请求:客户端通过应用程序调用connect进行active open.

于是客户端tcp发送一个SYN以请求建立一个连接.之后状态置为SYN_SENT. 

当请求连接时客户端首先要发送同步信号给要访问的机器，此时状态为SYN_SENT，如果连接成功了就变为ESTABLISHED，正常情况下SYN_SENT状态非常短暂。

例如要访问网站http://www.baidu.com,如果是正常连接的话，用TCPView观察IEXPLORE.EXE（IE）建立的连接会发现很快从SYN_SENT变为ESTABLISHED，表示连接成功。SYN_SENT状态快的也许看不到。

如果发现有很多SYN_SENT出现，那一般有这么几种情况，一是你要访问的网站不存在或线路不好。二是用扫描软件扫描一个网段的机器，也会出出现很多SYN_SENT，另外就是可能中了病毒了，例如中了”冲击波”，病毒发作时会扫描其它机器，这样会有很多SYN_SENT出现。

• SYN-RECEIVED：服务器端状态SYN_RCVD

再收到和发送一个连接请求后等待对方对连接请求的确认
当服务器收到客户端发送的同步信号时，将标志位ACK和SYN置1发送给客户端，此时服务器端处于SYN_RCVD状态，如果连接成功了就变为ESTABLISHED，正常情况下SYN_RCVD状态非常短暂。

如果发现有很多SYN_RCVD状态，那你的机器有可能被SYN Flood的DoS(拒绝服务攻击)攻击了。

SYN Flood攻击原理：

在进行三次握手时，攻击软件向被攻击的服务器发送SYN连接请求（握手的第一步），但是这个地址是伪造的，如攻击软件随机伪造了51.133.163.104、65.158.99.152等等地址。

服务器在收到连接请求时将标志位ACK和SYN置1发送给客户端（握手的第二步），但是这些客户端的IP地址都是伪造的，服务器根本找不到客户机，也就是说握手的第三步不可能完成。

这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；

一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源——数以万计的半连接。

即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。

此时从正常客户的角度看来，服务器失去响应，这种情况我们称做：服务器端受到了SYN Flood攻击（SYN洪水攻击）

 

• ESTABLISHED：代表一个打开的连接。

ESTABLISHED状态是表示两台机器正在传输数据，观察这个状态最主要的就是看哪个程序正在处于ESTABLISHED状态。

服务器出现很多ESTABLISHED状态：netstat -nat |grep 9502或者使用lsof -i:9502可以检测到。

当客户端未主动close的时候就断开连接：即客户端发送的FIN丢失或未发送。
这时候若客户端断开的时候发送了FIN包，则服务端将会处于CLOSE_WAIT状态；

这时候若客户端断开的时候未发送FIN包，则服务端处还是显示ESTABLISHED状态；

结果客户端重新连接服务器。

而新连接上来的客户端（也就是刚才断掉的重新连上来了）在服务端肯定是ESTABLISHED; 如果客户端重复的上演这种情况，那么服务端将会出现大量的假的ESTABLISHED连接和CLOSE_WAIT连接。

最终结果就是新的其他客户端无法连接上来，但是利用netstat还是能看到一条连接已经建立，并显示ESTABLISHED，但始终无法进入程序代码。

• FIN-WAIT-1：等待远程TCP连接中断请求，或先前的连接中断请求的确认

主动关闭(active close)端应用程序调用close，于是其TCP发出FIN请求主动关闭连接，之后进入FIN_WAIT1状态。等待远程TCP的连接中断请求，或先前的连接中断请求的确认 

如果服务器出现shutdown再重启，使用netstat -nat查看，就会看到很