TCP/IP协议解析

1. TCP-IP四层网络模型

当应用程序用TCP传送数据时，数据被送入协议栈中，然后逐个通过每一层直到被当作一串比特流送入网络。当目的主机收到以太网数据帧时，数据就开始从协议栈中由底向上升，同时去掉各层协议加上的报文首部。每层协议盒都要去检查报文首部中的协议标识，以确定接收数据的上层协议。

　
应用层的数据传到传输层，在传输层会加上tcp头信息，其中会携带接收端主机端口信息，到达接收端后将报文交给指定端口的进程处理；

在网络层会增加IP头，其中包含IP地址信息，接收端收到后，会判断IP地址是不是自己，如果不是就转发。

链路层会添加mac头，指定要发送给的主机mac。

2. TCP和UDP

IP 协议

TCP 和 UDP都是使用IP作为网络层协议。IP 协议提供了数据报文处理和分发服务，每个 IP 报文包含一个目的地址的字段；但IP协议可能会发生报文丢失、报文顺序打乱，重复发送的情况，所以 IP 协议是一个不可靠的协议。

IP 协议层之上的传输层，提供了两种可以选择的协议：TCP、UPD。这两种协议都是建立在 IP 层所提供的服务基础上。

TCP/IP

TCP协议能够检测和恢复IP层提供的主机到主机的通信中可能发生的报文丢失、重复及其他错误。TCP 提供了一个可信赖的字节流通道。TCP协议是一种面向连接的协议，在使用 TCP进行通信之前，两个应用程序之间会建立一个TCP连接。

UDP/IP

UDP 协议没有对IP层产生的错误进行修复，而是简单的扩展了IP协议“尽力而为”的数据报文服务，使他能够在应用程序之间工作，而不是在主机之间工作，因此使用 UDP协议必须要考虑到报文丢失，顺序混乱的问题。

那么TCP是如何做到可靠传输的呢？答案是三次握手与四次挥手。

TCP三次握手与四次挥手

1）TCP三次握手

TCP协议在传输之前，需要通过三次握手建立一个连接，所谓的三次握手，就是在建立 TCP 链接时，需要客户端和服务端总共发送 3个包来确认连接的建立。

第一次握手：客户端A将标志位SYN置为1,随机产生一个值为seq=J（J的取值范围为=1234567）的数据包到服务器，客户端A进入SYN_SENT状态，等待服务端B确认；

第二次握手：服务端B收到数据包后由标志位SYN=1知道客户端A请求建立连接，服务端B将标志位SYN和ACK都置为1，ack=J+1，随机产生一个值seq=K，并将该数据包发送给客户端A以确认连接请求，服务端B进入SYN_REVD状态。

第三次握手：客户端A收到确认后，检查ack是否为J+1，ACK是否为1，如果正确则将标志位ACK置为1，ack=K+1，并将该数据包发送给服务端B，服务端B检查ack是否为K+1，ACK是否为1，如果正确则连接建立成功，客户端A和服务端B进入ESTABLISHED状态。

完成了三次握手，随后客户端A与服务端B之间可以开始传输数据了。

为什需要三次握手？

三次握手是为了防止对已失效的连接请求报文段信息建立连接。例如client发出的第一个连接请求，但是在某个网络结点长时间的滞留了，以致延误到连接释放以后的某个时间才到达server。这是一个早已失效的报文段，但server收到此失效的连接请求报文段后，就误认为是client再次发出的一个新的连接请求。于是就向client发出确认报文段，同意建立连接。

如果是二次握手的话，这时候server会建立新的ESTABLISHED的连接，并等待接收数据。由于现在client并没有发出建立连接的请求，因此不会理睬server的确认，也不会向server发送数据。但server一直等待client发来数据。这样，server的很多资源就浪费掉了。

采用“三次握手”可以防止上述现象。因为client不会向server的确认发出反馈，所以server就不会建立ESTABLISHED连接。主要目的防止server端一直等待，浪费资源。

SYN攻击

TCP的几个相关概念

未连接队列：在三次握手协议中，服务器维护一个未连接队列，该队列为每个客户端的SYN包（syn=j）开设一个条目，该条目表明服务器已收到SYN包，并向客户发出确认，正在等待客户的确认包。这些条目所标识的连接在服务器处于Syn_RECV状态，当服务器收到客户的确认包时，删除该条目，服务器进入ESTABLISHED状态。

SYN-ACK重传次数：服务器发送完SYN－ACK包，如果未收到客户确认包，服务器进行首次重传，等待一段时间仍未收到客户确认包，进行第二次重传，如果重传次数超过系统规定的最大重传次数，系统将该连接信息从半连接队列中删除。

半连接存活时间：是指半连接队列的条目存活的最长时间，也即服务从收到SYN包到确认这个报文无效的最长时间，该时间值是所有重传请求包的最长等待时间总和。也称为Timeout时间、SYN_RECV存活时间。

SYN攻击原理

SYN攻击属于DOS攻击的一种，配合IP欺骗，SYN攻击能达到很好的效果，通常，客户端在短时间内伪造大量不存在的IP地址，向服务器发送大量的半连接请求，耗费server端CPU和内存资源，而服务器一直到超时，才将此条目从未连接队列删除。这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。

检测SYN攻击

检测SYN攻击非常的方便，当你在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本上可以断定这是一次SYN攻击。我们使用系统自带的netstat 工具来检测SYN攻击：

root@VM000000587:~# netstat -n -p TCP |grep SYN
tcp        0      0 192.168.163.167:8001    20.3.197.159:48472      SYN_RECV    -               
tcp        0      0 192.168.163.167:8001    20.3.197.159:48474      SYN_RECV    -

2）TCP四次挥手

第一次挥手：Client发送一个FIN，用来关闭Client到Server的数据传送，Client进入FIN_WAIT_1状态。

第二次挥手：Server收到FIN后，发送一个ACK给Client，确认序号为收到序号+1（与SYN相同，一个FIN占用一个序号），Server进入CLOSE_WAIT状态。

第三次挥手：Server发送一个FIN，用来关闭Server到Client的数据传送，Server进入LAST_ACK状态。

第四次挥手：Client收到FIN后，Client进入TIME_WAIT状态，接着发送一个ACK给Server，确认序号为收到序号+1，Server进入CLOSED状态，完成四次挥手。

为什么建立连接是三次握手，而关闭连接却是四次挥手呢？

这是因为在建立连接时，服务端收到建立连接请求的SYN报文后，把ACK和SYN放在一个报文里发送给了客户端。

而关闭连接时，当收到客户端的FIN报文时，仅表示客户端不再发送数据了但是还能接收数据，此时服务端可能还有业务数据还要发送给客户端。因此，己方ACK和FIN一般都会分开发送（ack表示确认收到请求，FIN表示结束发送报文）。

滑动窗口

数建立可靠连接以后，就可以进行数据传输了。在通信过程中，最重要的是数据包，即协议传输的数据。为了避免数据拥堵接收方无法全部接收而造成的丢包，需要对发方进行流量控制，而通过滑动窗口机制可以实现流量控制。

滑动窗口协议

发送和接受方都会维护一个数据帧的序列，这个序列被称作窗口。发送方的窗口大小由接受方确定，目的在于控制发送速度，以免接受方的缓存不够大而导致溢出，同时控制流量也可以避免网络拥塞。

上面图中上边为发送方，下边为接收方，窗口大小为5，数据帧共20位，这是数据发送前发送方告诉接收方的数据长度。发送方发送0号数据帧，接受方接受0号后，接收方的窗口向右移动1位，然后给发送方成功反馈，发送方收到反馈后，窗口也向右移动一位。

如果没有收到反馈，发送方窗口不能滑动。如果超过指定时间仍然没有收到反馈，例如0号数据帧，发送方会再次发送0号数据，直至收到反馈，窗口才能向下滑动。

窗口大小代表能同时发送的数据帧数，即发送方可以不等待反馈而连续发送的最大幀数，本例中发送方最多能一次发送5个数据帧。同时发送5个时，例如0,1,2,3,4，如果1,2,3,4号数据帧都收到了成功反馈，但0号未收到，此时接收方窗口不可滑动，直至0号收到成功反馈。

同理，如果接收方收到1,2,3,4，但是没有收到0号数据帧，此时也是不能向下滑动的，直至收到0号。