三次握手中的第二次丢包后会发生什么?

最新推荐文章于 2022-09-17 11:07:27 发布
最新推荐文章于 2022-09-17 11:07:27 发布
阅读量1.1k 收藏 1
点赞数 2
分类专栏: 网络编程 文章标签: tcpip http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42264360/article/details/118521389
版权

概述

如果你在客户端发现一些莫名其妙的 504 响应码,却不知道为什么,那么本文对你可能有帮助。

如果你查看 Nginx 日志发现有时出现 lua tcp socket connect timed out,却不知道为什么,那么本文对你可能有帮助。

如果你发现你的机器向别的机器发送 RST 包,却不知道为什么,那么本文对你可能有帮助。


前段时间在排查一个传输层的问题,通过抓包发现我们的机器(此处可以认为为客户端)向服务端发出了 RST 包。我们的机器为什么会莫名其妙 reset 别人的连接呢?通过进一步排查,发现根本原因在三次握手的第二次丢包了!


这个问题需要同时在客户端与服务端抓包才能发现。如果不方便在双方向抓包,只能抓到单方向包的朋友,可以参考此文中单方向的包,与你的包进行比对,看是否也属于第三次握手中的第二次包丢失的情况。

报文解析

在最后的附录,附上了笔者当时排查用到的双方向报文,按需自行查阅。
如果你是为了调查 RST 问题,下方的原因解析可以先跳过,先看现象对比中的客户端与服务端部分,如果与你的抓包结果相匹配,则可以继续阅读此文。如果不匹配,那说明你遇到问题很可能不是这个,这篇文章可能帮不到你。
如果你是为了增加一些奇怪的知识,请按顺序继续向下阅读。

原因解析

在这里插入图片描述


上图是 TCP 三次握手中的第二次(SYN+ACK)报文丢失进而引发 RST 的完整过程,下面我用文字叙述一遍:

首先,正常的三次握手流程应该是:

  1. 客户端发出 SYN【SYN=1, Seq=x】
  2. 服务端返回 SYN+ACK 【SYN=1, ACK=1, Seq=y, Ack=x+1】
  3. 客户端返回 ACK【ACK=1, Seq=x+1, Ack=y+1】

而第二次握手报文丢失情况的过程是:

  1. 客户端向服务端发出握手报文,请求建立 TCP 连接,即第一次握手【SYN=1, ACK=0, Seq=x】
  2. 服务端向客户端回复 SYN+ACK 包,但是这个包在网络中丢失了
  3. 客户端等啊等,一直等不到服务端的 SYN+ACK,以为自己的 SYN 丢了,触发超时重传机制,向服务端又发了一个【SYN=1, ACK=0, Seq=z】
  4. 服务端也知道自己的 SYN+ACK 丢了,于是又重传了若干次 SYN+ACK。这时服务端突然收到了客户端重传的【SYN=1, ACK=0, Seq=z】。根据 RFC5691 指出:为了减轻通过 SYN 标志位进行的 RST 攻击(Blind Reset Attack Using the SYN Bit)的影响,服务端此时应立即发送一个【ACK=1, Seq=y, Ack=x+1】给客户端,用以重置连接。
  5. 客户端在接收到 【ACK=1, Seq=y, Ack=x+1】后,立即回复【RST=1, Seq=x+1】。此处的 Seq=x+1 表明:这个 RST 是前面那个 ACK:【ACK=1, Seq=y, Ack=x+1】引起的。然后,双方断开连接。


至此,服务端第二次握手的 SYN+ACK 包丢失,最终导致了客户端“莫名其妙”地发出 RST 包。


PS:KleeNet 论文中指出服务端回复 ACK 给客户端是因为服务端忽略了重传报文的 SYN 标志位,并认为这是一个 BUG。而实际上,这并不是一个 BUG,而是 TCP 为了减轻通过 SYN 标志位进行的 RST 攻击(Blind Reset Attack Using the SYN Bit)的影响 ,有意为之的。


PS:我们事后排查,是因为客户端与服务端之间存在防火墙,防火墙的硬件模块故障导致某些 TCP 包被防火墙丢弃,进而引发丢包,进而引发了 TCP 建连失败,进而引发了 Nginx 的 504 问题

现象对比

客户端

如果你是客户端,你发现你的抓包结果有如下几个特征,那么极有可能就是本文所述的情况:

  1. 最开始向服务端发送了一个【SYN=1, Seq=x】
  2. 从来没收到过 SYN+ACK 报文
  3. 存在 SYN 报文的超时重传(TCP Retransmission)
  4. 在发出 RST 报文前突然收到一个 ACK 报文,且 Ack=x+1

服务端

如果你是服务端,你发现你的抓包结果有如下几个特征,那么极有可能就是本文所述的情况:

  1. 最开始收到了客户端发来的【SYN=1, Seq=x】
  2. 存在很多 SYN+ACK 的重传报文(TCP Retransmission)
  3. 在若干个 SYN+ACK 的重传报文之后突然又收到了客户端的 SYN
  4. 在收到了客户端 SYN 后,给客户端返了一个 ACK,且 Ack=x+1

附录

客户端报文

在这里插入图片描述


服务端报文

在这里插入图片描述


参考文献

KleeNet: Discovering insidious interaction bugs in wireless sensor networks
before deployment
RFC5961

环伊
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
tcp的三次握手 - 数据丢失处理
后端学习
09-21 2671
1.基础概念 三次握手丢包重传机制的次数限制和RTO的增长 第一次握手(syn): tcp_syn_retires 的参数来限制第一次握手(syn)的重传次数,默认为5次。 第二次握手(ack+ack): tcp_synack_retires的参数来限制第二次握手(ack+syn)的重传次数,默认为5次。 第三次握手ack): tcp_retires2的参数来限制第三次握手ack)的重传次数,默认为15次。 每次重传都会导致RTO超时重传的时间成倍增长。 2.第一次握手(syn)丢失
TCP恋爱史 三次握手和四次分手
10-01
三次握手确保了即使在丢包的情况下,双方都能确认彼此的意愿,避免资源的无效占用。 **四次分手** 1. **第一次分手**:当一方(通常是客户端)决定结束连接时,会发送一个FIN(Finish)标志位为1的报文,序列号seq...
Java面试题:TCP三次握手如果失败会发生什么?
Hanko的专栏
10-28 3570
正常情况下会发生TCP三次握手,如果三次握手某次失败会怎么样呢? 第一次握手:客户端发送失败,客户端、服务器端都不会申请资源。 第二次握手:服务器端回应客户端传输失败,客户端不会申请资源,服务器端申请了资源,但收不到客户端第三次握手时发送的请求,过一段时间释放资源。 第三次握手:客户端回应服务器端传输失败,服务器端没有收到客户端回应,服务器端会多次发送回应给客户端,如果还是没有收到客户端的客户端回应,则释放资源,服务器端会发送RTS报文并主动关闭防止syn洪泛攻击。 syn洪泛攻击 ..
握手少了次握手客户端和服务端会做什么?
dxgzg的博客
03-12 171
#include #include #include #include using namespace std; class Test { static unique_ptr t; private: Test() = default; Test(const Test&) = delete; public: static Test* getTest() { return t.get(); } void fun() { cout << 1 << endl; } ~Test
客户端没有收到服务器发送的第二次握手信息,客户端与服务端的三次握手与四次挥手...
weixin_35340181的博客
08-10 933
在面试三次握手和四次挥手能够说是问的最频繁的一个知识点了,我相信你们也都看过不少关于三次握手与四次挥手的文章,今天的这篇文章,重点是围绕着面试,咱们应该掌握哪些比较重要的点,哪些是比较被面试官给问到的,我以为若是你能把我下面列举的一些点都记住、理解,我想就差很少了。web三次握手当面试官问你为何须要有三次握手三次握手的做用、讲讲三次三次握手的时候,我想不少人会这样回答:面试首先不少人会先讲下...
[转]使用Python scapy构造tcp三次握手,遭遇系统发送rst解决方法
tpriwwq的专栏
08-16 3151
在使用Pyhon scapy库构造TCP时,遭遇到系统底层发送的rst,导致三次握手无法建立情况。 在网上找了很多解决方案,linux相对好解决,直接使用 iptables -A OUTPUT -p tcp --tcp-flags RST RST -j DROP 可以干掉系统rst干扰。 但在windows系统下,发现这个问题后,真的很伤脑经。 查了很多地方,都没有好的解决方案。 最终无意将windows自带防火墙打开后,系统自发rst消失了 ———————————————— 原...
详解tcp三次握手过程syn,ack
11-11
本篇文章将详细解析TCP的三次握手过程,以及为什么这个过程对于保证可靠传输至关重要。 三次握手的核心目的是在两个通信端点之间建立一个可靠的双向通信链路。这个过程涉及到SYN(Synchronize Sequence Numbers)和...
传输层--三次握手(重要)1
08-04
服务器在接收到这个ACK报文后,也会进入ESTABLISHED状态,至此,TCP的三次握手完成,连接正式建立。 **二、TCP的特性** - **可靠性**:TCP通过序列号和确认应答号保证数据无差错、不丢失、不重复、按序到达,实现...
TCP-TIMEOUT.rar_ tcp timeo_CFG TCP/IP TIMEOUT_TCP 超时_超时三次
09-22
2. 第二次握手:服务器接收到SYN后,回复一个SYN+ACK(同步+确认)的数据段,确认收到客户端的请求,并同样提供自己的ISN。同时,服务器会把客户端的ISN加1作为确认号。 3. 第三次握手:最后,客户端再发送一个ACK...
计算机 网络 第四版 习题 答案 ( 文 版 ) andrew 文 doc
03-16
- 在数据传输之前,需先建立连接,即通信双方需经过三次握手等步骤确认连接状态。 - 数据传输结束后,需释放连接。 - **无连接通信**: - 不需要预先建立连接,直接发送数据。 - 发送方并不关心数据是否成功...
鸡肋面试:三次握手能不能变成二次?
Lily_08的博客
08-13 659
在面某图的时候,面试管问我 三次握手能不能变为两次,我说不行 并解释了三次握手的过程,然后试图用这个过程来体现三次握手缺一次都不行。 我:三次握手第一次握手是客户端给服务器发送SYN报文,请求链接;在服务器收到客户端请求之后给客户端回应,回应时发送自己的SYN报文,带上ACK 报文,这也就是第二次握手;然后,客户端给服务器发送ACK报文回应,三次握手完成,连接建立。如果是两次握手,也就是...
TCP三次握手和四次挥手,间失败了会发生什么?
aoeaoao的博客
09-17 1253
TCP三次握手和四次挥手,间失败之后的详细过程。
简述TCP协议的三次握手以及为什么2次握手不行
04-12 1655
第一次握手: 客户端向服务器发出连接请求报文,这时报文首部的同部位SYN=1,同时随机生成初始序列号seq=x,此时,TCP客户端进程进入了 SYN-SENT(同步已发送状态)状态。TCP规定,SYN报文(SYN=1的报文段)不能携带数据,但需要消耗掉一个序号。这个三次握手的开始。表示客户端想要和服务端建立连接。 第二次握手: TCP服务器收到请求报文后,如果同意连接,则发出确认报...
TCP的三次握手与四次挥手理解及面试题
heihei2017的博客
04-03 484
TCP报文段简析: 序列号seq:占4个字节,用来标记数据段的顺序,TCP把连接发送的所有数据字节都编上一个序号,第一个字节的编号由本地随机产生;给字节编上序号后,就给每一个报文段指派一个序号;序列号seq就是这个报文段的第一个字节的数据编号。 确认号ack:占4个字节,期待收到对方下一个报文段的第一个数据字节的序号;序列号表示报文段携带数据的第一个字节的编号;而确认号指...
linux上TCP connection timeout的原因查找
热门推荐
沧海一粟
07-16 3万+
最近在产线上经常出现connection timeout的问题
TCP三次握手及四次挥手过程的异常处理
ArtAndLife的博客
08-31 4471
1. 消息丢失的情况: 1.1 三次握手过程的消息丢失: 正常的三次握手的流程: 1.1.1 第一次握手消息丢失:(SYN) 正常情况下,当客户端想要与服务器建立TCP连接时,首先要发送第一个SYN报文段,然后将本端的TCP状态置为 SYN_SENT。 在这之后,如果客户端没有收到服务端的 SYN+ACK 响应,就会触发超时重传机制。 超时时间判断: 不同版本的操作系统可能超时时间不同,一般为 1秒 或 3秒,由内核配置,修改需要重新编译内核。 重传次数: 由内核参数 tcp_syn_retries 配置
三次握手的原理
weixin_44153921的博客
03-02 270
三次握手的细节问答 三次握手 客户端向服务端发送SYN (SYN=1 seq=J) 服务端返回SYN,ACK(SYN=1 ACK=1 ack=J+1,seq=K) 客户端发送ACKACK=1 ack=K+1) 建立连接可以两次握手吗?为什么? 不可以。 因为可能会出现已失效的连接请求报文段又传到了服务器端。 client 发出的第一个连接请求报文 段并没有丢失,而是在某个网络结点长时间的滞留了,以致延误到连接释放以后的某个时间才到达 server。 本来这是一个早已失效的报文段。但 server 收到
TCP握手丢包分析与快速建立连接
JT518721的博客
10-21 498
TCP握手丢包分析与快速建立连接一、TCP握手丢包分析TCP第一次握手SYN丢包TCP第二次握手SYN + ACK丢包TCP第三次握手ACK丢包 一、TCP握手丢包分析 TCP第一次握手SYN丢包 当客户端发起的TCP第⼀次握手SYN ,在超时时间内没收到服务端的ACK,就会在超时重传SYN数据,每次超时重传的RTO是翻倍上涨的,直到 SYN 的重传次数到达 tcp_syn_retries值后,客户端不再发送 SYN 。 TCP第二次握手SYN + ACK丢包 当TCP第⼆次握⼿ SYN、ACK
TCP三次握手/四次挥手+HTTP过程+Socker原理
qq_35598240的博客
06-11 292
TCP连接 TCP是主机对主机层的传输控制协议,提供可靠的连接服务,采用三次握手确认建立一个连接: 位码即tcp标志位,有6种标示:SYN(synchronous建立联机) ACK(acknowledgement 确认) PSH(push传送) FIN(finish结束) RST(reset重置) URG(urgent紧急) Sequence number(顺序号码) ...
tcp为什么需要三次握手
最新发布
09-02
3. 第三次握手:客户端收到SYN+ACK信号后,再回复一个ACK信号,表示客户端已经收到服务器的同意,连接已经建立。 这三次握手有助于确保连接的可靠性,防止建立连接时出现错误,也可以防止攻击者伪造SYN信号,从而...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值