TCP三次握手

TCP:SYN ACK FIN RST PSH URG简析

 

三次握手Three-way Handshake 

 

一个虚拟连接的建立是通过三次握手来实现的 

1. (B) --> [SYN] --> (A) 

 

假如服务器A和客户机B通讯. 当A要和B通信时，B首先向A发一个SYN (Synchronize) 标记的包，告诉A请求建立连接. 

 

注意: 一个 SYN包就是仅SYN标记设为1的TCP包(参见TCP包头Resources). 认识到这点很重要，只有当A受到B发来的SYN包，才可建立连接，除此之外别无他法。因此，如果你的防火墙丢弃所有的发往外网接口的SYN包，那么你将不 能让外部任何主机主动建立连接。

 

2. (B) <-- [SYN/ACK] <--(A) 

 

接着，A收到后会发一个对SYN包的确认包(SYN/ACK)回去，表示对第一个SYN包的确认，并继续握手操作. 

 

注意: SYN/ACK包是仅SYN 和 ACK 标记为1的包. 

3. (B) --> [ACK] --> (A) 

 

B收到SYN/ACK 包,B发一个确认包(ACK)，通知A连接已建立。至此，三次握手完成，一个TCP连接完成 

 

Note: ACK包就是仅ACK 标记设为1的TCP包. 需要注意的是当三此握手完成、连接建立以后，TCP连接的每个包都会设置ACK位

 

这就是为何连接跟踪很重要的原因了. 没有连接跟踪,防火墙将无法判断收到的ACK包是否属于一个已经建立的连接.一般的包过滤(Ipchains)收到ACK包时,会让它通过(这绝对不是个 好主意). 而当状态型防火墙收到此种包时，它会先在连接表中查找是否属于哪个已建连接，否则丢弃该包 

 

在TCP层，有个FLAGS字段，这个字段有以下几个标识：SYN, FIN, ACK, PSH, RST, URG.
其中，对于我们日常的分析有用的就是前面的五个字段。

它们的含义是：

URG:Urget pointer is valid (紧急指针字段值有效)

SYN: 表示建立连接

FIN: 表示关闭连接

ACK: 表示响应

PSH: 表示有 DATA数据传输

RST: 表示连接重置。

其中，ACK是可能与SYN，FIN等同时使用的，比如SYN和ACK可能同时为1，它表示的就是建立连接之后的响应，如果只是单个的一个SYN，它表示的只是建立连接。TCP的几次握手就是通过这样的ACK表现出来的。但SYN与FIN是不会同时为1的，因为前者表示的是建立连接，而后者表示的是断开连接。RST一般是在FIN之后才会出现为1的情况，表示的是连接重置。一般地，当出现FIN包或RST包时，我们便认为客户端与服务器端断开了连接；而当出现SYN和SYN＋ACK包时，我们认为客户端与服务器建立了一个连接。PSH为1的情况，一般只出现在 DATA内容不为0的包中，也就是说PSH为1表示的是有真正的TCP数据包内容被传递。

 

为什么要有第三次握手？

相信前两次握手大家都很好理解，一次是客户端向服务端发出连接请求，此时只能是客户端向服务端发送数据，而服务端不能向客户端发送数据；第二次是服务端向客户端发送的连接请求，这次过后双方都可以发送数据了；那其实两次连接就能解决问题的，为什么还要第三次呢？ 
其实，第三次的握手是为了防止已经失效的连接请求报文段突然又传送到了服务端，从而产生错误。这个已经失效的连接报文段是怎么来的？ 因为客户端在发送了SYN数据报后可能又这种情况，因为当时网络拥塞，所以过了超时重传的等待时间后客户端没有收到服务端的确认，所以它又发送了第二次SYN报文段，此时服务端发送过来了SYN应答报文段。但是可能过了一会，刚刚处于拥塞环境的SYN报文段又到达了服务端，这时服务端会认为客户端想和自己建立第二次连接，于是又向客户端发送了SYN应答报文段，而此时客户端可能已经完成了数据传送并释放了和服务端的连接，它的状态会变为CLOSED,从而导致永远无法收到服务端发来的SYN报文段，从而使服务端一直再等待客户端发来数据，这样会浪费许多服务端的资源。 
所以，就引入了第三次握手，例如上面的情况，客户端在收到应答报文段后不会想服务端再次发送确认，所以服务端也就无法建立连接。

所谓四次挥手（Four-Way Wavehand）即终止TCP连接，就是指断开一个TCP连接时，需要客户端和服务端总共发送4个包以确认连接的断开。在socket编程中，这一过程由客户端或服务端任一方执行close来触发。

 

TCP四次挥手
        由于TCP连接时全双工的，因此，每个方向都必须要单独进行关闭，这一原则是当一方完成数据发送任务后，发送一个FIN来终止这一方向的连接，收到一个FIN只是意味着这一方向上没有数据流动了，即不会再收到数据了，但是在这个TCP连接上仍然能够发送数据，直到这一方向也发送了FIN。首先进行关闭的一方将执行主动关闭，而另一方则执行被动关闭，上图描述的即是如此。
        （1）第一次挥手：Client发送一个FIN，用来关闭Client到Server的数据传送，Client进入FIN_WAIT_1状态。
        （2）第二次挥手：Server收到FIN后，发送一个ACK给Client，确认序号为收到序号+1（与SYN相同，一个FIN占用一个序号），Server进入CLOSE_WAIT状态。
        （3）第三次挥手：Server发送一个FIN，用来关闭Server到Client的数据传送，Server进入LAST_ACK状态。
        （4）第四次挥手：Client收到FIN后，Client进入TIME_WAIT状态，接着发送一个ACK给Server，确认序号为收到序号+1，Server进入CLOSED状态，完成四次挥手。

    为什么要有四次挥手相比于为什么要有三次握手应该不难理解，四次挥手分别是各自互相发送FIN报文，以及发送对对方FIN报文的确认报文，值得一提的是为什么在最后一次挥手后要等待2*MSL的时间？ 
这样做是为了保证A的最后一次挥手（ACK报文段）能够到达B。出了LAST-ACK状态的B如果收不到A的ACK字段，那么他会在重传一次FIN+ACK字段，A收到后会重传一次确认，重新启动时间等待计时器（2*MSL），如果A不等待2MSL，如果最后一次确认没有传到B， 那么B的重传A就再也收不到了，那么B就会一直重传，并永远无法释放连接。