TCP:SYN ACK FIN RST PSH URG简析
三次握手Three-way Handshake
一个虚拟连接的建立是通过三次握手来实现的
1. (B) --> [SYN] --> (A)
假如服务器A和客户机B通讯. 当A要和B通信时,B首先向A发一个SYN (Synchronize) 标记的包,告诉A请求建立连接.
注意: 一个 SYN包就是仅SYN标记设为1的TCP包(参见TCP包头Resources). 认识到这点很重要,只有当A受到B发来的SYN包,才可建立连接,除此之外别无他法。因此,如果你的防火墙丢弃所有的发往外网接口的SYN包,那么你将不 能让外部任何主机主动建立连接。
2. (B) <-- [SYN/ACK] <--(A)
接着,A收到后会发一个对SYN包的确认包(SYN/ACK)回去,表示对第一个SYN包的确认,并继续握手操作.
注意: SYN/ACK包是仅SYN 和 ACK 标记为1的包.
3. (B) --> [ACK] --> (A)
B收到SYN/ACK 包,B发一个确认包(ACK),通知A连接已建立。至此,三次握手完成,一个TCP连接完成
Note: ACK包就是仅ACK 标记设为1的TCP包. 需要注意的是当三此握手完成、连接建立以后,TCP连接的每个包都会设置ACK位
这就是为何连接跟踪很重要的原因了. 没有连接跟踪,防火墙将无法判断收到的ACK包是否属于一个已经建立的连接.一般的包过滤(Ipchains)收到ACK包时,会让它通过(这绝对不是个 好主意). 而当状态型防火墙收到此种包时,它会先在连接表中查找是否属于哪个已建连接,否则丢弃该包
在TCP层,有个FLAGS字段,这个字段有以下几个标识:SYN, FIN, ACK, PSH, RST, URG.
其中,对于我们日常的分析有用的就是前面的五个字段。
它们的含义是:
URG:Urget pointer is valid (紧急指针字段值有效)
SYN: 表示建立连接
FIN: 表示关闭连接
ACK: 表示响应
PSH: 表示有 DATA数据传输
RST: 表示连接重置。
其中,ACK是可能与SYN,FIN等同时使用的,比如SYN和ACK可能同时为1,它表示的就是建立连接之后的响应,如果只是单个的一个SYN,它表示的只是建立连接。TCP的几次握手就是通过这样的ACK表现出来的。但SYN与FIN是不会同时为1的,因为前者表示的是建立连接,而后者表示的是断开连接。RST一般是在FIN之后才会出现为1的情况,表示的是连接重置。一般地,当出现FIN包或RST包时,我们便认为客户端与服务器端断开了连接;而当出现SYN和SYN+ACK包时,我们认为客户端与服务器建立了一个连接。PSH为1的情况,一般只出现在 DATA内容不为0的包中,也就是说PSH为1表示的是有真正的TCP数据包内容被传递。
为什么要有第三次握手?
相信前两次握手大家都很好理解,一次是客户端向服务端发出连接请求,此时只能是客户端向服务端发送数据,而服务端不能向客户端发送数据;第二次是服务端向客户端发送的连接请求,这次过后双方都可以发送数据了;那其实两次连接就能解决问题的,为什么还要第三次呢?
其实,第三次的握手是为了防止已经失效的连接请求报文段突然又传送到了服务端,从而产生错误。这个已经失效的连接报文段是怎么来的? 因为客户端在发送了SYN数据报后可能又这种情况,因为当时网络拥塞,所以过了超时重传的等待时间后客户端没有收到服务端的确认,所以它又发送了第二次SYN报文段,此时服务端发送过来了SYN应答报文段。但是可能过了一会,刚刚处于拥塞环境的SYN报文段又到达了服务端,这时服务端会认为客户端想和自己建立第二次连接,于是又向客户端发送了SYN应答报文段,而此时客户端可能已经完成了数据传送并释放了和服务端的连接,它的状态会变为CLOSED,从而导致永远无法收到服务端发来的SYN报文段,从而使服务端一直再等待客户端发来数据,这样会浪费许多服务端的资源。
所以,就引入了第三次握手,例如上面的情况,客户端在收到应答报文段后不会想服务端再次发送确认,所以服务端也就无法建立连接。
所谓四次挥手(Four-Way Wavehand)即终止TCP连接,就是指断开一个TCP连接时,需要客户端和服务端总共发送4个包以确认连接的断开。在socket编程中,这一过程由客户端或服务端任一方执行close来触发。