TCP协议三次握手四次挥手

最新推荐文章于 2023-03-23 17:37:54 发布

乌枭

最新推荐文章于 2023-03-23 17:37:54 发布

阅读量661

点赞数 3

分类专栏：网络协议文章标签： tcp 协议

本文链接：https://blog.youkuaiyun.com/qq_34039315/article/details/56022156

版权

网络协议专栏收录该内容

2 篇文章

订阅专栏

本文通过日常对话形式生动地解释了TCP协议中的三次握手建立连接及四次挥手断开连接过程，并探讨了TCP与UDP的主要区别。此外，还深入讨论了TCP协议中的一些常见问题，如为何建立连接采用三次握手而断开连接却需要四次挥手等问题。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

（写于2016.05.31 22:49，由于搬迁太麻烦，就这么弄过来了）
首先，用一个简单的日常生活中的对话情景来展示一下TCP协议的过程：

三次握手建立连接

小A：我给你说些事吧
小B：好啊，你说吧
小A：那我开始说了啊

传输内容

小A：。。。。。。。（巴拉巴拉开始说事）
小A：。。。。。。。（巴拉巴拉说事）
小B：。。。。。。。（巴拉巴拉反馈）
小A：。。。。。。。（巴拉巴拉说事）
小B：。。。。。。。（巴拉巴拉反馈）

四次挥手断开连接

小A：我说完了
小B：说完了？骚等，我看看有没有漏掉啥
小B：好的，没漏掉啥，拜拜
小A：拜拜

很简单吧，就这样：
TCP(Transmission Control Protocol)　传输控制协议，位于简化的计算机网络OSI模型中的第四层：传输层。在传输层内还有一个UDP协议，它与TCP协议的区别是：TCP保证可靠传输，而UDP不保证。

三次握手建立连接的过程

三次握手
1. 第一次握手：建立连接时，主机A发送syn包(syn=j)到主机B，并进入SYN_SEND状态，等待主机B确认；
2. 第二次握手：主机B收到syn包，必须确认主机A的SYN（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时主机B进入SYN_RECV状态；
3. 第三次握手：主机A收到主机B的SYN＋ACK包，向主机B发送确认包ACK(ack=k+1)，此包发送完毕，主机A和主机B进入 ESTABLISHED状态，完成三次握手。完成三次握手，主机A与主机B开始传送数据.

四次挥手断开连接的过程

四次挥手
1. 主机A发送一个FIN，用来关闭主机A到主机B的数据传送。
2. 主机B收到这个FIN，它发回一个ACK，确认序号为收到的序号加1。和SYN一样，一个FIN将占用一个序号。
3. 主机B关闭与主机A的连接，发送一个FIN给主机A。
4. 主机A发回ACK报文确认，并将确认序号设置为收到序号加1。

常见问题

1．为什么建立连接协议是三次握手，而关闭连接却是四次握手呢？

这是因为服务端的LISTEN状态下的SOCKET当收到SYN报文的建连请求后，它可以把ACK和SYN（ACK起应答作用，而SYN起同步作用）放在一个报文里来发送。但关闭连接时，当收到对方的FIN报文通知时，它仅仅表示对方没有数据发送给你了；但未必你所有的数据都全部发送给对方了，所以你可以未必会马上会关闭SOCKET,也即你可能还需要发送一些数据给对方之后，再发送FIN报文给对方来表示你同意现在可以关闭连接了，所以它这里的ACK报文和FIN报文多数情况下都是分开发送的。

2．为什么TIME_WAIT状态还需要等2MSL后才能返回到CLOSED状态？

这是因为虽然双方都同意关闭连接了，而且握手的4个报文也都协调和发送完毕，按理可以直接回到CLOSED状态（就好比从SYN_SEND状态到ESTABLISH状态那样）；但是因为我们必须要假想网络是不可靠的，你无法保证你最后发送的ACK报文会一定被对方收到，因此对方处于LAST_ACK状态下的SOCKET可能会因为超时未收到ACK报文，而重发FIN报文，所以这个TIME_WAIT状态的作用就是用来重发可能丢失的ACK报文。

3、什么是SYN Flood攻击？

SYN Flood是一种广为人知的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。
在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源—-数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。
实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃—即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。

4、如何防御SYN FLood攻击？

1、缩短SYN Timeout时间
由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃该连接的时间，例如设置为20秒以下（过低的SYN Timeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷。
2、设置SYN Cookie
就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。可是上述的两种方法只能对付比较原始的SYN Flood攻击，缩短SYN Timeout时间仅在对方攻击频度不高的情况下生效，SYN Cookie更依赖于对方使用真实的IP地址，如果攻击者以数万/秒的速度发送SYN报文，同时利用随机改写IP报文中的源地址，以上的方法将毫无用武之地。例如SOCK_RAW返回的套接字通过适当的设置可以自己完全控制IP头的内容从而实现IP欺骗。