TCP三次握手和四次挥手 详解

首先了解下TCP报文

16位源端口号：16位的源端口中包含初始化通信的端口。源端口和源IP地址的作用是标识报文的返回地址。

16位目的端口号：16位的目的端口域定义传输的目的。这个端口指明报文接收计算机上的应用程序地址接口。

32位序号：32位的序列号由接收端计算机使用，重新分段的报文成最初形式。当SYN出现，序列码实际上是初始序列码（Initial Sequence Number，ISN），而第一个数据字节是ISN+1。这个序列号（序列码）可用来补>偿传输中的不一致。

32位确认序号：32位的序列号由接收端计算机使用，重组分段的报文成最初形式。如果设置了ACK控制位，这个值表示一个准备接收的包的序列码。

4位首部长度：4位包括TCP头大小，指示何处数据开始。

保留（6位）：6位值域，这些位必须是0。为了将来定义新的用途而保留。

标志：6位标志域。表示为：紧急标志、有意义的应答标志、推、重置连接标志、同步序列号标志、完成发送数据标志。按照顺序排列是：URG、ACK、PSH、RST、SYN、FIN。

16位窗口大小：用来表示想收到的每个TCP数据段的大小。TCP的流量控制由连接的每一端通过声明的窗口大小来提供。窗口大小为字节数，起始于确认序号字段指明的值，这个值是接收端正期望接收的字节。窗口大小>是一个16字节字段，因而窗口大小最大为65535字节。

16位校验和：16位TCP头。源机器基于数据内容计算一个数值，收信息机要与源机器数值 结果完全一样，从而证明数据的有效性。检验和覆盖了整个的TCP报文段：这是一个强制性的字段，一定是由发送端计算和存储，
并由接收端进行验证的。

16位紧急指针：指向后面是优先数据的字节，在URG标志设置了时才有效。如果URG标志没有被设置，紧急域作为填充。加快处理标示为紧急的数据段。

选项：长度不定，但长度必须为1个字节。如果没有选项就表示这个1字节的域等于0。

数据：该TCP协议包负载的数据。

在上述字段中，6位标志域的各个选项功能如下。

URG：urgent紧急标志。紧急标志为"1"表明该位有效。

ACK：acknowledge确认标志。表明确认编号栏有效。大多数情况下该标志位是置位的。TCP报头内的确认编号栏内包含的确认编号（w+1）为下一个预期的序列编号，同时提示远端系统已经成功接收所有数据。

PSH：push推标志。该标志置位时，接收端不将该数据进行队列处理，而是尽可能快地将数据转由应用处理。在处理Telnet或rlogin等交互模式的连接时，该标志总是置位的。

RST：restart复位标志。用于复位相应的TCP连接。

SYN：同步标志。表明同步序列编号栏有效。该标志仅在三次握手建立TCP连接时有效。它提示TCP连接的服务端检查序列编号，该序列编号为TCP连接初始端（一般是客户端）的初始序列编号。在这里，可以把TCP序列编
号看作是一个范围从0到4，294，967，295的32位计数器。通过TCP连接交换的数据中每一个字节都经过序列编号。在TCP报头中的序列编号栏包括了TCP分段中第一个字节的序列编号。

FIN：结束标志。

TCP三次握手:

第一次握手:1,client将数据包标志位SYN置为1,随即产生一个值seq=J

                 2,client发送数据包(SYN=1,seq=J),进入SYN_SENT状态

第二次握手:1,server收到包,发现SYN=1,知道是请求连接.

                  2,server将数据包标志位SYN=1,ACK=1,ack=J+1,随机产生seq=K

                  3,server发送数据包(SYN=1,ACK=1,ack=J+1,seq=K),进入SYN_RCVD状态

第三次握手:1,client收到包,发现ACK=1,ack=J+1.

                  2,client将数据包标志位ACK=1,ack=K+1,

                  3,client发送数据包(ACK=1,ack=K+1,seq=J+1),进入ESTABLISHED状态

                   4,server收到包,发现ACK=1,ack=K+1,也进入ESTABLISHED状态.完成握手,建立了连接

在server处于SYN_RECV状态即是半连接状态.SYN攻击是典型的ddos攻击,client伪造大量ip让server处于SYN_RECV状态.在超时之前,这些SYN包占满了队列,从而导致正常的SYN被丢弃.而server在client未回复ACK时,会认为发送的SYN/ACK包丢失,从而不断重复发送,直至超时.

查看是否遭到攻击,可以通过natstat -nap|grep SYN_RECV 进行查看. -n numeric显示ip而不是域名 -a显示所有连接中的 socket. -p显示所有使用socket的programs -t显示tcp.

TCP四次挥手:

第一次挥手:1,client发送一个FIN包(seq=M,FIN=1),并进入FIN_WAIT_1状态

第二次挥手:1,server收到FIN包,立刻发送ACK包(seq=v,ack=M+1,ACK=1),并进入CLOSE_WAIT状态.

                   2,client收到ACK包,进入FIN_WAIT_2状态,此时是半连接状态.

第三次挥手:1,server将需要发送的数据包发送完毕.

                  2,server发送FIN包(seq=N,ack=M+1,FIN=1,ACK=1),进入LAST_ACK状态

                  3,client收到FIN后,进入TIME_WAIT状态

第四次挥手:  1,client立刻发送ACK包(seq=M+1,ack=N+1,ACK=1).

                    2,server收到ACK包,进入CLOSED状态.完成挥手.

在client处与TIME_WAIT状态后,需要等待2MSL.为什么呢?第一,确保TCP连接正常关闭.第二,确保网络中的延迟数据从网络中消失.

1,如果client不等待2MSL,由于ip协议不可靠,ACK包可能丢掉,导致server收不到ACK包,第四次挥手不成功.于是server在超时后,以为第三次挥手对方没收到FIN,便重复发送.

a,