首先了解下TCP报文
16位源端口号:16位的源端口中包含初始化通信的端口。源端口和源IP地址的作用是标识报文的返回地址。
16位目的端口号:16位的目的端口域定义传输的目的。这个端口指明报文接收计算机上的应用程序地址接口。
32位序号:32位的序列号由接收端计算机使用,重新分段的报文成最初形式。当SYN出现,序列码实际上是初始序列码(Initial Sequence Number,ISN),而第一个数据字节是ISN+1。这个序列号(序列码)可用来补>偿传输中的不一致。
32位确认序号:32位的序列号由接收端计算机使用,重组分段的报文成最初形式。如果设置了ACK控制位,这个值表示一个准备接收的包的序列码。
4位首部长度:4位包括TCP头大小,指示何处数据开始。
保留(6位):6位值域,这些位必须是0。为了将来定义新的用途而保留。
标志:6位标志域。表示为:紧急标志、有意义的应答标志、推、重置连接标志、同步序列号标志、完成发送数据标志。按照顺序排列是:URG、ACK、PSH、RST、SYN、FIN。
16位窗口大小:用来表示想收到的每个TCP数据段的大小。TCP的流量控制由连接的每一端通过声明的窗口大小来提供。窗口大小为字节数,起始于确认序号字段指明的值,这个值是接收端正期望接收的字节。窗口大小>是一个16字节字段,因而窗口大小最大为65535字节。
16位校验和:16位TCP头。源机器基于数据内容计算一个数值,收信息机要与源机器数值 结果完全一样,从而证明数据的有效性。检验和覆盖了整个的TCP报文段:这是一个强制性的字段,一定是由发送端计算和存储,
并由接收端进行验证的。
16位紧急指针:指向后面是优先数据的字节,在URG标志设置了时才有效。如果URG标志没有被设置,紧急域作为填充。加快处理标示为紧急的数据段。
选项:长度不定,但长度必须为1个字节。如果没有选项就表示这个1字节的域等于0。
数据:该TCP协议包负载的数据。
在上述字段中,6位标志域的各个选项功能如下。
URG:urgent紧急标志。紧急标志为"1"表明该位有效。
ACK:acknowledge确认标志。表明确认编号栏有效。大多数情况下该标志位是置位的。TCP报头内的确认编号栏内包含的确认编号(w+1)为下一个预期的序列编号,同时提示远端系统已经成功接收所有数据。
PSH:push推标志。该标志置位时,接收端不将该数据进行队列处理,而是尽可能快地将数据转由应用处理。在处理Telnet或rlogin等交互模式的连接时,该标志总是置位的。
RST:restart复位标志。用于复位相应的TCP连接。
SYN:同步标志。表明同步序列编号栏有效。该标志仅在三次握手建立TCP连接时有效。它提示TCP连接的服务端检查序列编号,该序列编号为TCP连接初始端(一般是客户端)的初始序列编号。在这里,可以把TCP序列编
号看作是一个范围从0到4,294,967,295的32位计数器。通过TCP连接交换的数据中每一个字节都经过序列编号。在TCP报头中的序列编号栏包括了TCP分段中第一个字节的序列编号。
FIN:结束标志。
TCP三次握手:
第一次握手:1,client将数据包标志位SYN置为1,随即产生一个值seq=J
2,client发送数据包(SYN=1,seq=J),进入SYN_SENT状态
第二次握手:1,server收到包,发现SYN=1,知道是请求连接.
2,server将数据包标志位SYN=1,ACK=1,ack=J+1,随机产生seq=K
3,server发送数据包(SYN=1,ACK=1,ack=J+1,seq=K),进入SYN_RCVD状态
第三次握手:1,client收到包,发现ACK=1,ack=J+1.
2,client将数据包标志位ACK=1,ack=K+1,
3,client发送数据包(ACK=1,ack=K+1,seq=J+1),进入ESTABLISHED状态
4,server收到包,发现ACK=1,ack=K+1,也进入ESTABLISHED状态.完成握手,建立了连接
在server处于SYN_RECV状态即是半连接状态.SYN攻击是典型的ddos攻击,client伪造大量ip让server处于SYN_RECV状态.在超时之前,这些SYN包占满了队列,从而导致正常的SYN被丢弃.而server在client未回复ACK时,会认为发送的SYN/ACK包丢失,从而不断重复发送,直至超时.
查看是否遭到攻击,可以通过natstat -nap|grep SYN_RECV 进行查看. -n numeric显示ip而不是域名 -a显示所有连接中的 socket. -p显示所有使用socket的programs -t显示tcp.
TCP四次挥手:
第一次挥手:1,client发送一个FIN包(seq=M,FIN=1),并进入FIN_WAIT_1状态
第二次挥手:1,server收到FIN包,立刻发送ACK包(seq=v,ack=M+1,ACK=1),并进入CLOSE_WAIT状态.
2,client收到ACK包,进入FIN_WAIT_2状态,此时是半连接状态.
第三次挥手:1,server将需要发送的数据包发送完毕.
2,server发送FIN包(seq=N,ack=M+1,FIN=1,ACK=1),进入LAST_ACK状态
3,client收到FIN后,进入TIME_WAIT状态
第四次挥手: 1,client立刻发送ACK包(seq=M+1,ack=N+1,ACK=1).
2,server收到ACK包,进入CLOSED状态.完成挥手.
在client处与TIME_WAIT状态后,需要等待2MSL.为什么呢?第一,确保TCP连接正常关闭.第二,确保网络中的延迟数据从网络中消失.
1,如果client不等待2MSL,由于ip协议不可靠,ACK包可能丢掉,导致server收不到ACK包,第四次挥手不成功.于是server在超时后,以为第三次挥手对方没收到FIN,便重复发送.
a,