TCPIP三次握手四次挥手详解

TCP(TransmissionControlProtocol)传输控制协议TCP是主机对主机层的传输控制协议，提供可靠的连接服务，采用三次握手确认建立一个连接:位码即tcp标志位,有6种标示:SYN(synchronous建立联机)ACK(acknowledgement确认)PSH(push传送)FIN(finish结束)RST(reset重置)URG(urgent紧急)Sequencenumber(顺序号码)Acknowledgenumber(确认号码)第一次握手：主机A发送位码为syn＝1,随机产生seqnumber=1234567的数据包到服务器，主机B由SYN=1知道，A要求建立联机；第二次握手：主机B收到请求后要确认联机信息，向A发送acknumber=(主机A的seq+1),syn=1,ack=1,随机产生seq=7654321的包第三次握手：主机A收到后检查acknumber是否正确，即第一次发送的seqnumber+1,以及位码ack是否为1，若正确，主机A会再发送acknumber=(主机B的seq+1),ack=1，主机B收到后确认seq值与ack=1则连接建立成功。完成三次握手，主机A与主机B开始传送数据。在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认；第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。完成三次握手，客户端与服务器开始传送数据.实例:IP192.168.1.116.3337192.168.1.123.7788:S3626544836:3626544836IP192.168.1.123.7788192.168.1.116.3337:S1739326486:1739326486ack3626544837IP192.168.1.116.3337192.168.1.123.7788:ack1739326487,ack1第一次握手：192.168.1.116发送位码syn＝1,随机产生seqnumber=3626544836的数据包到192.168.1.123,192.168.1.123由SYN=1知道192.168.1.116要求建立联机;第二次握手：192.168.1.123收到请求后要确认联机信息，向192.168.1.116发送acknumber=3626544837,syn=1,ack=1,随机产生seq=1739326486的包;第三次握手：192.168.1.116收到后检查acknumber是否正确，即第一次发送的seqnumber+1,以及位码ack是否为1，若正确，192.168.1.116会再发送acknumber=1739326487,ack=1，192.168.1.123收到后确认seq=seq+1,ack=1则连接建立成功。图解：一个三次握手的过程（图1，图2）（图1）（图2）第一次握手的标志位（图3）我们可以看到标志位里面只有个同步位，也就是在做请求(SYN)（图3）第二次握手的标志位（图4）我们可以看到标志位里面有个确认位和同步位，也就是在做应答(SYN+ACK)（图4）第三次握手的标志位（图5）我们可以看到标志位里面只有个确认位，也就是再做再次确认(ACK)（图5）一个完整的三次握手也就是请求---应答---再次确认TCP三次握手所谓三次握手(Three-wayHandshake)，是指建立一个TCP连接时，需要客户端和服务器总共发送3个包。三次握手的目的是连接服务器指定端口，建立TCP连接,并同步连接双方的序列号和确认号并交换TCP窗口大小信息.在socket编程中，客户端执行connect()时。将触发三次握手。SYN攻击在三次握手过程中，服务器发送SYN-ACK之后，收到客户端的ACK之前的TCP连接称为半连接(half-openconnect).此时服务器处于Syn_RECV状态.当收到ACK后，服务器转入ESTABLISHED状态.Syn攻击就是攻击客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送syn包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。Syn攻击是一个典型的DDOS攻击。检测SYN攻击非常的方便，当你在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本上可以断定这是一次SYN攻击.在Linux下可以如下命令检测是否被Syn攻击netstat-n-pTCP|grepSYN_RECV一般较新的TCP/IP协议栈都对这一过程进行修正来防范Syn攻击，修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYNcookies技术、增加最大半连接和缩短超时时间等.但是不能完全防范syn攻击。TCP四次挥手TCP的连接的拆除需要发送四个包，因此称为四次挥手(four-wayhandshake)。客户端或服务器均可主动发起挥手动作，在socket编程中，任何一方执行close()操作即可产生挥手操作。