首先,要解释下图解中用到的一些关键字的含义:
(1)序号:seq,占32位,用来标示从源端向目的端发送的字节流,发起方发送数据时对此标志进行标记。
一般是发起方自己生成的随机数
(2)确认序号:ack,只有下面的标志位ACK=1时才有效,这里ack=seq + 1
(3)标志位,一共6个:
1. URG:紧急指针(urgent pointer)有效
2. ACK: 确认序号有效;注意他和确认序号ack不是一个意思
3. PSH: 接收方应该尽快将这个报文交给应用层
4. RST:重置链接
5. SYN:发起一个新的链接
6. FIN:释放一个链接
三次握手
下面,我们用一个打电话的小🌰,来模拟TCP的三次握手:
第一次握手:客户端(小王)将标志位SYN置1,表示要新建链接;生成一个随机数seq=J; 发送给服务器(牛哥),然后进入SYN_SEND状态,等待服务器确认;
第二次握手:服务器(牛哥)收到数据包后,看到SYN=1,知道客户端要新建链接,然后将SYN也置为1,ack置为J+1,并将ACK置1;也生成一个随机数seq=K;然后发回给客户端,并进入SYN_RCVD状态;
第三次握手:客户端收到后,检查ack是否为J+1,ACK是否为1,如果都正确,则将ACK置1,ack置为K+1,发送给服务器;同样,服务器接到后也检查ACK和ack,如果都正确,则链接建立成功。双方进入ESTABLISHED状态。之后,双方就可以互相发送数据了。
关于SYN攻击
由上图我们看到,服务器第一次接到新建链接的请求,并回应客户端后,会进入SYN_RCVD状态,这时候链接并未成功建立,只有收到ACK包确认后才进入ESTABLISHED状态;这就给不法者提供了可乘之机,他们可以伪造大量不存在的ip地址,向服务器发送新建链接的请求,服务器回复响应包后就会等待客户端确认,由于客户端都是伪造的并不存在,也就没有回应,服务器不得不重发,直到超时为止;这样的请求多了之后,就会占满服务器的未连接队列,导致正常的SYN请求被丢弃,从而引起网络阻塞瘫痪。这是一种典型的DDOS攻击,当服务器上存在大量的半链接状态的请求,ip地址随机时,基本可以确认是遭到了SYN攻击,也可以用下面的命令进行查看:
#netstat -nap | grep SYN_RECV
四次挥手
下面,用同样的小🌰来解释下TCP关闭链接时候的过程:
第一次挥手:客户端(小王)发送FIN=M给服务器(牛哥),表示客户端不会再发送数据了。并进入FIN_WAIT_1状态
第二次挥手:服务器(牛哥)接到FIN后,将ACK置1,ack置为M+1,回应客户端,并进入CLOSE_WAIT状态;客户端接到后进入FIN_WAIT_2状态
第三次挥手:服务器(牛哥)发送FIN=N给客户端,表示服务器也不再发送数据了,并进入LAST_ACK状态
第四次挥手:客户端接到FIN后,将ACK置1,ack置为N+1,回应服务器,并进入TIME_WAIT状态。服务器接受到后,进入CLOSED状态,链接关闭
实际中,也有可能双方同时主动发起关闭链接的请求,如下:
最后是面试经常会问的一个小问题
为什么TCP建立链接是三次握手,而断开链接要四次?
上面的图解已经很清楚了,建立链接时,服务器端接到SYN报文后,将SYN和ACK放在一个报文里发送给了客户端;而断开链接时,收到对方发来的FIN报文,仅仅表示对方不再发送数据了,但还是可以接受数据的,如果服务器数据没有发送完,还是可以继续发送的,所以服务器先发送ACK回应客户端,当自己这边数据发送完了,或者不想发了,再发送FIN报文给客户端表示关闭链接,因此,关闭链接时ACK和FIN是分开发送的。
