很多协议都是基于TCP/IP协议的基础之上进行工作的,可能我们了解这些原理近期看来并无实际作用,因为它不像如一些web服务器配置一样,配置了我就可以使用,就可以提供服务。
但是从我们长远发展角度来看,这些原理则显得至关重要,我们知道了它是怎么工作的。如果用原理这个层面作为一个界限;熟知原理的,和不熟知原理的本就不是一个技术层面的。
一、TCP/IP三次握手
为什么要三次握手,为什么说TCP/IP协议相对于udp要可靠好多。
举一个例子就如:平时利用移动网络聊天时,我们已经知道现在信号不太好,要保证聊天的质量,会先进行确认。
喂,你可以听到吗。
听得到,你可以听到我说话吗。
听到了,我们可以进行聊天了
映射到TCP/IP协议握手:
注意:: 传输包的过程当中ACK和ack的区别,ACK=1表示:确认收到的意思。而ack是确认的号码,为对端发过来的seq+1。
第一次握手,客户端:Client将标志位SYN置为1,随机产生一个值seq=J,并将该数据包发送给Server,Client进入SYN_SENT状态,等待Server确认。
第二次握手,服务端:Server收到数据包后由标志位SYN=1知道Client请求建立连接,Server将标志位SYN和ACK都置为1,ack (number )=J+1,随机产生一个值seq=K,并将该数据包发送给Client以确认连接请求,Server进入SYN_RCVD状态。
第三次握手,客户端:Client收到确认后,检查ack是否为J+1,ACK是否为1,如果正确则将标志位ACK置为1,ack=K+1,并将该数据包发送给Server,Server检查ack是否为K+1,ACK是否为1,如果正确则连接建立成功,Client和Server进入ESTABLISHED状态,完成三次握手,随后Client与Server之间可以开始传输数据了。
二、TCP/IP四次断开
那四次断开就是终止TCP连接,断开连接时,需要客户端和服务端共发送四个包已确认连接的断开
- 确保数据能够完整传输。
- 当被动方收到主动方的FIN报文通知时,它仅仅表示主动方没有数据再发送给被动方了。
- 但未必被动方所有的数据都完整的发送给了主动方,所以被动方不会马上关闭SOCKET,它可能还需要发送一些数据给主动方后,
- 再发送FIN报文给主动方,告诉主动方同意关闭连接,所以这里的ACK报文和FIN报文多数情况下都是分开发送的。
第一次断开,Client发送一个FIN(FIN标志位表示释放一个连接),关闭Client到Server的数据传送,Client进入FIN_WAIT_1状态。
第二次断开,Server收到FIN后,发送一个ACK给Client,确认序号为收到序号+1(与SYN相同,一个FIN占用一个序号),Server进入CLOSE_WAIT状态。
第三次断开,Server发送一个FIN,用来关闭Server到Client的数据传送,Server进入LAST_ACK状态。
第四次断开,Client收到FIN后,Client进入TIME_WAIT状态,接着发送一个ACK给Server,确认序号为收到序号+1,Server进入CLOSED状态,完成四次挥手。
三、为什么建立连接是三次握手,而关闭连接却是四次挥手呢?
这是因为服务端在LISTEN状态下,收到建立连接请求的SYN报文后,把ACK和SYN放在一个报文里发送给客户端。而关闭连接时,当收到对方的FIN报文时,仅仅表示对方不再发送数据了但是还能接收数据,己方也未必全部数据都发送给对方了,所以己方可以立即close,也可以发送一些数据给对方后,再发送FIN报文给对方来表示同意现在关闭连接,因此,己方ACK和FIN一般都会分开发送。
四、 SYN攻击
在三次握手过程中,Server发送SYN-ACK之后,收到Client的ACK之前的TCP连接称为半连接(half-open connect),此时Server处于SYN_RCVD状态,当收到ACK后,Server转入ESTABLISHED状态。SYN攻击就是Client在短时间内伪造大量不存在的IP地址,并向Server不断地发送SYN包,Server回复确认包,并等待Client的确认,由于源地址是不存在的,因此,Server需要不断重发直至超时,这些伪造的SYN包将长时间占用未连接队列,导致正常的SYN请求因为队列满而被丢弃,从而引起网络堵塞甚至系统瘫痪。SYN攻击时一种典型的DDOS攻击,检测SYN攻击的方式非常简单,即当Server上有大量半连接状态且源IP地址是随机的,则可以断定遭到SYN攻击了,使用如下命令可以让之现行:
netstat -nap | grep SYN_RECV