TCP三次握手四次挥手详解

首先我们需要知道，tcp/ip协议并不是一个协议，而是一个协议族，里面包好tcp，udp，ip等协议，tcp/ip网络协议栈包括应用层，传输层，网络层和链路层。

tcp协议是一中面向连接的，可靠的传输层协议。连接过程就像打电话的过程。现在简要介绍其三次握手的过程：

第一次握手：客户A向客户B发送一个连接请求，在这个包中，syn=1,seq=x,并进入SYN_SEND状态，等待服务器确认；对应客户端的connect函数（Linux）。

第二次握手：客户B接受到了A发送的包，然后发送一个包进行确认，该包中syn=1,ack=1,ack_seq=x+1,seq=y;此时服务器进入SYN_RECV状态；对应服务器端的accept函数。

第三次握手：客户A收到了B发送的包，也发送一个确认包，该包中ack=1.ack_seq=y+1,seq=x+1;客户端和服务器进入ESTABLISHED状态，完成三次握手。对应客户端的connect函数。

图解如下：

关于四次挥手的图解如下

解释：

第一次挥手：当客户A要断开Tcp连接时，发送一个包,其中fin=1,ack=1,seq=x,ack_seq=x;

第二次挥手：客户B知道A要断开后，发送一个确认包，其中ack=1,seq=y,ack_seq=x+1;

第三次挥手：客户B也断开Tcp连接，此时发送一个包,其中，fin=1,seq=y+1,

第四次挥手：客户A收到B的断开请求后，发送一个确认包:ack=1,seq=x+1,ack_seq=y+2;

问题汇总

        1．为什么建立连接协议是三次握手，而关闭连接却是四次握手呢？

              这是因为服务端的LISTEN状态下的SOCKET当收到SYN报文的建连请求后，它可以把ACK和SYN（ACK起应答作用，而SYN起同步作用）放在一个报文里来发送。

              但关闭连接时，当收到对方的FIN报文通知时，它仅仅表示对方没有数据发送，但未必所有的数据都全部发送给对方，所以你可以未必会马上会关闭SOCKET，也即你可能还需要发送一些数据给对方之后，再发送FIN报文给对方来表示你同意现在可以关闭连接了，所以它这里的ACK报文和FIN报文多数情况下都是分开发送的。

         2．为什么TIME_WAIT状态还需要等2MSL（max segment lifetime）后才能返回到CLOSED状态？

               这是因为虽然双方都同意关闭连接了，而且握手的4个报文也都协调和发送完毕，按理可以直接回到CLOSED状态（就好比从SYN_SEND状态到ESTABLISH状态那样）；

               但是因为我们必须要假想网络是不可靠的，你无法保证你最后发送的ACK报文会一定被对方收到，因此对方处于LAST_ACK状态下的SOCKET可能会因为超时未收到ACK报文，而重发FIN报文，所以这个TIME_WAIT状态的作用就是用来重发可能丢失的ACK报文。

         3.   什么是2MSL

               MSL是Maximum Segment Lifetime,译为“报文最大生存时间”，他是任何报文在网络上存在的最长时间，超过这个时间报文将被丢弃。

               因为TCP报文（segment）是IP数据报（datagram）的数据部分，而IP头中有一个TTL域，TTL是time to live的缩写，中文可以译为“生存时间”，这个生存时间是由源主机设置初始值但不是存的具体时间，而是存储了一个IP数据报可以经过的最大路由数，每经过一个处理他的路由器此值就减1，当此值为0则数据报将被丢弃，同时发送ICMP报文通知源主机。

               RFC 793中规定MSL为2分钟，实际应用中常用的是30秒，1分钟和2分钟等

               2MSL即两倍的MSL，TCP的TIME_WAIT状态也称为2MSL等待状态，当TCP的一端发起主动关闭，在发出最后一个ACK包后，即第3次握手完成后发送了第四次握手的ACK包后就进入了TIME_WAIT状态，必须在此状态上停留两倍的MSL时间。

              等待2MSL时间主要目的是怕最后一个ACK包对方没收到，那么对方在超时后将重发第三次握手的FIN包，主动关闭端接到重发的FIN包后可以再发一个ACK应答包。

             在TIME_WAIT状态时两端的端口不能使用，要等到2MSL时间结束才可继续使用。

             当连接处于2MSL等待阶段时任何迟到的报文段都将被丢弃。不过在实际应用中可以通过设置SO_REUSEADDR选项达到不必等待2MSL时间结束再使用此端口。

             TTL与MSL是有关系的但不是简单的相等的关系，MSL要大于等于TTL。

          4   SYN攻击

               在三次握手过程中，服务器【发送SYN-ACK之后，收到客户端的ACK之前】的TCP连接称为半连接(half-open connect)。此时服务器处于SYN_RECV状态

                                                   当收到ACK后，服务器转入ESTABLISHED状态.

              SYN攻击就是：攻击客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送SYN包，服务器回复ACK确认包，并等待客户的确认从而建立连接。

                                          由于源地址是不存在的，不会再发送ACK确认包，所以服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。

              SYN攻击是一个典型的DDOS攻击。检测SYN攻击非常的方便，当你在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本上可以断定这是一次SYN攻击.在Linux下可以如下命令检测是否被Syn攻击

              netstat  -n  -p  TCP | grep SYN_RECV

               一般较新的TCP/IP协议栈都对这一过程进行修正来防范Syn攻击，修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、增加最大半连接和缩短超时时间等。但是不能完全防范syn攻击。