TCP基础
2014-01-09 17:31
302 查看
192:client, 203:server
TCP建立连接三次握手
(1) 客户端发送一个带SYN标志的TCP报文到服务器
(2) 服务端回应客户端的一个报文,这个报文同时置ACK标志和SYN标志。
它表示对刚才客户端SYN报文的回应;同时又置ACK标志给客户端,询问客户端是否准备好进行数据通讯。
(3) 客户端再次回应服务端一个ACK报文
SYN攻击
在三次握手过程中,服务器发送SYN+ACK之后,收到客户端的ACK之前的TCP连接称为半连接.
此时服务器处于SYN_RECV状态.当收到ACK后,服务器转入ESTABLISHED状态.
SYN攻击就是攻击客户端在短时间内伪造大量不存在的IP地址,
向服务器不断地发送SYN包,服务器回复确认包,
并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,
这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,
目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。
SYN攻击是一个典型的DDOS攻击。检测SYN攻击非常的方便,
当你在服务器上看到大量的半连接状态时,
特别是源IP地址是随机的,基本上可以断定这是一次SYN攻击.
在Linux下可以如下命令检测是否被SYN攻击
netstat -n -p TCP | grep SYN_RECV
一般较新的TCP/IP协议栈都对这一过程进行修正来防范Syn攻击,
修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、
增加最大半连接和缩短超时时间等,但是不能完全防范syn攻击。
TCP断开连接四次握手
由于TCP连接是全双工的,因此每个方向都必须单独进行关闭。
这原则是当一方完成它的数据发送任务后就能发送一个FIN+ACK来终止这个方向的连接。
收到一个FIN+ACK只意味着这一方向上没有数据流动,一个TCP连接在收到一个FIN+ACK后仍能发送数据。
首先进行关闭的一方将执行主动关闭,而另一方执行被动关闭。
(1) TCP客户端发送一个FIN+ACK,用来关闭客户到服务器的数据传送
(2) 服务器收到这个FIN+ACK,它发回一个ACK,确认序号为收到的序号加1
(3) 服务器关闭客户端的连接,发送一个FIN+ACK给客户端
(4) 客户段发回ACK报文确认,并将确认序号设置为收到序号加1
TCP连接状态
CLOSED: 表示初始状态。
LISTEN: 表示服务端的某个SOCKET处于监听状态,可以接受连接。
SYN_SENT:在服务端监听后,客户端SOCKET执行CONNECT连接时,客户端发送SYN报文,
此时客户端就进入SYN_SENT状态,等待服务端的确认
SYN_RCVD: 表示服务端接受到了SYN报文,在正常情况下,这个状态是服务端的SOCKET在
建立TCP连接时的三次握手会话过程中的一个中间状态,很短暂,基本上用netstat你是
很难看到这种状态的,除非你特意写了一个客户端测试程序,故意将三次TCP握手过程中
最后一个ACK报文不予发送。因此这种状态时,
当收到客户端的ACK报文后,它会进入到ESTABLISHED状态。
ESTABLISHED:表示连接已经建立了。
FIN_WAIT_1: 这个是已经建立连接之后,其中一方请求终止连接,等待对方的FIN报文。FIN_WAIT_1状态是当
SOCKET在ESTABLISHED状态时,它想主动关闭连接,向对方发送了FIN报文,
此时该SOCKET即进入到FIN_WAIT_1状态。而当对方回应ACK报文后,则进入到FIN_WAIT_2状态,
当然在实际的正常情况下,无论对方何种情况下,都应该马上回应ACK报文,
所以FIN_WAIT_1状态一般是比较难见到的,而FIN_WAIT_2状态还有时常常可以用netstat看到。
FIN_WAIT_2:实际上FIN_WAIT_2状态下的SOCKET,表示半连接,也即有一方要求close连接,
但另外还告诉对方,我暂时还有点数据需要传送给你,稍后再关闭连接。
TIME_WAIT: 表示收到了对方的FIN报文,并发送出了ACK报文,就等2MSL后即可回到CLOSED可用状态了。
如果FIN_WAIT_1状态下,收到了对方同时带FIN标志和ACK标志的报文时,
可以直接进入到TIME_WAIT状态,而无须经过FIN_WAIT_2状态。
CLOSING: 这种状态比较特殊,实际情况中应该是很少见,属于一种比较罕见的例外状态。
正常情况下,当你发送FIN报文后,按理来说是应该先收到(或同时收到)对方的ACK报文,
再收到对方的FIN报文。但是CLOSING状态表示你发送FIN报文后,并没有收到对方的ACK报文,
反而却也收到了对方的FIN报文。什么情况下会出现此种情况呢?其实细想一下,
也不难得出结论:那就是如果双方几乎在同时close一个SOCKET的话,那么就出现
了双方同时发送FIN报文的情况,也即会出现CLOSING状态,表示双方都正在关闭SOCKET连接。
CLOSE_WAIT: 这种状态的含义其实是表示在等待关闭。怎么理解呢?
当对方close一个SOCKET后发送FIN报文给自己,你系统毫无疑问地会回应一个ACK报文给对方,
此时则进入到CLOSE_WAIT状态。接下来呢,实际上你真正需要考虑的事情是察看你是否还有
数据发送给对方,如果没有的话,那么你也就可以close这个SOCKET,发送FIN报文给对方,
也即关闭连接。所以你在CLOSE_WAIT状态下,需要完成的事情是等待你去关闭连接。
LAST_ACK: 这个状态还是比较容易好理解的,它是被动关闭一方在发送FIN报文后,最后等待对方的ACK报文。
当收到ACK报文后,也即可以进入到CLOSED可用状态了。
TCP建立连接三次握手
(1) 客户端发送一个带SYN标志的TCP报文到服务器
(2) 服务端回应客户端的一个报文,这个报文同时置ACK标志和SYN标志。
它表示对刚才客户端SYN报文的回应;同时又置ACK标志给客户端,询问客户端是否准备好进行数据通讯。
(3) 客户端再次回应服务端一个ACK报文
SYN攻击
在三次握手过程中,服务器发送SYN+ACK之后,收到客户端的ACK之前的TCP连接称为半连接.
此时服务器处于SYN_RECV状态.当收到ACK后,服务器转入ESTABLISHED状态.
SYN攻击就是攻击客户端在短时间内伪造大量不存在的IP地址,
向服务器不断地发送SYN包,服务器回复确认包,
并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,
这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,
目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。
SYN攻击是一个典型的DDOS攻击。检测SYN攻击非常的方便,
当你在服务器上看到大量的半连接状态时,
特别是源IP地址是随机的,基本上可以断定这是一次SYN攻击.
在Linux下可以如下命令检测是否被SYN攻击
netstat -n -p TCP | grep SYN_RECV
一般较新的TCP/IP协议栈都对这一过程进行修正来防范Syn攻击,
修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、
增加最大半连接和缩短超时时间等,但是不能完全防范syn攻击。
TCP断开连接四次握手
由于TCP连接是全双工的,因此每个方向都必须单独进行关闭。
这原则是当一方完成它的数据发送任务后就能发送一个FIN+ACK来终止这个方向的连接。
收到一个FIN+ACK只意味着这一方向上没有数据流动,一个TCP连接在收到一个FIN+ACK后仍能发送数据。
首先进行关闭的一方将执行主动关闭,而另一方执行被动关闭。
(1) TCP客户端发送一个FIN+ACK,用来关闭客户到服务器的数据传送
(2) 服务器收到这个FIN+ACK,它发回一个ACK,确认序号为收到的序号加1
(3) 服务器关闭客户端的连接,发送一个FIN+ACK给客户端
(4) 客户段发回ACK报文确认,并将确认序号设置为收到序号加1
TCP连接状态
CLOSED: 表示初始状态。
LISTEN: 表示服务端的某个SOCKET处于监听状态,可以接受连接。
SYN_SENT:在服务端监听后,客户端SOCKET执行CONNECT连接时,客户端发送SYN报文,
此时客户端就进入SYN_SENT状态,等待服务端的确认
SYN_RCVD: 表示服务端接受到了SYN报文,在正常情况下,这个状态是服务端的SOCKET在
建立TCP连接时的三次握手会话过程中的一个中间状态,很短暂,基本上用netstat你是
很难看到这种状态的,除非你特意写了一个客户端测试程序,故意将三次TCP握手过程中
最后一个ACK报文不予发送。因此这种状态时,
当收到客户端的ACK报文后,它会进入到ESTABLISHED状态。
ESTABLISHED:表示连接已经建立了。
FIN_WAIT_1: 这个是已经建立连接之后,其中一方请求终止连接,等待对方的FIN报文。FIN_WAIT_1状态是当
SOCKET在ESTABLISHED状态时,它想主动关闭连接,向对方发送了FIN报文,
此时该SOCKET即进入到FIN_WAIT_1状态。而当对方回应ACK报文后,则进入到FIN_WAIT_2状态,
当然在实际的正常情况下,无论对方何种情况下,都应该马上回应ACK报文,
所以FIN_WAIT_1状态一般是比较难见到的,而FIN_WAIT_2状态还有时常常可以用netstat看到。
FIN_WAIT_2:实际上FIN_WAIT_2状态下的SOCKET,表示半连接,也即有一方要求close连接,
但另外还告诉对方,我暂时还有点数据需要传送给你,稍后再关闭连接。
TIME_WAIT: 表示收到了对方的FIN报文,并发送出了ACK报文,就等2MSL后即可回到CLOSED可用状态了。
如果FIN_WAIT_1状态下,收到了对方同时带FIN标志和ACK标志的报文时,
可以直接进入到TIME_WAIT状态,而无须经过FIN_WAIT_2状态。
CLOSING: 这种状态比较特殊,实际情况中应该是很少见,属于一种比较罕见的例外状态。
正常情况下,当你发送FIN报文后,按理来说是应该先收到(或同时收到)对方的ACK报文,
再收到对方的FIN报文。但是CLOSING状态表示你发送FIN报文后,并没有收到对方的ACK报文,
反而却也收到了对方的FIN报文。什么情况下会出现此种情况呢?其实细想一下,
也不难得出结论:那就是如果双方几乎在同时close一个SOCKET的话,那么就出现
了双方同时发送FIN报文的情况,也即会出现CLOSING状态,表示双方都正在关闭SOCKET连接。
CLOSE_WAIT: 这种状态的含义其实是表示在等待关闭。怎么理解呢?
当对方close一个SOCKET后发送FIN报文给自己,你系统毫无疑问地会回应一个ACK报文给对方,
此时则进入到CLOSE_WAIT状态。接下来呢,实际上你真正需要考虑的事情是察看你是否还有
数据发送给对方,如果没有的话,那么你也就可以close这个SOCKET,发送FIN报文给对方,
也即关闭连接。所以你在CLOSE_WAIT状态下,需要完成的事情是等待你去关闭连接。
LAST_ACK: 这个状态还是比较容易好理解的,它是被动关闭一方在发送FIN报文后,最后等待对方的ACK报文。
当收到ACK报文后,也即可以进入到CLOSED可用状态了。
相关文章推荐
- 【网络基础】03、TCP传输连接的建立与释放
- Java基础-网络编程(TCP-客户端并发登录)
- 网络基础知识讲座之十:TCP协议理解进阶
- JAVASE基础之TCP挥手握手
- TCP/IP下的组播编程基础
- 网络编程(网络基础,OSI参考模型,UDP传输协议,TCP传输协议,URL类和URLConnection类)
- linux c学习笔记----TCP基础客户/服务编程(socket,bind等)
- socket/TCP/UDP基础及Unity聊天室的实现
- TCP/IP基础(四)
- [精通WindowsSocket网络开发-基于VC++实现]第三章——WindowsSockets基础—TCP,UDP程序 .
- 第10章 网络编程 01_网络基础_IP_TCP_UDP.wmv
- 图解TCP/IP笔记-网络基础知识
- TCP/IP基础
- Java基础知识强化之网络编程笔记10:TCP之客户端读取文本文件服务器控制台输出
- iOS网络基础(1) — TCP、UDP、URL和HTTP
- TCP/IP基础(四)
- 如何快速入门网络基础知识(TCP/IP 和 HTTP)
- python网络编程基础(连载)03 socket-tcp
- TCP/IP基础
- 4000 java基础_socket编程_TCP实现