關於TCP/IP的三次握手和四次揮手解釋

轉自四月天：http://www.cnblogs.com/rootq/articles/1377355.html

TCP協議三次握手過程分析

TCP(Transmission Control Protocol)　傳輸控制協議

TCP是主機對主機層的傳輸控制協議，提供可靠的連接服務，采用三次握手確認建立一個連接:

位碼即tcp標志位,有6種標示:SYN(synchronous建立聯機) ACK(acknowledgement 確認) PSH(push傳送) FIN(finish結束) RST(reset重置) URG(urgent緊急)

Sequence number(順序號碼) Acknowledge number(確認號碼)

第一次握手：主機A發送位碼為syn＝1,隨機產生seq number=1234567的數據包到服務器，主機B由SYN=1知道，A要求建立聯機；

第二次握手：主機B收到請求后要確認聯機信息，向A發送ack number=(主機A的seq+1),syn=1,ack=1,隨機產生seq=7654321的包

第三次握手：主機A收到后檢查ack number是否正確，即第一次發送的seq number+1,以及位碼ack是否為1，若正確，主機A會再發送ack number=(主機B的seq+1),ack=1，主機B收到后確認seq值與ack=1則連接建立成功。

完成三次握手，主機A與主機B開始傳送數據。

在TCP/IP協議中，TCP協議提供可靠的連接服務，采用三次握手建立一個連接。 
第一次握手：建立連接時，客戶端發送syn包(syn=j)到服務器，並進入SYN_SEND狀態，等待服務器確認； 
第二次握手：服務器收到syn包，必須確認客戶的SYN（ack=j+1），同時自己也發送一個SYN包（syn=k），即SYN+ACK包，此時服務器進入SYN_RECV狀態； 第三次握手：客戶端收到服務器的SYN＋ACK包，向服務器發送確認包ACK(ack=k+1)，此包發送完畢，客戶端和服務器進入ESTABLISHED狀態，完成三次握手。 完成三次握手，客戶端與服務器開始傳送數據.

實例:

IP 192.168.1.116.3337 > 192.168.1.123.7788: S 3626544836:3626544836
IP 192.168.1.123.7788 > 192.168.1.116.3337: S 1739326486:1739326486 ack 3626544837
IP 192.168.1.116.3337 > 192.168.1.123.7788: ack 1739326487,ack 1

第一次握手：192.168.1.116發送位碼syn＝1,隨機產生seq number=3626544836的數據包到192.168.1.123,192.168.1.123由SYN=1知道192.168.1.116要求建立聯機;

第二次握手：192.168.1.123收到請求后要確認聯機信息，向192.168.1.116發送ack number=3626544837,syn=1,ack=1,隨機產生seq=1739326486的包;

第三次握手：192.168.1.116收到后檢查ack number是否正確，即第一次發送的seq number+1,以及位碼ack是否為1，若正確，192.168.1.116會再發送ack number=1739326487,ack=1，192.168.1.123收到后確認seq=seq+1,ack=1則連接建立成功。

 

圖解：
一個三次握手的過程（圖1，圖2）

 

（圖1）

（圖2）
 

 

第一次握手的標志位（圖3）
我們可以看到標志位里面只有個同步位，也就是在做請求(SYN)
 
 （圖3）

第二次握手的標志位（圖4）
我們可以看到標志位里面有個確認位和同步位，也就是在做應答(SYN + ACK)
 
（圖4）

第三次握手的標志位（圖5）
我們可以看到標志位里面只有個確認位，也就是再做再次確認(ACK)
 
 
（圖5）

一個完整的三次握手也就是 請求---應答---再次確認

 

------------------------------------------------------------------------------------------------

TCP三次握手

 

所謂三次握手(Three-way Handshake)，是指建立一個TCP連接時，需要客戶端和服務器總共發送3個包。

 

三次握手的目的是連接服務器指定端口，建立TCP連接,並同步連接雙方的序列號和確認號並交換 TCP 窗口大小信息.在socket編程中，客戶端執行connect()時。將觸發三次握手。

 

 

 

 

• 第一次握手:
  客戶端發送一個TCP的SYN標志位置1的包指明客戶打算連接的服務器的端口，以及初始序號X,保存在包頭的序列號(Sequence Number)字段里。

• 第二次握手:
  服務器發回確認包(ACK)應答。即SYN標志位和ACK標志位均為1同時，將確認序號(Acknowledgement Number)設置為客戶的I S N加1以.即X+1。

 

• 第三次握手.
  客戶端再次發送確認包(ACK) SYN標志位為0,ACK標志位為1.並且把服務器發來ACK的序號字段+1,放在確定字段中發送給對方.並且在數據段放寫ISN的+1

SYN攻擊

   在三次握手過程中，服務器發送SYN-ACK之后，收到客戶端的ACK之前的TCP連接稱為半連接(half-open connect).此時服務器處於Syn_RECV狀態.當收到ACK后，服務器轉入ESTABLISHED狀態.

  Syn攻擊就是 攻擊客戶端 在短時間內偽造大量不存在的IP地址，向服務器不斷地發送syn包，服務器回復確認包，並等待客戶的確認，由於源地址是不存在的，服務器需要不斷的重發直 至超時，這些偽造的SYN包將長時間占用未連接隊列，正常的SYN請求被丟棄，目標系統運行緩慢，嚴重者引起網絡堵塞甚至系統癱瘓。

 Syn攻擊是一個典型的DDOS攻擊。檢測SYN攻擊非常的方便，當你在服務器上看到大量的半連接狀態時，特別是源IP地址是隨機的，基本上可以斷定這是一次SYN攻擊.在Linux下可以如下命令檢測是否被Syn攻擊

netstat -n -p TCP | grep SYN_RECV

一般較新的TCP/IP協議棧都對這一過程進行修正來防范Syn攻擊，修改tcp協議實現。主要方法有SynAttackProtect保護機制、SYN cookies技術、增加最大半連接和縮短超時時間等.

但是不能完全防范syn攻擊。

TCP 四次揮手

TCP的連接的拆除需要發送四個包，因此稱為四次揮手(four-way handshake)。客戶端或服務器均可主動發起揮手動作，在socket編程中，任何一方執行close()操作即可產生揮手操作。

 

 

 

參見wireshark抓包，實測的抓包結果並沒有嚴格按揮手時序。我估計是時間間隔太短造成。

 

source url:http://bluedrum.cublog.cn