TCP定时器/TCP握手与挥手

TCP定时器

TCP/IP中关于定时器的介绍，TCP为每条连接建立七个定时器，分别为：

    1.连接建立定时器，在发送SYN报文段建立一条新连接时启动。如果没有在75S内收到响应，连接建立将终止。

    2.重传定时器在TCP发送数据时设定。如果定时器已超时而对端的确认还未到达，TCP将重传数据。重传定时器的值（即TCP等待对端确认的时间）是动态计算的，取决于TCP为该连接测量的往返时间和该报文段 已被重传的次数。

    3.延迟ACK定时器在TCP收到必须被确认但无需马上发出确认的数据设定。TCP等待200ms后发送确认响应。如果，在这200ms内，有数据要在该连接上发送，延迟的ACK响应就可随着数据一起发送回对端，称为捎带确认。

    4.持续定时器在连接对端通告接收窗口为0，阻止TCP继续发送数据时设定。由于连接对端发送的窗口通告不可靠（只有数据才会被确认，ACK不会被确认），允许TCP继续发送数据的后续窗口更新有可能丢失。因此，如果TCP有数据要发送，单对端通告接收窗口为0，则持续定时器启动，超时后向对端发送1字节的数据，判断对端接收窗口是否已打开。与重传定时器类似，持续定时器的值也是动态计算的，取决于连接的往返时间，在5S到60S之间取值。

    5.保活定时器在应用进程选取了插口的SO_KEEPALIVE选项时生效。如果连接的连续空闲时间超过2小时，保活定时器超时，向对端发送连接探测报文段，强迫对端响应。如果收到了期待的响应，TCP可确定对端主机正常工作，在该连接再次空闲超过2小时之前，TCP不会再进行保活测试。如果收到的是其他响应，TCP可确定对端主机已重启。如果连接若干次保活测试都未收到响应，TCP就假定对端主机已崩溃，尽管它无法区分是主机故障（例如系统崩溃而尚未重启），还是连接故障（例如，中间的路由器发送故障或电话线断了）。

    6.FIN_WAIT_2定时器。当摸个连接从FIN_WAIT_1状态变迁到FIN_WAIT_2状态，并且態再接收任何新数据时（意味着应用进程调用了close，而非shutdown,没有利用TCP的半关闭功能），FIN_WAIT_2定时器启动，设为10分钟。定时器超时后，重新设为75S，第二次超时后连接被关闭。加入这个定时器的目的是为了避免如果对端一直不发送FIN,某个连接会永远滞留在FIN_WAIT_2状态。

    7.TIME_WAIT定时器，一般也称为2MSL定时器。MSL指最大报文段生存时间。当连接转移到TIME_WAIT状态，即连接主动关闭时，定时器启动。连接进入TIME_WAIT状态时，定时器设定为1分钟，超时后，TCP控制块和InternetPCB被删除，端口号可重新使用。

    TCP包括两个定时器函数：一个函数为200ms调用一次（快速定时器）；另一个函数每500ms调用一次（慢速定时器）。延迟ACK定时器与其它6个定时器有所不同，如果摸个连接上设定了延迟ACK定时器，那么下一个200ms定时器超时后，延迟的ACK必须被发送（ACK的延时时间必须在0-200ms之间）。其它的定时器每500ms递减一次，计时器减为0时，就触发相应的动作。

TCP握手与挥手

3次握手过程详解

所谓三次握手（Three-Way Handshake）即建立TCP连接，就是指建立一个TCP连接时，需要客户端和服务端总共发送3个包以确认连接的建立。在socket编程中，这一过程由客户端执行connect来触发，整个流程如下图所示：

 
（1）第一次握手：
Client将标志位SYN置为1，随机产生一个值seq=J，并将该数据包发送给Server，Client进入SYN_SENT状态，等待Server确认。

（2）第二次握手：
Server收到数据包后由标志位SYN=1知道Client请求建立连接，Server将标志位SYN和ACK都置为1，ack=J+1，随机产生一个值seq=K，并将该数据包发送给Client以确认连接请求，Server进入SYN_RCVD状态。

（3）第三次握手：
Client收到确认后，检查ack是否为J+1，ACK是否为1，如果正确则将标志位ACK置为1，ack=K+1，并将该数据包发送给Server，Server检查ack是否为K+1，ACK是否为1，如果正确则连接建立成功，Client和Server进入ESTABLISHED状态，完成三次握手，随后Client与Server之间可以开始传输数据了。

SYN攻击：

在三次握手过程中，Server发送SYN-ACK之后，收到Client的ACK之前的TCP连接称为半连接（half-open connect），此时Server处于SYN_RCVD状态，当收到ACK后，Server转入ESTABLISHED状态。SYN攻击就是Client在短时间内伪造大量不存在的IP地址，并向Server不断地发送SYN包，Server回复确认包，并等待Client的确认，由于源地址是不存在的，因此，Server需要不断重发直至超时，这些伪造的SYN包将产时间占用未连接队列，导致正常的SYN请求因为队列满而被丢弃，从而引起网络堵塞甚至系统瘫痪。SYN攻击时一种典型的DDOS攻击，检测SYN攻击的方式非常简单，即当Server上有大量半连接状态且源IP地址是随机的，则可以断定遭到SYN攻击了，使用如下命令可以让之现行：

1

#netstat -nap | grep SYN_RECV

4次挥手过程详解

三次握手耳熟能详，四次挥手估计就少有人知道了。所谓四次挥手（Four-Way Wavehand）即终止TCP连接，就是指断开一个TCP连接时，需要客户端和服务端总共发送4个包以确认连接的断开。在socket编程中，这一过程由客户端或服务端任一方执行close来触发，整个流程如下图所示：

 

由于TCP连接时全双工的，因此，每个方向都必须要单独进行关闭，这一原则是当一方完成数据发送任务后，发送一个FIN来终止这一方向的连接，收到一个FIN只是意味着这一方向上没有数据流动了，即不会再收到数据了，但是在这个TCP连接上仍然能够发送数据，直到这一方向也发送了FIN。首先进行关闭的一方将执行主动关闭，而另一方则执行被动关闭，上图描述的即是如此。

• 第一次挥手：
  Client发送一个FIN，用来关闭Client到Server的数据传送，Client进入FIN_WAIT_1状态。
• 第二次挥手：
  Server收到FIN后，发送一个ACK给Client，确认序号为收到序号+1（与SYN相同，一个FIN占用一个序号），Server进入CLOSE_WAIT状态。
• 第三次挥手：
  Server发送一个FIN，用来关闭Server到Client的数据传送，Server进入LAST_ACK状态。
• 第四次挥手：
  Client收到FIN后，Client进入TIME_WAIT状态，接着发送一个ACK给Server，确认序号为收到序号+1，Server进入CLOSED状态，完成四次挥手。

上面是一方主动关闭，另一方被动关闭的情况，实际中还会出现同时发起主动关闭的情况，具体流程如下图：



流程和状态在上图中已经很明了了，在此不再赘述，可以参考前面的四次挥手解析步骤。

结语

关于三次握手与四次挥手通常都会有典型的面试题，在此提出供有需求的XDJM们参考：

• (1) 三次握手是什么或者流程？四次握手呢？答案前面分析就是。
• (2) 为什么建立连接是三次握手，而关闭连接却是四次挥手呢？

这是因为服务端在LISTEN状态下，收到建立连接请求的SYN报文后，把ACK和SYN放在一个报文里发送给客户端。而关闭连接时，当收到对方的FIN报文时，仅仅表示对方不再发送数据了但是还能接收数据，己方也未必全部数据都发送给对方了，所以己方可以立即close，也可以发送一些数据给对方后，再发送FIN报文给对方来表示同意现在关闭连接，因此，己方ACK和FIN一般都会分开发送。