TCP连接

在使用TCP协议之前，我们要了解下计算机通信的OSI模型，其中各层的作用和应用协议如下：

OSI

PROTOCOL

Application

应用层

提供服务给使用者

Application

（HTTP/FTP)

Presentation

表示层

 

压缩与解压、加密与解密

Session

会话层

传输前沟通

Transport

传输层

编订序号、控制流量、查错和错误处理

Transport

（TCP/UDP)

Network

网络层

寻址、路由

Internet network

（IP）

Datalink

链路层

同步、查错、制定MAC

Network interface

 

Physical

物理层

定义传输介质规格、接口类型

hardware

TCP（transmission control protocol）是主机对主机层的传输控制协议，提供面向连接盒数据流的可靠传输流。

过程需要用到六个标志位：

             SYN(synchronous建立联机)

             ACK(acknowledgement 确认)

             PSH(push传送)

             FIN(finish结束)

             RST(reset重置)

             URG(urgent紧急)

             Sequence number(顺序号码)

             Acknowledge number(确认号码)

（1）建立TCP连接：

     建立一个TCP连接需要客户端和服务器总共发送三个包，俗称三次握手：请求-应答-再次确认。

    三次握手的目的是连接服务器指定端口，建立TCP连接,并同步连接双方的序列号和确认号并交换 TCP 窗口大小信息.在socket编程中，客户端执行connect()时。将触发三次握手。

• 第一次握手:  客户端发送一个TCP的SYN标志位置1的包指明客户打算连接的服务器的端口，以及初始序号X,保存在包头的序列号(Sequence Number)字段里，并进入SYN_SEND状态，等待服务器确认；
• 第二次握手:服务器发回确认包(ACK)应答。服务器收到syn包，必须确认客户的SYN（ack=X+1），同时自己也发送一个SYN包（syn=Y），即SYN+ACK包，此时服务器 进入SYN_RECV状态；
• 第三次握手:客户端再次确认。客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=Y+1)，此包发送完毕，客户端和服务器进入 ESTABLISHED状态，完成三次握手。 完成三次握手，客户端与服务器开始传送数据.

(2)解除TCP连接

由于TCP连接是全双工的，因此每个方向都必须单独进行关闭。这个原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接。收到一个 FIN只意味着这一方向上没有数据流动，一个TCP连接在收到一个FIN后仍能发送数据。首先进行关闭的一方将执行主动关闭，而另一方执行被动关闭。TCP的连接的拆除需要发送四个包，因此称为四次挥手(four-way handshake)。客户端或服务器均可主动发起挥手动作，在socket编程中，任何一方执行close()操作即可产生挥手操作。

• 第一次挥手：主动方发送一个FIN，用来关闭客户端到服务器的数据传送。
• 第二次挥手：被动方收到这个FIN，它发回一个ACK，确认序号为收到的序号加1。和SYN一样，一个FIN将占用一个序号。
• 第三次挥手：被动方关闭与主动方的连接，发送一个FIN给主动方。
• 第四次挥手：客户端A发回ACK报文确认，并将确认序号设置为收到序号加1。

3.SYN攻击

  在三次握手过程中，服务器发送SYN-ACK之后，收到客户端的ACK之前的TCP连接称为半连接(half-open connect).此时服务器处于Syn_RECV状态.当收到ACK后，服务器转入ESTABLISHED状态.

  Syn攻击就是 攻击客户端 在短时间内伪造大量不存在的IP地址，向服务器不断地发送syn包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直 至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。

 Syn攻击是一个典型的DDOS攻击。检测SYN攻击非常的方便，当你在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本上可以断定这是一次SYN攻击.在Linux下可以如下命令检测是否被Syn攻击

netstat -n -p TCP | grep SYN_RECV

一般较新的TCP/IP协议栈都对这一过程进行修正来防范Syn攻击，修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、增加最大半连接和缩短超时时间等，但是不能完全防范syn攻击。

4．为什么建立连接协议是三次握手，而关闭连接却是四次握手呢？

这是因为服务端的LISTEN状态下的SOCKET当收到SYN报文的建连请求后，它可以把ACK和SYN（ACK起应答作用，而SYN起同步作用）放在一个报文里来发送。但关闭连接时，当收到对方的FIN报文通知时，它仅仅表示对方没有数据发送给你了；但未必你所有的数据都全部发送给对方了，所以你可以未必会马上会关闭SOCKET,也即你可能还需要发送一些数据给对方之后，再发送FIN报文给对方来表示你同意现在可以关闭连接了，所以它这里的ACK报文和FIN报文多数情况下都是分开发送的。

5．为什么TIME_WAIT状态还需要等2MSL后才能返回到CLOSED状态？

这是因为虽然双方都同意关闭连接了，而且握手的4个报文也都协调和发送完毕，按理可以直接回到CLOSED状态（就好比从SYN_SEND状态到ESTABLISH状态那样）；但是因为我们必须要假想网络是不可靠的，你无法保证你最后发送的ACK报文会一定被对方收到，因此对方处于LAST_ACK状态下的SOCKET可能会因为超时未收到ACK报文，而重发FIN报文，所以这个TIME_WAIT状态的作用就是用来重发可能丢失的ACK报文。