Tcp、IP的三次握手和四次握手

TCP：Transmission Controll protocol 即 傳輸控制協議
要了解TCP的幾次握手，我們需要知道TCP的 格式，才能精確的進行解釋。其格式如下：
       *  source port 和destination Port ：源端口號和目的端口號
       *  sequence number ：用來標識發送端到向接受端發送的數據字節流。它表示這個報文段中的第一個數據字節在數據流中的序號。主要用來解決網絡報文亂序的問題。
       *  acknowledge number   ：32位確認序列號。包含發送確認端期望收到的下一個序號，因此，它是上次已經成功接搜到的數據字節序號+1.只有當ACK=1時纔有效。主要解決不丟包的問題。
       *  offset ： 給出首部中32bit字的數目，需要這個值，因爲任選字段的長度是可變的。這個字段佔4bit（最多能表示15個32bit的的字，即4*15=60個字節的首部長度），因此TCP最多有60字節的首部。然而，沒有任選字段，正常的長度是20字節；
     * tcp flags ：首部中的6個標識比特，他們中可多個同時爲1，用於控制TCP的狀態機。
             URG: 此標誌標識TCP的緊急指針域有效，用來保證TCP鏈接不被中斷，並且督促中間層設備要儘快處理這些數據；
             ACK: 標識應答域有效。
             PSH: 標識Push操作，指在數據包到達接受端後，立即傳送給應用程序，而不是在緩衝區排隊。
             RST:  標識連接復位請求，用來複位那些產生錯誤的連接，也用來拒絕錯誤和非法的數據包。
             SYN:  表示同步序號，用來建立連接。SYN標誌位和ACK標誌位搭配使用，當連接請求的時候，SYN=1，ACK=0；連接被響應的時候，SYN=1，ACK=1；這個標誌的數據包經常被用來進行端口掃描。掃描者發送一個只有SYN的數據包，如果對方主機響應了一個數據包回來 ，就表明這臺主機存在這個端口；但是由於這種掃描方式只是進行TCP三次握手的第一次握手，因此這種掃描的成功表示被掃描的機器不很安全，一臺安全的主機將會強制要求一個連接嚴格的進行TCP的三次握手；
             FIN: 標識發送端已經到達數據末尾，數據已經全部發送完成，此鏈接將被斷開。此標誌也用於端口掃描。
      * window窗口：即滑動窗口，用來流量監控。
  有了上面的基礎知識，就可以進一步解釋三次和四次握手了。
    什麼是三次握手：
            Tcp連接是雙向的，在發送數據之前，兩個ip之間需要建立一條連接，建立連接的過程就是所謂的三次握手。三次握手的目的主要是防止爲了防止已失效的連接請求報文段突然又傳送到了服務端，因而產生錯誤。
第一次握手：建立連接。客戶端發送連接請求報文段，將SYN位置爲1，Sequence Number爲x；然後，客戶端進入SYN_SEND狀態，等待服務器的確認；
第二次握手：服務器收到SYN報文段。服務器收到客戶端的SYN報文段，需要對這個SYN報文段進行確認，設置Acknowledgment Number爲x+1(Sequence Number+1)；同時，自己自己還要發送SYN請求信息，將SYN位置爲1，Sequence Number爲y；服務器端將上述所有信息放到一個報文段（即SYN+ACK報文段）中，一併發送給客戶端，此時服務器進入SYN_RECV狀態；
第三次握手：客戶端收到服務器的SYN+ACK報文段。然後將Acknowledgment Number設置爲y+1，向服務器發送ACK報文段，這個報文段發送完畢以後，客戶端和服務器端都進入ESTABLISHED狀態，完成TCP三次握手。
  什麼是四次握手(或者分手)？
          所謂四次握手就是斷開連接的過程，所以叫做四次分手個合適。
第一次分手：主機1（可以使客戶端，也可以是服務器端），設置Sequence Number和Acknowledgment Number，向主機2發送一個FIN報文段；此時，主機1進入FIN_WAIT_1狀態；這表示主機1沒有數據要發送給主機2了；
第二次分手：主機2收到了主機1發送的FIN報文段，向主機1回一個ACK報文段，Acknowledgment Number爲Sequence Number加1；主機1進入FIN_WAIT_2狀態；主機2告訴主機1，我也沒有數據要發送了，可以進行關閉連接了；
第三次分手：主機2向主機1發送FIN報文段，請求關閉連接，同時主機2進入CLOSE_WAIT狀態；
第四次分手：主機1收到主機2發送的FIN報文段，向主機2發送ACK報文段，然後主機1進入TIME_WAIT狀態；主機2收到主機1的ACK報文段以後，就關閉連接；此時，主機1等待2MSL後依然沒有收到回覆，則證明Server端已正常關閉，那好，主機1也可以關閉連接了。
一些分手的解釋：
FIN_WAIT_1: 這個狀態要好好解釋一下，其實FIN_WAIT_1和FIN_WAIT_2狀態的真正含義都是表示等待對方的FIN報文。而這兩種狀態的區別是：FIN_WAIT_1狀態實際上是當SOCKET在ESTABLISHED狀態時，它想主動關閉連接，向對方發送了FIN報文，此時該SOCKET即進入到FIN_WAIT_1狀態。而當對方迴應ACK報文後，則進入到FIN_WAIT_2狀態，當然在實際的正常情況下，無論對方何種情況下，都應該馬上回應ACK報文，所以FIN_WAIT_1狀態一般是比較難見到的，而FIN_WAIT_2狀態還有時常常可以用netstat看到。（主動方）
FIN_WAIT_2：上面已經詳細解釋了這種狀態，實際上FIN_WAIT_2狀態下的SOCKET，表示半連接，也即有一方要求close連接，但另外還告訴對方，我暫時還有點數據需要傳送給你(ACK信息)，稍後再關閉連接。（主動方）
CLOSE_WAIT：這種狀態的含義其實是表示在等待關閉。怎麼理解呢？當對方close一個SOCKET後發送FIN報文給自己，你係統毫無疑問地會迴應一個ACK報文給對方，此時則進入到CLOSE_WAIT狀態。接下來呢，實際上你真正需要考慮的事情是察看你是否還有數據發送給對方，如果沒有的話，那麼你也就可以 close這個SOCKET，發送FIN報文給對方，也即關閉連接。所以你在CLOSE_WAIT狀態下，需要完成的事情是等待你去關閉連接。（被動方）
LAST_ACK: 這個狀態還是比較容易好理解的，它是被動關閉一方在發送FIN報文後，最後等待對方的ACK報文。當收到ACK報文後，也即可以進入到CLOSED可用狀態了。（被動方）
TIME_WAIT: 表示收到了對方的FIN報文，併發送出了ACK報文，就等2MSL後即可回到CLOSED可用狀態了。如果FINWAIT1狀態下，收到了對方同時帶FIN標誌和ACK標誌的報文時，可以直接進入到TIME_WAIT狀態，而無須經過FIN_WAIT_2狀態。（主動方）
CLOSED: 表示連接中斷。
一些問題：
【問題1】爲什麼連接的時候是三次握手，關閉的時候卻是四次握手？
答：因爲當Server端收到Client端的SYN連接請求報文後，可以直接發送SYN+ACK報文。其中ACK報文是用來應答的，SYN報文是用來同步的。但是關閉連接時，當Server端收到FIN報文時，很可能並不會立即關閉SOCKET，所以只能先回復一個ACK報文，告訴Client端，"你發的FIN報文我收到了"。只有等到我Server端所有的報文都發送完了，我才能發送FIN報文，因此不能一起發送。故需要四步握手。
【問題2】爲什麼TIME_WAIT狀態需要經過2MSL(最大報文段生存時間)才能返回到CLOSE狀態？
答：雖然按道理，四個報文都發送完畢，我們可以直接進入CLOSE狀態了，但是我們必須假象網絡是不可靠的，有可以最後一個ACK丟失。所以TIME_WAIT狀態就是用來重發可能丟失的ACK報文。（注：TIME_WAIT存在的理由：允許老的重複的分節在網絡中消逝。）
【問題3】 爲什麼不能用兩次握手進行連接？
我們知道，3次握手完成兩個重要的功能，既要雙方做好發送數據的準備工作(雙方都知道彼此已準備好)，也要允許雙方就初始序列號進行協商，這個序列號在握手過程中被髮送和確認。
    現在把三次握手改成僅需要兩次握手，死鎖是可能發生的。作爲例子，考慮計算機S和C之間的通信，假定C給S發送一個連接請求分組，S收到了這個分組，併發 送了確認應答分組。按照兩次握手的協定，S認爲連接已經成功地建立了，可以開始發送數據分組。可是，C在S的應答分組在傳輸中被丟失的情況下，將不知道S 是否已準備好，不知道S建立什麼樣的序列號，C甚至懷疑S是否收到自己的連接請求分組。在這種情況下，C認爲連接還未建立成功，將忽略S發來的任何數據分 組，只等待連接確認應答分組。而S在發出的分組超時後，重複發送同樣的分組。這樣就形成了死鎖。
SYN攻擊
   在三次握手過程中，服務器發送SYN-ACK之後，收到客戶端的ACK之前的TCP連接稱爲半連接(half-open connect).此時服務器處於Syn_RECV狀態.當收到ACK後，服務器轉入ESTABLISHED狀態.
  Syn攻擊就是 攻擊客戶端 在短時間內僞造大量不存在的IP地址，向服務器不斷地發送syn包，服務器回覆確認包，並等待客戶的確認，由於源地址是不存在的，服務器需要不斷的重發直 至超時，這些僞造的SYN包將長時間佔用未連接隊列，正常的SYN請求被丟棄，目標系統運行緩慢，嚴重者引起網絡堵塞甚至系統癱瘓。
 Syn攻擊是一個典型的DDOS攻擊。檢測SYN攻擊非常的方便，當你在服務器上看到大量的半連接狀態時，特別是源IP地址是隨機的，基本上可以斷定這是一次SYN攻擊.在Linux下可以如下命令檢測是否被Syn攻擊
netstat -n -p TCP | grep SYN_RECV
一般較新的TCP/IP協議棧都對這一過程進行修正來防範Syn攻擊，修改tcp協議實現。主要方法有SynAttackProtect保護機制、SYN cookies技術、增加最大半連接和縮短超時時間等.
但是不能完全防範syn攻擊。