TCP協議特點和三次握手／四次揮手

• TCP的特性

TCP提供一種面向連接的、可靠的字節流服務
在一個TCP連接中，僅有兩方進行彼此通信。廣播和多播不能用於TCP
TCP使用校驗和，確認和重傳機制來保證可靠傳輸
TCP給數據分節進行排序，並使用累積確認保證數據的順序不變和非重複
TCP使用滑動窗口機制來實現流量控制，通過動態改變窗口的大小進行擁塞控制
注意：TCP 並不能保證數據一定會被對方接收到，因爲這是不可能的。TCP 能夠做到的是，如果有可能，就把數據遞送到接收方，否則就（通過放棄重傳並且中斷連接這一手段）通知用戶。因此準確說 TCP 也不是 100% 可靠的協議，它所能提供的是數據的可靠遞送或故障的可靠通知。

• 三次握手

• 所謂三次握手(Three-way Handshake)，是指建立一個 TCP 連接時，需要客戶端和服務器總共發送3個包。
• 三次握手的目的是連接服務器指定端口，建立 TCP 連接，並同步連接雙方的序列號和確認號，交換 TCP 窗口大小信息。在 socket 編程中，客戶端執行 connect() 時。將觸發三次握手。

第一次握手(SYN=1, seq=x)
客戶端發送一個 TCP 的 SYN 標誌位置1的包，指明客戶端打算連接的服務器的端口，以及初始序號 X,保存在包頭的序列號(Sequence Number)字段裏。發送完畢後，客戶端進入 SYN_SEND 狀態。

第二次握手(SYN=1, ACK=1, seq=y, ACKnum=x+1)
服務器發回確認包(ACK)應答。即 SYN 標誌位和 ACK 標誌位均爲1。服務器端選擇自己 ISN 序列號，放到 Seq 域裏，同時將確認序號(Acknowledgement Number)設置爲客戶的 ISN 加1，即X+1。 發送完畢後，服務器端進入 SYN_RCVD 狀態。

第三次握手(ACK=1，ACKnum=y+1)
客戶端再次發送確認包(ACK)，SYN 標誌位爲0，ACK 標誌位爲1，並且把服務器發來 ACK 的序號字段+1，放在確定字段中發送給對方，並且在數據段放寫ISN的+1發送完畢後，客戶端進入 ESTABLISHED 狀態，當服務器端接收到這個包時，也進入 ESTABLISHED 狀態，TCP 握手結束。

SYN攻擊
在三次握手過程中，服務器發送SYN-ACK之後，收到客戶端的ACK之前的TCP連接稱爲半連接(half-open connect).此時服務器處於Syn_RECV狀態.當收到ACK後，服務器轉入ESTABLISHED狀態.
Syn攻擊就是 攻擊客戶端 在短時間內僞造大量不存在的IP地址，向服務器不斷地發送syn包，服務器回覆確認包，並等待客戶的確認，由於源地址是不存在的，服務器需要不斷的重發直 至超時，這些僞造的SYN包將長時間佔用未連接隊列，正常的SYN請求被丟棄，目標系統運行緩慢，嚴重者引起網絡堵塞甚至系統癱瘓。
Syn攻擊是一個典型的DDOS攻擊。檢測SYN攻擊非常的方便，當你在服務器上看到大量的半連接狀態時，特別是源IP地址是隨機的，基本上可以斷定這是一次SYN攻擊.在Linux下可以如下命令檢測是否被Syn攻擊
netstat -n -p TCP | grep SYN_RECV
一般較新的TCP/IP協議棧都對這一過程進行修正來防範Syn攻擊，修改tcp協議實現。主要方法有SynAttackProtect保護機制、SYN cookies技術、增加最大半連接和縮短超時時間等.
但是不能完全防範syn攻擊。

問題1： 爲什麼要三次握手？

答：三次握手的目的是建立可靠的通信信道，說到通訊，簡單來說就是數據的發送與接收，而三次握手最主要的目的就是雙方確認自己與對方的發送與接收機能正常。

        第一次握手：Client什麼都不能確認；Server確認了對方發送正常

        第二次握手：Client確認了：自己發送、接收正常，對方發送、接收正常；Server確認了：自己接收正常，對方發送正常

        第三次握手：Client確認了：自己發送、接收正常，對方發送、接收正常；Server確認了：自己發送、接收正常，對方發送接收正常

所以三次握手就能確認雙發收發功能都正常，缺一不可。

問題2：爲什麼要發送特定的數據包，隨便發不行嗎？

答：三次握手的另外一個目的就是確認雙方都支持TCP，告知對方用TCP傳輸。

        第一次握手：Server 猜測Client可能要建立TCP請求，但不確定，因爲也可能是Client亂髮了一個數據包給自己

        第二次握手：通過ack=J+1，Client知道Server是支持TCP的，且理解了自己要建立TCP連接的意圖

        第三次握手：通過ack=K+1，Server知道Client是支持TCP的，且確實是要建立TCP連接

問題3：上圖中的SYN和ACK是什麼？

答：SYN是標誌位，SYN=1表示請求連接；

        ACK其實就是ack後面加上的那個數，真正發送的時候不單獨發ACK，只發ack。

• 四次揮手

TCP 的連接的拆除需要發送四個包，因此稱爲四次揮手(Four-way handshake)，也叫做改進的三次握手。客戶端或服務器均可主動發起揮手動作，在 socket 編程中，任何一方執行 close() 操作即可產生揮手操作。

第一次揮手(FIN=1，seq=x)
假設客戶端想要關閉連接，客戶端發送一個 FIN 標誌位置爲1的包，表示自己已經沒有數據可以發送了，但是仍然可以接受數據。發送完畢後，客戶端進入 FIN_WAIT_1 狀態。

第二次揮手(ACK=1，ACKnum=x+1)
服務器端確認客戶端的 FIN 包，發送一個確認包，表明自己接受到了客戶端關閉連接的請求，但還沒有準備好關閉連接。發送完畢後，服務器端進入 CLOSE_WAIT 狀態，客戶端接收到這個確認包之後，進入 FIN_WAIT_2 狀態，等待服務器端關閉連接。

第三次揮手(FIN=1，seq=y)
服務器端準備好關閉連接時，向客戶端發送結束連接請求，FIN 置爲1。
發送完畢後，服務器端進入 LAST_ACK 狀態，等待來自客戶端的最後一個ACK。

第四次揮手(ACK=1，ACKnum=y+1)
客戶端接收到來自服務器端的關閉請求，發送一個確認包，並進入 TIME_WAIT狀態，等待可能出現的要求重傳的 ACK 包。服務器端接收到這個確認包之後，關閉連接，進入 CLOSED 狀態。客戶端等待了某個固定時間（兩個最大段生命週期，2MSL，2 Maximum Segment Lifetime）之後，沒有收到服務器端的 ACK ，認爲服務器端已經正常關閉連接，於是自己也關閉連接，進入 CLOSED 狀態。

問題1： 爲什麼要四次揮手？

答：確保數據能夠完整傳輸。

根本原因是，一方發送FIN只表示自己發完了所有要發的數據，但還允許對方繼續把沒發完的數據發過來。

當被動方收到主動方的FIN報文通知時，它僅僅表示主動方沒有數據再發送給被動方了。

但未必被動方所有的數據都完整的發送給了主動方，所以被動方不會馬上關閉SOCKET,它可能還需要發送一些數據給主動方後，

再發送FIN報文給主動方，告訴主動方同意關閉連接，所以這裏的ACK報文和FIN報文多數情況下都是分開發送的。

 舉個例子：A和B打電話，通話即將結束後，A說“我沒啥要說的了”，B回答“我知道了”，但是B可能還會有要說的話，A不能要求B跟着自己的節奏結束通話，於是B可能又巴拉巴拉說了一通，最後B說“我說完了”，A回答“知道了”，這樣通話纔算結束。

問題2：爲什麼雙方要發送這樣的數據包？

答：和握手的情況類似，只是爲了讓對方知曉自己理解了對方的意圖。

• 補充 TCP 連接過程

在TCP/IP協議中，TCP協議提供可靠的連接服務，採用三次握手建立一個連接，如圖1所示。

 (1) 第一次握手：建立連接時，客戶端A發送SYN包(SYN=j)到服務器B，並進入SYN_SEND狀態，等待服務器B確認。

 (2) 第二次握手：服務器B收到SYN包，必須確認客戶A的SYN(ACK=j+1)，同時自己也發送一個SYN包(SYN=k)，即SYN+ACK包，此時服務器B進入SYN_RECV狀態。

 (3) 第三次握手：客戶端A收到服務器B的SYN＋ACK包，向服務器B發送確認包ACK(ACK=k+1)，此包發送完畢，客戶端A和服務器B進入ESTABLISHED狀態，完成三次握手。

完成三次握手，客戶端與服務器開始傳送數據。

 

由於TCP連接是全雙工的，因此每個方向都必須單獨進行關閉。這個原則是當一方完成它的數據發送任務後就能發送一個FIN來終止這個方向的連接。收到一個 FIN只意味着這一方向上沒有數據流動，一個TCP連接在收到一個FIN後仍能發送數據。首先進行關閉的一方將執行主動關閉，而另一方執行被動關閉。

（1）客戶端A發送一個FIN，用來關閉客戶A到服務器B的數據傳送(報文段4)。

（2）服務器B收到這個FIN，它發回一個ACK，確認序號爲收到的序號加1(報文段5)。和SYN一樣，一個FIN將佔用一個序號。

（3）服務器B關閉與客戶端A的連接，發送一個FIN給客戶端A(報文段6)。

（4）客戶端A發回ACK報文確認，並將確認序號設置爲收到序號加1(報文段7)。

• 常見面試題

• TCP協議和UDP協議的區別是什麼?

  • TCP提供了一種可靠的面向連接的字節流運輸層服務。TCP將用戶數據打包成報文段，它發送後啓動一個定時器，另一端收到的數據進行確認，對失序的數據重新排序，丟棄重複數據，TCP提供端到端的流量控制，並計算和驗證一個強制性的端到端的檢驗和。

  • 許多流行的應用程序如：Telnet， Rlogin， FTP，SMTP 都使用TCP。

  • TCP的主要特點：
  • • TCP是面向連接的運輸層協議
    • 每一條TCP連接只能有兩個端點，每一條TCP連接只能是點對點的
    • TCP提供可靠交付的服務
    • TCP提供全雙工通信
    • 面向字節流。
    • 面向字節流的含義：雖然應用程序和TCP交互是一次一個數據塊，但TCP把應用程序交下來的數據僅僅是一連串的無結構的字節流
  • TCP面向的是字節流的服務，UDP面向的是報文的服務。
  • TCP是一對一的連接，而UDP則可以支持一對一，多對多，一對多的通信。
  • TCP有流量控制和擁塞控制，UDP沒有，網絡擁堵不會影響發送端的發送速率
  • TCP協議所需資源多，TCP首部需20個字節（不算可選項），UDP首部字段只需8個字節。
  • TCP協議保證數據按序發送，按序到達，提供超時重傳來保證可靠性，但是UDP不保證按序到達，甚至不保證到達，只是努力交付，即便是按序發送的序列，也不保證按序送到。
  • TCP協議是有連接的，有連接的意思是開始傳輸實際數據之前TCP的客戶端和服務器端必須通過三次握手建立連接，會話結束之後也要結束連接。而UDP是無連接的

• 常見的應用中有哪些是應用TCP協議的，哪些又是應用UDP協議的，爲什麼它們被如此設計？
  • 以下應用一般或必須用udp實現？
    • 多播的信息一定要用udp實現，因爲tcp只支持一對一通信。
    • 如果一個應用場景中大多是簡短的信息，適合用udp實現，因爲udp是基於報文段的，它直接對上層應用的數據封裝成報文段，然後丟在網絡中，如果信息量太大，會在鏈路層中被分片，影響傳輸效率。
    • 如果一個應用場景重性能甚於重完整性和安全性，那麼適合於udp，比如多媒體應用，缺一兩幀不影響用戶體驗，但是需要流媒體到達的速度快，因此比較適合用udp
    • 如果要求快速響應，那麼udp聽起來比較合適
    • 如果又要利用udp的快速響應優點，又想可靠傳輸，那麼只能考上層應用自己制定規則了。
    • 常見的使用udp的例子：ICQ,QQ的聊天模塊。