TCP报头，建立,释放过程详解--笔面试

TCP报头

传输层有两大作用：分段和提供端口号。
提供两种服务：面向连接服务TCP和无连接服务UDP
TCP协议是面向连接的，可靠的：确认，重传，排序，流控
TCP的报文格式:如图1

    图1：TCP报头格式

源端口，标识哪个应用程序发送。 16bit 故端口范围为【0，2^16-1】
	0-1023为系统端口
	1024-49151 登记端口
	49152-65535 客户端使用端口（客户端动态使用）
	
目的端口，标识哪个应用程序接收。 
序号字段。TCP链接中传输的数据流中每个字节都编上一个序号。序号字段的值指的是本报文段所发送的数据的第一个字节的序号。 
确认号，是期望收到对方的下一个报文段的数据的第1个字节的序号，即上次已成功接收到的数据字节序号加1。只有ACK标识为1，此字段有效。 
数据偏移，即首部长度，指出TCP报文段的数据起始处距离TCP报文段的起始处有多远，以32比特（4字节）为计算单位。最多有60字节的首部，若无选项字段，正常为20字节。 
保留，必须填0。 
URG 1比特 紧急指针有效标识。它告诉系统此报文段中有紧急数据，应尽快传送（相当于高优先级的数据）。 
ACK 1比特 确认序号有效标识。只有当ACK=1时确认号字段才有效。当ACK=0时，确认号无效。 
PSH 1比特 标识接收方应该尽快将这个报文段交给应用层。接收到PSH = 1的TCP报文段，应尽快的交付接收应用进程，而不再等待整个缓存都填满了后再向上交付。 
RST 1比特 重建连接标识。当RST=1时，表明TCP连接中出现严重错误（如由于主机崩溃或其他原因），必须释放连接，然后再重新建立连接。 
SYN 1比特 同步序号标识，用来发起一个连接。SYN=1表示这是一个连接请求或连接接受请求。 
FIN 1比特 发端完成发送任务标识。用来释放一个连接。FIN=1表明此报文段的发送端的数据已经发送完毕，并要求释放连接。 
窗口：TCP的流量控制，窗口起始于确认序号字段指明的值，这个值是接收端正期望接收的字节数。窗口最大为65535字节。 
校验字段，包括TCP首部和TCP数据，是一个强制性的字段，一定是由发端计算和存储，并由收端进行验证。在计算检验和时，要在TCP报文段的前面加上12字节的伪首部。 
紧急指针，只有当URG标志置1时紧急指针才有效。TCP的紧急方式是发送端向另一端发送紧急数据的一种方式。紧急指针指出在本报文段中紧急数据共有多少个字节（紧急数据放在本报文段数据的最前面）。 
Options 可变 选项字段。TCP协议最初只规定了一种选项，即最长报文段长度（数据字段加上TCP首部），又称为MSS。MSS告诉对方TCP“我的缓存所能接收的报文段的数据字段的最大长度是MSS个字节”。
新的RFC规定有以下几种选型：选项表结束，无操作，最大报文段长度，窗口扩大因子，时间戳。
	窗口扩大因子：3字节，其中一个字节表示偏移值S。新的窗口值等于TCP首部中的窗口位数增大到（16+S），相当于把窗口值向左移动S位后获得实际的窗口大小。
	时间戳：10字节，其中最主要的字段是时间戳值（4字节）和时间戳回送应答字段（4字节）。
	选项确认选项： 
填充字段，用来补位，使整个首部长度是4字节的整数倍。 
data 可变 TCP负载。 

TCP三次握手

TCP（传输控制协议）的面向连接，是通过三次握手来完成的。
双方通信之前均处于CLOSED状态。

1. 第一次握手：源主机向目标主机发起连接，同步标志位SYN = 1，以及初始序号SEQ(这是随时间变化的随机值)，即SYN = 1，seq = X，源主机进入SYN_SENT状态。
2. 第二次握手：目标主机收到源主机的连接请求，回复ACK = 1，以及确认序列号ack = X+1（表示前一个数据段已收到无错误），同时向源主机发起连接请求，SYN = 1 ，seq = Y。即第二次握手发送ACK = 1，确认序列号ack = X +1 ，请求SYN = 1，自身序列号seq = Y。目标主机进入SYN_RCVD,源主机收到回复进入ESTAB_LISHED(TCP连接成功)
3. 第三次握手：源主机向目标主机回复ACK = 1 ，回复确认序列号ack = Y+1，和自身序号seq = X + 1,目标主机接收后进入ESTAB_LISHED状态。

三次握手具体过程图如图2所示。

    图2：三次握手过程图
补充知识：未连接队列
在三次握手协议中，服务器维护一个未连接队列，该队列为每个客户端的SYN包（syn=j）开设一个条目，该条目表明服务器已收到SYN包，并向客户发出确认，正在等待客户的确认包。这些条目所标识的连接在服务器处于SYN_RECV状态，当服务器收到客户的确认包时，删除该条目，服务器进入ESTABLISHED状态。

q1 ：为什么需要三次握手？

TCP是可靠的传输控制协议，三次握手能保证数据可靠传输又能提高传输效率。

如果TCP的握手是两次

1. 如果client发给server的SYN报文因为网络原因，延迟发送。由于client没有收到server对SYN的确认报文，会重发SYN报文，服务器和回复ACK，连接建立。数据发送完毕，这条连接被正常关闭。这时，延迟的SYN报文发到了server，server误以为这是client重新发送的同步报文，又回复了一个ACK，和client建立了连接。导致之前连接断开。如图3所示
   
       图3：二次握手中发起数据报文延迟

2. 如果server给client发送的ACK报文因为网络原因，报文被丢弃，此时server认为已经建立好连接，但是client没有收到确认报文，认为没有建立好连接。client会重发SYN报文，此时server已经处于就绪状态，认为已经建立好连接。二者掌握信息不匹配。如图4所示。
   
       图4：二次握手回复超时情况

如果TCP的握手是四次

–1.client给server发送SYN同步报文； 
–2.server收到SYN后，给client回复ACK确认报文； 
–3.server给client发送SYN同步报文； 
–4.client给server发送ACK确认报文。 

第2.3步之间，server和client没有任何的数据交互，分开发送相当于多发了一次TCP报文段，SYN和ACK标识只是TCP报头的一个标识位。很明显，这两步可以合并，从而提高连接的速度和效率。

TCP四次挥手（连接释放）

双方通信之前均处于ESTABLISHED状态。

1. 源主机向目标主机发送断开连接请求FIN=1，序列号seq = X。源主机进入FIN_WAIT状态。
2. 目标主机收到报文后发出确认报文（ACK = 1，确认序列号ack = X +1，自身序列号seq = y），目标主机进入CLOSE_WAIT状态。此时，源主机收到回复后源主机停止发送数据，等待目标主机发送FIN报文，但是目标主机仍然可以发送数据，TCP连接为半关闭状态(HALF-CLOSE)。
3. 目标主机确认无数据发送，向源主机发送释放报文（FIN = 1，ACK = 1，确认序列号ack = X + 1，自身序列号seq = Z），目标主机进入LAST_ACK状态。
4. 源主机接收到释放报文后，向目标主机回复确认报文（ACK = 1，确认序列号ack = Z + 1，自身序列号seq = X + 1），发送后，等待一段时间进入CLOSED状态，目标主机收到回复后，同样今天CLOSED状态。

四次挥手如图5所示。

    图5：四次挥手过程图

q2：为什么连接的时候是三次握手，关闭的时候却是四次握手？

答：因为当Server端收到Client端的SYN连接请求报文后，可以直接发送SYN+ACK报文。其中ACK报文是用来应答的，SYN报文是用来同步的。但是关闭连接时，当Server端收到FIN报文时，很可能并不会立即关闭SOCKET，所以只能先回复一个ACK报文，告诉Client端，“你发的FIN报文我收到了”。只有等到我Server端所有的报文都发送完了，我才能发送FIN报文，因此不能一起发送。故需要四步握手。

q3：为什么是四次？

TCP是全双工的连接，必须两端同时关闭连接，连接才算真正关闭。 如果一方已经准备关闭写，但是它还可以读另一方发送的数据。发送给FIN结束报文给对方对 方收到后，回复ACK报文。当这方也已经写完了准备关闭，发送FIN报文，对方回复ACK。两端都关闭，TCP连接正常关闭。

q4：为什么TIME_WAIT状态需要经过2MSL(最大报文段生存时间)才能返回到CLOSE状态？

对于TIME_WAIT,则四次挥手应详细如图6所示。

    图6四次挥手详细过程图
确保对方收到自己发送的最后一个ACK（因为对方发送了FIN），如果对方没有收到自己发送的ACK必定会重新发送FIN，这样保证4次断开的完整性。
可以确保每成功建立一个TCP连接时，来自该连接先前化身的老的重复分组都已经在网络中消逝。

TCP和SCTP的区别

流控制传输协议（SCTP，Stream Control Transmission Protocol）是一种在网络连接两端之间同时传输多个数据流的协议。

SCTP是面向连接、端到端、全双工、带有流量和拥塞控制的可靠传输协议。
SCTP的连接称为关联。SCTP的关联通过4次握手建立。相对于TCP的3次握手建立连接，SCTP的关联能够抵御拒绝服务(DoS)攻击，从而提高了安全性。数据只有在关联建立之后与关联关闭之前才可发送。SCTP的关联通过3次握手关闭，不支持类似TCP的半关闭连接。也就是在任何一方关闭关联后，对方即不再发送数据。
SCTP的特点：

1. 面向消息的传输
   SCTP是一种面向消息的传输协议，从上层应用传递下来的数据以消息的形式传输。SCTP提供消息的定界功能。在接收端，数据以消息的形式递交。为便于传输，SCTP提供消息的拆分和组装，以及消息的捆绑传输功能。SCTP的数据传输基本单位是块。
2. 支持多穴主机。
   SCTP关联的每个端点都可以拥有多个网络层地址。SCTP可以支持不同的网络层协议，为描述方便，本文以IP作为网络层协议来说明，即每个SCTP端点可以拥有多个IP地址用于数据传输。对多穴主机的支持是为了在网络级提高容错能力。
3. 多流
   SCTP消息在不同的流内发送，这也是流传输控制协议名称的由来。从发送端到接收端可以有多个流，在同一流内发送的消息有序，而不同流之间的消息无序，因此不同流之间的消息传输是相对独立的。在某一个流内由于数据传输失败而引起的阻塞不会影响其他流的消息递交。
4. 流量、拥塞和错误的控制
   SCTP仍然采用类似TCP的流量控制和拥塞控制机制，但又有所增强。整个传输分为慢启动阶段和拥塞避免阶段。与TCP不同的是，SCTP的拥塞窗口初始值可以是2个MTU，可以比TCP获得更快的窗口增长。SCTP的拥塞控制采用了选择确认(SACK)快速重传和快速恢复机制，是TCP各种主流改进机制的集成。但是由于SCTP采用了块结构和控制块机制，可以比TCP更大地提升传输性能。

q5：TPC的syn攻击的过程，怎么防御？

过程：syn攻击是基于TCP连接的三次握手的半连接，属于DOS攻击。攻击者发送完第一次握手后，服务器维护一个未连接队列并发送回复，但是攻击者不发送第三次握手的ack，造成服务器会等待，浪费CPU和内存，在半连接存活时间内有大量的半连接就会造成服务器无法服务现象。
防御：减小超时时间；SYN网关和SYN代理；增大最大半连接数；SYN cookies技术
SYN Cookie是对TCP服务器端的三次握手协议作一些修改，专门用来防范SYN Flood攻击的一种手段。它的原理是，在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时，不分配一个专门的数据区，而是根据这个SYN包计算出一个cookie值。在收到TCP ACK包时，TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法，再分配专门的数据区进行处理未来的TCP连接。

q6：TCP协议在数据传输过程中收发双方是如何保证数据包的可靠性的?

1.为了保证数据包的可靠传递，发送方必须把已发送的数据包保留在缓冲区；
2.并为每个已发送的数据包启动一个超时定时器；
3.如在定时器超时之前收到了对方发来的应答信息（可能是对本包的应答，也可以是对本包后续包的应答），则释放该数据包占用的缓冲区;
4.否则，重传该数据包，直到收到应答或重传次数超过规定的最大次数为止。
5.接收方收到数据包后，先进行CRC校验，如果正确则把数据交给上层协议，然后给发送方发送一个累计应答包，表明该数据已收到，如果接收方正好也有数据要发给发送方，应答包也可放在数据包中捎带过去。

q7:TCP是如何通过滑动窗口协议实现流量控制和拥塞控制的？

在拥塞控制上，采用广受好评的TCP拥塞控制算法（也称AIMD算法）。该算法主要包括四个主要部分：
（1）慢启动
每当建立一个TCP连接时或一个TCP连接发生超时重传后，该连接便进入慢启动阶段。进入慢启动后，TCP实体将拥塞窗口的大小初始化为一个报文段，即：cwnd=1。此后，每收到一个报文段的确认（ACK），cwnd值加1，即拥塞窗口按指数增加。当cwnd值超过慢启动阐值（sshterhs）或发生报文段丢失重传时，慢启动阶段结束。前者进入拥塞避免阶段，后者重新进入慢启动阶段。
（2）拥塞避免
在慢启阶段，当cwnd值超过慢启动阐值（ssthresh）后，慢启动过程结束，TCP连接进入拥塞避免阶段。在拥塞避免阶段，每一次发送的cwnd个报文段被完全确认后，才将cwnd值加1。在此阶段，cwnd值线性增加。
（3）快速重传
快速重传是对超时重传的改进。当源端收到对同一个报文的三个重复确认时，就确定一个报文段已经丢失，因此立刻重传丢失的报文段，而不必等到重传定时器（RTO）超时。以此减少不必要的等待时间。
（4）快速恢复
快速恢复是对丢失恢复机制的改进。在快速重传之后，不经过慢启动过程而直接进入拥塞避免阶段。每当快速重传后，置sshtesrh=cwnd/2、ewnd=ssthresh+3。此后，每收到一个重复确认，将cwnd值加1，直至收到对丢失报文段和其后若干报文段的累积确认后，置cwnd=ssthesrh，进入拥塞避免阶段。

q8. 描述TCP和UDP的区别？

1.TCP是基于连接的，提供可靠传输；而UDP是基于无连接的，不提供可靠传输；
2.UDP报文是面向数据报文的，TCP是面向数据流的；
3.UDP的报文简单，因此传输效率高；
4.TCP只能提供点到点通信，但是UDP支持单播、组播和广播.

q9.TCP有哪些计时器？

1. 重传计时器：Retransmission Timer
   重传定时器：为了控制丢失的报文段或丢弃的报文段，也就是对报文段确认的等待时间。当TCP发送报文段时，就创建这个特定报文段的重传计时器，可能发生两种情况：若在计时器超时之前收到对报文段的确认，则撤销计时器;若在收到对特定报文段的确认之前计时器超时，则重传该报文，并把计时器复位;

2. 坚持计时器：persistent timer
   专门为对付零窗口通知而设立的。当发送端收到零窗口的确认时，就启动坚持计时器，当坚持计时器截止期到时，发送端TCP就发送一个特殊的报文段，叫探测报文段，这个报文段只有一个字节的数据。探测报文段有序号，但序号永远不需要确认，甚至在计算对其他部分数据的确认时这个序号也被忽略。探测报文段提醒接收端TCP，确认已丢失，必须重传。
   坚持计时器的截止期设置为重传时间的值，但若没有收到从接收端来的响应，则发送另一个探测报文段，并将坚持计时器的值加倍和并复位，发送端继续发送探测报文段，将坚持计时器的值加倍和复位，知道这个值增大到阈值为止(通常为60秒)。之后，发送端每隔60s就发送一个报文段，直到窗口重新打开为止;

3. 保活计时器：keeplive timer
   每当服务器收到客户的信息，就将keeplive timer复位，超时通常设置2小时，若服务器超过2小时还没有收到来自客户的信息，就发送探测报文段，若发送了10个探测报文段(没75秒发送一个)还没收到响应，则终止连接。

4. 时间等待计时器：Time_Wait Timer
   在连接终止期使用，当TCP关闭连接时，并不认为这个连接就真正关闭了，在时间等待期间，连接还处于一种中间过度状态。这样就可以时重复的fin报文段在到达终点后被丢弃，这个计时器的值通常设置为一格报文段寿命期望值的两倍。

今天的分享就到这里，对你有帮助请你给博主点个赞把，关注博主，看见更多！