TCP三次握手四次挥手

TCP和UDP都是常见的通信协议，其中TCP以可靠数据传输相较于UDP更加被选用。TCP协议中最基础的应该就是三次握手和四次挥手，稍微懂TCP的应该都知道。这篇文章就简单阐述一下握手和挥手过程。

1. 三次握手

三次握手过程简单说起来就真的很简单，首先是客户端向服务端发送SYN包，服务端向客户端发送SYN+ACK包，最后是客户端发送ACK包给服务端。更简单说起来就是：

• 客户端：“我的发送正常不？”（待确认客户端发送功能正常）
• 服务端：“正常，我的发送正常不？”（确认服务端接收正常，待确认服务端发送正常）

• 客户端：“正常。”（确认客户端接收正常，服务端发送正常）

  
  
  TCP三次握手

专业性解释就是：

1. 第一次：客户端发送SYN和发送一个随机值seq=j给服务端，客户端进入SYN_SENT状态，待服务端确认。
2. 第二次：服务端接收到SYN端请求连接，服务端确认SYN，产生ack=j+1，并随机产生一个seq=k，并将SYN+ACK包发送给客户端确认连接，服务端进入SYN_RECV状态。
3. 第三次：客户端收到服务端发送的SYN+ACK包，将ACK（ack=k+1）发送给服务端，服务端检查ack是k+1，正确则建立连接。服务端和客户端进入ESTABLISHED状态，完成三次握手开始传输数据。

*SYN攻击
三次握手中，服务端发送SYN-ACK之后，收到客户端的ACK，此时处于半连接状态。这时候服务端处于SYN_RCVD状态，当收到ACK包后转入ESTABLISHED状态。SYN攻击就是在客户端伪造大量不存在的IP地址，不断向服务端发送SYN包，服务端收到确认的ACK包等待客户端确认，由于IP是不存在的，服务端一直发送到超时。伪造的SYN包将长时间占用为连接队列，导致正确的SYN请求被丢弃，从而导致网络瘫痪。检测方式就是看服务端有大量半连接状态并且客户单IP是随机的，那么就是被攻击了。检测命令就是“netstat -nap | grep SYN_RECV”

2. 四次挥手

四次挥手相较于三次握手熟悉的人就没那么多了。四次挥手流程也简单，简单说就是：

• 客户端：“请求断开连接”（客户端不发送数据了，但是可以接收）
• 服务端：“收到，准备断开”（服务端检查自己，如果有数据还没有发送完成，发送剩余数据）
• 服务端：“准备完成，是否断开”（如果有则将待发送数据发送完成，服务端不再发送数据）

• 客户端：“断开”（客户端不再接收数据，服务端接收到后不再接收数据）

  
  
  TCP四次挥手

专业性解释就是：

1. 第一次挥手：客户端发送FIN=1和seq=u（已经传输数据的最后一个字节的序号加一）包，然后进入FIN_WAIT_1的状态。FIN即使无数据也要消耗一个序号。
2. 第二次挥手：服务端接收到FIN包之后，向客户端发送ACK((ACK=1) + (ack=u+1) + (seq=v))包，服务端进入CLOSE_WAIT状态。
3. 第三次挥手：客户端进入FIN_WAIT_2状态，服务端发送FIN包，关闭服务端和客户端的数据传输，服务端进入LAST_ACK状态。
4. 第四次挥手：客户端收到FIN包进入TIME_WAIT状态，接着发送ACK包给服务端，序号+1，服务端进入CLOSED状态，结束连接。

1. 为什么握手三次挥手要四次？
   答：因为服务端在LISTEN状态，等待客户端连接，收到客户端请求连接的SYN报文，将SYN和ACK放在同一个包里发送给客户端。关闭连接时，收到客户顿的FIN包后，只表示自己不再发送数据但是还可以接收。服务端不一定所有数据发送完成，所以发送完成时候可以直接关闭，否则需要将数据发送完成后再关闭。所以服务端的ACK和FIN包要分开发送。
2. 为什么TIME_WAIT需要等待2MSL（最大报文段生存时间）才CLOSE？
   答：因为有可能最后一个ACK包丢失，最后的TIME_WAIT就是用来重发丢失的ACK包。客户端发送最后的ACK包回复，但是也可能丢失，服务端如果没收到ACK包，将不断发送FIN。所以不能立即关闭，需要确认服务端接收到了ACK包。客户端会设置一个定时器，等待2MSL时间，如果再次收到FIN包，意味着服务端没有收到ACK包，那么客户端再次发送ACK包并重新等待2MSL时间。如果2MSL时间结束没有收到服务端的FIN包，那么认为服务端收到了最后的ACK包，结束连接。

备注：图片来自网络