您的位置:首页 > 理论基础 > 计算机网络

了解TCP三次握手、四次挥手以及syn攻击

yadicoco49 2017-08-07 01:28 78 查看
1.TCP与UDP同属于TCP/IP协议中

TCP/IP协议是一个协议簇。里面包括很多协议的。UDP只是其中的一个。之所以命名为TCP/IP协议,因为TCP,IP协议是两个很重要的协议,就用他两命名了。

2.TCP协议

TCP(Transmission Control Protocol,传输控制协议)是面向连接、可靠的、基于字节流的的协议,也就是说,在收发数据前,必须和对方建立可靠的连接。一个TCP连接必须要经过三次“对话”才能建立起来,其中的过程非常复杂,经过三次“对话”之后,主机才向另一个主机正式发送数据。

3.名词解释

ACK

TCP报头的控制位之一,对数据进行确认.确认由目的端发出,用它来告诉发送端这个序列号之前的数据段

都收到了.比如,确认号为X,则表示前X-1个数据段都收到了,只有当ACK=1时,确认号才有效,当ACK=0时,确认号无效,这时会要求重传数据,保证数据的完整性.

SYN

同步序列号,TCP建立连接时将这个位置1

FIN

发送端完成发送任务位,当TCP完成数据传输需要断开时,提出断开连接的一方将这位置1

4.TCP三次握手过程

第一次握手:客户端发送一个TCP的SYN标志位置1的包指明客户打算连接的服务器的端口,以及初始序号X,保存在包头的序列号(Sequence Number)字段。通过这个数据段,客户端告诉服务端两件事:我想通过这个端口要和你通信;你可以用哪个序列号作为起始数据段来回应我

第二次握手:服务器发回确认包(ACK)应答。即SYN标志位和ACK标志位均为1同时,将确认序号(Acknowledgement Number)设置为客户的初始序号加1以.即X+1。服务器告诉客户端两件事:我已经收到你的请求了,你可以传输数据了;你要用哪佧序列号作为起始数据段来回应我

第三次握手:客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写序列号的+1。客户端确认已收到服务端 的数据段:”我已收到回复,我现在要开始传输实际数据了

这样3次握手就完成了客户端和服务端 就可以传输数据了.



5.TCP四次挥手

第一次挥手:客户端A发送一个FIN,用来关闭客户A到服务器B的数据传送(报文段4)。

第二次挥手:服务器B收到这个FIN,它发回一个ACK,确认序号为收到的序号加1(报文段5)。和SYN一样,一个FIN将占用一个序号。

第三次挥手:服务器B关闭与客户端A的连接,发送一个FIN给客户端A(报文段6)。

第四次挥手:客户端A发回ACK报文确认,并将确认序号设置为收到序号加1(报文段7)



为什么建立连接是三次握手,断开连接是四次挥手:

ACK是和SYN一起发送,这里ACK却没有和FIN一起发送呢。原因是因为tcp是全双工模式,接收到FIN时意味将没有数据再发来,但是还是可以继续发送数据。

6.syn攻击

在三次握手过程中,服务器发送SYN-ACK之后,收到客户端的ACK之前的TCP连接称为半连接(half-open connect).此时服务器处于Syn_RECV状态.当收到ACK后,服务器转入ESTABLISHED状态.

而当客户端没有回复ACK时,服务器无法完成第三次握手,但服务器不会立即放弃,服务器会不停的重试并等待一定的时间后放弃这个未完成的连接,这段时间叫做SYN timeout,这段时间大约30秒-2分钟左右。

Syn攻击就是攻击客户端,在短时间内伪造大量不存在的IP地址,向服务器不断地发送syn包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。

Syn-flood攻击是一个典型的DDOS(分布式拒绝服务)攻击。检测SYN攻击非常的方便,当你在服务器上看到大量的半连接状态时,特别是源IP地址是随机的,基本上可以断定这是一次SYN攻击

一般较新的TCP/IP协议栈都对这一过程进行修正来防范Syn攻击,修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、限制同时打开的半连接数目和缩短超时时间、设置防火墙等.

7.UDP

UDP是指用户数据协议, 是一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务

(1) UDP是一个非连接的协议,传输数据之前源端和终端不建立连接,当它想传送时就简单地去抓取来自应用程序的数据,并尽可能快地把它扔到网络上。在发送端,UDP传送数据的速度仅仅是受应用程序生成数据的速度、计算机的能力和传输带宽的限制;在接收端,UDP把每个消息段放在队列中,应用程序每次从队列中读一个消息段。

(2) 由于传输数据不建立连接,因此也就不需要维护连接状态,包括收发状态等,因此一台服务机可同时向多个客户机传输相同的消息。

(3) UDP信息包的标题很短,只有8个字节,相对于TCP的20个字节信息包的额外开销很小。

(4) 吞吐量不受拥挤控制算法的调节,只受应用软件生成数据的速率、传输带宽、源端和终端主机性能的限制。

(5)UDP使用尽最大努力交付,即不保证可靠交付,因此主机不需要维持复杂的链接状态表(这里面有许多参数)。

(6)UDP是面向报文的。发送方的UDP对应用程序交下来的报文,在添加首部后就向下交付给IP层。既不拆分,也不合并,而是保留这些报文的边界,因此,应用程序需要选择合适的报文大小。

我们经常使用“ping”命令来测试两台主机之间TCP/IP通信是否正常,其实“ping”命令的原理就是向对方主机发送UDP数据包,然后对方主机确认收到数据包,如果数据包是否到达的消息及时反馈回来,那么网络就是通的。

8.TCP与UDP区别

基于连接与无连接;

对系统资源的要求(TCP较多,UDP少);

UDP程序结构较简单;

流模式与数据报模式 ;

TCP保证数据正确性,UDP可能丢包,TCP保证数据顺序,UDP不保证。