TCP三次握手过程详解

2024-08-28 02:44
文章标签 详解 过程 tcp 握手 三次

本文主要是介绍TCP三次握手过程详解,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

三次握手过程:

在这里插入图片描述

客户端视角:

1.客户端调用connect,开启计时器,发送SYN包,如果重传超时,认为连接失败

2.如果收到服务端的ACK,则进入ESTABLISHED状态

3.清除重传计时器,发送ACK,开启保活计时器:如果再次收到ACK+SYN说明服务端没收到第三次握手包,进行了重传,此时客户端会重传ACK

注意:由于客户端在第二次握手成功后已经进入ESTABLISHED状态,认为连接已经建立,但如果第三次握手包ACK丢失,且服务端一直未能收到ACK(服务端重传包丢失,或客户端收到重传包但ACK仍丢失),服务端会因为重传次数上限而认为连接失败,重新进入listen,那么此时是一种半连接,客户端发送数据会失败

服务端视角:

1.listen()创建半连接队列和全连接队列

2.收到SYN包,如果半连接队列已满,丢弃该连接,否则为该连接创建一个socket加入到半连接队列中

3.回复SYN-ACK包,开启重传计时器

4.等待ACK,没有收到则重传SYN-ACK,重传上限后,认为连接失败,清除socket,回到listen状态

5.如果收到ACK,则进入ESTABLISHED状态

防御SYN泛洪攻击:

1. SYN Cookies

SYN Cookies是一种在服务器端防止SYN泛洪攻击的技术。当服务器收到SYN请求时,不直接为其分配资源,而是通过计算一种特殊的加密散列值(称为SYN Cookie)来生成一个SYN-ACK报文的序列号,发送给客户端。只有当客户端回应ACK时,服务器才真正为连接分配资源,并通过验证ACK中的序列号来确认连接的合法性。

  • 优点:不需要维护大量的半连接状态,可以有效防止队列溢出。
  • 缺点:可能会增加服务器的计算负担,并且在某些情况下(如选择确认SACK的使用)限制了TCP的功能。

2. 增加半连接队列的大小

通过增大服务器的半连接队列(backlog)大小,可以增加服务器在短时间内能够处理的未完成连接的数量,从而在一定程度上缓解SYN泛洪攻击的影响。

  • 优点:简单有效,能够承受更大规模的攻击。
  • 缺点:只是暂时缓解,当攻击流量进一步增加时,效果有限。

3. 减少SYN-ACK重传次数

服务器可以通过减少SYN-ACK的重传次数和降低重传的超时时间来应对SYN泛洪攻击。这样可以减少半连接队列中停留时间过长的连接,从而尽快释放资源。

  • 优点:快速清理无效连接。
  • 缺点:可能会对网络条件较差的合法连接造成影响。

4. 启用防火墙或入侵检测系统(IDS/IPS)

防火墙和入侵检测系统可以检测并过滤掉异常的流量,从而在流量进入服务器之前将其拦截。

  • 优点:可以在网络层或传输层提前处理攻击,减少服务器的负担。
  • 缺点:配置和维护复杂,且可能存在误判的情况。

5. IP黑名单

通过检测和识别恶意IP,将其加入黑名单,阻止这些IP发送的SYN请求。

  • 优点:直接阻断恶意流量。
  • 缺点:难以应对分布式攻击(DDoS),并且误判风险较高。

6. 负载均衡和分布式架构

通过部署负载均衡器,将流量分散到多个服务器或分布式系统中,可以减轻单个服务器的负载压力,从而提高整体抗攻击能力。

  • 优点:提高了系统的整体可用性和抗攻击能力。
  • 缺点:需要额外的硬件或架构调整,增加了系统复杂性。

7. 速率限制(Rate Limiting)

可以配置服务器或网络设备对单个IP地址的SYN请求进行速率限制,防止单个IP地址在短时间内发送过多的连接请求。

  • 优点:有效限制攻击者的请求速率。
  • 缺点:可能影响到合法用户的正常请求,特别是在高并发情况下。

IP地址在短时间内发送过多的连接请求。

  • 优点:有效限制攻击者的请求速率。
  • 缺点:可能影响到合法用户的正常请求,特别是在高并发情况下。

推荐学习 https://xxetb.xetslk.com/s/p5Ibb

这篇关于TCP三次握手过程详解的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1113505

相关文章

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

作业提交过程之HDFSMapReduce

作业提交全过程详解 (1)作业提交 第1步:Client调用job.waitForCompletion方法,向整个集群提交MapReduce作业。 第2步:Client向RM申请一个作业id。 第3步:RM给Client返回该job资源的提交路径和作业id。 第4步:Client提交jar包、切片信息和配置文件到指定的资源提交路径。 第5步:Client提交完资源后,向RM申请运行MrAp

OpenHarmony鸿蒙开发( Beta5.0)无感配网详解

1、简介 无感配网是指在设备联网过程中无需输入热点相关账号信息,即可快速实现设备配网,是一种兼顾高效性、可靠性和安全性的配网方式。 2、配网原理 2.1 通信原理 手机和智能设备之间的信息传递,利用特有的NAN协议实现。利用手机和智能设备之间的WiFi 感知订阅、发布能力,实现了数字管家应用和设备之间的发现。在完成设备间的认证和响应后,即可发送相关配网数据。同时还支持与常规Sof

【机器学习】高斯过程的基本概念和应用领域以及在python中的实例

引言 高斯过程(Gaussian Process,简称GP)是一种概率模型,用于描述一组随机变量的联合概率分布,其中任何一个有限维度的子集都具有高斯分布 文章目录 引言一、高斯过程1.1 基本定义1.1.1 随机过程1.1.2 高斯分布 1.2 高斯过程的特性1.2.1 联合高斯性1.2.2 均值函数1.2.3 协方差函数(或核函数) 1.3 核函数1.4 高斯过程回归(Gauss

6.1.数据结构-c/c++堆详解下篇(堆排序,TopK问题)

上篇:6.1.数据结构-c/c++模拟实现堆上篇(向下,上调整算法,建堆,增删数据)-CSDN博客 本章重点 1.使用堆来完成堆排序 2.使用堆解决TopK问题 目录 一.堆排序 1.1 思路 1.2 代码 1.3 简单测试 二.TopK问题 2.1 思路(求最小): 2.2 C语言代码(手写堆) 2.3 C++代码(使用优先级队列 priority_queue)

K8S(Kubernetes)开源的容器编排平台安装步骤详解

K8S(Kubernetes)是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。以下是K8S容器编排平台的安装步骤、使用方式及特点的概述: 安装步骤: 安装Docker:K8S需要基于Docker来运行容器化应用程序。首先要在所有节点上安装Docker引擎。 安装Kubernetes Master:在集群中选择一台主机作为Master节点,安装K8S的控制平面组件,如AP

嵌入式Openharmony系统构建与启动详解

大家好,今天主要给大家分享一下,如何构建Openharmony子系统以及系统的启动过程分解。 第一:OpenHarmony系统构建      首先熟悉一下,构建系统是一种自动化处理工具的集合,通过将源代码文件进行一系列处理,最终生成和用户可以使用的目标文件。这里的目标文件包括静态链接库文件、动态链接库文件、可执行文件、脚本文件、配置文件等。      我们在编写hellowor

LabVIEW FIFO详解

在LabVIEW的FPGA开发中,FIFO(先入先出队列)是常用的数据传输机制。通过配置FIFO的属性,工程师可以在FPGA和主机之间,或不同FPGA VIs之间进行高效的数据传输。根据具体需求,FIFO有多种类型与实现方式,包括目标范围内FIFO(Target-Scoped)、DMA FIFO以及点对点流(Peer-to-Peer)。 FIFO类型 **目标范围FIFO(Target-Sc

019、JOptionPane类的常用静态方法详解

目录 JOptionPane类的常用静态方法详解 1. showInputDialog()方法 1.1基本用法 1.2带有默认值的输入框 1.3带有选项的输入对话框 1.4自定义图标的输入对话框 2. showConfirmDialog()方法 2.1基本用法 2.2自定义按钮和图标 2.3带有自定义组件的确认对话框 3. showMessageDialog()方法 3.1