TCP三次握手手和四次分手过程分析

首先我们先来了解TCP报文段

重要的标志我在图中也有标记，重点了解标志位

ACK：确认序号有效，为1时表示确认号有效，为0表示报文中不含确认信息，忽略确认号字段。

RST：重置连接，当RST=1时，表示出现严重错误，必须释放连接，然后再重新建立

SYN：发起一个新连接，SYN=1而ACK=0,表明它是一个连接请求；SYN=1且ACK=1，则表示同意建立一个连接

FIN：释放一个连接，FIN为1时，表示数据已经发送完毕，希望释放连接

URG：紧急指针，为1时表示紧急指针有效，为0则忽略紧急指针。

PSH： 表示强迫数据传输，置1时请求的数据段在接收方得到后就可直接送到应用程序，而不必等到缓冲区满时才传送。对于http来说，多媒体文件，像图片等一般来说比较大，不可能像证书链完全传输完成之后，仅仅在最后一个报文在再通知接收方向上层扔数据。因此我们看到传输过程中每隔一些报文，PUSH字段就设置上了。

了解到了TCP标志位的含义，就可以了解TCP的三次握手是怎么进行的了：发送端发送一个SYN=1，ACK=0标志的数据包给接收端，请求进行连接，这 是第一次握手；接收端收到请求并且允许连接的话，就会发送一个SYN=1，ACK=1标志的数据包给发送端，告诉它，可以通讯了，并且让发送端发送一个确 认数据包，这是第二次握手；最后，发送端发送一个SYN=0，ACK=1的数据包给接收端，告诉它连接已被确认，这就是第三次握手。之后，一个TCP连接 建立，开始通讯。

三次握手的过程（客户端我们用A表示，服务器端用B表示）

前提：A主动打开，B被动打开

在建立连接之前，B先创建TCB（传输控制块），准备接受客户进程的连接请求，处于LISTEN（监听）状态A首先创建TCB，然后向B发出连接请求，SYN置1，同时选择初始序号seq=x，进入SYN-SEND（同步已发送）状态B收到连接请求后向A发送确认，SYN置1，ACK置1，同时产生一个确认序号ack=x+1。同时随机选择初始序号seq=y，进入SYN-RCVD（同步收到）状态A收到确认连接请求后，ACK置1，确认号ack=y+1，seq=x+1，进入到ESTABLISHED（已建立连接）状态。向B发出确认连接，最后B也进入到ESTABLISHED（已建立连接）状态。简单来说，就是

建立连接时，客户端发送SYN包（SYN=i）到服务器，并进入到SYN-SEND状态，等待服务器确认服务器收到SYN包，必须确认客户的SYN（ack=i+1）,同时自己也发送一个SYN包（SYN=k）,即SYN+ACK包，此时服务器进入SYN-RECV状态客户端收到服务器的SYN+ACK包，向服务器发送确认报ACK（ack=k+1）,此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手在此穿插一个知识点就是SYN攻击，那么什么是SYN攻击？发生的条件是什么？怎么避免？

在三次握手过程中，Server发送SYN-ACK之后，收到Client的ACK之前的TCP连接称为半连接（half-open connect），此时Server处于SYN_RCVD状态，当收到ACK后，Server转入ESTABLISHED状态。SYN攻击就是 Client在短时间内伪造大量不存在的IP地址，并向Server不断地发送SYN包，Server回复确认包，并等待Client的确认，由于源地址 是不存在的，因此，Server需要不断重发直至超时，这些伪造的SYN包将产时间占用未连接队列，导致正常的SYN请求因为队列满而被丢弃，从而引起网 络堵塞甚至系统瘫痪。SYN攻击时一种典型的DDOS攻击，检测SYN攻击的方式非常简单，即当Server上有大量半连接状态且源IP地址是随机的，则可以断定遭到SYN攻击了，使用如下命令可以让之现行：

#netstat -nap | grep SYN_RECV

四次分手的过程（客户端我们用A表示，服务器端用B表示）

由于TCP连接时是全双工的，因此每个方向都必须单独进行关闭。这一原则是当一方完成数据发送任务后，发送一个FIN来终止这一方向的链接。收到一个FIN只是意味着这一方向上没有数据流动，既不会在收到数据，但是在这个TCP连接上仍然能够发送数据，知道这一方向也发送了FIN，首先进行关闭的一方将执行主动关闭，而另一方则执行被动关闭。

前提：A主动关闭，B被动关闭

有人可能会问，为什么连接的时候是三次握手，而断开连接的时候需要四次挥手？

这是因为服务端在LISTEN状态下，收到建立连接请求的SYN报文后，把ACK和SYN放在一个报文里发送给客户端。而关闭连接时，当收到对方的FIN 报文时，仅仅表示对方不再发送数据了但是还能接收数据，己方也未必全部数据都发送给对方了，所以己方可以立即close，也可以发送一些数据给对方后，再 发送FIN报文给对方来表示同意现在关闭连接，因此，己方ACK和FIN一般都会分开发送。

A发送一个FIN，用来关闭A到B的数据传送，A进入FIN_WAIT_1状态。B收到FIN后，发送一个ACK给A，确认序号为收到序号+1（与SYN相同，一个FIN占用一个序号），B进入CLOSE_WAIT状态。B发送一个FIN，用来关闭B到A的数据传送，B进入LAST_ACK状态。A收到FIN后，A进入TIME_WAIT状态，接着发送一个ACK给B，确认序号为收到序号+1，B进入CLOSED状态，完成四次挥手。简单来说就是

客户端A发送一个FIN，用来关闭客户A到服务器B的数据传送（报文段4）。服务器B收到这个FIN，它发回一个ACK，确认序号为收到的序号加1（报文段5）。和SYN一样，一个FIN将占用一个序号。服务器B关闭与客户端A的连接，发送一个FIN给客户端A（报文段6）。客户端A发回ACK报文确认，并将确认序号设置为收到序号加1（报文段7）。A在进入到TIME-WAIT状态后，并不会马上释放TCP，必须经过时间等待计时器设置的时间2MSL（最长报文段寿命），A才进入到CLOSED状态。原因是为了保证A发送的最后一个ACK报文段能够到达B防止“已失效的连接请求报文段”出现在本连接中。

这里主要注意下在三次握手跟四次分手过程中每次发送的状态的变化

Wireshark 抓包注意事项

为了演示一个TCP三次握手建立连接的过程，我们通过 Chrome 访问一个网页。 
已知 HTTP 协议就是建立在TCP链接上的

比如访问以下的网址： 
http://toutiao.newmedia139.net/

通过 Cmd 的 ping 命令获取 这个网站对应的 IP地址 183.136.236.13 

确定 这个IP 有一个非常重要的好处，就是我们只需要

电脑 -> 网站 的数据包

网站->电脑 的数据包

所以，可以使用Wireshark的显示过滤规则，只显示我们需要的数据，不然你一定看着满屏幕的数据抓狂的。

过滤规则如下：

ip.src==183.136.236.13 or ip.dst==183.136.236.13

截图：

分析TCP握手包

概览

通过图片，可以看到 先 进行了 TCP 三次传输 然后才 开始 HTTP 传输

第一次 客户端发送 SYN 报文 到服务器

第二次 ，服务器接收到 客户端的SYN 报文，回复 SYN + ACK 报文

第三次 ，客户端接收到服务端的 SYN+ACK 报文后，回复 ACK报文

注意：

这里有个坑：Wireshark 显示的 Syn Ack的数目是不准确的

理论上，Syn 应该初始值是个随机数的，后面的要根据初始值增加 

TCP 三次握手总结

建立一个稳定的 双向 连接，最少需要 几次 通信呢？ 
以打电话为例 
小明 给小红 打电话 
小明 ： 喂，小红 听得到么？ 
小红： 嗯，我听到你说话了，你能听到我么？ 
小明：我能听到你。

只有这三个传输都正确了，才能保障双方是 连通的

TCP 四次挥手

由于TCP连接是全双工的，因此每个方向都必须单独进行关闭。这个原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接。收到一个 FIN只意味着这一方向上没有数据流动，一个TCP连接在收到一个FIN后仍能发送数据。首先进行关闭的一方将执行主动关闭，而另一方执行被动关闭。

CP的连接的拆除需要发送四个包，因此称为四次挥手(four-way handshake)。客户端或服务器均可主动发起挥手动作，在socket编程中，任何一方执行close()操作即可产生挥手操作。

（1）客户端A发送一个FIN，用来关闭客户A到服务器B的数据传送。

（2）服务器B收到这个FIN，它发回一个ACK，确认序号为收到的序号加1。和SYN一样，一个FIN将占用一个序号。

（3）服务器B关闭与客户端A的连接，发送一个FIN给客户端A。

（4）客户端A发回ACK报文确认，并将确认序号设置为收到序号加1。

TCP采用四次挥手关闭连接如图2所示。

抓包截图

其中 183.136.236.13 是服务器的ip 
可以看到 这一次挥手是由 服务器 发起的

第一次挥手 FIN +ACK

第二次挥手 ACK

第三次挥手 FIN +ACK

第四次挥手 ACK

总结

TCP 由于是全双工的，断开链接需要四次挥手

本文参考了以下几篇文章：

https://www.cnblogs.com/bylijian/p/8565601.html

https://baijiahao.baidu.com/s?id=1608383336075156233&wfr=spider&for=pc