tcp三次握手四次揮手

TCP狀態(tài)圖

Paste_Image.png

TCP狀態(tài)時序圖

Paste_Image.png

tcp三次握手

流程圖：

client | | server
SYN_SEND | --> SYN(seq=x) --> | LISTEN

| <-- SYN(seq=y),ACK(seq=x+1) <-- | SYN_RECV

ESTABLESHED | --> ACK(seq=y+1) --> | ESTABLESHED

TCP握手狀態(tài)說明：

TCP_SEND 發(fā)起TCP連接請求,發(fā)送SYN省店，等待服務(wù)器確認(rèn)
TCP_RECV 介紹TCP連接請求，并回復(fù)ACK及SYN最岗，等待客戶端確認(rèn)
ESTABLESHED 建立TCP連接

SYN攻擊

服務(wù)端在收到SYN，回復(fù)SYN+ACK后凹炸，TCP為TCP_RECV連接狀態(tài)况既，有一個等待對方ACK的重連超時機制
攻擊者利用這種機制碍讯，通過偽造大量不存在的IP給服務(wù)器發(fā)送SYN，導(dǎo)致服務(wù)器有大量TCP連接停留在TCP_RECV狀態(tài)员舵，得不到客戶端ACK的確認(rèn)脑沿。服務(wù)器需要不斷的重發(fā)至超時，這些偽造TCP連接長期占用TCP未連接隊列马僻，導(dǎo)致正常的SYN請求被丟棄庄拇，服務(wù)器運行緩慢，嚴(yán)重者引發(fā)堵塞甚至系統(tǒng)癱瘓韭邓。

SYN攻擊是典型的Ddos攻擊丛忆。檢查SYN攻擊非常方便，但服務(wù)器出現(xiàn)大量TCP_RECV狀態(tài)時仍秤，特別是源IP地址隨機熄诡，基本上可以判定這是一次SYN攻擊
linux下可以同如下命令檢測
ss -at |awk '{++s[$1]} END {for(i in s)print i,\t,s[i]}'

TCP握手內(nèi)核相關(guān)參數(shù)

表示SYN隊列的長度，默認(rèn)為1024
net.ipv4.tcp_max_syn_backlog

syn-ack握手狀態(tài)重試次數(shù)诗力，默認(rèn)5
net.ipv4.tcp_synack_retries

對于一個新建連接凰浮，內(nèi)核要發(fā)送多少個 SYN 連接請求才決定放棄。不應(yīng)該大于255苇本，默認(rèn)值是5袜茧，對應(yīng)于180秒左右。
net.ipv4.tcp_syn_retries

使用 Selective ACK瓣窄，管理TCP的選擇性應(yīng)答笛厦，允許接收端向發(fā)送端傳遞關(guān)于字節(jié)流中丟失的序列號，減少了段丟失時需要重傳的段數(shù)目俺夕，當(dāng)段丟失頻繁時裳凸，sack是很有益的贱鄙。（這可以通過有選擇地應(yīng)答亂序接收到的報文來提高性能（這樣可以讓發(fā)送者只發(fā)送丟失的報文段）。(對于廣域網(wǎng)通信來說這個選項應(yīng)該啟用姨谷，但是這會增加對 CPU 的占用逗宁。)
net.ipv4.tcp_sack

表示開啟SYN Cookies。當(dāng)出現(xiàn)SYN等待隊列溢出時梦湘，啟用cookies來處理瞎颗，可防范少量SYN攻擊，默認(rèn)為1捌议，表示開啟的哼拔；
net.ipv4.tcp_syncookies

設(shè)置tcp/ip會話的滑動窗口大小是否可變。參數(shù)值為布爾值瓣颅，為1時表示可變倦逐，為0時表示不可變。tcp/ip通常使用的窗口最大可達(dá)到 65535 字節(jié)弄捕，對于高速網(wǎng)絡(luò)，該值可能太小导帝，這時候如果啟用了該功能守谓，可以使tcp/ip滑動窗口大小增大數(shù)個數(shù)量級，從而提高數(shù)據(jù)傳輸?shù)哪芰?br> net.ipv4.tcp_window_scaling

TCP四次揮手

主動關(guān)閉端 | | 被動關(guān)閉端
FIN_WAIT1 | --> FIN(seq=j) --> | ESTABLESHED

FIN_WAIT2 | <-- ACK(seq=j+1) <-- | CLOST_WAIT

TIME_WAIT | <-- FIN(sqe=k) <-- | LAST_ACK

CLOSED/timeout| --> ACK(seq=k+1) --> | CLOSED

狀態(tài)說明

FIN_WAIT1 主動關(guān)閉端發(fā)起關(guān)閉TCP連接您单，發(fā)送FIN斋荞，等待對端確認(rèn)，表示主動端沒有數(shù)據(jù)發(fā)送虐秦，但可以接受數(shù)據(jù)
CLOST_WAIT 被動關(guān)閉端接受對端的FIN平酿，并做ACK回復(fù)，等待本機數(shù)據(jù)發(fā)送完成悦陋，如果自己還要數(shù)據(jù)沒發(fā)送完成蜈彼，還可以繼續(xù)發(fā)送數(shù)據(jù)，但不會接收數(shù)據(jù)
FIN_WAIT2 主動關(guān)閉端接受到對端的FIN確認(rèn)包ACK俺驶，等待對端發(fā)送FIN
LAST_ACK 被動關(guān)閉端發(fā)送FIN幸逆，等待對端FIN確認(rèn)
TIME_WAIT 主動關(guān)閉端接受對端的FIN，且回復(fù)ACK后暮现，等待2個MSL还绘，沒有接受到對端的數(shù)據(jù)，就變成CLOSED狀態(tài)
CLOSED TCP連接關(guān)閉

TCP揮手內(nèi)核相關(guān)參數(shù)

表示開啟重用栖袋。允許將TIME-WAIT sockets重新用于新的TCP連接拍顷，默認(rèn)為0，表示關(guān)閉塘幅；客戶端是nat環(huán)境或者服務(wù)器在nat環(huán)境昔案，最好不要開啟
net.ipv4.tcp_tw_reuse

表示開啟TCP連接中TIME-WAIT sockets的快速回收尿贫，默認(rèn)為0，表示關(guān)閉爱沟∷客戶端是nat環(huán)境或者服務(wù)器在nat環(huán)境，最好不要開啟
net.ipv4.tcp_tw_recycle

表示系統(tǒng)同時保持TIME_WAIT的最大數(shù)量呼伸，如果超過這個數(shù)字身冀，TIME_WAIT將立刻被清除并打印警告信息。
net.ipv4.tcp_max_tw_buckets

表示如果套接字由本端要求關(guān)閉括享，這個參數(shù)決定了它保持在FIN-WAIT-2狀態(tài)的時間
net.ipv4.tcp_fin_timeout

常用的三種TCP狀態(tài)

SYN_RECV

服務(wù)器收到SYN包后搂根，返回ACK+SYN包，但沒有收到ACK包時的狀態(tài)為SYN_RECV
內(nèi)核中相關(guān)參數(shù)
net.ipv4.tcp_syn_retries
net.ipv4.tcp_syncookies

CLOSE_WAIT

被動關(guān)閉端收到FIN后铃辖，沒有回復(fù)ACK包的時候為CLOSE_WAIT剩愧。一般是程序代碼問題導(dǎo)致

TIME_WAIT

主動關(guān)閉端收到對方的FIN，并且回復(fù)ACK后娇斩，狀態(tài)為TIME_WAIT仁卷，狀態(tài)持續(xù)2個MSL時間后socket會被回收。
TIME_WAIT狀態(tài)的socket是不能被回收的犬第。服務(wù)器一般處理大量的短連接锦积，服務(wù)端主動關(guān)閉連接，會出現(xiàn)大量的TIME_WAIT歉嗓。嚴(yán)重會影響服務(wù)器的處理能力
內(nèi)核相關(guān)參數(shù)調(diào)優(yōu)
net.ipv4.tcp_tw_recycle
net.ipv4.tcp_tw_reuse
net.ipv4.tcp_fin_timeout
net.ipv4.tcp_max_tw_buckets