tcp三次握手协议

三次握手（three times handshake；three-way handshake）所谓的“三次握手”即对每次发送的数据量是怎样跟踪进行协商使数据段的发送和接收同步，根据所接收到的数据量而确定的数据确认数及数据发送、接收完毕后何时撤消联系，并建立虚连接。

为了提供可靠的传送，TCP在发送新的数据之前，以特定的顺序将数据包的序号，并需要这些包传送给目标机之后的确认消息。TCP总是用来发送大批量的数据。当应用程序在收到数据后要做出确认时也要用到TCP。

 

过程

第一次

第一次握手：建立连接时，客户端发送syn包（syn=j）到服务器，并进入SYN_SENT状态，等待服务器确认；SYN：同步序列编号（Synchronize Sequence Numbers）。

第二次

第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；

第三次

第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ack=k+1），此包发送完毕，客户端和服务器进入ESTABLISHED（TCP连接成功）状态，完成三次握手。

完成三次握手，客户端与服务器开始传送数据，在上述过程中，还有一些重要的概念：

未连接队列

在三次握手协议中，服务器维护一个未连接队列，该队列为每个客户端的SYN包（syn=j）开设一个条目，该条目表明服务器已收到SYN包，并向客户发出确认，正在等待客户的确认包。这些条目所标识的连接在服务器处于 Syn_RECV状态，当服务器收到客户的确认包时，删除该条目，服务器进入ESTABLISHED状态。

Backlog参数

表示内核为相应套接字排队的最大连接个数。SYN-ACK重传次数

三次握手协议

服务器发送完SYN－ACK包，如果未收到客户确认包，服务器进行首次重传，等待一段时间仍未收到客户确认包，进行第二次重传，如果重传次数超过系统规定的最大重传次数，系统将该连接信息从半连接队列中删除。注意，每次重传等待的时间不一定相同。

《UNIX 网络编程》中指出，关于backlog参数从未有过正式的定义，BSD 4.2手册中宣称它的定义是：“the maximum length the queue of pending connections may grow to”，即未处理连接构成的队列可能增长到的最大长度，POSIX规范也逐字复制该定义。不过这个定义中并没有明确到底这个连接指的是SYN_RCVD状态的连接，还是未由进程接受的处于ESTABLISHED状态的连接，亦或两者皆可。

不论这个backlog参数到底指的是哪一个，对于服务器而言，都需要尽快的去处理已经处于ESTABLISHED状态的连接。而仅仅对于backlog来说，我们需要取一个比较大的值以应对大量的服务请求。

半连接存活时间

是指半连接队列的条目存活的最长时间，也即服务器从收到SYN包到确认这个报文无效的最长时间，该时间值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间为Timeout时间、SYN_RECV存活时间。

TCP头结构

面向连接的TCP三次握手是Syn Flood存在的基础。

TCP协议头最少20个字节，包括以下的区域（由于翻译不尽相同，文章中给出相应的英文单词）：

TCP源端口(Source Port）：16位的源端口其中包含初始化通信的端口。源端口和源IP地址的作用是标示报文的返回地址。

TCP目的端口（Destination port）：16位的目的端口域定义传输的目的。这个端口指明报文接收计算机上的应用程序地址接口。

TCP序列号（序列码，Sequence Number）：32位的序列号由接收端计算机使用，重新分段的报文成最初形式。当SYN出现，序列码实际上是初始序列码（ISN），而第一个数

据字节是ISN+1。这个序列号（序列码）是可以补偿传输中的 不一致。

TCP应答号（Acknowledgment Number）：32位的序列号由接收端计算机使用，重组分段的报文成最初形式。如果设置了ACK控制位，这个值表示一个准备接收的包的序列码。

数据偏移量（HLEN）：4位包括TCP头大小，指示何处数据开始。

TCP四次挥手结束连接

保留（Reserved）：6位值域，这些位必须是0。为了将来定义新的用途所保留。

标志（Code Bits）：6位标志域。表示为：紧急标志、有意义的应答标志、推、重置连接标志、同步序列号标志、完成发送数据标志。按照顺序排列是：URG、ACK、PSH、RST、SYN、FIN。

窗口（Window）：16位，用来表示想收到的每个TCP数据段的大小。

校验位（Checksum）：16位TCP头。源机器基于数据内容计算一个数值，收信息机要与源机器数值结果完全一样，从而证明数据的有效性。

优先指针（紧急，Urgent Pointer）：16位，指向后面是优先数据的字节，在URG标志设置了时才有效。如果URG标志没有被设置，紧急域作为填充。加快处理标示为紧急的数据段。

选项（Option）：长度不定，但长度必须是一个字节。如果没有选项就表示这一个字节的域等于0。

关闭TCP连接：改进的三次握手

对于一个已经建立的连接，TCP使用改进的三次握手来释放连接（使用一个带有FIN附加标记的报文段）。TCP关闭连接的步骤如下：

第一步，当主机A的应用程序通知TCP数据已经发送完毕时，TCP向主机B发送一个带有FIN附加标记的报文段（FIN表示英文finish）。

第二步，主机B收到这个FIN报文段之后，并不立即用FIN报文段回复主机A，而是先向主机A发送一个确认序号ACK，同时通知自己相应的应用程序：对方要求关闭连接（先发送ACK的目的是为了防止在这段时间内，对方重传FIN报文段）。

第三步，主机B的应用程序告诉TCP：我要彻底的关闭连接，TCP向主机A送一个FIN报文段。

第四步，主机A收到这个FIN报文段后，向主机B发送一个ACK表示连接彻底释放。[1] 

标志控制

URG：紧急标志

紧急（The urgent pointer) 标志有效。紧急标志置位，

ACK：确认标志

确认编号（Acknowledgement Number）栏有效。大多数情况下该标志

TCP三次握手是Syn Flood存在的基础

位是置位的。TCP报头内的确认编号栏内包含的确认编号（w+1，Figure：1）为下一个预期的序列编号，同时提示远端系统已经成功接收所有数据。

PSH：推标志

该标志置位时，接收端不将该数据进行队列处理，而是尽可能快将数据转由应用处理。在处理 telnet 或 rlogin 等交互模式的连接时，该标志总是置位的。

RST：复位标志

复位标志有效。用于复位相应的TCP连接。

SYN：同步标志

同步序列编号（Synchronize Sequence Numbers）栏有效。该标志仅在三次握手建立TCP连接时有效。它提示TCP连接的服务端检查序列编号，该序列编号为TCP连接初始端（一般是客户端）的初始序列编号。在这里，可以把TCP序列编号看作是一个范围从0到4，294，967，295的32位计数器。通过TCP连接交换的数据中每一个字节都经过序列编号。在TCP报头中的序列编号栏包括了TCP分段中第一个字节的序列编号。

FIN：结束标志

带有该标志置位的数据包用来结束一个TCP回话，但对应端口仍处于开放状态，准备接收后续数据。

服务端处于监听状态，客户端用于建立连接请求的数据包(IP packet）按照TCP/IP协议堆栈组合成为TCP处理的分段（segment）。

分析报头信息： TCP层接收到相应的TCP和IP报头，将这些信息存储到内存中。

检查TCP校验和（checksum）：标准的校验和位于分段之中（Figure：2）。如果检验失败，不返回确认，该分段丢弃，并等待客户端进行重传。

查找协议控制块（PCB{})：TCP查找与该连接相关联的协议控制块。如果没有找到，TCP将该分段丢弃并返回RST。（这就是TCP处理没有端口监听情况下的机制） 如果该协议控制块存在，但状态为关闭，服务端不调用connect()或listen()。该分段丢弃，但不返回RST。客户端会尝试重新建立连接请求。

建立新的socket：当处于监听状态的socket收到该分段时，会建立一个子socket，同时还有socket{}，tcpcb{}和pub{}建立。这时如果有错误发生，会通过标志位来拆除相应的socket和释放内存，TCP连接失败。如果缓存队列处于填满状态，TCP认为有错误发生，所有的后续连接请求会被拒绝。这里可以看出SYN Flood攻击是如何起作用的。

丢弃：如果该分段中的标志为RST或ACK，或者没有SYN标志，则该分段丢弃。并释放相应的内存。

数据传输

发送序列变量 SND.UNA ：发送未确认

SND.NXT ：发送下一个

SND.WND ：发送窗口

SND.UP ：发送优先指针

SND.WL1 ：用于最后窗口更新的段序列号

SND.WL2 ：用于最后窗口更新的段确认号

三次握手

ISS ：初始发送序列号

接收序列号

RCV.NXT ：接收下一个

RCV.WND ：接收下一个

RCV.UP ：接收优先指针

IRS ：初始接收序列号

当前段变量

SEG.SEQ ：段序列号

SEG.ACK ：段确认标记

SEG.LEN ：段长

SEG.WND ：段窗口

SEG.UP ：段紧急指针

SEG.PRC ：段优先级

CLOSED表示没有连接，各个状态的意义如下：

LISTEN ：监听来自远方TCP端口的连接请求。

SYN-SENT ：在发送连接请求后等待匹配的连接请求。

SYN-RECEⅣED ：在收到和发送一个连接请求后等待对连接请求的确认。

ESTABLISHED ：代表一个打开的连接，数据可以传送给用户。

FIN-WAIT-1 ：等待远程TCP的连接中断请求，或先前的连接中断请求的确认。

FIN-WAIT-2 ：从远程TCP等待连接中断请求。

CLOSE-WAIT ：等待从本地用户发来的连接中断请求。

CLOSING ：等待远程TCP对连接中断的确认。

LAST-ACK ：等待原来发向远程TCP的连接中断请求的确认。

TIME-WAIT ：等待足够的时间以确保远程TCP接收到连接中断请求的确认。

CLOSED ：没有任何连接状态。

TCP连接过程是状态的转换，促使发生状态转换的是用户调用：OPEN，SEND，RECEⅣE，CLOSE，ABORT和STATUS。传送过来的数据段，特别那些包括以下标记的数据段SYN，ACK，RST和FIN。还有超时，上面所说的都会时TCP状态发生变化。

序列标识

序列号

在TCP连接中发送的字节都有一个序列号。因为编了号，所以可以确认它们的收到。对序列号的确认是累积性的。TCP必须进行的序列号比较操作种类包括以下几种：

①决定一些发送了的但未确认的序列号。

②决定所有的序列号都已经收到了。

③决定下一个段中应该包括的序列号。

对于发送的数据TCP要接收确认，确认时必须进行的：

SND.UNA = 最老的确认了的序列号。

SND.NXT = 下一个要发送的序列号。

三次握手数据

SEG.ACK = 接收TCP的确认，接收TCP期待的下一个序列号。

SEG.SEQ = 一个数据段的第一个序列号。

SEG.LEN = 数据段中包括的字节数。

SEG.SEQ+SEG.LEN-1 = 数据段的最后一个序列号。

如果一个数据段的序列号小于等于确认号的值，那么整个数据段就被确认了。而在接收数据时下面的比较操作是必须的：

RCV.NXT = 期待的序列号和接收窗口的最低沿。

RCV.NXT+RCV.WND：1 = 最后一个序列号和接收窗口的最高沿。

SEG.SEQ = 接收到的第一个序列号。

SEG.SEQ+SEG.LEN：1 = 接收到的最后一个序列号。[2] 

基于三次握手的SYN洪水攻击

基本原理

三次握手协议

建设一个小型的模仿环境假设有3台接入互联网的机器。A为攻击者操纵的攻击机。B为中介跳板机器（受信任的服务器）。C为受害者使用的机器（多是服务器），这里把C机器锁定为目标机器。A机器向B机器发送SYN包，请求建立连接，这时已经响应请求的B机器会向A机器回应SYN/ACK表明同意建立连接，当A机器接受到B机器发送的SYN/ACK回应时，发送应答ACK建立A机器与B机器的网络连接。这样一个两台机器之间的TCP通话信道就建立成功了。

B终端受信任的服务器向C机器发起TCP连接，A机器对服务器C发起SYN信息，使C机器不能响应B机器。在同时A机器也向B机器发送虚假的C机器回应的SYN数据包，接收到SYN数据包的B机器（被C机器信任）开始发送应答连接建立的SYN/ACK数据包，这时C机器正在忙于响应以前发送的SYN数据而无暇回应B机器，A机器的攻击者预测出B机器包的序列号（TCP序列号预测难度有些大）假冒C机器向B机器发送应答ACK这时攻击者骗取B机器的信任，假冒C机器与B机器建立起TCP协议的对话连接。这个时候的C机器还是在响应攻击者A机器发送的SYN数据。

TCP协议栈的弱点

TCP连接的资源消耗，其中包括：数据包信息、条件状态、序列号等。通过故意不完成建立连接所需要的三次握手过程，造成连接一方的资源耗尽。

通过攻击者有意的不完成建立连接所需要的三次握手的全过程，从而造成了C机器的资源耗尽。序列号的可预测性，目标主机应答连接请求时返回的SYN/ACK的序列号时可预测的。