TCP连接及断连

三次握手Three-wayHandshake

                                    --转自liucaixia

一个虚拟连接的建立是通过三次握手来实现的

 

1. (Client) –> [SYN] –> (Server)
假如Client和Server通讯. 当Client要和Server通信时，Client首先向Server发一个SYN(Synchronize) 标记的包，告诉Server请求建立连接.
注意: 一个 SYN包就是仅SYN标记设为1的TCP包(参见TCP包头Resources). 认识到这点很重要，只有当Server收到Client发来的SYN包，才可建立连接，除此之外别无他法。因此，如果你的防火墙丢弃所有的发往外网接口的SYN包，那么你将不 能让外部任何主机主动建立连接。

如下图红框，三次握手的首次SYN，Source为我的教学平台所在的IP：192.168.102.64 Destination为平台的IP：192.168.102.241

 

2. (Client) <– [SYN/ACK] <–(Server)
接着，Server收到来自Client发来的SYN包后，会发一个对SYN包的确认包(SYN/ACK)给Client，表示对第一个SYN包的确认，并继续握手操作.
注意: SYN/ACK包是仅SYN 和 ACK 标记为1的包.

如下图红框，三次握手的服务端给客户端的响应SYN,ACK，Source为平台的IP：192.168.102.241，Destination为我的教学平台所在的IP：192.168.102.64

 

3. (Client) –> [ACK] –> (Server)
Client收到来自Server的SYN/ACK 包,Client会再向Server发一个确认包(ACK)，通知Server连接已建立。至此，三次握手完成，一个TCP连接完成。
Note: ACK包就是仅ACK 标记设为1的TCP包. 需要注意的是当三此握手完成、连接建立以后，TCP连接的每个包都会设置ACK位。

如下图红框，三次握手的最后确认ACK，Source为我的教学平台所在的IP：192.168.102.64 Destination为平台的IP：192.168.102.241

 

到此为止，客户端完成了与服务端进行数据传输的准备工作，类似人们见面后先进行握手后，接下来就进行正题交流了。

四次握手Four-way Handshake
四次握手用来关闭已建立的TCP连接，当客户端和服务端完成了数据包的传输后，又客户端或者服务端主动发起握手。来进行连接的断开。

1. (Client) –> ACK/FIN –>(Server)
2. (Client) <– ACK <–(Server)
3. (Client) <– ACK/FIN <–(Server)
4. (Client) –> ACK –>(Server)

如下图蓝框为四次握手，首先的发起放时为平台，IP：192.168.102.241，Destination为我的教学平台所在的IP：192.168.102.64。接下来客户端进行了ACK响应 ，紧接着自己也发了一个结束包。服务端对结束包进行响应。

 

 

注意: 由于TCP连接是双向连接, 因此关闭连接需要在两个方向上做。ACK/FIN 包(ACK 和FIN 标记设为1)通常被认为是FIN(终结)包.然而, 由于连接还没有关闭, FIN包总是打上ACK标记. 没有ACK标记而仅有FIN标记的包不是合法的包，并且通常被认为是恶意的。

连接复位Resetting a connection
四次握手不是关闭TCP连接的唯一方法. 有时,如果主机需要尽快关闭连接(或连接超时,端口或主机不可达),RST (Reset)包将被发送. 注意在，由于RST包不是TCP连接中的必须部分, 可以只发送RST包(即不带ACK标记). 但在正常的TCP连接中RST包可以带ACK确认标记

到目前为止，你已经看到了 SYN, ACK, FIN, 和RST 标记. 另外，还有PSH (Push) 和URG(Urgent)标记.

最常见的非法组合是SYN/FIN 包. 注意:由于 SYN包是用来初始化连接的, 它不可能和 FIN和RST标记一起出现. 这也是一个恶意攻击.

由于现在大多数防火墙已知 SYN/FIN 包, 别的一些组合,例如SYN/FIN/PSH, SYN/FIN/RST, SYN/FIN/RST/PSH。很明显，当网络中出现这种包时，你的网络肯定受到攻击了。

别的已知的非法包有FIN (无ACK标记)和”NULL”包。如同早先讨论的，由于ACK/FIN包的出现是为了关闭一个TCP连接，那么正常的FIN包总是带有ACK 标记。”NULL”包就是没有任何TCP标记的包(URG,ACK,PSH,RST,SYN,FIN都为0)。

到目前为止，正常的网络活动下，TCP协议栈不可能产生带有上面提到的任何一种标记组合的TCP包。当你发现这些不正常的包时，肯定有人对你的网络不怀好意。

抓报分析问题实例：
问题：梦幻西游在网维大师无盘上容易掉线的问题

当时捕捉到梦幻西游掉线时的数据包是这样的。注意下图中的红色数据，123.58.184.241是梦幻西游的服务器，而192.168.1.41是玩梦幻西游的客户机，在掉线时，发现是先有梦幻西游的服务器向客户机发送一个[FIN,ACK]数据包，根据上面的解释，FIN标记的数据包是代表要断开连接的意思，而接着客户机又回给服务器一个确认断开链接包。当看到这个抓包数据时，就意识到，大家说的在网维大师系统虚拟盘上梦幻爱掉线的问题，并非普通的网络问题，因为通过数据包的信息来看，是梦幻服务器主动要求断开链接，产生这个情况无非是以下几个原因：
1、服务器发现客户端非法，比如有外挂什么的，踢掉了客户机；
2、服务器压力大，踢掉了客户机；
3、总之不是客户端问题导致的掉线；

 

 

那么既然结论是如此，为什么会有在网维大师系统虚拟盘上容易出现梦幻掉线问题呢？原因是由于网维大师系统虚拟盘是模拟真实硬盘方式来实现的，而在模拟过程中，将硬盘的序列号设置为固定过的OSDIY888了，而梦幻西游刚好后识别客户机硬盘信息，发现大量客户端的硬盘序列号都是一样的，就认为是作-bi或者使用挂机外-挂了，结果就导致随机被服务器踢下线的情况发生，后来我们将硬盘序列号设置为空，则没再出现该问题。这个问题在未来的新版本中会解决掉。