三次握手

前言 前端的面试中经常问的 TCP 和 UDP 的区别，网上也有好多内容，比如 TCP 和 UDP 的区别 TCP 是面向连接的，UDP 是面向无连接的 UDP程序结构较简单 TCP 是面向字节流的，UDP 是基于数据报的 TCP 保证数据正确性，UDP 可能丢包 TCP 保证数据顺序，UDP 不保证 之前也因为面试的原因了解过一下，但是面试官又问了为什么 TCP 是可靠传输，一下就露馅了，说不出来了，然后这两天就仔细了解了一下这方面的内容，还专门订阅了极客时间的趣谈网络协议，因此，这篇文章主要基于趣谈网络协议和自己的理解。 UDP 要想理解 TCP 和 UDP 的区别，首先要明白什么是 TCP，什么是 UDP TCP 和 UDP 是传输层的两个协议 我们来看一下 UDP 的包头 由上图可以看出，UDP 除了端口号，基本啥都没有了。如果没有这两个端口号，数据就不知道该发给哪个应用。 所以 UDP 就像一个小孩子，特别简单，有如下三个特点 UDP 的特点 沟通简单，不需要大量的数据结构，处理逻辑和包头字段 轻信他人。它不会建立连接，但是会监听这个地方，谁都可以传给它数据，它也可以传给任何人数据，甚至可以同时传给多个人数据。 愣头青，做事不懂变通。不会根据网络的情况进行拥塞控制，无论是否丢包，它该怎么发还是怎么发 因为 UDP 是"小孩子"，所以处理的是一些没那么难的项目

一、 网络模型 网络模型分两种，一种是OSI模型，一种是TCP/IP模型，后者应用更加广泛。这里也主要介绍TCP/IP模型。 （一）TCP/IP模型 首先分为4层，从上到下依次是应用层、传输层、网络层、数据链路层。 OSI模型中将网络分为：应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。 TCP/IP的应用层是OSI模型中应用层、表示层、会话层的集合，而物理层由于不是我们经常考虑的问题，所以TCP/IP模型没有把物理层算上。 1、数据链路层 数据链路层的核心是以太网协议。以太网协议规定一组电信号是一个数据包，叫一个振，每个帧（frame）分为标头（head）和数据（data），标头包含一些说明性东西，比如发送者，接收者，和数据类型之类的。例如一个电脑发个数据包出去，会广播给局域网(子网)内所有电脑设备的网卡，然后每台设备都从数据包获取接收者的mac地址与自己网卡的mac地址比对，如果一样就说明这是发给自己的数据包。 2、网络层 定义了一套IP协议，有IPV4和IPV6，以IPV4为例，由32个二进制数字组成，用4个10进制数字表示。 IP地址分为三类： A类：第一个字节为网络号，后三个字节为主机号。该类IP地址的最前面为“0”，所以地址的网络号取值于1~126之间。一般用于大型网络。 B类：前两个字节为网络号，后两个字节为主机号。该类IP地址的最前面为“10”

tcpdump 是 Linux 系统提供的一个非常强大的抓包工具，熟练使用它，对我们排查网络问题非常有用。如果你的机器上还没有安装，可以使用如下命令安装： yum install tcpdump 如果要使用 tcpdump 命令必须具有 sudo 权限。 tcpdump 常用的选项有： -i 指定要捕获的目标网卡名，网卡名可以使用前面章节中介绍的 ifconfig 命令获得；如果要抓所有网卡的上的包，可以使用 any 关键字。 ## 抓取网卡ens33上的包 tcpdump -i ens33 ## 抓取所有网卡上的包 tcpdump -i any -X 以 ASCII 和 十六进制 的形式输出捕获的数据包内容，减去链路层的包头信息； -XX 以 ASCII 和 十六进制 的形式输出捕获的数据包内容，包括 链路层的包头信息 。 -n 不要将 ip 地址显示成别名的形式； -nn 不要将 ip 地址和端口以别名的形式显示。 -S 以绝对值显示包的 ISN 号（包 序列号 ），默认以上一包的偏移量显示。 -vv 抓包的信息详细地显示； -vvv 抓包的信息更详细地显示。 -w 将抓取的包的原始信息（不解析，也不输出）写入文件中，后跟文件名： tcpdump -i any -w filename -r 从利用 -w 选项保存的包文件中读取数据包信息。 除了可以使用选项以外， tcpdump

第一次握手：建立连接时，客户端发送syn包（syn=x）到服务器，并进入SYN_SENT状态，等待服务器确认；SYN：同步序列编号（Synchronize Sequence Numbers）。 第二次握手：服务器收到syn包，必须确认客户的SYN（ack=x+1），同时自己也发送一个SYN包（syn=y），即SYN+ACK包，此时服务器进入SYN_RECV状态； 第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ack=y+1），此包发送完毕，客户端和服务器进入ESTABLISHED（TCP连接成功）状态，完成三次握手。 第一次握手：建立连接时，客户端发送syn包（syn=x）到服务器，并进入SYN_SENT状态，等待服务器确认；SYN：同步序列编号（Synchronize Sequence Numbers）。 第二次握手：服务器收到syn包，必须确认客户的SYN（ack=x+1），同时自己也发送一个SYN包（syn=y），即SYN+ACK包，此时服务器进入SYN_RECV状态； 第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ack=y+1），此包发送完毕，客户端和服务器进入ESTABLISHED（TCP连接成功）状态，完成三次握手。 所有执行主动关闭的socket都会进入TIME_WAIT状态 ， 主动关闭的一方在发送最后一个

HTTP 协议与TCP/IP协议的关系 HTTP的长连接和短连接本质上是TCP长连接和短连接。HTTP属于应用层协议，在传输层使用TCP协议，在网络层使用IP协议。IP协议主要解决网络路由和寻址问题，TCP协议主要解决如何在IP层之上可靠的传递数据包，使在网络上的另一端收到发端发出的所有包，并且顺序与发出顺序一致。TCP有可靠，面向连接的特点。 2. 如何理解HTTP协议是无状态的 HTTP协议是无状态的，指的是协议对于事务处理没有记忆能力，服务器不知道客户端是什么状态。也就是说，打开一个服务器上的网页和你之前打开这个服务器上的网页之间没有任何联系。HTTP是一个无状态的面向连接的协议，无状态不代表HTTP不能保持TCP连接，更不能代表HTTP使用的是UDP协议（无连接）。 3. 什么是长连接、短连接？ 在HTTP/1.0中，默认使用的是短连接。也就是说，浏览器和服务器每进行一次HTTP操作，就建立一次连接，但任务结束就中断连接。如果客户端浏览器访问的某个HTML或其他类型的 Web页中包含有其他的Web资源，如JavaScript文件、图像文件、CSS文件等；当浏览器每遇到这样一个Web资源，就会建立一个HTTP会话。 但从 HTTP/1.1起，默认使用长连接，用以保持连接特性。使用长连接的HTTP协议，会在响应头有加入这行代码： Connection:keep-alive

想要充分了解HTTP长连接，需要首先知道一些基本概念： TCP连接 当网络通信时采用TCP协议时，在真正的读写操作之前，server与client之间必须建立一个连接，当读写操作完成后，双方不再需要这个连接时它们可以释放这个连接，连接的建立是需要三次握手的，而释放则需要4次握手，所以说每个连接的建立都是需要资源消耗和时间消耗的。 经典的三次握手示意图： 经典的四次握手关闭图： TCP短连接 我们模拟一下TCP短连接的情况，client向server发起连接请求，server接到请求，然后双方建立连接。client向server 发送消息，server回应client，然后一次读写就完成了，这时候双方任何一个都可以发起close操作，不过一般都是client先发起 close操作。为什么呢，一般的server不会回复完client后立即关闭连接的，当然不排除有特殊的情况。从上面的描述看，短连接一般只会在client/server间传递一次读写操作。短连接的优点是：管理起来比较简单，存在的连接都是有用的连接，不需要额外的控制手段。 TCP长连接 接下来我们再模拟一下长连接的情况，client向server发起连接，server接受client连接，双方建立连接。Client与server完成一次读写之后，它们之间的连接并不会主动关闭，后续的读写操作会继续使用这个连接。 首先说一下TCP

相信不少初学手机联网开发的朋友都想知道Http与Socket连接究竟有什么区别，希望通过自己的浅显理解能对初学者有所帮助。 1、TCP连接 手机能够使用联网功能是因为手机底层实现了TCP/IP协议，可以使手机终端通过无线网络建立TCP连接。TCP协议可以对上层网络提供接口，使上层网络数据的传输建立在“无差别”的网络之上。 建立起一个TCP连接需要经过“三次握手”： 第一次握手：客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认； 第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态； 第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。 握 手过程中传送的包里不包含数据，三次握手完毕后，客户端与服务器才正式开始传送数据。理想状态下，TCP连接一旦建立，在通信双方中的任何一方主动关闭连 接之前，TCP 连接都将被一直保持下去。断开连接时服务器和客户端均可以主动发起断开TCP连接的请求，断开过程需要经过“四次握手”（过程就不细写 了，就是服务器和客户端交互，最终确定断开） 2、HTTP连接 HTTP协议即超文本传送协议

第五章 传输层 ->传输层协议UDP和TCP ->网络安全 ->TCP可靠传输的实现 ->TCP的流量控制 ->TCP的拥塞控制 ->TCP的运输连接管理 5.1 OSI和DoD模型 下图必须背下来。尤其是传输层和网络层的协议。 传输层最大数据包是65535字节，而网络层数据最大只有1480字节。所以需要分段，但是只要分段，就有可能丢包，因为网络层不负责可靠传输。所以要求服务器和客户端保持会话，直到数据传输完成。 ->TCP(Transmission Control Protocol)传输控制协议 应用场景：需要将要传输的文件分段传输时；就需要TCP协议来建立会话实现可靠传输；同时也有流量控制功能。(例如QQ传文件) 查看会话 netstat -n 查看建立会话的进程 netstat -nb ->UDP(User Data Protocol)用户数据报协议 应用场景：一个数据包就能完成数据通信；不需要建立会话和流量控制；多播/广播；是一种不可靠传输。(例如QQ聊天，屏幕广播) 5.2 传输层协议和应用层协议的关系 (1)TCP和UDP协议和不同的端口即可对应一个应用层的协议。注意，53大部分是与UDP相连。 (2)熟知数值一般为0-1023，登记端口号数值1024-49151，客户端口号数值为49152-65535. (3)常用的应用层协议使用的端口(号)： http = TCP

整个流程 域名解析 —> 与服务器建立连接 —> 发起HTTP请求 —> 服务器响应HTTP请求，浏览器得到html代码 —> 浏览器解析html代码，并请求html代码中的资源（如js、css、图片） —> 浏览器对页面进行渲染呈现给用户 1. 域名解析 以Chrome浏览器为例： ① Chrome浏览器 会首先搜索浏览器自身的DNS缓存（缓存时间比较短，大概只有1分钟，且只能容纳1000条缓存），看自身的缓存中是否有https://www.cnblogs.com 对应的条目，而且没有过期，如果有且没有过期则解析到此结束。 注：我们怎么查看Chrome自身的缓存？可以使用 chrome://net-internals/#dns 来进行查看 ② 如果浏览器自身的缓存里面没有找到对应的条目，那么Chrome会搜索操作系统自身的DNS缓存,如果找到且没有过期则停止搜索解析到此结束. 注：怎么查看操作系统自身的DNS缓存，以Windows系统为例，可以在命令行下使用 ipconfig /displaydns 来进行查看 ③ 如果在Windows系统的DNS缓存也没有找到，那么尝试读取hosts文件（位于C:\Windows\System32\drivers\etc），看看这里面有没有该域名对应的IP地址，如果有则解析成功。 ④ 如果在hosts文件中也没有找到对应的条目

原理 SYN foold攻击主要针对tcp通信三次握手期间做的手脚，所以要弄懂这个攻击的原理我们首先必须知道tcp三次握手的详细过程 由上图可知tcp三次握手顾名思义要经过三个步骤，这三个步骤分别是 客户端向服务端发送SYN J（同步信号假设序号为J），相当于通知服务端我要开始建立连接了； 服务端收到客户端的SYN J信号后将发送确认信号ACK J+1和一个新的同步信号SYN K作为回应 客户端收到服务端的回应之后发送最后的确认信号ACK J+1 那我我们重点看第二个步骤：服务端在收到SYN信号后会将ACK信号和新的SYN信号返回给客户端，并将该连接计入半连接队列数目中，当半连接数目大于系统设定的最大值（/proc/sys/net/ipv4/tcp_max_syn_backlog）时系统将不能再接收其他的连接，所以攻击者利用这个原理，在服务器向客户端发送SYN和ACK信号后不做任何回应，这样链接将一直不会被释放，直到累计到链接最大值而不能再创建新的链接，从而达到了让服务器无法响应正常请求的目的。 解决方法 使syncookies生效，将/proc/sys/net/ipv4/tcp_syncookies值置改为1即可，这样即使是半连接队列syn queue已经满了，也可以接收正常的非恶意攻击的客户端的请求， 但是这种方法只在无计可施的情况下使用 ————————————————