|
参考链接
https://blog.csdn.net/kaikevin01/article/details/78937915
TCP三次握手建立链接过程
我们知道TCP建立链接之前需要三次握手,那考虑一个问题,server端收到client的SYN请求后并进行ACK确认后为什么还要等待client的确认呢?两次就行了,为什么需要进行三次握手?
答:这主要是为了防止client已失效的连接请求报文段突然又传送到了server端,因而产生错误。
假定client发出的某一个连接请求报文段在传输的过程中并没有丢失,而是在某个网络节点长时间滞留了,以致延误到连接释放以后的某个时间才到达server端。本来这是一个早已失效的报文段。但server端收到此失效的连接请求报文段后,就误以为client又发了一次新的连接请求,于是向client发出确认报文段,同意建立连接。假如不采用三次握手,那么只要server端发出确认,新的连接就建立了。
由于client并未发出建立连接的请求,因此不会理睬server端的确认,也不会向server端发送数据。但server端却以为新的运输连接已经建立了,并一直等待client发来数据,因此白白浪费了许多资源。
采用TCP三次握手的方法可以防止上述现象发生。例如在刚才的情况下,由于client不会向server端的确认发出确认,server端由于收不到确认,就知道client并没有要求建立连接。
SYN攻击就是利用tcp建立链接需要三次握手,server发的确认应答后client收到还要进行确认。
SYN攻击:
在三次握手过程中,Server发送SYN-ACK之后,收到Client的ACK之前的TCP连接称为半连接(half-open connect),此时Server处于SYN_RCVD状态,当收到ACK后,Server转入ESTABLISHED状态。SYN攻击就是Client在短时间内伪造大量不存在的IP地址,并向Server不断地发送SYN包,Server回复确认包,并等待Client的确认,由于源地址是不存在的,因此,Server需要不断重发直至超时,这些伪造的SYN包将产时间占用未连接队列,导致正常的SYN请求因为队列满而被丢弃,从而引起网络堵塞甚至系统瘫痪。SYN攻击时一种典型的DDOS攻击,检测SYN攻击的方式非常简单,即当Server上有大量半连接状态且源IP地址是随机的,则可以断定遭到SYN攻击了。
使用如下命令可以让之现行:#netstat -nap | grep SYN_RECV
下面是TCP的四次挥手释放链接,参考链接如下:
TCP四次挥手过程描述
|