TCP协议详解
为什么会有TCP/IP协议
在世界上各地,各种各样的电脑运⾏着各⾃不同的操作系统为⼤家服务,这些电脑在表达同⼀种信息的时候所使⽤的⽅法是千差万别。就好像圣经中上帝打乱了各地⼈的⼝⾳,让他们⽆法合作⼀样。计算机使⽤者意识到,计算机只是单兵作战并不会发挥太⼤的作⽤。只有把它们联合起来,电脑才会发挥出它最⼤的潜⼒。于是⼈们就想⽅设法的⽤电线把电脑连接到了⼀起。
但是简单的连到⼀起是远远不够的,就好像语⾔不同的两个⼈互相见了⾯,完全不能交流信息。因⽽他们需要定义⼀些共通的东西来进⾏交
流,TCP/IP就是为此⽽⽣。TCP/IP不是⼀个协议,⽽是⼀个协议族的统称。⾥⾯包括了IP协议,IMCP协议,TCP协议,以及我们更加熟悉的http、ftp、pop3协议等等。电脑有了这些,就好像学会了外语⼀样,就可以和其他的计算机终端做⾃由的交流了。telnet协议全称
TCP/IP协议分层
TCP/IP协议族按照层次由上到下,层层包装。
应⽤层:
向⽤户提供⼀组常⽤的应⽤程序,⽐如电⼦邮件、⽂件传输访问、远程登录等。远程登录TELNET使⽤TELNET协议提供在⽹络其它主机上注册的接⼝。TELNET会话提供了基于字符的虚拟终端。⽂件传输访问FTP使⽤FTP协议来提供⽹络内机器间的⽂件拷贝功能。
传输层:
提供应⽤程序间的通信。其功能包括:⼀、格式化信息流;⼆、提供可靠传输。为实现后者,传输层协议规定接收端必须发回确认,并且假如分组丢失,必须重新发送。
⽹络层:
负责相邻计算机之间的通信。其功能包括三⽅⾯。
⼀、处理来⾃传输层的分组发送请求,收到请求后,将分组装⼊IP数据报,填充报头,选择去往信宿机的路径,然后将数据报发往适当的⽹络接⼝。
⼆、处理输⼊数据报:⾸先检查其合法性,然后进⾏寻径--假如该数据报已到达信宿机,则去掉报头,将剩下部分交给适当的传输协议;假如该数据报尚未到达信宿,则转发该数据报。
三、处理路径、流控、拥塞等问题。
⽹络接⼝层:
这是TCP/IP软件的最低层,负责接收IP数据报并通过⽹络发送之,或者从⽹络上接收物理帧,抽出IP数据报,交给IP层。
IP 是⽆连接的
IP ⽤于计算机之间的通信。
IP 是⽆连接的通信协议。它不会占⽤两个正在通信的计算机之间的通信线路。这样,IP 就降低了对⽹络线路的需求。每条线可以同时满⾜许多不同的计算机之间的通信需要。
通过 IP,消息(或者其他数据)被分割为⼩的独⽴的包,并通过因特⽹在计算机之间传送。
IP 负责将每个包路由⾄它的⽬的地。
IP地址
每个计算机必须有⼀个 IP 地址才能够连⼊因特⽹。
每个 IP 包必须有⼀个地址才能够发送到另⼀台计算机。
⽹络上每⼀个节点都必须有⼀个独⽴的Internet地址(也叫做IP地址)。现在,通常使⽤的IP地址是⼀个32bit的数字,也就是我们常说的IPv4标准,这32bit的数字分成四组,也就是常见的255.255.255.255的样式。IPv4标准上,地址被分为五类,我们常⽤的是B类地址。具体的分类请参考其他⽂档。需要注意的是IP地址是⽹络号+主机号的组合,这⾮常重要。
CP/IP 使⽤ 32 个⽐特来编址。⼀个计算机字节是 8 ⽐特。所以 TCP/IP 使⽤了 4 个字节。
⼀个计算机字节可以包含 256 个不同的值:
00000000、00000001、00000010、00000011、00000100、00000101、00000110、00000111、00001000 ....... 直到 11111111。
现在,你知道了为什么 TCP/IP 地址是介于 0 到 255 之间的 4 个数字。
TCP 使⽤固定的连接
TCP ⽤于应⽤程序之间的通信。
当应⽤程序希望通过 TCP 与另⼀个应⽤程序通信时,它会发送⼀个通信请求。这个请求必须被送到⼀个确切的地址。在双⽅“握⼿”之后,TCP 将在两个应⽤程序之间建⽴⼀个全双⼯ (full-duplex) 的通信。
这个全双⼯的通信将占⽤两个计算机之间的通信线路,直到它被⼀⽅或双⽅关闭为⽌。
UDP 和 TCP 很相似,但是更简单,同时可靠性低于 TCP。
IP 路由器
当⼀个 IP 包从⼀台计算机被发送,它会到达⼀个 IP 路由器。
IP 路由器负责将这个包路由⾄它的⽬的地,直接地或者通过其他的路由器。
在⼀个相同的通信中,⼀个包所经由的路径可能会和其他的包不同。⽽路由器负责根据通信量、⽹络中的错误或者其他参数来进⾏正确地寻址。域名
12 个阿拉伯数字很难记忆。使⽤⼀个名称更容易。
⽤于 TCP/IP 地址的名字被称为域名。w3school 就是⼀个域名。
在全世界,数量庞⼤的 DNS 服务器被连⼊因特⽹。DNS 服务器负责将域名翻译为 TCP/IP 地址,同时负责使⽤新的域名信息更新彼此的系统。
当⼀个新的域名连同其 TCP/IP 地址⼀同注册后,全世界的 DNS 服务器都会对此信息进⾏更新。
TCP/IP
TCP/IP 意味着 TCP 和 IP 在⼀起协同⼯作。
TCP 负责应⽤软件(⽐如你的浏览器)和⽹络软件之间的通信。
IP 负责计算机之间的通信。
TCP 负责将数据分割并装⼊ IP 包,然后在它们到达的时候重新组合它们。
IP 负责将包发送⾄接受者。
TCP报⽂格式
TCP报⽂格式1.jpg
16位源端⼝号:16位的源端⼝中包含初始化通信的端⼝。源端⼝和源IP地址的作⽤是标识报⽂的返回地址。
16位⽬的端⼝号:16位的⽬的端⼝域定义传输的⽬的。这个端⼝指明报⽂接收计算机上的应⽤程序地址接⼝。
32位序号:32位的序列号由接收端计算机使⽤,重新分段的报⽂成最初形式。当SYN出现,序列码实际上是初始序列码(Initial Sequence Number,ISN),⽽第⼀个数据字节是ISN+1。这个序列号(序列码)可⽤来补偿传输中的不⼀致。
32位确认序号:32位的序列号由接收端计算机使⽤,重组分段的报⽂成最初形式。如果设置了ACK控制位,这个值表⽰⼀个准备接收的包的序列码。4位⾸部长度:4位包括TCP头⼤⼩,指⽰何处数据开始。
保留(6位):6位值域,这些位必须是0。为了将来定义新的⽤途⽽保留。
标志:6位标志域。表⽰为:紧急标志、有意义的应答标志、推、重置连接标志、同步序列号标志、完成发送数据标志。按照顺序排列是:URG、ACK、PSH、RST、SYN、FIN。
16位窗⼝⼤⼩:⽤来表⽰想收到的每个TCP数据段的⼤⼩。TCP的流量控制由连接的每⼀端通过声明的窗⼝⼤⼩来提供。窗⼝⼤⼩为字节数,起始于
确认序号字段指明的值,这个值是接收端正期望接收的字节。窗⼝⼤⼩是⼀个16字节字段,因⽽窗⼝⼤⼩最⼤为65535字节。
16位校验和:16位TCP 头。源机器基于数据内容计算⼀个数值,收信息机要与源机器数值 结果完全⼀样,从⽽证明数据的有效性。检验和覆盖了整个的TCP 报⽂段:这是⼀个强制性的字段,⼀定是由发送端计算和存储,并由接收端进⾏验证的。
16位紧急指针:指向后⾯是优先数据的字节,在URG 标志设置了时才有效。如果URG 标志没有被设置,紧急域作为填充。加快处理标⽰为紧急的数据段。
选项:长度不定,但长度必须为1个字节。如果没有选项就表⽰这个1字节的域等于0。
数据:该TCP 协议包负载的数据。
在上述字段中,6位标志域的各个选项功能如下。
URG :紧急标志。紧急标志为"1"表明该位有效。ACK :确认标志。表明确认编号栏有效。⼤多数情况下该标志位是置位的。TCP 报头内的确认编号栏内包含的确认编号(w+1)为下⼀个预期的序列编号,同时提⽰远端系统已经成功接收所有数据。PSH :推标志。该标志置位时,接收端不将该数据进⾏队列处理,⽽是尽可能快地将数据转由应⽤处理。在处理Telnet 或rlogin 等交互模式的连接时,该标志总是
置位的。
RST :复位标志。⽤于复位相应的TCP 连接。SYN :同步标志。表明同步序列编号栏有效。该标志仅在三次握⼿建⽴TCP 连接时有效。它提⽰TCP 连接的服务端检查序列编号,该序列编号为TCP 连接初始端(⼀般是客户端)的初始序列编号。在这⾥,可以把TCP 序列编号看作是⼀个范围从0到4,294,967,295的32位计数器。通过TCP 连接交换的数据中每⼀个字节都经过序列编号。在TCP 报头中的序列编号栏包括了TCP 分段中第⼀个字节的序列编号。FIN :结束标志。TCP 三次握⼿
所谓三次握⼿(Three-Way Handshake )即建⽴TCP 连接,就是指建⽴⼀个TCP 连接时,需要客户端和服务端总共发送3个包以确认连接的建⽴。在socket 编程中,这⼀过程由客户端执⾏connect 来触发,整个流程如下图所⽰:
TCP 三次握⼿.png (1)第⼀次握⼿:Client 将标志位SYN 置为1,随机产⽣⼀个值seq=J ,并将该数据包发送给Server ,Client 进⼊SYN_SENT 状态,等待Server 确认。
(2)第⼆次握⼿:Server 收到数据包后由标志位SYN=1知道Client 请求建⽴连接,Server 将标志位SYN 和ACK 都置为1,ack=J+1,随机产⽣⼀个值seq=K ,并将该数据包发送给Client 以确认连接请求,Server 进⼊SYN_RCVD 状态。
(3)第三次握⼿:Client 收到确认后,检查ack 是否为J+1,ACK 是否为1,如果正确则将标志位ACK 置为1,ack=K+1,并将该数据包发送给
Server ,Server 检查ack 是否为K+1,ACK 是否为1,如果正确则连接建⽴成功,Client 和Server 进⼊ESTABLISHED 状态,完成三次握⼿,随后Client 与Server 之间可以开始传输数据了。
简单来说,就是
1、建⽴连接时,客户端发送SYN 包(SYN=i )到服务器,并进⼊到SYN-SEND 状态,等待服务器确认
2、服务器收到SYN 包,必须确认客户的SYN (ack=i+1),同时⾃⼰也发送⼀个SYN 包(SYN=k ),即SYN+ACK 包,此时服务器进⼊SYN-RECV 状态
3、客户端收到服务器的SYN+ACK 包,向服务器发送确认报ACK (ack=k+1),此包发送完毕,客户端和服务器进⼊ESTABLISHED 状态,完成三次握⼿,客户端与服务器开始传送数据。
SYN 攻击:
在三次握⼿过程中,Server 发送SYN-ACK 之后,收到Client 的ACK 之前的TCP 连接称为半连接(half-
open connect ),此时Server 处于SYN_RCVD 状态,当收到ACK 后,Server 转⼊ESTABLISHED 状态。SYN 攻击就是Client 在短时间内伪造⼤量不存在的IP 地址,并向Server 不断地发送SYN
包,Server 回复确认包,并等待Client 的确认,由于源地址是不存在的,因此,Server 需要不断重发直⾄超时,这些伪造的SYN 包将产时间占⽤未连接队列,导致正常的SYN 请求因为队列满⽽被丢弃,从⽽引起⽹络堵塞甚⾄系统瘫痪。SYN 攻击时⼀种典型的DDOS 攻击,检测SYN 攻击的⽅式⾮常简单,即当Server 上有⼤量半连接状态且源IP 地址是随机的,则可以断定遭到SYN 攻击了,使⽤如下命令可以让之现⾏:
#netstat -nap | grep SYN_RECV
TCP四次挥⼿
所谓四次挥⼿(Four-Way Wavehand)即终⽌TCP连接,就是指断开⼀个TCP连接时,需要客户端和服务端总共发送4个包以确认连接的断开。在socket编程中,这⼀过程由客户端或服务端任⼀⽅执⾏close来触发,整个流程如下图所⽰:
TCP四次挥⼿.png
由于TCP连接时全双⼯的,因此,每个⽅向都必须要单独进⾏关闭,这⼀原则是当⼀⽅完成数据发送任务后,发送⼀个FIN来终⽌这⼀⽅向的连接,收到⼀个FIN只是意味着这⼀⽅向上没有数据流动了,即不会再收到数据了,但是在这个TCP连接上仍然能够发送数据,直到这⼀⽅向也发送了FIN。⾸先进⾏关闭的⼀⽅将执⾏主动关闭,⽽另⼀⽅则执⾏被动关闭,上图描述的即是如此。
(1)第⼀次挥⼿:Client发送⼀个FIN,⽤来关闭Client到Server的数据传送,Client进⼊FIN_WAIT_1状态。
(2)第⼆次挥⼿:Server收到FIN后,发送⼀个ACK给Client,确认序号为收到序号+1(与SYN相同,⼀个FIN占⽤⼀个序号),Server进⼊CLOSE_WAIT状态。
(3)第三次挥⼿:Server发送⼀个FIN,⽤来关闭Server到Client的数据传送,Server进⼊LAST_ACK状态。
(4)第四次挥⼿:Client收到FIN后,Client进⼊TIME_WAIT状态,接着发送⼀个ACK给Server,确认序号为收到序号+1,Server进⼊CLOSED状态,完成四次挥⼿。
为什么建⽴连接是三次握⼿,⽽关闭连接却是四次挥⼿呢?
这是因为服务端在LISTEN状态下,收到建⽴连接请求的SYN报⽂后,把ACK和SYN放在⼀个报⽂⾥发
送给客户端。⽽关闭连接时,当收到对⽅的FIN 报⽂时,仅仅表⽰对⽅不再发送数据了但是还能接收数据,⼰⽅也未必全部数据都发送给对⽅了,所以⼰⽅可以⽴即close,也可以发送⼀些数据给对⽅后,再发送FIN报⽂给对⽅来表⽰同意现在关闭连接,因此,⼰⽅ACK和FIN⼀般都会分开发送。
为什么TIME_WAIT状态需要经过2MSL(最⼤报⽂段⽣存时间)才能返回到CLOSE状态?
原因有⼆:
⼀、保证TCP协议的全双⼯连接能够可靠关闭
⼆、保证这次连接的重复数据段从⽹络中消失
先说第⼀点,如果Client直接CLOSED了,那么由于IP协议的不可靠性或者是其它⽹络原因,导致Server没有收到Client最后回复的ACK。那么Server 就会在超时之后继续发送FIN,此时由于Client已经CLOSED了,就不到与重发的FIN对应的连接,最后Server就会收到RST⽽不是ACK,Server就会以为是连接错误把问题报告给⾼层。这样的情况虽然不会造成数据丢失,但是却导致TCP协议不符合可靠连接的要求。所以,Client不是直接进⼊CLOSED,⽽是要保持TIME_WAIT,当再次收到FIN的时候,能够保证对⽅收到ACK,最后正确的关闭连接。
再说第⼆点,如果Client直接CLOSED,然后⼜再向Server发起⼀个新连接,我们不能保证这个新连接
与刚关闭的连接的端⼝号是不同的。也就是说有可能新连接和⽼连接的端⼝号是相同的。⼀般来说不会发⽣什么问题,但是还是有特殊情况出现:假设新连接和已经关闭的⽼连接端⼝号是⼀样的,如果前⼀次连接的某些数据仍然滞留在⽹络中,这些延迟数据在建⽴新连接之后才到达Server,由于新连接和⽼连接的端⼝号是⼀样的,⼜因为TCP协议判断不同连接的依据是socket pair,于是,TCP协议就认为那个延迟的数据是属于新连接的,这样就和真正的新连接的数据包发⽣混淆了。所以TCP连接还要在TIME_WAIT状态等待2倍MSL,这样可以保证本次连接的所有数据都从⽹络中消失。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论