TCP三次握手与Linux的TCP内核参数优化

感谢各位技术大佬的资料分享,这里我把我理解的内容做一个整理

一:TCP的三次握手

1、TCP简述

  TCP是一个面向连接的协议,在连接双方发送数据之前,首先需要建立一条连接。TCP建立连接可以简单称为:三次握手(说白了就是建立一个TCP连接的时候,客户端和服务端总共要发3个包,socket编程里面执行connect()的时候,将触发三次握手),断开TCP连接可以叫做四次握手(socket编程里面任何一方执行close()操作即可产生挥手动作)。

2、连接的建立

TCP三次握手与Linux的TCP内核参数优化

解释:

  最初两端的TCP进程都处于CLOSED关闭状态,A主动打开连接,而B被动打开连接。(A、B关闭状态CLOSED——B收听状态LISTEN——A同步已发送状态SYN-SENT——B同步收到状态SYN-RCVD——A、B连接已建立状态ESTABLISHED

  • B的TCP服务器进程先创建传输控制块TCB,准备接受客户进程的连接请求。然后服务器进程就处于LISTEN(收听)状态,等待客户的连接请求。若有,则作出响应。
  • 第一次握手:A的TCP客户进程也是首先创建传输控制块TCB,然后向B发出连接请求报文段,(首部的同步位SYN=1,初始序号seq=x),(SYN=1的报文段不能携带数据)但要消耗掉一个序号,此时TCP客户进程进入SYN-SENT(同步已发送)

TCP三次握手与Linux的TCP内核参数优化

  • 第二次握手:B收到连接请求报文段后,如同意建立连接,则向A发送确认,在确认报文段中(SYN=1,ACK=1,确认号ack=x+1,初始序号seq=y),测试TCP服务器进程进入SYN-RCVD(同步收到)状态;

TCP三次握手与Linux的TCP内核参数优化

  • 第三次握手:TCP客户进程收到B的确认后,要向B给出确认报文段(ACK=1,确认号ack=y+1,序号seq=x+1)(初始为seq=x,第二个报文段所以要+1),ACK报文段可以携带数据,不携带数据则不消耗序号。TCP连接已经建立,A进入ESTABLISHED(已建立连接)。

TCP三次握手与Linux的TCP内核参数优化

  • 当B收到A的确认后,也进入ESTABLISHED状态。

TCP header:

TCP三次握手与Linux的TCP内核参数优化

详细内容解释:

TCP三次握手与Linux的TCP内核参数优化

TCP的状态总结:

  • 第六列为socket的状态,通常仅仅有tcp的状态,状态值可能有ESTABLISHED,SYN_SENT,SYN_RECV FIN_WAIT1,FIN_WAIT2,TIME_WAIT等,详见下文。其中,最重要的是第六列。
  • ESTABLISHED

    socket已经建立连接,表示处于连接的状态,一般认为有一个ESTABLISHED认为是一个服务的并发连接。这个连接状态在生产场景很重要,要重点关注。

  • SYN_SENT

    socket正在积极尝试建立一个连接,即处于发送后连接前的一个等待但未匹配进入连接的状态。

  • SYN_RECV

    已经从网络上收到一个连接请求。

  • FIN_WAIT1

    socket已关闭,连接正在或正要关闭。

  • FIN_WAIT2

    连接已关闭,并且socket正在等待远端结束。

  • TIME_WAIT

    socket正在等待关闭处理仍在网络上的数据包,这个连接状态在生产场景很重要,要重点关注。

  • CLOSE_WAIT

    远端已经结束,等待socket关闭。

  • LAST_ACK

    远端已经结束,并且socket也已关闭,等待acknowl-edgement。

  • LISTEN

    socket正在监听连接请求。

  • CLOSING

    sockets关闭,但是我们仍旧没有发送数据。

  • UNKNOWN

    未知的状态。

SYN攻击

  在三次握手过程中,服务器发送SYN,ACK之后,收到客户端的ACK之前的TCP连接称为半连接(half-open connect)。此时服务器处于Syn_RECV状态。当收到ACK后,服务器转入ESTABLISHED状态。
  Syn攻击就是 攻击客户端 在短时间内伪造大量不存在的IP地址,向服务器不断地发送syn包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直 至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。
Syn攻击是一个典型的DDOS攻击。检测SYN攻击非常的方便,当你在服务器上看到大量的半连接状态时,特别是源IP地址是随机的,基本上可以断定这是一次SYN攻击。在LINUX下可以如下命令检测是否被Syn攻击:

[root@rsync_test ~]# netstat -n | awk '/^tcp/ {++sam[$NF]} END {for(num in sam)print num,sam[num]}'
TIME_WAIT 30
FIN_WAIT1 1
ESTABLISHED 615
SYN_RECV 2

3、Linux系统TCP内核参数优化

  • 两种修改内核参数的方法:

    1.使用echo value方式直接追加到文件里如echo "1" >/proc/sys/net/ipv4/tcp_syn_retries,但这种方法设备重启后又会恢复为默认值

    2.把参数添加到/etc/sysctl.conf中,然后执行sysctl -p使参数生效,永久生效

  • 下列文件所在目录:/proc/sys/net/ipv4/

TCP三次握手与Linux的TCP内核参数优化

  • 所处目录/proc/sys/net/ipv4/netfilter/,文件需要打开防火墙才会存在

TCP三次握手与Linux的TCP内核参数优化

TCP三次握手与Linux的TCP内核参数优化

4、客户端状态变化描述

CLOSED->SYN_SENT->ESTABLISHED->FIN_WAIT_1->FIN_WAIT_2->TIME_WAIT->CLOSED

5、服务端状态变化描述

CLOSED->LISTEN->SYN_RECVD->ESTABLISHED->CLOSE_WAIT->LAST_ACK->CLOSED

TCP三次握手与Linux的TCP内核参数优化

上一篇:内核参数优化/etc/sysctl.conf


下一篇:linux的ugo权限修改chmod命令