陈桥驿站 陈桥驿站

TCP三次握手和SYN攻击

--> 计算机网络,面试 阅读 ( 245 ) 文章转载请注明来源!

前言

在日常分析和定位生产环境的问题时,经常会碰到各种各样的网络问题,查看应用监听端口上连接的数量、各种状态的连接数量分布成为常用的手段之一。但一些同学看不懂使用netstat过滤出来的各种状态是什么含义以及各种状态的连接数量分布可能存在什么问题。

其实只要弄懂了TCP/IP建立连接(即三次握手)和关闭连接(即四次挥手),上面的问题迎刃而解。这也是为什么TCP三次握手四次挥手是面试中出现频率最高的问题之一。这篇文章主要就来总结下三次握手及其三次握手可能带来的一个问题---SYN攻击。

TCP三次握手过程

下面是TCP三次握手的示意图,基本上讲TCP三次握手的文章都会拿下面这幅图来讲解,这里也不例外。

第一次握手

Client首先发送SYN(Synchronization)报文给Server,此时,Client进入SYN_SENT状态,等待Server端确认;注:SYN报文的特点:SYN标识位置1,随机产生一个值SEQ=X,占用一个序列号。

第二次握手

Server收到Client发过来的SYN包后知道Client请求建立连接,将产生一个SYN+ACK包发送给Client以确认连接请求,此时Server进入SYN_RCVD状态;注:SYN+ACK包的特点:SYN和ACK标识位都为1,ACK=X+1,随机产生的SEQ=Y。

第三次握手

Client收到Server的SYN+ACK包,向Server发送确认包ACK(ack=Y+1),此包发送完毕,client和server进入ESTABLISHED(TCP连接成功)状态,完成三次握手。

完成三次握手,客户端与服务器开始传送数据,其实在第三次握手的同时,Client就可以向Sever发送数据了。

为什么是三次握手

关于三次握手的目的,谢希仁的《计算机网络》中这么说“为了防止已失效的连接请求报文段突然又传送到了服务端,因而产生错误”。

“已失效的连接请求报文段”的产生在这样一种情况下:Client发出的第一个连接请求报文段并没有丢失,而是在某个网络结点长时间的滞留了,以致延误到连接释放以后的某个时间才到达Server。本来这是一个早已失效的报文段。但Server收到此失效的连接请求报文段后,就误认为是client再次发出的一个新的连接请求。于是就向Client发出确认报文段,同意建立连接。

假设不采用“三次握手”,那么只要Server发出确认,新的连接就建立了。由于现在Client并没有发出建立连接的请求,因此不会理睬Server的确认,也不会向Server发送数据。但Server却以为新的运输连接已经建立,并一直等待Client发来数据。这样,Server的很多资源就白白浪费掉了。采用“三次握手”的办法可以防止上述现象发生。例如刚才那种情况,Client不会向Server的确认发出确认。Server由于收不到确认,就知道client并没有要求建立连接。”

三次握手
A:“喂,你听得到吗?”
B:“我听得到呀,你听得到我吗?”
A:“我能听到你”,今天blabla.....
三次握手正常建立连接
两次握手
A:“喂,你听得到吗?”
B:“我听得到呀”         
A:“喂,你听得到吗?” ----问题:A有可能没听到B的回答
B:“草,我听得到呀!!!!”
A:“你TM能不能听到我讲话啊!!喂!”
两次握手不能保证成功率
四次握手
A:“喂,你听得到吗?”
B:“我听得到呀,你听得到我吗?”
A:“我能听到你
B:你能听到我吗?     ----问题:这次完全是没必要的
A:“……不想跟傻逼说话”    
四次握手纯粹是浪费资源

SYN攻击

如果理解了TCP三次握手的原理,再来理解SYN攻击相信不是什么难事了。下面来看看SYN攻击的原理。

在三次握手过程中,Server发送SYN-ACK之后,收到Client的ACK之前的TCP连接称为半连接(half-open connect),此时Server处于SYN_RCVD状态,当收到ACK后,Server转入ESTABLISHED状态。

SYN攻击就是Client在短时间内伪造大量不存在的IP地址,并向Server不断地发送SYN包,Server回复确认包,并等待Client的确认,由于源地址是不存在的,因此,Server需要不断重发直至超时,这些伪造的SYN包将产时间占用未连接队列(内核会为每个这样的连接分配资源的),导致正常的SYN请求因为队列满而被丢弃,从而引起网络堵塞甚至系统瘫痪。SYN攻击时一种典型的DDOS攻击,检测SYN攻击的方式非常简单,即当Server上有大量半连接状态且源IP地址是随机的,则可以断定遭到SYN攻击了。

本文基于《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》许可协议授权
文章链接:http://www.cctv3.net/archives/tcpSYN.html (转载时请注明本文出处及文章链接)

计算机网络面试
发表新评论
雷姆
拉姆