TCP三次握手与Linux的TCP内核参数优化

感谢各位技术大佬的资料分享，这里我把我理解的内容做一个整理

一：TCP的三次握手

1、TCP简述

　　TCP是一个面向连接的协议，在连接双方发送数据之前，首先需要建立一条连接。TCP建立连接可以简单称为：三次握手（说白了就是建立一个TCP连接的时候，客户端和服务端总共要发3个包，socket编程里面执行connect()的时候，将触发三次握手），断开TCP连接可以叫做四次握手（socket编程里面任何一方执行close()操作即可产生挥手动作）。

2、连接的建立

解释：

　　最初两端的TCP进程都处于CLOSED关闭状态，A主动打开连接，而B被动打开连接。（A、B关闭状态CLOSED——B收听状态LISTEN——A同步已发送状态SYN-SENT——B同步收到状态SYN-RCVD——A、B连接已建立状态ESTABLISHED）

• B的TCP服务器进程先创建传输控制块TCB，准备接受客户进程的连接请求。然后服务器进程就处于LISTEN（收听）状态，等待客户的连接请求。若有，则作出响应。

• 第一次握手：A的TCP客户进程也是首先创建传输控制块TCB，然后向B发出连接请求报文段，（首部的同步位SYN=1，初始序号seq=x），（SYN=1的报文段不能携带数据）但要消耗掉一个序号，此时TCP客户进程进入SYN-SENT（同步已发送）

• 第二次握手：B收到连接请求报文段后，如同意建立连接，则向A发送确认，在确认报文段中（SYN=1，ACK=1，确认号ack=x+1，初始序号seq=y），测试TCP服务器进程进入SYN-RCVD（同步收到）状态；

• 第三次握手：TCP客户进程收到B的确认后，要向B给出确认报文段（ACK=1，确认号ack=y+1，序号seq=x+1）（初始为seq=x，第二个报文段所以要+1），ACK报文段可以携带数据，不携带数据则不消耗序号。TCP连接已经建立，A进入ESTABLISHED（已建立连接）。

• 当B收到A的确认后，也进入ESTABLISHED状态。

TCP header：

详细内容解释：

TCP的状态总结：

• 第六列为socket的状态，通常仅仅有tcp的状态，状态值可能有ESTABLISHED，SYN_SENT，SYN_RECV FIN_WAIT1，FIN_WAIT2，TIME_WAIT等，详见下文。其中，最重要的是第六列。
• ESTABLISHED

　　　　socket已经建立连接，表示处于连接的状态，一般认为有一个ESTABLISHED认为是一个服务的并发连接。这个连接状态在生产场景很重要，要重点关注。

• SYN_SENT

　　　　socket正在积极尝试建立一个连接，即处于发送后连接前的一个等待但未匹配进入连接的状态。

• SYN_RECV

　　　　已经从网络上收到一个连接请求。

• FIN_WAIT1

　　　　socket已关闭，连接正在或正要关闭。

• FIN_WAIT2

　　　　连接已关闭，并且socket正在等待远端结束。

• TIME_WAIT

　　　　socket正在等待关闭处理仍在网络上的数据包，这个连接状态在生产场景很重要，要重点关注。

• CLOSE_WAIT

　　　　远端已经结束，等待socket关闭。

• LAST_ACK

　　　　远端已经结束，并且socket也已关闭，等待acknowl-edgement。

• LISTEN

　　　　socket正在监听连接请求。

• CLOSING

　　　　sockets关闭，但是我们仍旧没有发送数据。

• UNKNOWN

　　　　未知的状态。

SYN攻击

　　在三次握手过程中，服务器发送SYN，ACK之后，收到客户端的ACK之前的TCP连接称为半连接(half-open connect)。此时服务器处于Syn_RECV状态。当收到ACK后，服务器转入ESTABLISHED状态。
　　Syn攻击就是 攻击客户端 在短时间内伪造大量不存在的IP地址，向服务器不断地发送syn包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直 至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。
Syn攻击是一个典型的DDOS攻击。检测SYN攻击非常的方便，当你在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本上可以断定这是一次SYN攻击。在LINUX下可以如下命令检测是否被Syn攻击：

[root@rsync_test ~]# netstat -n | awk '/^tcp/ {++sam[$NF]} END {for(num in sam)print num,sam[num]}'
TIME_WAIT 30
FIN_WAIT1 1
ESTABLISHED 615
SYN_RECV 2

3、Linux系统TCP内核参数优化

• 两种修改内核参数的方法：

　　　　1.使用echo value方式直接追加到文件里如echo "1" >/proc/sys/net/ipv4/tcp_syn_retries，但这种方法设备重启后又会恢复为默认值

　　　　2.把参数添加到/etc/sysctl.conf中，然后执行sysctl -p使参数生效，永久生效

• 下列文件所在目录：/proc/sys/net/ipv4/

• 所处目录/proc/sys/net/ipv4/netfilter/，文件需要打开防火墙才会存在

• 文件所处目录/proc/sys/net/core/

4、客户端状态变化描述

CLOSED->SYN_SENT->ESTABLISHED->FIN_WAIT_1->FIN_WAIT_2->TIME_WAIT->CLOSED

5、服务端状态变化描述

CLOSED->LISTEN->SYN_RECVD->ESTABLISHED->CLOSE_WAIT->LAST_ACK->CLOSED