TCP/IP三次挥手，四次断开（精简）

很多协议都是基于TCP/IP协议的基础之上进行工作的，可能我们了解这些原理近期看来并无实际作用，因为它不像如一些web服务器配置一样，配置了我就可以使用，就可以提供服务。

但是从我们长远发展角度来看，这些原理则显得至关重要，我们知道了它是怎么工作的。如果用原理这个层面作为一个界限；熟知原理的，和不熟知原理的本就不是一个技术层面的。

一、TCP/IP三次握手

为什么要三次握手，为什么说TCP/IP协议相对于udp要可靠好多。

举一个例子就如：平时利用移动网络聊天时，我们已经知道现在信号不太好，要保证聊天的质量，会先进行确认。

喂，你可以听到吗。

听得到，你可以听到我说话吗。

听到了，我们可以进行聊天了

映射到TCP/IP协议握手：

注意：：

传输包的过程当中ACK和ack的区别，ACK=1表示：确认收到的意思。而ack是确认的号码，为对端发过来的seq+1。

第一次握手，客户端：Client将标志位SYN置为1，随机产生一个值seq=J，并将该数据包发送给Server，Client进入SYN_SENT状态，等待Server确认。

第二次握手，服务端：Server收到数据包后由标志位SYN=1知道Client请求建立连接，Server将标志位SYN和ACK都置为1，ack (number )=J+1，随机产生一个值seq=K，并将该数据包发送给Client以确认连接请求，Server进入SYN_RCVD状态。

第三次握手，客户端：Client收到确认后，检查ack是否为J+1，ACK是否为1，如果正确则将标志位ACK置为1，ack=K+1，并将该数据包发送给Server，Server检查ack是否为K+1，ACK是否为1，如果正确则连接建立成功，Client和Server进入ESTABLISHED状态，完成三次握手，随后Client与Server之间可以开始传输数据了。

二、TCP/IP四次断开

那四次断开就是终止TCP连接，断开连接时，需要客户端和服务端共发送四个包已确认连接的断开

1. 确保数据能够完整传输。
2. 当被动方收到主动方的FIN报文通知时，它仅仅表示主动方没有数据再发送给被动方了。
3. 但未必被动方所有的数据都完整的发送给了主动方，所以被动方不会马上关闭SOCKET,它可能还需要发送一些数据给主动方后，
4. 再发送FIN报文给主动方，告诉主动方同意关闭连接，所以这里的ACK报文和FIN报文多数情况下都是分开发送的。

第一次断开，Client发送一个FIN（FIN标志位表示释放一个连接），关闭Client到Server的数据传送，Client进入FIN_WAIT_1状态。

第二次断开，Server收到FIN后，发送一个ACK给Client，确认序号为收到序号+1（与SYN相同，一个FIN占用一个序号），Server进入CLOSE_WAIT状态。

第三次断开，Server发送一个FIN，用来关闭Server到Client的数据传送，Server进入LAST_ACK状态。

第四次断开，Client收到FIN后，Client进入TIME_WAIT状态，接着发送一个ACK给Server，确认序号为收到序号+1，Server进入CLOSED状态，完成四次挥手。

三、为什么建立连接是三次握手，而关闭连接却是四次挥手呢？

这是因为服务端在LISTEN状态下，收到建立连接请求的SYN报文后，把ACK和SYN放在一个报文里发送给客户端。而关闭连接时，当收到对方的FIN报文时，仅仅表示对方不再发送数据了但是还能接收数据，己方也未必全部数据都发送给对方了，所以己方可以立即close，也可以发送一些数据给对方后，再发送FIN报文给对方来表示同意现在关闭连接，因此，己方ACK和FIN一般都会分开发送。

四、 SYN攻击

在三次握手过程中，Server发送SYN-ACK之后，收到Client的ACK之前的TCP连接称为半连接（half-open connect），此时Server处于SYN_RCVD状态，当收到ACK后，Server转入ESTABLISHED状态。SYN攻击就是Client在短时间内伪造大量不存在的IP地址，并向Server不断地发送SYN包，Server回复确认包，并等待Client的确认，由于源地址是不存在的，因此，Server需要不断重发直至超时，这些伪造的SYN包将长时间占用未连接队列，导致正常的SYN请求因为队列满而被丢弃，从而引起网络堵塞甚至系统瘫痪。SYN攻击时一种典型的DDOS攻击，检测SYN攻击的方式非常简单，即当Server上有大量半连接状态且源IP地址是随机的，则可以断定遭到SYN攻击了，使用如下命令可以让之现行：

netstat -nap | grep SYN_RECV

参考文章，非常感谢大神铺路