tcp三次握手原理(简述tcp三次握手原理)

TCP三次握手及原理 TCP/IP是很多的不同的协议组成，实际上是一个协议组，TCP用户数据报表协议(也称作TCP传输控制协议，Transport Control Protocol。可靠的主机到主机层协议。这里要先强调一下，传输控制协议是OSI网络的第四层的叫法，TCP传输控制协议是TCP/IP传输的6个基本协议的一种。两个TCP意思非相同。 )。TCP是一种可靠的面向连接的传送服务。它在传送数据时是分段进行的，主机交换数据必须建立一个会话。它用比特流通信，即数据被作为无结构的字节流。 通过每个TCP传输的字段指定顺序号，以获得可靠性。是在OSI参考模型中的第四层，TCP是使用IP的网间互联功能而提供可靠的数据传输，IP不停的把报文放到 网络上，而TCP是负责确信报文到达。在协同IP的操作中TCP负责：握手过程、报文管理、流量控制、错误检测和处理（控制），可以根据一定的编号顺序对非正常顺序的报文给予从新排列顺序。关于TCP的RFC文档有RFC793、RFC791、RFC1700。 在TCP会话初期，有所谓的“三握手”：对每次发送的数据量是怎样跟踪进行协商使数据段的发送和接收同步，根据所接收到的数据量而确定的数据确认数及数据发送、接收完毕后何时撤消联系，并建立虚连接。为了提供可靠的传送，TCP在发送新的数据之前，以特定的顺序将数据包的序号，并需要这些包传送给目标机之后的确认消息。TCP总是用来发送大批量的数据。当应用程序在收到数据后要做出确认时也要用到TCP。由于TCP需要时刻跟踪，这需要额外开销，使得TCP的格式有些显得复杂。
挑战握手协议（Challenge-Handshake Authentication Protocol）是一个用来验证用户，接入因特网接入服务提供者的验证协议authentication protocol。 RFC 1994详细定义了CHAP。CHAP 用于使用3次握手周期性的验证对端身份。在链路建立初始化时这样做，也可以在链路建立后任何时间重复验证。在链路建立完成后，验证者向对端发送一个“challenge”信息。对端使用一个“one-way-hash”函数计算出的值响应这个信息。验证者使用自己计算的hash值校验响应值。如果两个值匹配，则验证是承认得，否则连接应该终止。 在随机时间，验证端发送一个“challenge”给对端，重复1到3步。

原理四个主要方面：一、tcp协议之连接建立、断开二、tcp协议之超时重传三、tcp协议之窗口管理四、tcp协议之拥塞控制TCP是一种面向有连接的协议，也就是说必须确认对方存在时才能发送数据而TCP通过检验和、序列号、确认应答、重发控制、连接管理、窗口控制等机制来实现可靠传输。1. 目的：TCP三次握手是客户端和服务器总共发三个数据包，通过三个数据包来确认主动发送能力和被动接收能力是否正常。2. 实质：通过指定的四元组（源地址、源端口、目标地址、目标端口）来建立TCP连接，同步双方各自发送序列号seq和确认号ACK，同时也会交换窗口大小信息三次握手过程的实现方式就是交换序列号seq。随便在网上找个地址，如果通过域名想看ip地址，可以ping下看连接。① 192.168.3.7发送[SYN]报文段至222.169.228.146，告知序列号x为0。② 222.169.228.146发送[SYN，ACK]报文段至192.168.3.7，告知序列号y为0，确认号ACK为x+1=1。③192.168.3.7发送[ACK]报文段至222.169.228.146，告知确认号ACK为y+1=1。报文段中的其他参数：MSS=1460：允许从对方接收到的最大报文段，图中为1460字节（指承载的数据，不包含报文段的头部）。win=8192：滑动窗口的大小为8192字节。SACK_PERM=1：开启选择确认。为什么会使用SACK：tcp确认方式不是一段报文段一确认，而是采用累积确认方式。服务器接收到的报文段无序所以序列号也是不连续，服务器的接收队列会出现空洞情况。为了解决空洞，提前了解当前空洞，应对丢失遗漏，采取重传。提前了解方式就是通过SACK选项信息，SACK信息包含接收方已经成功接收的数据块的序列号范围。而SACK_PERM字段为1表明，选择开启了SACK功能。网络层可能会出现丢失、重复、乱序的问题，tcp是提供可靠的数据传输服务的，为了保证数据的正确性，tcp协议会重传它认为的已经丢失的包。重传两种机制：一种基于时间重传，一种基于确认报文段提供的信息重传。RTT：数据完全发送完（完成最后一个比特推送到数据链路上）到收到确认信号的时间（往返时间）。RTO：重传超时时间（tcp发送数据时设置一个计时器，当计时器超时没有收到数据确认信息，引发超时而重传，判断的标准就是RTO）。思考：发送序列号为1、2、3、4这4个报文段，但是出现了序列号2报文段丢失，怎么办？发送端接收到seq1的确认报文（ACK=2）后，等待seq=2的确认报文。接收端当收到序列号为3的报文（2已丢失），发送ack为4的确认报文，发送端正等待ack为2的确认报文，面对跳跃的报文，那么发送端会一直等待，直到超出指定时间，重传报文2。为什么不跳跃确认呢？tcp是累积确认方式，如果确认报文3，那么意味着报文1和报文2都已经成功接收。超时处理方式：思考：上面计时器是以时间为标准重传，那么可以通过确认报文的次数来决定重传。发送端接收到seq1的确认报文（ACK=2）后，等待seq=2的确认报文。接收端收到报文3、4、5，但是没收到报文2，那么接收端发送三个ACK为2的确认报文，发送端收到这个三个确认报文，重传报文2。思考：如果快速重传中丢失包的地方很多（报文2，报文,7，报文9，报文30，报文300....），那么需要从头到尾都重传，这很蛋疼？思考：SACK重传对于接收到重复数据段怎样运作没有明确规定，通过DSACK重传可以让发送方知道哪些数据被重复接收了，而且明确是什么原因造成的。发送端没有收到100-199的ACK包，超过指定时间，重传报文。接收端都已经收到200-299的发送报文了，又来100-199是重复报文。再向发送端发送一个ACK报文，设置SACK 100-199,告知发送端，已经收到了100-199包，只是回应ACK包丢失。发送端发送包100-199，由于网络延迟，一直没有达到接收端。接收端连续发送三个ACK 200确认报文，触发快速重传，发送端收到了ACK 500的确认报文，表明之前的报文都已经交付成功。接收端又收到了延迟的报文100-199，再次向发送端发送一个SACK 100-199的ACK 500报文。发送端发现这是重复报文，判断为网络延迟造成的。计时器重传：根据超时，重传。快速重传：根据接收三次相同ACK报文，重传。选择确认重传：根据接收端提供的SACK信息，重传。DSACK重传：根据重复报文，明确丢失ACK报文还是网络延迟。Category1：已发送且已确认（已经收到ACK报文的数据）。Category2：已发送但未收到确认。Category3：即将发送。Category4：窗口移动前都不能发送。可用窗口：46-51字节。发送窗口：32-51字节。RCV.NXT：左边界RCV.WND：接收窗口RCV.NXT+RCV.WND：右边界接收端接收到序列号小于左边界，那么被认为重复数据而被丢弃。接收端接收到序列号大于右边界，那么被认为超出处理范围，丢弃。注意：tcp协议为累积ACK结构，只有当达到数据序列号等于左边界时，数据才不会被丢弃。如果窗口更新ACK丢失，对于发送端，窗口左边界右移，已发送数据得到ACK确认之后，左右边界距离减小，发送端窗口会减小，当左右边界相等时，称为零窗口。零窗口之后：接收端发送窗口更新能会发生窗口更新ACK丢失。<>解释：TCP是通过接收端的通告窗口来实现流量控制的，通告窗口指示了接收端可接收的数据量。当窗口值变为0时，可以有效阻止发送端继续发送，直到窗口大小恢复为非零值。当接收端重新获得可用空间时，会给发送端传输一个窗口更新告知其可继续发送数据。这样的窗口更新通常都不包含数据（纯ACK），接收端向发送端发送的窗口更新ACK可能丢失。结果双方处于等待状态，发生死锁。解决方案：发送端会采用一个持续计时器间歇性地查询接收端，看其窗口是否已增长。触发窗口探测，强制要求接收端返回ACK。发送几次探测，窗口大小还是0，那么断开连接。出现SWS的情况：① 接收端通告窗口太小。② 发送端发送的数据太小。解决方案：① 针对接收端：不应通告小窗口值[RFC1122]描述：在窗口可增至一个全长的报文段（接收端MSS）或者接收端缓存空间的一半（取两者中较小值）之前，不能通告比当前窗口更大的窗口值。标准：min（MSS , 缓存空间/2）。② 针对发送端：不应发送小的报文至少满足以下其一：（1）可以发送MSS字节的报文。window size >= MSS或者 数据大小>=MSS（2）数据段长度>=接收端通告过的最大窗口值的一半，才可以发送。收到之前发送的数据的ack回包，再发送数据，否则一直攒数据。（3） -1 没有未经确认的在传数据或者-2 连接禁用Nagle算法。tcp基于ACK数据包中的通告窗口大小字段实现了流量控制。当网络大规模通信负载而瘫痪，默认网络进入拥塞状态，减缓tcp的传输。发送方和接收方被要求承担超负荷的通信任务时，采取降低发送速率或者最终丢弃部分数据的方法。反映网络传输能力的变量称为拥塞窗口（cwnd）。通告窗口（awnd）。发送窗口swnd=min（cwnd，awnd）目的：tcp在用拥塞避免算法探寻更多可用带宽之前得到cwnd值，帮助tcp建立ACK时钟。[RFC5681] ：在传输初始阶段，由于未知网络传输能力，需要缓慢探测可用传输资源，防止短时间内大量数据注入导致拥塞。慢启动算法针对这一问题而设计。在数据传输之初或者重传计时器检测到丢包后，需要执行慢启动。拥塞窗口值：每收到一个ACK值，cwnd扩充一倍。所以假设没有丢包且每个数据包都有相应ACK值，在k轮后swnd=，成指数增长。SMSS是发送方的最大段大小。慢启动阶段，cwnd会指数增长，很快，帮助确立一个慢启动阙值（ssthresh）。有了阙值，tcp会进入拥塞避免阶段，cwnd每次增长值近似于成功传输的数据段大小，成线性增长。实现公式：cwnd+=SMSS*SMSS/cwnd刚建立连接使用慢启动算法，初始窗口为4，收到一次ACK后，cwnd变为8，再收到一次ACK后，cwnd变为16，依次继续，32、64，达到阙值ssthresh为64。开始使用拥塞避免算法，设置ssthresh为ssthresh/2，值为32。重新从初始窗口4，线性递增到ssthresh=32。当cwnd < ssthresh时，使用慢启动算法当cwnd > ssthresh时，使用拥塞避免算法应用快速恢复算法时机：启动快速重传且正常未失序ACK段达到之前。启动快速恢复算法。实现过程：① 将ssthresh设置为1/2 cwnd，将cwnd设置为ssthresh+3*SMSS。② 每接收一个重复ACK，cwnd值暂时增加1 SMSS。③当接收到新数据ACK后，将cwnd设置为ssthresh。参考:<>

CP/IP 是很多的不同的协议组成，实际上是一个协议组，TCP 用户数据报表协议(也 称作TCP 传输控制协议，Transport Control Protocol。可靠的主机到主机层协议。这里要先强调一下，传输控制协议是OSI 网络的第四层的叫法，TCP 传输控制协议是TCP/IP 传输的6 个基本协议的一种。两个TCP 意思非相同。)。TCP 是一种可靠的面向连接的传送服务。它在传送数据时是分段进行的，主机交换数据必须建立一个会话。它用比特流通信，即数据 明报文接收计算机上的应用程序地址接口。TCP 序列号（序列码,Sequence Number）：32 位的序列号由接收端计算机使用，重新分段的报文成最初形式。当SYN 出现，序列码实际上是初始序列码（ISN），而第一个数据字节是ISN+1。这个序列号（序列码）是可以补偿传输中的不一致。TCP 应答号(Acknowledgment Number)：32 位的序列号由接收端计算机使用，重组分段的报文成最初形式。，如果设置了ACK 控制位，这个值表示一个准备接收的包的序列码。数据偏移量(HLEN)：4 位包括TCP 头大小，指示何处数据开始。保留(Reserved)：6 位值域，这些位必须是0。为了将来定义新的用途所保留。标志(Code Bits)：6 位标志域。表示为：紧急标志、有意义的应答标志、推、重置连接标志、同步序列号标志、完成发送数据标志。按照顺序排列是：URG、ACK、PSH、RST、SYN、FIN。窗口(Window)：16 位，用来表示想收到的每个TCP 数据段的大小。校验位(Checksum)：16 位TCP 头。源机器基于数据内容计算一个数值，收信息机要与源机器数值结果完全一样，从而证明数据的有效性。优先指针（紧急,Urgent Pointer）：16 位，指向后面是优先数据的字节，在URG标志设置了时才有效。如果URG 标志没有被设置，紧急域作为填充。加快处理标示为紧急的数据段。选项(Option)：长度不定，但长度必须以字节。如果没有选项就表示这个一字节的域等于0。填充：不定长，填充的内容必须为0，它是为了数学目的而存在。目的是确保空间的可预测性。保证包头的结合和数据的开始处偏移量能够被32 整除，一般额外的零以保证TCP 头是32 位的整数倍。标志控制功能URG：紧急标志紧急(The urgent pointer) 标志有效。紧急标志置位，ACK：确认标志确认编号(Acknowledgement Number)栏有效。大多数情况下该标志位是置位的。TCP 报头内的确认编号栏内包含的确认编号(w+1，Figure：1)为下一个预期的序列编号，同时提示远端系统已经成功接收所有数据。PSH：推标志该标志置位时，接收端不将该数据进行队列处理，而是尽可能快将数据转由应用处理。在处理telnet 或rlogin 等交互模式的连接时，该标志总是置位的。RST：复位标志复位标志有效。用于复位相应的TCP 连接。SYN：同步标志同步序列编号(Synchronize Sequence Numbers)栏有效。该标志仅在三次握手建立TCP 连接时有效。它提示TCP 连接的服务端检查序列编号，该序列编号为TCP 连接初始端(一般是客户端)的初始序列编号。在这里，可以把TCP 序列编号看作是一个范围从0 到4，294，967，295 的32 位计数器。通过TCP 连接交换的数据中每一个字节都经过序列编号。在TCP 报头中的序列编号栏包括了TCP 分段中第一个字节的序列编号。FIN：结束标志带有该标志置位的数据包用来结束一个TCP 回话，但对应端口仍处于开放状态，准备接收后续数据。服务端处于监听状态，客户端用于建立连接请求的数据包(IP packet)按照TCP/IP协议堆栈组合成为TCP 处理的分段(segment)。分析报头信息： TCP 层接收到相应的TCP 和IP 报头，将这些信息存储到内存中。检查TCP 校验和(checksum)：标准的校验和位于分段之中(Figure：2)。如果检验失败，不返回确认，该分段丢弃，并等待客户端进行重传。查找协议控制块(PCB{})：TCP 查找与该连接相关联的协议控制块。如果没有找到，TCP 将该分段丢弃并返回RST。(这就是TCP 处理没有端口监听情况下的机制) 如果该协议控制块存在，但状态为关闭，服务端不调用connect()或listen()。该分段丢弃，但不返回RST。客户端会尝试重新建立连接请求。建立新的socket：当处于监听状态的socket 收到该分段时，会建立一个子socket，同时还有socket{}，tcpcb{}和pub{}建立。这时如果有错的socket 和释放内存，TCP 连接失败。如果缓存队列处于填满状态，TCP 认为有错误发生，所有的后续连接请求会被拒绝。这里可以看出SYN Flood 攻击是如何起作用的。丢弃：如果该分段中的标志为RST 或ACK，或者没有SYN 标志，则该分段丢弃。并释放相应的内存。发送序列变量SND.UNA ： 发送未确认SND.NXT ： 发送下一个SND.WND ： 发送窗口SND.UP ： 发送优先指针SND.WL1 ： 用于最后窗口更新的段序列号SND.WL2 ： 用于最后窗口更新的段确认号ISS ： 初始发送序列号接收序列号RCV.NXT ： 接收下一个RCV.WND ： 接收下一个RCV.UP ： 接收优先指针IRS ： 初始接收序列号当前段变量SEG.SEQ ： 段序列号SEG.ACK ： 段确认标记SEG.LEN ： 段长SEG.WND ： 段窗口SEG.UP ： 段紧急指针SEG.PRC ： 段优先级CLOSED 表示没有连接，各个状态的意义如下：LISTEN ： 监听来自远方TCP 端口的连接请求。SYN-SENT ： 在发送连接请求后等待匹配的连接请求。SYN-RECEIVED ： 在收到和发送一个连接请求后等待对连接请求的确认。ESTABLISHED ： 代表一个打开的连接，数据可以传送给用户。FIN-WAIT-1 ： 等待远程TCP 的连接中断请求，或先前的连接中断请求的确认。FIN-WAIT-2 ： 从远程TCP 等待连接中断请求。CLOSE-WAIT ： 等待从本地用户发来的连接中断请求。CLOSING ： 等待远程TCP 对连接中断的确认。LAST-ACK ： 等待原来发向远程TCP 的连接中断请求的确认。TIME-WAIT ： 等待足够的时间以确保远程TCP 接收到连接中断请求的确认。CLOSED ： 没有任何连接状态。TCP 连接过程是状态的转换，促使发生状态转换的是用户调用：OPEN，SEND，RECEIVE，CLOSE，ABORT 和STATUS。传送过来的数据段，特别那些包括以下标记的数据段SYN，ACK，RST 和FIN。还有超时，上面所说的都会时TCP 状态发生变化。序列号请注意，我们在TCP 连接中发送的字节都有一个序列号。因为编了号，所以可以确认它们的收到。对序列号的确认是累积性的。TCP 必须进行的序列号比较操作种类包括以下几种：①决定一些发送了的但未确认的序列号。②决定所有的序列号都已经收到了。③决定下一个段中应该包括的序列号。对于发送的数据TCP 要接收确认，确认时必须进行的：SND.UNA = 最老的确认了的序列号。SND.NXT = 下一个要发送的序列号。SEG.ACK = 接收TCP 的确认，接收TCP 期待的下一个序列号。SEG.SEQ = 一个数据段的第一个序列号。SEG.LEN = 数据段中包括的字节数。SEG.SEQ+SEG.LEN-1 = 数据段的最后一个序列号。如果一个数据段的序列号小于等于确认号的值，那么整个数据段就被确认了。而在接收数据时下面的比较操作是必须的：RCV.NXT = 期待的序列号和接收窗口的最低沿。RCV.NXT+RCV.WND：1 = 最后一个序列号和接收窗口的最高沿。SEG.SEQ = 接收到的第一个序列号。SEG.SEQ+SEG.LEN：1 = 接收到的最后一个序列号。误发生，会通过标志位来拆除相应被作为无结构的字节流。通过每个TCP 传输的字段指定顺序号，以获得可靠性。是在OSI参考模型中的第四层，TCP 是使用IP 的网间互联功能而提供可靠的数据传输，IP 不停的把报文放到网络上，而TCP 是负责确信报文到达。在协同IP 的操作中TCP 负责：握手过程、报文管理、流量控制、错误检测和处理（控制），可以根据一定的编号顺序对非正常顺序的报文给予从新排列顺序。关于TCP 的RFC 文档有RFC793、RFC791、RFC1700。在TCP 会话初期，有所谓的“三握手”：对每次发送的数据量是怎样跟踪进行协商使数据段的发送和接收同步，根据所接收到的数据量而确定的数据确认数及数据发送、接收完毕后何时撤消联系，并建立虚连接。为了提供可靠的传送，TCP 在发送新的数据之前，以特定的顺序将数据包的序号，并需要这些包传送给目标机之后的确认消息。TCP 总是用来发送大批量的数据。当应用程序在收到数据后要做出确认时也要用到TCP。由于TCP 需要时刻跟踪，这需要额外开销，使得TCP 的格式有些显得复杂。下面就让我们看一个TCP 的经典案例，这是后来被称为MITNICK 攻击中KEVIN 开创了两种攻击技术：TCP 会话劫持SYN FLOOD（同步洪流）在这里我们讨论的时TCP 会话劫持的问题。先让我们明白TCP 建立连接的基本简单的过程。为了建设一个小型的模仿环境我们假设有3 台接入互联网的机器。A 为攻击者操纵的攻击机。B 为中介跳板机器（受信任的服务器）。C 为受害者使用的机器（多是服务器），这里把C 机器锁定为目标机器。A 机器向B机器发送SYN 包，请求建立连接，这时已经响应请求的B 机器会向A 机器回应SYN/ACK表明同意建立连接，当A 机器接受到B 机器发送的SYN/ACK 回应时，发送应答ACK 建立A 机器与B 机器的网络连接。这样一个两台机器之间的TCP 通话信道就建立成功了。B 终端受信任的服务器向C 机器发起TCP 连接，A 机器对服务器发起SYN 信息，使C 机器不能响应B 机器。在同时A 机器也向B 机器发送虚假的C 机器回应的SYN 数据包，接收到SYN 数据包的B 机器（被C 机器信任）开始发送应答连接建立的SYN/ACK 数据包，这时C 机器正在忙于响应以前发送的SYN 数据而无暇回应B 机器，而A 机器的攻击者预测出B 机器包的序列号（现在的TCP 序列号预测难度有所加大）假冒C 机器向B 机器发送应答ACK 这时攻击者骗取B 机器的信任，假冒C 机器与B 机器建立起TCP 协议的对话连接。这个时候的C 机器还是在响应攻击者A 机器发送的SYN 数据。TCP 协议栈的弱点：TCP 连接的资源消耗，其中包括：数据包信息、条件状态、序列号等。通过故意不完成建立连接所需要的三次握手过程，造成连接一方的资源耗尽。通过攻击者有意的不完成建立连接所需要的三次握手的全过程，从而造成了C 机器的资源耗尽。序列号的可预测性，目标主机应答连接请求时返回的SYN/ACK 的序列号时可预测的。（早期TCP 协议栈，具体的可以参见1981 年出的关于TCP 雏形的RFC793 文档）TCP 头结构TCP 协议头最少20 个字节，包括以下的区域（由于翻译不禁相同，文章中给出相应的英文单词）：TCP 源端口(Source Port)：16 位的源端口其中包含初始化通信的端口。源端口和源IP 地址的作用是标示报问的返回地址。 TCP 目的端口(Destination port)：16 位的目的端口域定义传输的目的

一个数据包的生命过程：数据包如何送达主机、主机如何将数据包转交给应用、数据是如何被完整地送达应用程序 互联网，实际上是一套理念和协议组成的体系架构 。其中，协议是一套众所周知的规则和标准，如果各方都同意使用，那么它们之间的通信将变得毫无障碍。数据通信是通过数据包来传输的。如果发送的数据很大，那么该数据就会被拆分为很多小数据包来传输。之后再由接收方按照数据包中的一定规则将小的数据包整合成全部数据。IP 是非常底层的协议，只负责把数据包传送到对方电脑，不负责该数据包将由哪个程序去使用。数据包要在互联网上进行传输，就要符合网际协议（Internet Protocol，简称 IP）标准。计算机的地址就称为 IP 地址，访问任何网站实际上只是你的计算机向另外一台计算机请求信息。简单理解数据传输过程就是：装包和拆包。 如果要想把一个数据包从主机 A 发送给主机 B，那么在传输之前，数据包上会被附加上主机 B 的 IP 地址信息，这样在传输过程中才能正确寻址。额外地，数据包上还会附加上主机 A 本身的 IP 地址，有了这些信息主机 B 才可以回复信息给主机 A。这些附加的信息会被装进一个叫 IP 头的数据结构里。IP 头是 IP 数据包开头的信息，包含 IP 版本、源 IP 地址、目标 IP 地址、生存时间等信息。过程：1、上层将含有“数据”的数据包交给网络层；2、网络层再将 IP 头附加到数据包上，组成新的 IP 数据包，并交给底层；3、底层通过物理网络将数据包传输给主机 B；4、数据包被传输到主机 B 的网络层，在这里主机 B 拆开数据包的 IP 头信息，并将拆开来的数据部分交给上层；5、最终，含有“数据”信息的数据包就到达了主机 B 的上层了。基于 IP 之上开发能和应用打交道的协议，最常见的是“用户数据包协议（User Datagram Protocol）”，简称 UDP。负责将传输的数据包交给某一应用程序。UDP 中一个最重要的信息是端口号，端口号其实就是一个数字，每个想访问网络的程序都需要绑定一个端口号。通过端口号 UDP 就能把指定的数据包发送给指定的程序了， 所以 IP 通过 IP 地址信息把数据包发送给指定的电脑，而 UDP 通过端口号把数据包分发给正确的程序。 和 IP 头一样，端口号会被装进 UDP 头里面，UDP 头再和原始数据包合并组成新的 UDP 数据包。UDP 头中除了目的端口，还有源端口号等信息。为了支持 UDP 协议，我把前面的三层结构扩充为四层结构，在网络层和上层之间增加了传输层过程：1、 上层将数据包交给传输层；传输层会在数据包前面附加上 UDP 头，组成新的 UDP 数据包，再将新的 UDP 数据包交给网络层；2、网络层再将 IP 头附加到数据包上，组成新的 IP 数据包，并交给底层；3、数据包被传输到主机 B 的网络层，在这里主机 B 拆开 IP 头信息，并将拆开来的数据部分交给传输层；4、在传输层，数据包中的 UDP 头会被拆开，并根据 UDP 中所提供的端口号，把数据部分交给上层的应用程序；5、最终，含有信息的数据包就旅行到了主机 B 上层应用程序这里。在使用 UDP 发送数据时，有各种因素会导致数据包出错，虽然 UDP 可以校验数据是否正确，但是对于错误的数据包， UDP 并不提供重发机制，只是丢弃当前的包 ，而且 UDP 在发送之后也无法知道是否能达到目的地。虽说UDP 不能保证数据可靠性，但是传输速度却非常快 ，所以 UDP 会应用在一些关注速度、但不那么严格要求数据完整性的领域，如在线视频、互动游戏等上文说到的使用UDP 来传输会存在两个问题 ：1、数据包在传输过程中容易丢失；2、大文件会被拆分成很多小的数据包来传输，这些小的数据包会经过不同的路由，并在不同的时间到达接收端，而 UDP 协议并不知道如何组装这些数据包，从而把这些数据包还原成完整的文件。所以TCP协议很好地解决的这个问题。TCP（Transmission Control Protocol，传输控制协议）是一种面向连接的、可靠的、基于字节流的传输层通信协议。1、对于数据包丢失的情况，TCP 提供重传机制；2、TCP 引入了数据包排序机制，用来保证把乱序的数据包组合成一个完整的文件。和 UDP 头一样，TCP 头除了包含了目标端口和本机端口号外，还提供了 用于排序的序列号 ，以便接收端通过序号来重排数据包一个完整的 TCP 连接的生命周期包括了“建立连接”“传输数据”和“断开连接”三个阶段。首先，建立连接阶段。这个阶段是通过“三次握手”来建立客户端和服务器之间的连接。TCP 提供面向连接的通信传输。面向连接是指在数据通信开始之前先做好两端之间的准备工作。所谓 三次握手 ，是指在建立一个 TCP 连接时，客户端和服务器总共要发送三个数据包以确认连接的建立。其次，传输数据阶段。在该阶段，接收端需要对每个数据包进行确认操作，也就是接收端在接收到数据包之后，需要发送确认数据包给发送端。所以当发送端发送了一个数据包之后，在规定时间内没有接收到接收端反馈的确认消息，则判断为数据包丢失，并触发发送端的重发机制。同样，一个大的文件在传输过程中会被拆分成很多小的数据包，这些数据包到达接收端后，接收端会按照 TCP 头中的序号为其排序，从而保证组成完整的数据。最后，断开连接阶段。数据传输完毕之后，就要终止连接了，涉及到最后一个阶段“ 四次挥手 ”来保证双方都能断开连接。三次握手和四次挥手限于篇幅可看另一篇文章： TCP协议中 的三次握手和四次挥手1、IP 负责把数据包送达目的主机。2、UDP 负责把数据包送达具体应用（可能会丢包)。3、而 TCP保证了数据完整地传输 ，它的连接可分为三个阶段：建立连接、传输数据和断开连接。 完整的数据流程

端口扫描，这种入侵检测方法大家想必都经常用到，但是你对这些方法的基本原理又了解多少呢？ 首先，你可以选择都种工具，本人喜欢nmap for linux，但不是常在linux下混,毕竟还是windows方便点，呵呵，高手别笑我哦！下面谈下端口扫描方式！大体可以分为两种，TCP扫描和秘密扫描TCP扫描最常见的有两种全扫描、半扫描说到TCP，就一定要谈3次握手客户端——SYN——>服务器客户端<——SYN+ACK——服务器客户端——ACK——〉服务器这就是3次握手，也就是全扫描的全过程，但是，由于这种方式要与目标建立连接，所以一定会被记录下来，所以，这种扫描方式是不隐密的，容易暴露身份。所以，就有了半扫描这种扫描方式，会发送一个SYN包给目标服务器，然后如果对方在特定端口监听，就会回复一个ACK+SYN，如果主机在活动，但没有监听特定端口，就会回一个RST包。这种方法并没有完成3次握手，所以一般不会被主机记录。下面，我们就抛开TCP协议，看看有没有办法通过其他方式扫描！说到文件传送，大家最先想到的就应该是FTP协议了，那么，能不能通过FTP扫描呢？答案是可以，出于设计上的需要，当FTP客户端要以主动模式请求传送数据时，服务器必须要建立一个返回到客户机端口上的连接客户端发出PORT命令，以IP和端口作为参数，如果参数中有另一台主机的IP数据，服务器将与这台主机相连。我们就利用FTP的这种特点来执行代理端口扫描。 还有FIN,ident,XMAS扫描等等，由于时间关系和其他种种原因，我现在就不讲了，lz有兴趣，可以加我大家一起探讨~
TCP需要三次握手才能建立连接，那么为什么需要三次握手呢？