一个完整的tcp(一个完整的测量过程包括哪四个要素)

TCP三次握手过程一个完整的 TCP连接的建立，需要三次握手，然后双方以全双工的方式发送和接收数据。很多的端口扫描技术是依靠 TCP三次握手来实现的，所以，下面对 TCP的三次握手过程进行详细的介绍。具体的握手过程描述如下(图4):(1)请求方向服务提供方提出连接请求。这时TCP SYN标志置位。客户端告诉服务端序列号区域合法，需要检查。客户端在 TCP报头的序列号区域中插入自己的ISN;(2)服务端收到该TCP分段后，以自己的ISN回应((SYN标志置位)，同时确认收到客户端的第一个TCP分段((ACK标志置位);(3)客户端确认收到服务端的ISN(ACK标志置位)。到此为止建立完整的TCP连接，开始全双工模式的数据传输过程. 图4 TCP三次握手示意图

针对TCP/IP协议的薄弱环节进行攻击； 发动攻击时，只要很少的数据流量就可以产生显著的效果；攻击来源无法定位；在服务端无法区分TCP连接请求是否合法。二、系统检查一般情况下，可以一些简单步骤进行检查，来判断系统是否正在遭受TCP SYN Flood攻击。1、服务端无法提供正常的TCP服务。连接请求被拒绝或超时；2、通过 netstat -an 命令检查系统，发现有大量的SYN_RECV连接状态。三、防范如何才能做到有效的防范呢?1、 TCP Wrapper使用TCP Wrapper(只有unix-like系统支持该功能，NT?可怜)可能在某些有限的场合下有用，比如服务端只处理有限来源IP的TCP连接请求，其它未指定来源的连接请求一概拒绝。这在一个需要面向公众提供服务的场合下是不适合的。而且攻击者可以通过IP伪装(IP Spoof)来直接攻击受TCP Wrapper保护的TCP服务，更甚者可以攻击者可以伪装成服务器本身的地址进行攻击。2、增加TCP Backlog容量增加TCP Backlog容量是一种治标不治本的做法。它一方面要占用更多的系统内存，另一方面延长了TCP处理缓存队列的时间。攻击者只要不停地的进行SYN Flood一样可以达到拒绝服务的目的。3、 ISP接入所有的ISP在边界处理进入的主干网络的IP数据包时检测其来源地址是否合法，如果非指定来源IP地址范围，可以认为是IP Spoofing行为并将之丢弃。在实际环境中，应为涉及的范围太过广泛，该方案无法实施。这是一个社会问题而非技术问题。TCP SYN Flood检测与防范一、TCP连接监控(TCP Interception)为了有效的防范TCP SYN Flood攻击，在保证通过慢速网络的用户可以正常建立到服务端的合法连接的同时，需要尽可能的减少服务端TCP Backlog的清空时间，大多数防火墙采用了TCP连接监控的工作模式。1.防火墙接到来自用户端Z的SYN连接请求，在本地建立面向该连接的监控表项；2.防火墙将该连接请求之转发至服务端A；3.服务端A相应该连接请求返回SYN/ACK，同时更新与该连接相关联的监控表项；4.防火墙将该SYN/ACK转发至用户端Z；5.防火墙发送ACK至服务端A，同时服务端A中TCP Backlog该连接的表项被移出；6.这时，根据连接请求是否合法，可能有以下两种情况发生:a.如果来自用户端Z的连接请求合法，防火墙将该ACK转发至服务端A，服务端A会忽略该ACK，因为一个完整的TCP连接已经建立；b.如果来自用户端Z的连接请求非法(来源IP地址非法)，没有在规定的时间内收到返回的ACK，防火墙会发送RST至服务端A以拆除该连接。7.开始TCP传输过程。由此可以看出，该方法具有两个局限:1.不论是否合法的连接请求都直接转发至服务端A，待判断为非法连接(无返回ACK)时才采取措施拆除连接，浪费服务端系统资源；2.防火墙在本地建立表项以监控连接(一个类似TCP Backlog的表)，有可能被攻击者利用。二、天网DoS防御网关天网防火墙采用经过优化的TCP连接监控工作方式。该方式在处理TCP连接请求的时候，在确定连接请求是否合法以前，用户端Z与服务端A是隔断的。1.防火墙接到来自用户端Z的SYN连接请求；2.防火墙返回一个经过特殊处理的SYN/ACK至客户端Z以验证连接的合法性；3.这时，根据连接请求是否合法，可能有以下两种情况发生:a．防火墙接收到来自客户端Z的ACK回应，该连接请求合法。转至第4步继续；b．防火墙没有接收到来自客户端Z的ACK回应，该连接请求非法，不进行处理；4.防火墙在本地建立面向该连接的监控表项，并发送与该连接请求相关联的SYN至服务端A；5.防火墙接到来自服务端A的SYN/ACK回应；6.防火墙返回ACK以建立一个完整的TCP连接；7.防火墙发送ACK至客户端Z，提示可以开始TCP传输过程。其中，在第2/3/4/7步过程中，防火墙内部进行了如下操作:1.在第2步中，为了验证连接的合法性，防火墙返回的SYN/ACK是经过特殊处理的，并提示客户端Z暂时不要传送有效数据；2.在第3步中，防火墙接收到来自客户端Z的ACK，检验其合法性。3.在第4步中，防火墙在本地建立面向该连接的监控表项，同时发送与该连接相关的SYN至服务端A；4.在第7步中，防火墙通过将TCP数据传输与监控表项进行比对，并调整序列号和窗口以使之匹配。开始TCP数据传输。 在这里，天网防火墙通过高效的算法（64K位的Hash）提供了超过30万以上的同时连接数的容量，为数据传输的高效和可靠提供了强有力地保障。
如果是使用宽带方式上网，那么在注册表中设定适当的TcpWindow值，就可以加快上网速度。 打开注册表编辑器，在其中 找到“HKEY_LOCAL_MACHINE＼System＼CurrenControlSet＼Services＼Tcpip＼Parameters”子键，在右边键值区中，找到或新建一个名为“GlobalmaxTcp WindowSize”的DWORD键值项，将其数据值数据设为“256960”(十进制)，关闭注册表编辑器，重新启动电脑即可。 感觉一下是不是速度比以前快多了？ 这个更改的原理是：通常情况下，TCP/IP默认的数据传输单元接受缓冲区的大小为576字节，要是将这个缓冲区的大小设置得比较大的话，一旦某个TCP/IP分组数据发生错误时，那么整个数据缓冲区中的所有分组内容，都将被丢失并且进行重新传送；显然不断地重新进行传输，会大大影响ADSL传输数据的效率。为此，设置合适缓冲区大小，确保ADSL传输数据的效率始终很高，将会对ADSL传输速度有着直接的影响！
给电脑一个固定的IP，不让IP冲突 电脑不能上网时也可以通过这里来解决

在第一步中，客户端向服务端提出连接请求。这时TCP SYN标志置位。客户端告诉服务端序列号区域合法，需要检查。客户端在TCP报头的序列号区中插入自己的ISN。服务端收到该TCP分段。在第二步以自己的ISN回应(SYN标志置位)，同时确认收到客户端的第一个TCP分段(ACK标志置位)。在第三步中，客户端确认收到服务端的ISN(ACK标志置位)。到此为止建立完整的TCP连接，开始全双工模式的数据传输过程。
TCP需要三次握手才能建立连接，那么为什么需要三次握手呢？
对！
HR的么？ 田叔万恶啊，答案有些很奇怪啊
对啊，你想问什么，具体细节可参考，计算机网络基础 谢希仁 清华大学出版社

TCP三次握手过程 一个完整的 TCP连接的建立，需要三次握手，然后双方以全双工的方式发送和接收数据。很多的端口扫描技术是依靠 TCP三次握手来实现的，所以，下面对 TCP的三次握手过程进行详细的介绍。具体的握手过程描述如下(图4):(1)请求方向服务提供方提出连接请求。这时TCP SYN标志置位。客户端告诉服务端序列号区域合法，需要检查。客户端在 TCP报头的序列号区域中插入自己的ISN;(2)服务端收到该TCP分段后，以自己的ISN回应((SYN标志置位)，同时确认收到客户端的第一个TCP分段((ACK标志置位);(3)客户端确认收到服务端的ISN(ACK标志置位)。到此为止建立完整的TCP连接，开始全双工模式的数据传输过程. 图4 TCP三次握手示意图

通常，操作系统会将当前所有任务控制块组成一个双向的链表OSTCBList，这个链表将在函数OSTimeTick中被用到。 OSTimeTick函数是系统的时钟处理函数，他负责系统各任务的延时工作，一般情况下，OSTimeTick会被周期性的调用，其本质是操作上面所说的OSTCBList，它遍历链表中的每一个任务控制块的OSTCBDly字段，并将需要延时的任务的OSTCBDly值减1，当某人物的该字段值减为0时，这个任务就会在就绪表中被标记，任务结束等待进入就绪状态。 每个任务创建时，都会被加入链表OSTCBList中，在任务被删除时，相应控制块也会在链表中清除。 OS_STK *OSTCBStkPtr; //任务堆栈栈顶指针struct os_tcb *OSTCBNext; //指向后一个任务控制块stryct os_tcb *OSTCBPrev; //指向前一个任务控制块OSTCBEventPtr用来指向当前和任务密切相关的事件控制块，所谓密切相关，即任务阻塞在该事件上。在ucosII中，所有的任务同步与通信机制，包括信号量、邮箱、消息队列等都是通过事件控制块来描述，当任务请求同步或通信服务，并阻塞在相应事件上，OSTCBEventPtr字段就记录了这个事件对应的事件控制块. OS_EVENT *OSTCBEventPtr; //指向与任务当前事件相关的事件控制块OSTCBMsg字段在任务中使用邮箱或消息队列传输数据时被使用，该字段用于记录其他任务传递个本任务的数据的地址（即数据指针）。 void *OSTCBMsg; //用于指向从邮箱或队列中接收到的消息INT16U OSTCBDly; //用于任务等待延时，记录要等待的时钟滴答数。INT8U OSYCBStat; //任务当前状态任务状态对应值描述OS_STAT_RDY0x00任务就绪状态OS_STAT_SEM0x01任务等待信号量状态OS_STAT_MBOX0x02任务处于等待邮箱消息状态OS_STAT_Q0x04任务处于等待消息队列状态OS_STAT_SUSPEND0x08任务处于被挂起状态OS_STAT_MUTEX0x10任务处于等待互斥信号量状态OS_STAT_FLAG0x20任务处于等待事件标志组状态INT8U OSTCBPrio; //任务的优先级,值越小优先级越高。 //OS_CFG.H中的OS_MAX_TASKS定义最多用户使用控制块个数。这些任务控制块被放在OSTCBbl数组。 //以下四个字段与任务的优先级联系密切，用于加速任务的切换过程 INT8U OSTCBX; //该优先级在全局数组OSRdyTbl[]中对应的位置 INT8U OSTCBY; //该优先级在全局变量OSRdyGrp中对应位置 INT8U OSTCBBitX; //与OSTCBX值相对应的位掩码 INT8U OSTCBBitY; //与OSTCBY值相对应的位掩码 }OS_TCB;
源IP地址，源IP端口号，目的IP地址，目的IP端口号。