tcp建立连接的端口的过程(简述TCP建立连接的过程)

TCP 是一个面向连接的协议，无论哪一方向另一方发送数据之前，都必须先在双方之间建立一条连接。本节将详细讨论一个TCP 连接是如何建立的以及通信结束后是如何终止的。 建立一个 TCP 连接TCP使用三次握手 （ three-way handshake ） 协议来建立连接，图 3-10 描述了三次握手的报文序列。这三次握手为：请求端（通常称为客户）发送一个 SYN 报文段（ SYN 为 1 ）指明客户打算连接的服务器的端口，以及初始顺序号（ ISN ）。服务器发回包含服务器的初始顺序号的 SYN 报文段（ SYN 为 1 ）作为应答。同时，将确认号设置为客户的 ISN 加 1 以对客户的 SYN 报文段进行确认（ ACK 也为 1 ）。客户必须将确认号设置为服务器的 ISN 加 1 以对服务器的 SYN 报文段进行确认（ ACK 为 1 ），该报文通知目的主机双方已完成连接建立。发送第一个 SYN 的一端将执行主动打开（ active open ），接收这个 SYN 并发回下一个 SYN 的另一端执行被动打开（ passive open ）。另外， TCP 的握手协议被精心设计为可以处理同时打开（ simultaneous open ），对于同时打开它仅建立一条连接而不是两条连接。因此，连接可以由任一方或双方发起，一旦连接建立，数据就可以双向对等地流动，而没有所谓的主从关系。三次握手协议是连接两端正确同步的充要条件。因为 TCP 建立在不可靠的分组传输服务之上，报文可能丢失、延迟、重复和乱序，因此协议必须使用超时和重传机制。如果重传的连接请求和原先的连接请求在连接正在建立时到达，或者当一个连接已经建立、使用和结束之后，某个延迟的连接请求才到达，就会出现问题。采用三次握手协议（加上这样的规则：在连接建立之后 TCP 就不再理睬又一次的连接请求）就可以解决这些问题。三次握手协议可以完成两个重要功能：它确保连接双方做好传输准备，并使双方统一了初始顺序号。初始顺序号是在握手期间传输顺序号并获得确认：当一端为建立连接而发送它的 SYN 时，它为连接选择一个初始顺序号；每个报文段都包括了顺序号字段和确认号字段，这使得两台机器仅仅使用三个握手报文就能协商好各自的数据流的顺序号。一般来说， ISN 随时间而变化，因此每个连接都将具有不同的 ISN 。关闭一个 TCP 连接TCP 连接建立起来后，就可以在两个方向传送数据流。当 TCP 的应用进程再没有数据需要发送时，就发关闭命令。 TCP 通过发送控制位 FIN=1 的数据片来关闭本方数据流，但还可以继续接收数据，直到对方关闭那个方向的数据流，连接就关闭。 TCP 协议使用修改的三次握手协议来关闭连接， 如图 3-11 所示，即终止一个连接要经过 4 次握手。这是因为 TCP 的半关闭（ half-close ）造成的。由于一个 TCP 连接是全双工（即数据在两个方向上能同时传递），因此每个方向必须单独地进行关闭。关闭的原则就是当一方完成它的数据发送任务后就能发送一个 FIN 来终止这个方向连接。当一端收到一个 FIN ，它必须通知应用层另一端已经终止了那个方向的数据传送。发送 FIN 通常是应用层进行关闭的结果。

在发出将建立通信会话的第一个数据包之前，发送方主机上的 TCP/IP 协议执行以下四个不同的步骤： 1.TCP/IP 将主机名或 NetBIOS 名称解析为 IP 地址。2.使用目标 IP 地址和 IP 路由表，TCP/IP 确定要使用的接口和下一跃点 IP 地址。3.对于共享访问技术（例如，以太网、令牌环和分布式光纤数据接口 (FDDI)）上的单播 IP 流量，地址解析协议 (ARP) 将下一跃点 IP 地址解析为媒体访问控制 (MAC) 地址（也称为数据链接层地址）。对于以太网和 FDDI 上的多播 IP 流量，目标多播 IP 地址会被映射到相应的多播 MAC 地址。对于令牌环上的多播 IP 流量，使用功能地址 0xC0-00-00-04-00-00。对于共享访问技术上的广播流量，MAC 地址会被映射到 0xFF-FF-FF-FF-FF-FF。4.之后，IP 数据报会被发送到通过 ARP 解析的 MAC 地址、多播映射或 MAC 级广播地址。 网络访问要通过不同的协议进行，各种协议要通过不同的端口进行访问，如25端口是邮件端口，3389超级终端（就是木马程序最想打开的端口），8000=腾讯OICQ服务器端等等很多很多，记住常用的几个就可以了。
tcp/ip通信过程，简单为，三次建立，四次断开。具体如下： 三次建立：主机a发送syn（seq=x）报文给主机b，主机a进入syn_send状态 ；主机b收到syn报文，回应一个syn（seq=y）ack(ack=x+1)报文，主机b进入syn_recv状态；主机a收到主机b的syn报文，回应一个ack（ack=y+1）报文，主机a进入established状态。三次握手完成，主机a和主机b已经建立连接。四次断开：某个应用进程先调用close，称该端执行“主动关闭”（active close）。该端的tcp发送一个fin分节，表示数据发送完毕；接收到这个fin的对端执行“被动关闭”（passive close），这个fin由tcp确认。一段时间的等待后，接收到这个文件结束符的应用进程将调用close关闭它的套接字，所以它的tcp也发送一个fin。接收到这个最终fin的原发送端tcp（主动要求关闭连接的那一端）确认这个fin。 因为每个方向都需要一个fin和ack,所以断开需要4个次连接。
第一步：下载《兔~子代理》 第二步：选择所需地区第三步：完成连接第四步：查询IP 第五步：打开限制
TCP/IP（Transmission Control Protocol/Internet Protocol的简写，中文译名为传输控制协议/互联网络协议）协议是Internet最基本的协议，简单地说，就是由底层的IP协议和TCP协议组成的。TCP/IP协议的开发工作始于70年代，是用于互联网的第一套协议。 1.1 TCP/IP参考模型TCP/IP协议的开发研制人员将Internet分为五个层次，以便于理解，它也称为互联网分层模型或互联网分层参考模型，如下表：应用层（第五层）传输层（第四层）互联网层（第三层）网络接口层（第二层）物理层（第一层）•物理层：对应于网络的基本硬件，这也是Internet物理构成，即我们可以看得见的硬件设备，如PC机、互连网服务器、网络设备等，必须对这些硬件设备的电气特性作一个规范，使这些设备都能够互相连接并兼容使用。•网络接口层：它定义了将数据组成正确帧的规程和在网络中传输帧的规程，帧是指一串数据，它是数据在网络中传输的单位。•互联网层：本层定义了互联网中传输的“信息包”格式，以及从一个用户通过一个或多个路由器到最终目标的"信息包"转发机制。•传输层：为两个用户进程之间建立、管理和拆除可靠而又有效的端到端连接。•应用层：它定义了应用程序使用互联网的规程。1. 2网间协议IPInternet 上使用的一个关键的底层协议是网际协议，通常称IP协议。我们利用一个共同遵守的通信协议，从而使 Internet 成为一个允许连接不同类型的计算机和不同操作系统的网络。要使两台计算机彼此之间进行通信，必须使两台计算机使用同一种"语言"。通信协议正像两台计算机交换信息所使用的共同语言，它规定了通信双方在通信中所应共同遵守的约定。计算机的通信协议精确地定义了计算机在彼此通信过程的所有细节。例如，每台计算机发送的信息格式和含义，在什么情况下应发送规定的特殊信息，以及接收方的计算机应做出哪些应答等等。网际协议IP协议提供了能适应各种各样网络硬件的灵活性，对底层网络硬件几乎没有任何要求，任何一个网络只要可以从一个地点向另一个地点传送二进制数据，就可以使用IP协议加入 Internet 了。如果希望能在 Internet 上进行交流和通信，则每台连上 Internet 的计算机都必须遵守IP协议。为此使用 Internet 的每台计算机都必须运行IP软件，以便时刻准备发送或接收信息。IP协议对于网络通信有着重要的意义：网络中的计算机通过安装IP软件，使许许多多的局域网络构成了一个庞大而又严密的通信系统。从而使 Internet 看起来好像是真实存在的，但实际上它是一种并不存在的虚拟网络，只不过是利用IP协议把全世界上所有愿意接入 Internet 的计算机局域网络连接起来，使得它们彼此之间都能够通信。1.3 传输控制协议TCP尽管计算机通过安装IP软件，从而保证了计算机之间可以发送和接收数据，但IP协议还不能解决数据分组在传输过程中可能出现的问题。因此，若要解决可能出现的问题，连上 Internet 的计算机还需要安装TCP协议来提供可靠的并且无差错的通信服务。TCP协议被称作一种端对端协议。这是因为它为两台计算机之间的连接起了重要作用：当一台计算机需要与另一台远程计算机连接时，TCP协议会让它们建立一个连接、发送和接收数据以及终止连接。传输控制协议TCP协议利用重发技术和拥塞控制机制，向应用程序提供可靠的通信连接，使它能够自动适应网上的各种变化。即使在 Internet 暂时出现堵塞的情况下，TCP也能够保证通信的可靠。众所周知， Internet 是一个庞大的国际性网络，网路上的拥挤和空闲时间总是交替不定的，加上传送的距离也远近不同，所以传输数据所用时间也会变化不定。TCP协议具有自动调整"超时值"的功能，能很好地适应 Internet 上各种各样的变化，确保传输数值的正确。因此，从上面我们可以了解到：IP协议只保证计算机能发送和接收分组数据，而TCP协议则可提供一个可靠的、可流控的、全双工的信息流传输服务。综上所述，虽然IP和TCP这两个协议的功能不尽相同，也可以分开单独使用，但它们是在同一时期作为一个协议来设计的，并且在功能上也是互补的。只有两者的结合，才能保证 Internet 在复杂的环境下正常运行。凡是要连接到 Internet 的计算机，都必须同时安装和使用这两个协议，因此在实际中常把这两个协议统称作TCP/IP协议。1. 4IP地址及其分类在Internet上连接的所有计算机，从大型机到微型计算机都是以独立的身份出现，我们称它为主机。为了实现各主机间的通信，每台主机都必须有一个唯一的网络地址。就好像每一个住宅都有唯一的门牌一样，才不至于在传输数据时出现混乱。Internet的网络地址是指连入Internet网络的计算机的地址编号。所以，在Internet网络中，网络地址唯一地标识一台计算机。我们都已经知道，Internet是由几千万台计算机互相连接而成的。而我们要确认网络上的每一台计算机，靠的就是能唯一标识该计算机的网络地址，这个地址就叫做IP（Internet Protocol的简写）地址，即用Internet协议语言表示的地址。目前，在Internet里，IP地址是一个32位的二进制地址，为了便于记忆，将它们分为4组，每组8位，由小数点分开，用四个字节来表示，而且，用点分开的每个字节的数值范围是0~255，如202.116.0.1，这种书写方法叫做点数表示法。IP地址可确认网络中的任何一个网络和计算机，而要识别其他网络或其中的计算机，则是根据这些IP地址的分类来确定的。一般将IP地址按节点计算机所在网络规模的大小分为A，B，C三类，默认的网络掩码是根据IP地址中的第一个字段确定的。1. A类地址A类地址的表示范围为：0.0.0.0~126.255.255.255，默认网络掩码为：255.0.0.0；A类地址分配给规模特别大的网络使用。A类网络用第一组数字表示网络本身的地址，后面三组数字作为连接于网络上的主机的地址。分配给具有大量主机（直接个人用户）而局域网络个数较少的大型网络。例如IBM公司的网络。2. B类地址B类地址的表示范围为：128.0.0.0~191.255.255.255，默认网络掩码为：255.255.0.0；B类地址分配给一般的中型网络。B类网络用第一、二组数字表示网络的地址，后面两组数字代表网络上的主机地址。3. C类地址C类地址的表示范围为：192.0.0.0~223.255.255.255，默认网络掩码为：255.255.255.0；C类地址分配给小型网络，如一般的局域网和校园网，它可连接的主机数量是最少的，采用把所属的用户分为若干的网段进行管理。C类网络用前三组数字表示网络的地址，最后一组数字作为网络上的主机地址。实际上，还存在着D类地址和E类地址。但这两类地址用途比较特殊，在这里只是简单介绍一下：D类地址称为广播地址，供特殊协议向选定的节点发送信息时用。E类地址保留给将来使用。连接到Internet上的每台计算机，不论其IP地址属于哪类都与网络中的其他计算机处于平等地位，因为只有IP地址才是区别计算机的唯一标识。所以，以上IP地址的分类只适用于网络分类。在Internet中，一台计算机可以有一个或多个IP地址，就像一个人可以有多个通信地址一样，但两台或多台计算机却不能共用一个IP地址。如果有两台计算机的IP地址相同，则会引起异常现象，无论哪台计算机都将无法正常工作。顺便提一下几类特殊的IP地址：1. 广播地址目的端为给定网络上的所有主机，一般主机段为全02. 单播地址目的端为指定网络上的单个主机地址3. 组播地址目的端为同一组内的所有主机地址4. 环回地址127.0.0.1在环回测试和广播测试时会使用1.5 子网的划分若公司不上Internet,那一定不会烦恼IP Address的问题,因为可以任意使用所有的IP Address,不管是A Class或是B Class,这个时候不会想到要用Sub Net,但若是上Internet那IP Address便弥足珍贵了,目前全球一阵Internet热,IP Address已经愈来愈少了,而所申请的IP Address目前也趋保守,而且只有经申请的IP Address能在Internet使用,但对某些公司只能申请到一个C CLass的IP Address,但又有多个点需要使用,那这时便需要使用到Subnet,这就需要考虑子网的划分，下面简介Subnet的原理及如何规划。1．5．1 Subnet Mask的介绍设定任何网路上的任何设备不管是主机、PC、Router等皆需要设定IP Address,而跟随着IP Address的是所谓的NetMask,这个NetMask主要的目的是由IP Address中也能获得NetworkNumber,也就是说IP Address和Net Mask作AND而得到Network Number,如下所示：IP Address192.10.10.611000000.00001010.00001010.00000110NetMask255.255.255.011111111.11111111.11111111.00000000AND-------------------------------------------------------------------Network Number192.10.10.011000000.00001010.00001010.00000000NetMask有所谓的预设值,如下所示Class IP Address 范围 Net MaskA 1.0.0.0-126.255.255.255255.0.0.0B 128.0.0.0-191.255.255.255255.255.0.0C 192.0.0.0-223.255.255.255255.255.255.0在预设的Net Mask都只有255的值,在谈到Subnet Mask时这个值便不一定是255了。在完整一组C Class中如203.67.10.0-203.67.10.255 NetMask255.255.255.0,203.67.10.0称之Network Number(将IP Address和Netmask作AND),而203.67.10.255是Broadcast的IP Address,所以这两者皆不能使用,实际只能使用203.67.10.1--203.67.10.254等254个IP Address,这是以255.255.255.0作NetMask的结果,而所谓Subnet Msk尚可将整组C Class分成数组Network Number,这要在NEtMask作手脚,若是要将整组C CLass分成2个Network Number那NetMask设定为255.255.255.192,若是要将整组C CLass分成8组Network Number则NetMask要为255.255.255.224,这是怎麽来的,由以上知道Network Number是由IP Address和NetMask作AND而来的,而且将NetMask以二进位表示法知道是1的会保留,而为0的去掉192.10.10.193--11000000.00001010.00001010.10000001255.255.255.0--11111111.11111111.11111111.00000000--------------------------------------------------------------192.10.10.0--11000000.00001010.00001010.00000000以上是以255.255.255.0为Net Mask的结果,Network Number是192.10.10.0,若是使用255.255.255.224作Net Mask结果便有所不同192.10.10.193--11000000.00001010.00001010.10000000255.255.255.224--11111111.11111111.11111111.11100000--------------------------------------------------------------192.10.10.192--11000000.00001010.00001010.10000000此时Network Number变成了192.10.10.192,这便是Subnet。那要如何决定所使用的NetMask,255.255.255.224以二进位表示法为11111111.11111111.11111111.11100000,变化是在最后一组,11100000便是224,以三个Bit可表示2的3次方便是8个Network NumberNetMask二进位表示法可分几个Network255.255.255.011111111.11111111.11111111.000000001255.255.255.12811111111.11111111.11111111.100000002255.255.255.19211111111.11111111.11111111.110000004255.255.255.22411111111.11111111.11111111.111000008255.255.255.24011111111.11111111.11111111.1111000016255.255.255.24811111111.11111111.11111111.1111100032255.255.255.25211111111.11111111.11111111.1111110064以下使用255.255.255.224将C Class203.67.10.0分成8组Net work Number,各个Network Number及其Broadcast IP Address及可使用之IP Address序号Network Number Broadcast可使用之IP Address（1）203.67.10.0--203.67.10.31203.67.10.1--203.67.10.30（2）203.67.10.32--203.67.10.63203.67.10.33--203.67.10.62（3）203.67.10.64--203.67.10.95203.67.10.65--203.67.10.94（4）203.67.10.96--203.67.10.127203.67.10.97--203.67.10.126（5）203.67.10.128--203.67.10.159203.67.10.129--203.67.10.158（6）203.67.10.160--203.67.10.191203.67.10.161--203.67.10.190（7）203.67.10.192--203.67.10.223203.67.10.193--203.67.10.222（8）203.67.10.224--203.67.10.255203.67.10.225--203.67.10.254可验证所使用的IP Address是否如上表所示203.67.10.115--11001011.01000011.00001010.01110011255.255.255.224--11111111.11111111.11111111.11100000--------------------------------------------------------------203.67.10.96--11001011.01000011.00001010.01100000203.67.10.55--11001011.01000011.00001010.00110111255.255.255.224--11111111.11111111.11111111.11100000--------------------------------------------------------------203.67.10.32--11001011.01000011.00001010.00100000其他的NetMask所分成的NetworkNumber可自行以上述方法自行推演出来。1．5．3Subnet的应用使用Subnet是要解决只有一组C Class但需要数个Network Number的问题,并不是解决IP Address不够用的问题,因为使用Subnet反而能使用的IP Address会变少,Subnet通常是使用在跨地域的网络互联之中,两者之间使用Router连线,同时也上Internet,但只申请到一组C Class IP Address,过Router又需不同的Network,所以此时就必须使用到Subnet,当然二网络间也可以Remote Bridge连接,那便没有使用Subnet的问题。1．6几个常用的程序1．6．1ping这个程序用来检测一帧数据从当前主机传送到目的主机所需要的时间。当网络运行中出现故障时，采用这个实用程序来预测故障和确定故障源是非常有效的。如果执行ping不成功，则可以预测故障出现在以下几个方面：网线是否连通，网络适配器配置是否正确，IP地址是否可用等；如果执行ping成功而网络仍无法使用，那么问题很可能出在网络系统的软件配置方面，ping成功只能保证当前主机与目的主机间存在一条连通的物理路径。它还提供了许多参数，如－t使当前主机不断地向目的主机发送数据，直到使用Ctrl－C中断；－n 可以自己确定向目的主机发送的数据帧数等等。1．6．2winipcfg它用来显示主机内IP协议的配置信息。它采用Windows窗口的形式显示具体信息。这些信息包括：网络适配器的物理地址、主机的IP地址、子网掩码以及默认网关等，还可以查看主机的相关信息如：主机名、DNS服务器、节点类型等。其中网络适配器的物理地址在检测网络错误时非常有用。1．6．3tracert这个程序的功能是判定数据包到达目的主机所经过的路径、显示数据包经过的中继节点清单和到达时间。还可以使用参数－d决定是否解析主机名。1．6．4 netstat 这个程序有助于我们了解网络的整体使用情况。它可以显示当前正在活动的网络连接的详细信息，如采用的协议类型、当前主机与远端相连主机（一个或多个）的IP地址以及它们之间的连接状态等。它提供的较为常用的参数是：－e用以显示以太网的统计信息；－s显示所有协议的使用状态，这些协议包括TCP、UDP和IP，一般这两个参数都是结合在一起使用的。另外－p可以选择特定的协议并查看其具体使用信息，－a 可以显示所有主机的端口号，－r则显示当前主机的详细路由信息。 要运行以上这些程序，只要在DOS方式或Windows开始菜单的运行栏中以命令行的形式键入程序名即可。灵活使用这几个程序可以使你大体了解自己主机对网络的使用情况。

什么是TCP呢？由三个单词组成的Transport Control Protocol，字面理解是传输控制协议，可以理解为比特同学要想在网络泳池里游泳，那么他必须学习传输层控制技能，并且要掌握相应的动作——协议，他才能在畅游世界网络这个超大型游泳池。TCP：一个传输层协议，提供Host-To-Host的可靠传输，支持全双工，是一个面向连接的协议。TCP工作在传输层，它的上层是应用层，应用就是人们常用的微信、抖音、王者荣耀等服务工作的协议。两台不同的设备使用微信聊天，发送语音，需要实现Host-To-Host的数据通信，那么就可以直接调用TCP协议进行。调用TCP通信时需要指定通信的端口，不同的端口对应不同应用，不同IP对应不同的主机，也就是不同的设备。这就涉及到网络地址——IP地址，工作在网络层，当然TCP层只负责把对应的IP地址和端口传给网络层即可，具体业务由网络层来实现。互联网层，即Network Layer，提供地址和地址间的通信，只关注地址到地址Address-To-Address间通信，具体设备间通信由数据链路层实现，数据链路层关注MAC地址间通信，具体的物理设备，传输介质由物理层负责。以上就是TCP/IP协议常用的层级分割，最终目的就是为Host-To-Host服务，实现应用到应用的通信服务。什么是连接和会话呢？连接事需要通信双方相互配合来实现的，是双方达成的一种即时的状态约定，保证通信双方都在线，都有能力为接下来的数据传输做出尽快的响应，我们称之为连接。连接是网络行为状态的记录，既然连接需要双方共同努力，那么就需要双方都有一个对象来记忆当前传输的数据类型，对方的端口、已经传输了多少，效率怎么样等等一些关注点。那么与之相关联的另一个名词会话（Session），是什么意思呢，会话是应用的行为。大家每次用微信聊天时都会有一个窗口，用来发送信息，你来我往，这个窗口中会有很多条信息，我们称之为会话，当我们在会话进行中，连接一定是在通信状态的。聊一会，累了，退出微信了，但是一般我们不会删除我们的会话内容，这时会话还在，但是连接已经中断。双工/单工问题想想自己理解的是什么？单工：任何时间，数据只能单向发送，单工至少需要一条线路半全双工：某一时候可以双向发送数据，至少需要一条线路全双工：任何时刻都可以双向发送数据，大于一条线路这里线路不一定真实存在物理线路，可能采用模拟的形式实现TCP是一个全双工协议，数据任何时刻都可以双向发送，这说明服务器和客户端可以根据需要选择任意时刻发送和接收信息，所以呢都可以被称为主机（Host）可靠性的定义TCP可以提供可靠性，那么可靠性具体的实现方式是什么呢？可靠性指数据无损传输。发送主机按照顺序发送数据，数据通过网络传输，收不同网络条件限制，数据不会按照发送时的顺序到达接收方，这时我们就需要一种算法来保证接收方可以还原出发送方的顺序。这里还有一个概念叫多播，发送方同时发送给多个接收方信息，如果接收方中有一个接收到了这条信息，我们的可靠性就必须保证其他接收方也必须接收到相同的信息，这里我们不讨论多播。TCP的握手和挥手TCP是一个面向连接的连接的协议，握手是建立连接的过程，挥手是断开连接的过程。TCP的基本操作以上三种操作以后，另一方必须立即给发起方返回一个ACK（Ackknowledgement），这是TCP保证可靠性的要求。如果一方不回复发送方ACK，发送方则认为接收方没有收到信息，会重新发送。建立连接的过程-三次握手三次握手的形成和TCP要求每次发送方发送信息以后，接收方必须返回ACK确认有直接的关系上图描述了TCP建立连接的过程，分为6步：TCP建立连接的过程如上，那么为什么是三次呢？第二步服务端做准备，因为是首次收到发送数据请求，无需处理，可以立刻进入数据交互状态，所以可以立刻发送给客户端SYN，告诉客户端，我已准备好，所以第三步和第四步可以合并为一次握手——ACK-SYN，然后客户端回应ACK，连接建立完成以上就是三次握手了具体在数据交互过程，ACK和SYN等需要用标识位来标记，在实际应用中，我们一般使用1来表示开启，0表示关闭。那么四次挥手为什么是四次呢，主要是因为，挥手时服务端收到FIN以后，不能马上回复FIN，因为自身还有任务没有处理完，所以上面所说的6步中，第3、4步就不能一起回复，只能先回复ACK，等自身任务处理完毕，才能告诉客户端，我已经准备好，可以关闭连接，这样就需要4次数据交互，如下图：

tcp的建立必须有一方主动，举个通俗的例子 ：男孩客户端，女孩服务端，用他们之间的交往说明三次握手的过程 1、男孩喜欢女孩，写了一封信告诉女孩：你长得漂亮，我稀罕你！写完信之后，男孩焦急地等待，因为不知道信能否顺利传达给女孩。SYN=1，seq=X2、女孩收到男孩的情书后，心花怒放，于是回信：我收到你的情书了，其实，我也喜欢你！我愿意和你交往！;写完信之后，女孩也焦急地等待，因为不知道回信能否能顺利传达给男孩。SYN=1，ack=x+1,seq=y3、男孩收到回信之后很开心，因为发出的情书女孩收到了，并且从回信中知道了女孩喜欢自己，并且愿意和自己交往。然后男孩又写了一封信告诉女孩：你的心意和信我都收到了，谢谢你，还有我爱你SYN=1,ack=Y+1,seq=X+1彼此都收到回信，大家开心交流了起来。这就是通俗版的“三次握手”，期间一共往来了三封信也就是“三次握手”，以此确认两个方向上的数据传输通道是否正常。tcp断开，也是有一方主动，也用这个例子。"第一次挥手"：男：你太懒了，我要和你分手FIN=1,seq=x“第二次挥手”：女：好，臭男人，等我把我的东西收拾完FIN=1，ack=X+1,seq=y男孩收到女孩的第一封信之后，明白了女孩知道自己要和她分手。随后等待女孩把自己的东西收拾好。“第三次挥手”：过了几天，女孩把男孩送的东西都整理好了，女：臭男人，我的东西收拾完了，咱们分手吧！FIN=1，ack=X+1,seq=z“第四次挥手”：男：好，拜拜！FIN=1，ack=z+1,seq=h当然这里双方都有各自的坚持。女孩自发出第二封信开始，限定一天内收不到男孩回信，就会再发一封信催促男孩来取东西！男孩自发出第二封信开始，限定两天内没有再次收到女孩的信就认为，女孩收到了自己的第二封信；若两天内再次收到女孩的来信，就认为自己的第二封信女孩没收到，需要再写一封信，再等两天….. 倘若双方信都能正常收到，最少只用四封信就能彻底分手！这就是“四次挥手”。

1、先提出一个问题， 可以不进行三次握手直接往服务端发送数据包吗？是不可以的，也是可以的；1）不可以是因为现在的TCP连接标准和规范要求传输数据前先确认两端的状态，有一端状态不OK的话，发数据包有什么用呢；2）说可以是站在网络连接的角度，像 UDP 协议；2、TCP三次握手1）标志位、随机序列号和确认序列号是在数据包的 TCP 首部里面；2）几个状态是指客户端和服务端连接过程中 socket 状态；3）第一次握手，客户端向服务端发送数据包，该数据包中 SYN 标志位为 1，还有随机生成的序列号c_seq，客户端状态改为 SYN-SENT；4）第二次握手，服务端接收到客户端发过来的数据包中 SYN 标志位为 1，就知道客户端想和自己建立连接，服务端会根据自身的情况决定是拒绝连接，或确定连接，还是丢弃该数据包；拒绝连接，会往客户端发一个数据包，该数据包中 RST 标志位为 1，客户端会报 Connection refused；丢弃客户端的数据包，超过一定时间后客户端会报 Connection timeout；确定连接时会往客户端发一个数据包，该数据包中 ACK 标志位为 1，确认序列号 ack=c_seq+1，SYN 标志位为 1，随机序列号 s_seq，状态由 LISTEN 改为 SYN-RCVD；5）第三次握手，客户端接收到数据包会做校验，校验ACK标志位和确认序列号 ack=c_seq+1，如果确定是服务端的确认数据包，改自己的状态为 ESTABLISHED，并给服务端发确认数据包；6）服务端接到客户端数据包，会校验ACK标志位和确认序列号 ack=s_seq+1，改自己的状态为 ESTABLISHED，之后就可以进行数据传输了；7）建立连接时的数据包是没有实际内容的，没有应用层的数据；8）建立连接之后发起的请求数据包，每个数据包都会封装各层协议的头部信息，标志位ACK为1，其他标志位变动；9）网络进程间的通信，一台服务器内部的进程间通信不用这样；3、TCP 连接三次握手抓包1）Socket 在 linux 系统中是一种特殊的文件，因为 linux 系统的理念就是【一切皆文件】，是系统内核级的功能；2）以上定义比较具体，可以抽象来理解，是一个内核级的用于通信的功能层，包含一组接口函数，这些函数实际就是操作 socket 文件句柄文件描述符；一个 TCP 连接由四要素【源IP、源Port、目标IP、目标Port】唯一标识，也即 socket 由这四要素唯一确定；一个 TCP 连接的建立也就是客户端、服务端创建了相对应的一对 socket，客户端和服务端之间的通信也就是这对 socket 间的通信（物理层面是网卡在发送/接收比特流数据）；3）一个服务与另一个服务建立连接，他们的端口是什么呢？客户端发出请求端口号是随机的，服务端是进程监听的端口号；2、socket 主要函数介绍1、进程通信，一个进程只有一个监听 socket，connect socket 是针对一个客户的一个连接的，有很多个； 2、connect 函数内部在发起请求前会找系统随机一个端口号； 3、连接建立后，客户端发起请求传输数据，服务端会直接交给 connect socket 处理，不会交给监听 socket 处理；4、监听 socket 在处理客户端请求时，如果此时其他客户端发请求过来，监听 socket 是没法处理的，此时系统会维护请求队列由 backlog 参数指定；全连接队列（completed connection queue）半连接队列（incomplete connection queue）Linux 内核 2.2 版本之前，backlog 的大小等于全连接队列和半连接队列之和；Linux 内核 2.2 版本之后，backlog 的大小之和全连接队列有关系：半连接队列大小由 /proc/sys/net/ipv4/tcp_max_syn_backlog 文件指定，可以开很大；全连接队列大小由 /proc/sys/net/core/somaxconn 文件和 backlog 参数指定，取两个中的最小值；tomcat acceptCount 就是配置全连接队列大小；3、socket 函数在建立连接和数据传输的大概使用情况4、TCP首部结构1）2的16次方等于 65536，所以系统中端口号的限制个数为 65536，一般1024以下端口被系统占用；2）标志位这里是 6 个，还有其他标志位的，只是这 6 个标志位常用；3）seq 序列号，ack 确认序列号，序列号在数据传输时分包用到。三次握手时 seq 序列号是随机的，没有实际意义；4）TCP 包首部后面接着的是 IP 包首部，再紧接着的是以太网包首部，其实都是加 0101010101 二进制位；几个常用标志位，首先一个标志位占一个 bit 位，只能是二进制中的 1 或 0；1）SYN，简写 S，请求标志位，用来建立连接。在TCP三次握手中收到带有该标志位的数据包，表示对方想与己方建立连接；2）ACK，简写【.】，请求确认/应答标志位，用于对对方的请求进行应答，对方收到含该标志位的数据包，会知道己方存在且可用。也会用在连接建立之后，己方发送响应数据给对方的数据包中；3）FIN，简写 F，请求断开标志位，用于断开连接。对方收到己方的含该标志位的数据包，就知道己方想与它断开连接，不再保持连接；4）RST，简写 R，请求复位标志位，因网络或己方服务原因导致有数据包丢失，己方接收到的数据包序列号与上一个数据包的序列号不衔接，那己方会发送含该标志位的数据包告诉对方，对方接收到含该标志位的数据包就知道己方要求它重新三次握手建立连接并重新发送丢失的数据包，一般断点续传会用到该标志位；还有就是如果对方发过来的数据错了，有问题，己方也会发送含该标志位的数据包；5）PSH，简写 P，推送标志位，表示收到数据包后要立即交给应用程序去处理，不应该放在缓存中，read()/write() 都有缓存区；6）URG，简写 U，紧急标志位，该标志位表示 tcp 包首部中的紧急指针域有效，督促中间层尽快处理；7）ECE，在保留位中；8）CWR，在保留位中；5、TCP 抓包1）服务端会根据自身情况，没有要处理的数据时会把第二次和第三次挥手合并成一次挥手，此时标志位 FIN=1 / ACK=1；2）MSL 是 Maximum Segment Lifetime 缩写，指数据包在网络中最大生存时间，RFC 建议是 2分钟；详细描述：1）客户端、服务端都可以主动发起断开连接；2）第一次挥手，客户端向服务端发送含 FIN=1 标志位的数据包，随机序列号 seq=m，此时客户端状态由 ESTABLISHED 变为 FIN_WAIT_1；3）第二次挥手，服务端收到含 FIN=1 标志位的数据包，就知道客户端要断开连接，服务端会向客户端发送含 ACK=1 标志位的应答数据包，确认序列号 ack=m+1，此时服务端状态由 ESTABLISHED 变为 CLOSE_WAIT；4）客户端收到含 ACK=1 标志位的应答数据包，知道服务端的可以断开的意思，此时客户端状态由 FIN_WAIT_1 变为 FIN_WAIT_2；（第一、二次挥手也只是双方交换一下意见而已）5）第三次挥手，服务端处理完剩下的数据后再次向客户端发送含 FIN=1 标志位的数据包，随机序列号 seq=n，告诉客户端现在可以真正的断开连接了，此时服务端状态由 CLOSE_WAIT 变为 LAST_ACK；6）第四次挥手，客户端收到服务端再次发送的含 FIN=1 标志位的数据包，就知道服务端处理好了可以断开连接了，但是客户端为了慎重起见，不会立马关闭连接，而是改状态，且向服务端发送含 ACK=1 标志位的应答数据包，确认序列号 ack=n+1，此时客户端状态由 FIN_WAIT_2 变为 TIME_WAIT；等待 2 个MSL时间还是未收到服务端发过来的数据，则表明服务端已经关闭连接了，客户端也会关闭连接释放资源，此时客户端状态由 TIME_WAIT 变为 CLOSED；也就是说 TIME_WAIT 状态存在时长在 1~4分钟；7）服务端收到含 ACK=1 标志位的应答数据包，知道客户端确认可以断开了，就立即关闭连接释放资源，此时服务端状态由 LAST_ACK 变为 CLOSED；SYN 洪水攻击（SYN Flood）是一种 DoS攻击（拒绝服务攻击），大概原理是伪造大量的TCP请求，服务端收到大量的第一次握手的数据包，且都会发第二次握手数据包去回应，但是因为 IP 是伪造的，一直都不会有第三次握手数据包，导致服务端存在大量的半连接，即 SYN_RCVD 状态的连接，导致半连接队列被塞满，且服务端默认会发 5 个第二次握手数据包，耗费大量 CPU 和内存资源，使得正常的连接请求进不来；