其实就是TCP通过三次握手建立链接,在建立过程中一共要发送3个包,所以称为三次握手。主要就是确定双方的发送能力、接受能力是否正常,并且为后续的可靠性传输定义序列号。
刚开始的时候,客户端是Closed状态,服务端是Listen状态。
三次握手可以保证服务端和客户端的发送以及接受功能都是正常的。如果只有两次的话,无法保证每次建立的链接都是可用的。
比如:客户端发送第一次握手时,发生消息延迟的情况。客户端认为消息丢失,于是再次发送第一次握手。
服务端先接受到第二次的请求,于是直接返回成功,于是建立连接。数据传输完成后断开连接。
这时候延迟的消息到了服务端,那服务端就认为这是一次新的链接,于是再次建立连接等待客户端的数据。但是客户端并不认为这是一次有效链接就不会管。那么这时候就造成了服务端的资源浪费。
第三次挥手是可以携带数据的,但是前两次挥手不可以。
因为,如果第一次挥手就可以携带数据的话,如果有人要恶意攻击服务器,那他在第一次挥手的时候携带大量的数据,因为攻击者根本不理会服务器是否会返回数据。那么重复发送大量的SYN报文,就会占用服务器大量的资源。
服务器的资源是在第二次握手的时候分配的,而客户端的资源是在第三次握手的时候才分配的,所以服务端容易受到SYN洪泛攻击。
SYN攻击就是在短时间内,Client客户端在短时间内伪造大量的IP地址,向server服务端发送第一次握手的请求SYN。server接受SYN后会回复确认包,并且等待Client的确认,因为IP是伪造的,所以无法接受到回执,于是server就会不断地发送直到超时。这些伪造的SYN包将长时间占用未连接队列,导致正常的SYN包请求因为队列阻塞而被丢弃。从而因为网络拥堵甚至系统瘫痪。SYN攻击是一种非常典型的DoS/DDoS攻击
检测SYN攻击非常简单,当发现服务器有大量半链接状态时,并且都是不一样的IP地址,就很有可能是SYN攻击。
防御方法有以下几种:
建立链接需要三次握手,而断开连接需要四次挥手
另外要注意Time_wait状态会等待2秒的时间,是为了保证最后一次挥手的成功。
因为2秒是一个报文的最大生存时间,如果2秒后服务器端没有接受到ACK,那么就会再次发送FIN进行第3和4次挥手。