tcp会话过程详解（TCP session detail）.docVIP

tcp会话过程详解（TCP session detail） 三次握手三次握手 一个虚拟连接的建立是通过三次握手来实现的 1。（b）…… 假如服务器一和客户机B通讯。一要和通信时当B，B首先向一发一个SYN（同步）标记的包，告诉一请求建立连接。 注意：一个SYN SYN标记设为包就是仅1的TCP包（参见TCP包头资源）。认识到这点很重要，只有当一受到B发来的SYN包，才可建立连接，除此之外别无他法。因此，如果你的防火墙丢弃所有的发往外网接口的SYN包，那么你将不能让外部任何主机主动建立连接。 2。（b） 接着，一收到后会发一个对SYN包的确认包（SYN/ACK）回去，表示对第一个SYN包的确认，并继续握手操作。 注意：SYN/ACK包是仅SYN ACK标记为和1的包。 三.（b）- B收到SYN/ACK包，B发一个确认包（ACK），通知一连接已建立。至此，三次握手完成，一个TCP连接完成 注：包就是仅ACK ACK标记设为1的TCP包。需要注意的是当三此握手完成、连接建立以后，TCP ACK位连接的每个包都会设置 这就是为何连接跟踪很重要的原因了。没有连接跟踪，防火墙将无法判断收到的ACK包是否属于一个已经建立的连接。一般的包过滤（软件）收到ACK包时，会让它通过（这绝对不是个好主意）。而当状态型防火墙收到此种包时，它会先在连接表中查找是否属于哪个已建连接，否则丢弃该包 四次握手四次握手 四次握手用来关闭已建立的TCP连接 1。（b）—— 2。（b） ACK （a）） 三.（b） （a） 4。（b）—— 注意：由于TCP连接是双向连接，因此关闭连接需要在两个方向上做。应答（ACK和鳍鳍包标记设为1）通常被认为是鳍（终结）包。然而，由于连接还没有关闭，翅片包总是打上ACK标记。没有ACK标记而仅有鳍标记的包不是合法的包，并且通常被认为是恶意的 连接复位连接复位 四次握手不是关闭TCP连接的唯一方法。有时，如果主机需要尽快关闭连接（或连接超时，端口或主机不可达），RST（复位）包将被发送。注意在，由于包不是TCP RST连接中的必须部分，可以只发送RST包（即不带ACK标记）。但在正常的TCP RST包可以带ACK确认标记连接中 请注意RST包是可以不要收到方确认的？ 无效的TCP TCP标志标记无效 到目前为止，你已经看到了SYN，ACK，鳍，和RST标记。另外，还有PSH（推）和URG（急）标记。 The most common illegal combination is the SYN/FIN package. Note: because the SYN package is used to initialize the connection, it cannot appear with the FIN and RST tags. This is also a malicious attack Since most firewalls now have known SYN/FIN packages, there are other combinations, such as SYN/FIN/PSH, SYN/FIN/RST, SYN/FIN/RST/PSH. Obviously, when this package appears in the network, your network must be attacked. Other known illegal packages are FIN (without ACK tags) and NULL packages. As discussed earlier, since the ACK/FIN package appears to close an TCP connection, the normal FIN package always has a ACK tag. The NULL package is a package without any TCP tags (URG, ACK, PSH, RST, SYN, FIN, 0). So far, under normal network activity, the TCP stack is unlikely to produce a TCP package with any of the combinations of tags mentioned above. When you find these abnormal bags, there must be some bad intent on your network. UDP (user data package protocol User, Dat