tcp连接关闭四次握手关闭连接.pptVIP

7.3　TCP连接 TCP连接关闭 验证分析四次握手关闭连接 TCP连接关闭第4次握手过程中的数据包分析 7.3　TCP连接 TCP连接关闭 半关闭 7.3　TCP连接 TCP连接复位 连接复位几种情形 拒绝连接请求 异常关闭连接 终止空闲的连接 TCP连接复位的数据包分析 7.3　TCP连接 传输控制块（TCB） 为了控制连接，TCP使用一种称为传输控制块（Transmission Control Block，TCB）的结构来保持每一条连接的有关信息。 任何时候都可能有好几个连接，TCP就以表的形式存储TCB数组。 每一个TCB都包括许多字段。例如“状态”字段指定连接状态；“进程”字段定义在主机上使用这个连接的进程（作为客户端或服务器）；常用的字段还有本地IP地址、本地端口、远程IP地址、远程端口、接口、本地窗口、远程窗口、发送序列号、接收序列号、发送确认号、往返时间、超时值、缓冲区大小、缓冲区指针等。 7.3　TCP连接 TCP状态转换图 TCP状态 CLOSED：无连接状态。 LISTEN：侦听状态，等待连接请求SYN。 SYN-SENT：已发送连接请求SYN状态，等待确认ACK。 SYN-RCVD：已收到连接请求SYN状态。 ESTABLISHED：已建立连接状态。 FIN-WAIT-1：应用程序要求关闭连接，断开请求FIN已经发出状态。 FIN-WAIT-2：已关闭半连接状态，等待对方关闭另一个半连接。 CLOSING：双方同时决定关闭连接状态。 TIME-WAIT：等待超时状态。 CLSOE-WAIT：等待关闭连接状态，等待来自应用程序的关闭要求。 LAST-ACK：等待关闭确认状态。 7.3　TCP连接 TCP状态转换图 状态转换图 7.3　TCP连接 TCP状态转换图 TCP连接全过程状态转换分析 7.3　TCP连接 TCP连接同时打开与同时关闭 同时打开TCP连接 7.3　TCP连接 TCP连接同时打开与同时关闭 同时关闭TCP连接 7.3　TCP连接 序列号与确认号机制 概述 TCP协议使用序列号和确认号来确保传输的可靠性。 每一次传输数据时都会标明该段的编号，以便对方确认，同时在确认号字段中对已收到的TCP段进行确认。 确认并不需要单独发送确认报文段，可以放在传到对方的TCP段中 在TCP协议中并不直接确认收到哪些分段，而是通知发送方下一次该发送哪一个分段，表示前面的分段都已收到。 序列号和确认号确保了数据适当排序，并防止报文段丢失。 要发送的确认号 = 已收到的序列号 + 已收到数据的字节数 7.3　TCP连接 序列号与确认号机制 验证分析数据传输过程中的序列号和确认号机制 在Wireshark抓包结果中禁用相对序列号 7.3　TCP连接 序列号与确认号机制 验证分析数据传输过程中的序列号和确认号机制 服务器开始传输一个报文段 7.3　TCP连接 序列号与确认号机制 验证分析数据传输过程中的序列号和确认号机制 服务器传输下一个报文段 7.3　TCP连接 序列号与确认号机制 验证分析数据传输过程中的序列号和确认号机制 客户端发送确认报文段 7.3　TCP连接 序列号与确认号机制 验证分析数据传输过程中的序列号和确认号机制 服务器继续发送数据 7.3　TCP连接 SYN洪泛攻击及其防范 直接攻击 攻击者使用未经伪装的IP地址快速地发送SYN包。 这种攻击要想得逞，攻击者还必须阻止其系统响应SYN/ACK。 攻击者可以通过设置防火墙规则阻止一切要到达服务器的数据包（除了SYN），或者阻止一切传入的包来使SYN-ACK包在到达本地TCP处理程序之前就被丢弃了。 非常容易抵御，用一个简单的防火墙规则阻止带有攻击者IP地址的数据包。 欺骗式攻击 攻击者用有效的IP和TCP首部去替换和重新生成原始IP报文，并让位于伪装IP地址上的主机必须不能响应任何发送给它们的SYN/ACK包。 攻击者有两种方法欺骗，一种是仅伪装一个源IP地址，另一种是伪装许多源地址，让伪装地址上的主机不会响应SYN-ACK包。 最好的防御方法就是尽可能地阻塞源地址相近的欺骗数据包。 分布式攻击 攻击者运用在网络中主机数量上的优势而发动的分布式SYN洪泛攻击将更加难以被阻止。主机群可以用直接攻击，也可以更进一步让每台主机都运用欺骗攻击。 要阻止这类攻击目前还是一个挑战。 7.4 TCP可靠性 TCP差错控制 校验和 数据损坏可以通过TCP的校验和检测出来。 确认 TCP采用确认来证实收到了报文段。 重传 超时重传 快重传 失序报文段的处置 不丢弃这些失序的报文段，而是把这些报文段暂时存储下