三次握手的流程图:
在网络数据传输中,传输层协议TCP(传输控制协议)是建立连接的可靠传输,TCP建立连接的过程,我们称为三次握手。
第一次,客户端向服务器发送SYN同步报文段,请求建立连接
客户端发送网络包,服务端收到了。
这样服务端就能得出结论:客户端的发送能力、服务端的接收能力是正常的。
第二次,服务器确认收到客户端的连接请求,并向客户端发送SYN同步报文,表示要向客户端建立连接
服务端发包,客户端收到了。
这样客户端就能得出结论:服务端的接收、发送能力,客户端的接收、发送能力是正常的。不过此时服务器并不能确认客户端的接收能力是否正常。
第三次,客户端收到服务器端的确认请求后,处于建立连接状态,向服务器发送确认报文
客户端发包,服务端收到了。
这样服务端就能得出结论:客户端的接收、发送能力正常,服务器自己的发送、接收能力也正常。
因此,需要三次握手才能确认双方的接收与发送能力是否正常。
无法确认客户端的接收能力。
假设第二次握手的报文丢失了,或者是说有人恶意向服务器不断发送SYN同步报文(SYN洪水)。那么服务器端就会有大量的无效连接,服务器处理连接的数量是有限的,当有大量的无效连接建立后,服务器处理有效连接是能力就会受限,且建立连接会消耗大量是资源,至此有可能导致服务器崩溃。
因为三次已经足够确认双方的发送和接收的能力了,四次以及四次以上当然就没必要啦
可以,但是只有第三次,此时的established状态相对安全并且够确认服务器的接收发送能力。但是,第一次、第二次握手不可以携带数据
为什么这样呢大家可以想一个问题,假如第一次握手可以携带数据的话,如果有人要恶意攻击服务器,那他每次都在第一次握手中的 SYN 报文中放入大量的数据。因为攻击者根本就不理服务器的接收、发送能力是否正常,然后疯狂着重复发 SYN 报文的话,这会让服务器花费很多时间、内存空间来接收这些报文。
也就是说,第一次握手不可以放数据,其中一个简单的原因就是会让服务器更加容易受到攻击了。而对于第三次的话,此时客户端已经处于 ESTABLISHED 状态。对于客户端来说,他已经建立起连接了,并且也已经知道服务器的接收、发送能力是正常的了,所以能携带数据也没啥毛病。
服务器第一次收到客户端的 SYN 之后,就会处于 SYN_RCVD 状态,此时双方还没有完全建立其连接,服务器会把此种状态下请求连接放在一个队列里,我们把这种队列称之为半连接队列。
当然还有一个全连接队列,就是已经完成三次握手,建立起连接的就会放在全连接队列中。如果队列满了就有可能会出现丢包现象。
SYN Flood 属于典型的 DoS/DDoS 攻击。其攻击的原理很简单,就是用客户端在短时间内伪造大量不存在的 IP地址,并向服务端疯狂发送SYN。对于服务端而言,会产生两个危险的后果:
处理大量的SYN包并返回对应ACK, 势必有大量连接处于SYN_RCVD状态,从而占满整个半连接队列,无法处理正常的请求。
由于是不存在的 IP,服务端长时间收不到客户端的ACK,会导致服务端不断重发数据,直到耗尽服务端的资源。
增加 SYN 连接,也就是增加半连接队列的容量。
减少 SYN + ACK 重试次数,避免大量的超时重发。
利用 SYN Cookie技术,在服务端接收到SYN后不立即分配连接资源,而是根据这个SYN计算出一个Cookie,连同第二次握手回复给客户端,在客户端回复ACK的时候带上这个Cookie值,服务端验证Cookie 合法之后才分配连接资源。
下面来看看四次挥手的流程图:
中断连接端可以是客户端,也可以是服务器端。
不像建立连接的过程,服务器端在调用了accept()之后,剩下的都交给内核来处理,用户空间不用做什么,断开连接是,A端调用close()关闭文件描述符后,A端就停止发送数据了进行发送,B端收到后结束报文段之后,的得知A端要断开连接了,但是B端可能有自己还没有处理完的数据,不能立即断开连接,就要先给出回复,表示自己已经收到消息了,然后将自己的数据处理完之后,可以断开连接的时候,再调用close()发出断开连接请求,在收到A端的确认回复之后,断开连接,一共需要四次挥手。
MSL是 最长报文段寿命,它是任何报文在网络上存在的最长时间,超过这个时间报文将被丢弃。
2MSL等待状态:它是任何报文段被丢弃前在网络内的最长时间。
(1)保证客户端发送的最后一个ACK报文段能够到达服务端。
(2)防止“已失效的连接请求报文段”出现在本连接中。
客户端在发送完最后一个ACK报文段后,再经过2MSL,就可以使本连接持续的时间内所产生的所有报文段都从网络中消失,使下一个新的连接中不会出现这种旧的连接请求报文段。
上面是一方主动关闭,另一方被动关闭的情况,实际中还会出现同时发起主动关闭的情况,
具体流程如下图:
参考资料:
一篇文章带你熟悉 TCP/IP 协议
「计算机网络」前端必备知识,看到就是赚到系列(上)
什么是三次握手、四次挥手
面试官,不要再问我三次握手和四次挥手 这个问题。。。。。。
说好了追加分哦
DHCP服务器简单的说就是为局域网中的客户机动态分配IP地址的服务器,它工作在我们日常的网络环境中,但却不太被人重视,一般人会认为它只是网管员才可以配置的一类服务器,其实巧妙的利用DHCP服务器,可以解决很多棘手的网络故障,下面以我们单位局域中的两个具体的例子来说明DHCP服务器在解决网络故障中的作用(本篇文章我主要介绍DHCP服务器的针对问题的设置,而上周则发布了介绍DCHP中继代理、下发配置文件等高级设置的文章。
一、巧用DHCP服务器 防止IP地址冲突
在公司的实际网络环境中存在着许多的小型局域网,它们往往是位于一个部室的大办公室内,里面有十几台电脑,用一台普通的交换机或HUB连接起来,里面还会有一台充当打印服务器的电脑(即这台电脑连接了一台打印机,其它电脑通过共享打印机的方式来进行打印),如图1所示
一般来说,网管为会这个小型局域网中的微机分配一段连续的固定IP地址,然后在上端的路由器或防火墙上通过NAT的方式来实现上网,但是就是这个只有几十个IP地址的小局域网却时常出现IP地址冲突的情况,原因无非就是某个人忘记了自己机器的IP地址是多少了,就随便猜了一个,或者某天某人从家里带了个笔记本电脑来,没有IP,又随便猜了一个,结果当然就造成IP地址冲突了,但是查找IP地址冲突的机器又不好找,一来网络环境太差,不方便通过网管工具来查找冲突的IP地址;二来人员往往也不配合,这时我们就可以将这台打印服务器做成一台DHCP服务器(因为打印服务器的开机时间是最长的,可以保证DHCP服务的有效运行)。
还是简单说一下DHCP服务器工作的原理吧:在使用DHCP 进行动态IP 地址分配的网络环境中,包括DHCP 服务器和DHCP 客户机。客户端广播一条DHCP 发现消息,这条消息被送往网络上的DHCP 服务器。每台收到发现消息的DHCP 服务器用一条包括客户机所在子网的IP 地址的消息响应它。 客户机判断消息并选择一条,然后向DHCP 服务器发出请求IP 地址的信息。这信息包括:IP 地址,子网掩码、以及一些选项信息,如缺省网关地址、域名服务器等。当DHCP服务器收到客户端请求时,它从在它数据库定义的地址池中选择一个IP 信息,并把它分配给客户端。如果客户端获得分配给它的IP 地址,则称这个IP 地址在一个给定的时间内租给了这个客户端。如果在地址池中无可用的IP 地址租给客户端,则客户端不能初始化TCP/IP。
由于DHCP服务器是将一个目前确实是未在使用的IP地址分配给客户端,这样就可以保证每台客户机的IP地址都是唯一的,这样就可以有效的避免IP地址冲突的问题。
在具体实现的过程,网管可以把为这个小型局域网的分配的IP地址段配置到DHCP服务器的作用域上,我以具体的 *** 作来说明一下设置步骤(需要说明的是,这一章我们介绍DHCP服务器的配置,前提条件是DHCP服务器与客户机位于相同的VLAN中)。
(一)添加DHCP服务
DHCP服务器采用WIN2003 *** 作系统(WIN2000 *** 作系统也可),如果没有安装DHCP服务,先要在“控制面板”的“添加/删除程序”中安装DHCP服务,
(二)配置DHCP服务器
配置的过程也很简单,理解好几个概念(作用域、路由、DNS等)就可以进行DHCP服务器的创建了,我以具体的 *** 作为例进行说明。
1、比如网管为本局域网分配的IP段为106651-10665100,为本机(DHCP服务器+打印服务器)分配的IP地址为10665246(当时为了避免冲突特意靠后分配的一个IP地址),子网掩码为25525500,网关为106601,DNS服务器的地址为22217516991和2191460130。
2、新建作用域,IP地址范围
3、三个常规设置
添加排除、租约期限这两个选项都用默认值,到了“配置DHCP选项”这一项,我们选“否,我想稍后配置这些选项”,这么做的目的是排除初次配置DHCP服务器时由于对一些名词理解的不清楚,而造成配置的问题。
4、配置作用域
这样我们就创建了一个作用域,在“作用域选项”中点击鼠标右键选择“配置选项”,在这儿我们要配置两个选项
1)003路由器
其实就是分配给客户机的网关地址,
2)006DNS服务器
这个更好理解,就是分配给客户机的DNS服务器的地址,如图2所示
图2
5、激活DHCP服务器
只是创建了作用域,DHCP服务器还是无法工作的,我们需要“激活”这台服务器,在作用域上点鼠标右键,选“激活”即可。
IP地址网络测试
在客户端上测试一下,将客户机设置为自动获取IP地址及DNS服务器地址,看能不能获取到IP地址、网关地址及DNS服务器地址,成功的话,会如下所示
Ethernet adapter 本地连接 2:
Connection-specific DNS Suffix :
Description : Realtek RTL8029(AS) PCI Ethernet Adapter #2
Physical Address : 00-00-21-F2-F3-EF
DHCP Enabled : Yes
Autoconfiguration Enabled : Yes
IP Address : 106651
Subnet Mask : 25525500
Default Gateway : 106601
DHCP Server : 10665246
DNS Servers : 22217516991
2191460130
Lease Obtained : 2007年9月17日 15:26:46
Lease Expires : 2007年9月25日 15:26:46
另外,还可以在TCP/IP设置的高级中看到DHCP被启用的显示。
同时,在DHCP服务器的地址租约中也可以看到有一台客户端获取到IP地址了,如图3所示。
图3
在这个小型局域网中启用了DHCP服务器后,IP地址冲突的事情就基本上“绝迹”了。
二、解决莫名的网络故障
当DHCP服务器建好后,一部分客户机上网是自动获取IP地址的方式,还有一部分客户机的设置没有改变,仍然是原来固定IP地址的方式,这两种方式可以很好的和平共处(因为已经将一部分IP地址排除出去了,如图4所示)。
图4
但是有一天,有一位同事上不去网了,我到他的微机上看了一下,也属于常规故障,更改他微机的MAC地址就可以通一会,但是一会又不通了,这可能是由于ARP地址欺骗病毒在搞鬼,但是用arp –a命令又查不出是具体是哪台机器,想从网上下载360安全卫士及ARP防火墙软件,但是这时候我还上不去网啊,想起来局域网中还有一台DHCP服务器,就将这台微机设置为自动获取IP地址,结果就顺利的上去网了,而且没有出现网络时通时断的现象。
其实配置DHCP服务器并让它运转起来并不是一件很复杂的事情,但是笔者将往往放置在网络上层的DHCP服务器下移,让其在一个小型的局域网中发挥作用,既可以防止IP地址冲突又可以解决莫名的网络故障,而且为一个小型的局域网分配IP地址,也不需要这台DHCP服务器拥有很高的配置,另外DHCP服务器本身出问题的概率也小很多,这也算是一个小小的创新吧。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)