1、建立安全能力
这一阶段由客户端向服务器发起建立连接请求,然后服务器与客户机进行消息交换,创建主密钥在这个阶段交换两个信息,即Client Hello和Server Hello信息。
2、服务器验证和密钥交换
若要认证,则在此阶段,服务器发送其证书、公钥,也许还要对客户请求证书。然后服务器将发送server_key_exchange消息,如果服务器已发送含固定Diffie-Hellman参数的证书或用了RSA密钥交换方法,则不用发送该消息。
3、客户端认证和密钥交换
该阶段共有三个消息从客户端发送到服务器。
首先,如果服务器在第二阶段已请求证书,则客户端要发送一个证书信息;若无证书,那么发送一个告警信息。
4、完成
在这个阶段交换4个信息。
首先客户端发送一个改变密码规格信息,并把未定的密码规格复制到当前密码规格中,这个信息实际上是将要讨论的改变密码各个协议的一部分。然后发送一个完成消息宣布握手协议完成。
扩展资料:
握手协议由一些客户与服务器交换的消息所构成,每一个消息都含有以下三个字段。
(1)类型(type),1个字节:表示消息的类型,总共有十种
(2)长度(length),3个字节:消息的位组长度。
(3)内容(content),大于或等于1个字节,与此消息有关的参数。
参考资料来源:百度百科-握手协议
三次握手,四次挥手。第一次握手:客户端向服务器端发送连接请求包SYN,等待服务器回应;
第二次握手:服务器端收到客户端连接请求包SYN后,将客户端的请求包SYN放入到自己的未连接队列,此时服务器需要发送两个包给客户端;
(1)向客户端发送确认自己收到其连接请求的确认包ACK,向客户端表明已知道了其连接请求
(2)向客户端发送连接询问请求包SYN,询问客户端是否已经准备好建立连接,进行数据通信;即在第二次握手时服务器向客户端发送ACK和SYN包,此时服务器进入SYN-RCVD状态。
第三次握手:客户端收到服务器的ACK和SYN包后,知道了服务器同意建立连接,此时需要发送连接已建立的消息给服务器;向服务器发送连接建立的确认包ACK,回应服务器的SYN告诉服务器,我们之间已经建立了连接,可以进行数据通信。ACK包发送完毕,服务器收到后,此时服务器与客户端进入ESTABLISHED状态,开始进行数据传送。
TCP四次挥手过程
断开一个tcp连接需要“四次挥手”
第一次:主动关闭方发送一个FIN,用来关闭主动方到被动关闭方的数据传送,也就是主动关闭方告诉被动关闭方:我已经不会再给你发送数据了,但是,此时,主动关闭方依然可以接收数据。
第二次:被动关闭方收到FIN包后,发送一个ACK给对方,确认序号为收到序号+1
第三次:被动关闭方发送一个FIN,用来关闭被动关闭方到主动关闭方的数据传送,也就是告诉主动关闭方,我已经发完了,不会再给你发数据了。
第四次:主动关闭方收到FIN后,发送一个ACK给对方,确认序号为收到序号+1,至此,四次挥手完成。
TCP 建立连接时要经过 3 次握手,在客户端向服务器发起连接时,
对于服务器而言,一个完整的连接建立过程,服务器会经历 2 种 TCP 状态:SYN_REVD, ESTABELLISHED。
对应也会维护两个队列:
半连接队列长度由内核参数 tcp_max_syn_backlog 决定,
当使用 SYN Cookie 时(就是内核参数 netipv4tcp_syncookies = 1),这个参数无效,
即 半连接队列长度 = min(backlog, 内核参数 netcoresomaxconn,内核参数 tcp_max_syn_backlog),半连接队列的长度肯定小于全连接队列的长度 。
这个公式实际上规定半连接队列长度不能超过全连接队列长度。
首先,全连接满会影响半连接满。全连接满而且半连接中有一定数目处于SYN_REVD状态的连接时,没有必要再继续新的半连接,因为此时全连接已满,此时的动作是直接忽略该连接。
半连接满了之后的动作是直接忽略(ignore or dropped),此时客户端需要不断的重发SYNC进行重试,重试的参数由 tcp_syn_retries 决定,该参数默认是5。如果超过客户端设置的超时时间,会报连接超时异常。
客户端发出SYNC之后,不响应ACK,此时造成半连接队列满,server不能再提供服务,正常的客户端一直报连接超时。
为了应对该攻击,有两种办法:
667399 SYNs to LISTEN sockets ignored表明已经忽略SYN次了,此时说明半连接队列满了,或者因为全连接满而影响了半连接的进行。
全连接队列长度 = min(backlog, 内核参数 netcoresomaxconn) , netcoresomaxconn 默认为 128 。
这个很好理解,netcoresomaxconn 定义了系统级别的全连接队列最大长度,
backlog 只是应用层传入的参数,不可能超过内核参数,所以 backlog 必须小于等于 netcoresomaxconn。
对于 Linux 而言,基本上任意语言实现的通信框架或服务器程序在构造 socket server 时,都提供了 backlog 这个参数,
因为在监听端口时,都会调用系统底层 API: int listen(int sockfd, int backlog);
listen 函数中 backlog 参数的定义如下:
cat /proc/sys/net/core/somaxconn或者sysctl -a | grep "netcoresomaxconn"
线上机器(LINK)的运行结果如下:
Recv-Q:全连连队列中数据的个数,也就是等待被accept的个数。
Send-Q:全连接队列长度
tomcat默认短连接,backlog(在Tomcat里面的术语是Accept count)默认100
Nginx默认是511
因为Nginx是多进程模式,也就是多个进程都监听同一个端口以尽量避免上下文切换来提升性能
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)