TCP/IP三次握手

bel5f5

               
TCP是面向连接的，所谓面向连接，就是当计算机双方通信时必需先建立连接，然后数据传送，最后拆除连接三个过程
并且TCP在建立连接时又分三步走：
第一步是请求端（客户端）发送一个包含SYN即同步（Synchronize）标志的TCP报文，SYN同步报文会指明客户端使用的端口以及TCP连接的初始序号；
第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgement）。
第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。
然后才开始通信的第二步：数据处理。
这就是所说的TCP三次握手（Three-way
Handshake）。
简单的说就是：（C：客户端，S：服务端）
C：SYN到S
S：如成功--返回给C（SYN+ACK）
C：如成功---返回给S（ACK）
以上是正常的建立连接方式，但如下：
假设一个C向S发送了SYN后无故消失了，那么S在发出SYN+ACK应答报文后是无法收到C的ACK报文的（第三次握手无
法完成），这种情况下S一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN
Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个C出现异常导致S的一个线程等待1分钟并不是什么很大的问题，但如果有一
个恶意的攻击者大量模拟这种情况，S将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常
多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果S的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃
---即使S的系统足够强大，S也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟C的正常请求比率非常之小），此时从正常客户的角
度看来，S失去响应，这种情况我们称作：服务器端受到了SYN
Flood攻击（SYN洪水攻击）。
以上的例子常被称作DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）
注意：其中这儿的C和S都是相对的，对于现在的计算机来讲，只要自己的计算机建立任一服务，在一定情况下都可被称为S
解决办法：在你的计算机上安装防火墙
个人防火墙一般我们可采用学习模式来让防火墙自己来进行分析
有一点得说明，防火墙是无杀毒功能的，同时也无法清除垃圾邮件，简单点讲它只起到一个过滤作用
               
               
               
               
               

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u1/44215/showart_401814.html