本文共 1603 字,大约阅读时间需要 5 分钟。
TCP协议全解析
1. TCP报文格式
TCP(传输控制协议)是互联网中用于机器之间传输数据的核心协议。它的报文结构分为五个部分,每个部分都承担着重要的职责。
1.1 序号(Sequence Number)
- 作用:序号用于标识从TCP源端向目的端发送的数据包,每个数据包都有独特的序号。
- 长度:占用32位,即4字节。
1.2 确认序号(Acknowledgment Number)
- 作用:只有当ACK(确认)标志位为1时,确认序号才起作用,其值等于发送方 данные包的序号加一(Ack = Seq + 1)。
- 长度:占用32位,即4字节数字。
1.3 标志位(Control Flags)
- 意义:标志位共6位,分别代表URG、ACK、PSH、RST、SYN、FIN六个控制命令。
- URG:紧急指针有效。
- ACK:确认序号有效。
- PSH:让接收方立即处理数据。
- RST:重置连接。
- SYN:表示请求建立新连接。
- FIN:表示释放连接。
1.4 校验和(Checksum)
- 作用:用于验证数据包完整性,防止数据传输过程中发生错误或篡改。
1.5 无连接(Window Size)
- 作用:表示接收方能够接收的数据量。
- 意义:了解接收方的缓冲空间,以决定是否发送更大的数据包。
2. TCP连接的建立与终止
2.1 连接建立(三次握手)
第一次握手:
- 客户端(Client)发送SYN包,标志位SYN置为1,随机生成初始序号Seq,并进入SYN-SENT状态。
第二次握手:
- 服务器(Server)接收SYN包后,发送SYN-ACK包,标志位SYN和ACK置为1,确认Seq加一(Ack = Seq + 1),随机生成响应序号Ack,并进入SYN-RCVD状态。
第三次握手:
- 客户端接收到SYN-ACK包后,发送ACK包,标志位ACK置为1,确认服务器生成的序号Ack。双方完成握手,进入ESTABLISHED状态,数据传输开始。
2.2 连接终止(四次挥手)
由于TCP是全双工流量控制,连接的关闭需要从两端同时完成。四次挥手是实现这一过程的必要步骤。
第一次挥手:
- 客户端发送FIN包,表示愿意关闭连接,发送序号占位符(未使用实际数据),进入FIN-WAIT状态。
第二次挥手:
- 服务器接收到FIN包后,发送ACK包,确认序号为接收到的Seq + 1。等待数据传输完成,进入CLOSE-WAIT状态。
第三次挥手:
- 服务器发送FIN包,表示同意关闭连接,进入LAST-ACK状态。
第四次挥手:
- 客户端接收到FIN包后,发送ACK包,确认接收到的Seq + 1。进入TIME-WAIT状态,等待2MSL时间(最大报文段生存时间),确保双方确认连接关闭。
3. TCP数据传输与拆包
TCP是流式协议,没有固定消息边界,数据可分为多个段传输。为了防止数据包被拆分或重组,应用层需要定义边界。常用的方法是使用换行符分割数据。
4. TCP攻击与防护
4.1 分析常见TCP攻击及其防护措施
Ping of Death攻击:
- 原理:发送超大IP包,触发数据包分解,导致服务器资源耗尽。
- 预防:升级系统防护补丁。
SYN Flood攻击:
- 原理:不断发送SYN包,阻塞服务器处理引起服务中断。
- 预防:降低SYN队列大小,设置严格的访问控制列表。
Smurf攻击:
- 原理:发送异常ICMP数据包,导致目标主机遭受多达攻击。
- 预防:禁止转发广播地址。
Teardown攻击:
LandAttack攻击:
- 原理:伪造SYN包,诱使服务器发回ACK包形成空连接。
IP欺骗攻击:
- 原理:利用RST位伪装作为重置请求,打断合法连接。
DOS攻击:
- 原理:通过高强度数据包耗尽服务器资源。
- 预防:部署负载均衡和防火墙策略。
每个攻击都有其独特的机制,严重时需要针对性应对措施。
转载地址:http://urakk.baihongyu.com/