TCP三次握手/四次揮手詳解

一. TCP/IP協議族

      TCP/IP是一個協議族，通常分不同層次進行開發，每個層次負責不同的通信功能。包含以下四個層次：

1. 鏈路層，也稱作數據鏈路層或者網路介面層，通常包括操作系統中的設備驅動程式和電腦中對應的網路介面卡。它們一起處理與電纜（或其他任何傳輸媒介）的物理介面細節。

2. 網路層，也稱作互聯網層，處理分組在網路中的活動，例如分組的選路。網路層協議包括IP協議（網際協議）、ICMP協議（Internet互聯網控制報文協議），以及IGMP協議（Internet組管理協議）。

3. 運輸層主要為兩台主機上的應用程式提供端到端的通信。在TCP/IP協議族中，有兩個互不相同的傳輸協議：TCP（傳輸控制協議）和UDP（用戶數據報協議）。TCP為兩台主機提供高可靠性的數據通信。他所作的工作包括把應用程式交給它的數據分成合適的小塊交給下麵的網路層，確認接收到的分組，設置發送最後確認分組的超時時鐘等。由於運輸層提供了高可靠性的端到端通信，因此應用層可以忽略所有這些細節。而另一方面，UDP則為應用層提供一種非常簡單的服務。它只是把稱作數據報的分組從一臺主機發送到另一臺主機，但並不保證該數據報能到達另一端。任何必須的可靠性必須由應用層來提供。

4. 應用層負責處理特定的應用程式細節。包括Telnet（遠程登錄）、FTP（文件傳輸協議）、SMTP（簡單郵件傳送協議）以及SNMP（簡單網路管理協議）等。

wireshark抓到的包與對應的協議層如下圖所示：

1. Frame:   物理層的數據幀概況

2. Ethernet II: 數據鏈路層乙太網幀頭部信息

3. Internet Protocol Version 4: 互聯網層IP包頭部信息

4. Transmission Control Protocol:  傳輸層的數據段頭部信息，此處是TCP

5. Hypertext Transfer Protocol:  應用層的信息，此處是HTTP協議

二. TCP協議

      TCP是一種面向連接（連接導向）的、可靠的基於位元組流的傳輸層通信協議。TCP將用戶數據打包成報文段，它發送後啟動一個定時器，另一端收到的數據進行確認、對失序的數據重新排序、丟棄重覆數據。

      TCP的特點有：

1. TCP是面向連接的運輸層協議

2. 每一條TCP連接只能有兩個端點，每一條TCP連接只能是點對點的

3. TCP提供可靠交付的服務

4. TCP提供全雙工通信。數據在兩個方向上獨立的進行傳輸。因此，連接的每一端必須保持每個方向上的傳輸數據序號。

5. 面向位元組流。面向位元組流的含義：雖然應用程式和TCP交互是一次一個數據塊，但TCP把應用程式交下來的數據僅僅是一連串的無結構的位元組流

      TCP報文首部，如下圖所示：

1. 源埠號：數據發起者的埠號，16bit

2. 目的埠號：數據接收者的埠號，16bit

3. 序號：32bit的序列號，由發送方使用

4. 確認序號：32bit的確認號，是接收數據方期望收到發送方的下一個報文段的序號，因此確認序號應當是上次已成功收到數據位元組序號加1。

5. 首部長度：首部中32bit字的數目，可表示15*32bit=60位元組的首部。一般首部長度為20位元組。

6. 保留：6bit, 均為0

7. 緊急URG：當URG=1時，表示報文段中有緊急數據，應儘快傳送。

8. 確認比特ACK：ACK = 1時代表這是一個確認的TCP包，取值0則不是確認包。

9. 推送比特PSH：當發送端PSH=1時，接收端儘快的交付給應用進程。

10. 複位比特（RST）：當RST=1時，表明TCP連接中出現嚴重差錯，必須釋放連接，再重新建立連接。

11. 同步比特SYN：在建立連接是用來同步序號。SYN=1， ACK=0表示一個連接請求報文段。SYN=1，ACK=1表示同意建立連接。

12. 終止比特FIN：FIN=1時，表明此報文段的發送端的數據已經發送完畢，並要求釋放傳輸連接。

13. 視窗：用來控制對方發送的數據量，通知發放已確定的發送視窗上限。

14. 檢驗和：該欄位檢驗的範圍包括首部和數據這兩部分。由髮端計算和存儲，並由收端進行驗證。

15. 緊急指針：緊急指針在URG=1時才有效，它指出本報文段中的緊急數據的位元組數。

16. 選項：長度可變，最長可達40位元組

wireshark捕獲到的TCP包中的每個欄位如下圖所示：

三. TCP三次握手

       TCP建立連接時，會有三次握手過程，如下圖所示，wireshark截獲到了三次握手的三個數據包。第四個包才是http的，說明http的確是使用TCP建立連接的。

下麵來逐步分析三次握手過程：

第一次握手：客戶端向伺服器發送連接請求包，標誌位SYN（同步序號）置為1，序號為X=0

第二次握手：伺服器收到客戶端發過來報文，由SYN=1知道客戶端要求建立聯機。向客戶端發送一個SYN和ACK都置為1的TCP報文，設置初始序號Y=0，將確認序號(Acknowledgement Number)設置為客戶的序列號加1，即X+1 = 0+1=1, 如下圖：

第三次握手：客戶端收到伺服器發來的包後檢查確認序號(Acknowledgement Number)是否正確，即第一次發送的序號加1（X+1=1）。以及標誌位ACK是否為1。若正確，伺服器再次發送確認包，ACK標誌位為1，SYN標誌位為0。確認序號(Acknowledgement Number)=Y+1=0+1=1，發送序號為X+1=1。客戶端收到後確認序號值與ACK=1則連接建立成功，可以傳送數據了。

四. TCP四次揮手

       TCP斷開連接時，會有四次揮手過程，如下圖所示，wireshark截獲到了四次揮手的四個數據包。

下麵來逐步分析四次揮手過程：

第一次揮手：客戶端給伺服器發送TCP包，用來關閉客戶端到伺服器的數據傳送。將標誌位FIN和ACK置為1，序號為X=1，確認序號為Z=1。

伺服器收到FIN後，發回一個ACK(標誌位ACK=1),確認序號為收到的序號加1，即X=X+1=2。序號為收到的確認序號=Z。

伺服器關閉與客戶端的連接，發送一個FIN。標誌位FIN和ACK置為1，序號為Y=1，確認序號為X=2。

客戶端收到伺服器發送的FIN之後，發回ACK確認(標誌位ACK=1),確認序號為收到的序號加1，即Y+1=2。序號為收到的確認序號X=2。