最近一段时间参加一些公司的笔试,多次遇到tcp协议关于连接建立与释放方面的题目,虽然能答对一些,但未能回答完整,事后查阅资料总结如下。
在 TCP/IP 协议中,TCP 协议提供可靠的连接服务,采用三次握手建立一个连接。 第一次握手: 建立连接时, 客户端发送 syn 包(syn=j)到服务器, 并进入 SYN_SEND 状态,等待服务器确认; 第二次握手:服务器收到 syn 包,必须确认客户的 SYN(ack=j+1),同时自己
也发送一个 SYN 包(syn=k),即 SYN+ACK 包,此时服务器进入 SYN_RECV 状态; 第三次握手:客户端收到服务器的 SYN+ACK 包,向服务器发送确认包 ACK(ack=k+1),此包发送完毕,客户端和服务器进入 ESTABLISHED 状态,完成三 次握手。 完成三次握手,客户端与服务器开始传送数据,在上述过程中,还有一些重要的 概念: 未连接队列:在三次握手协议中,服务器维护一个未连接队列,该队列为每个客 户端的 SYN 包(syn=j)开设一个条目,该条目表明服务器已收到 SYN
包,并向 客户发出确认,正在等待客户的确认包。这些条目所标识的连接在服务器处于 Syn_RECV 状态,当服务器收到客户的确认包时,删除该条目,服务器进入 ESTABLISHED 状态。 Backlog 参数:表示未连接队列的最大容纳数目。 SYN-ACK 重传次数服务器发送完 SYN-ACK 包,如果未收到客户确认包,服务器 进行首次重传,等待一段时间仍未收到客户确认包,进行第二次重传,如果重传 次数超过系统规定的最大重传次数,系统将该连接信息从半连接队列中删除。注 意,每次重传等待的时间不一定相同。 半连接存活时间:是指半连接队列的条目存活的最长时间,也即服务从收到
SYN 包到确认这个报文无效的最长时间, 该时间值是所有重传请求包的最长等待时间 总和。有时我们也称半连接存活时间为 Timeout 时间、SYN_RECV 存活时间。
也称作TCP传输控制协议,Transport Control Protocol。可靠的主机到主机层协议。这里要先强调一下,传输控制协议是 OSI
网络的第四层的叫法,TCP 传输控制协议是 TCP/IP 传输的 6 个基本协议的一种。两个TCP意思非相同。TCP 是一种可靠的面向连接的传送服务。它在传送数据时是分段进行的,主机交换数据必须建立一个会话。它用比特流通信,即数据被作为无结构的字节流。通过每个TCP传输的字段指定顺序号,以获得可靠性。是在 OSI 参考模型中的第四层,TCP是使用IP的网间互联功能而提供可靠的数据传输,IP不停的把报文放到网络上,而TCP是负责确信报文到达。在协同IP的操作中 TCP 负责:握手过程、报文管理、流量控制、错误检测和处理(控制),可以根据一定的编号顺序
对非正常顺序的报文给予从新排列顺序。关于TCP的RFC文档有 RFC793、RFC791、RFC1700。在TCP会话初期,有所谓的“三握手”:对每次发送的数据量是怎样跟踪进行协 商使数据段的发送和接收同步,根据所接收到的数据量而确定的数据确认数及数 据发送、接收完毕后何时撤消联系,并建立虚连接。为了提供可靠的传送,TCP在发送新的数据之前,以特定的顺序将数据包的序号,并需要这些包传送给目标 机之后的确认消息。 TCP 总是用来发送大批量的数据。当应用程序在收到数据 后要做出确认时也要用到 TCP。由于TCP需要时刻跟踪,这需要额外开销,使得TCP的格式有些显得复杂。下面就让我们看一个TCP的经典案例,这是后来被称为MITNICK攻击中KEVIN开创了两种攻击技术:TCP会话劫持SYN
FLOOD(同步洪流)在这里我们讨论的时TCP会话劫持的问题。先让我们明白 TCP 建立连接的基本简单的过程。为了建设一个小型的模仿环境我们假设有3台接入互联网的机器。A为攻击者操纵的攻击机。B 为中介跳板机器(受信任的服务器)。C为受害者使用的机器(多是服务器),这里把C机器锁定为目标机器。A机器向B机器发送SYN包,请求建立连接,这时已经响应请求的B机器会向A机器回应 SYN/ACK 表明同意建立连接,A机器接受到B机器发当送的SYN/ACK回应时,发送应答ACK建立A机器与B机器的网络连接。这样一个两台机器之间的TCP通话信道就建立成功了。B终端受信任的服务器向C机器发起TCP连接,A机器对服务器发起SYN信息,使C机器不能响应B机器。在同时A机器也向B机器发送虚假的C机器回应的SYN数据包,接收到
SYN 数据包的B机器(被C机器信任)开始发送应答连接建 立的 SYN/ACK数据包,这时C机器正在忙于响应以前发送的SYN数据而无暇回应B机器,而A机器的攻击者预测出B机器包的序列号(现在的TCP序列号预测难度有所加大)假冒C机器向B机器发送应答ACK这时攻击者骗取B机器的信任,假冒C机器与B机器建立起TCP协议的对话连接。这个时候的C机器还是在响应攻击者A机器发送的SYN数据。TCP协议栈的弱点:TCP连接的资源消耗,其中包括:数据包信息、条件状态、 序列号等。通过故意不完成建立连接所需要的三次握手过程,造成连接一方的资源耗尽。通过攻击者有意的不完成建立连接所需要的三次握手的全过程,从而造成了C机器的资源耗尽。序列号的可预测性,目标主机应答连接请求时返回的SYN/ACK的序列号时可预测的。(早期
TCP 协议栈, 具体的可以参见 1981 年出的关于TCP雏形的RFC793文档)
TCP头结构TCP协议头最少20个字节,包括以下的区域。 TCP
源端口(Source Port):16 位的源端口其中包含初始化通信的端口。源端口 和源 IP 地址的作用是标示报问的返回地址。 TCP 目的端口(Destination port):16 位的目的端口域定义传输的目的。这个端 口指明报文接收计算机上的应用程序地址接口。 TCP 序列号(序列码,Sequence Number):32位的序列号由接收端计算机使用,重新分段的报文成最初形式。当SYN出现,序列码实际上是初始序列码(ISN), 而第一个数据字节是 ISN+1。这个序列号(序列码)是可以补偿传输中的
不一 致。 TCP 应答号(Acknowledgment Number):32 位的序列号由接收端计算机使用,重 组分段的报文成最初形式。如果设置了 ACK 控制位,这个值表示一个准备接收 的包的序列码。数据偏移量(HLEN):4 位包括 TCP 头大小,指示何处数据开始。保留(Reserved):6 位值域,这些位必须是 0。为了将来定义新的用途所保留。标志(Code Bits):6 位标志域。表示为:紧急标志、有意义的应答标志、推、重置连接标志、同步序列号标志、完成发送数据标志。按照顺序排列是:URG、ACK、PSH、RST、SYN、FIN。窗口(Window):16
位,用来表示想收到的每个 TCP 数据段的大小。 校验位(Checksum):16 位 TCP 头。源机器基于数据内容计算一个数值,收信息 机要与源机器数值 结果完全一样,从而证明数据的有效性。 优先指针(紧急,Urgent Pointer):16 位,指向后面是优先数据的字节,在 URG 标志设置了时才有效。如果 URG 标志没有被设置,紧急域作为填充。加快处理标 示为紧急的数据段。选项(Option):长度不定,但长度必须以字节。如果
没有 选项就表示这个一字 节的域等于 0。 填充:不定长,填充的内容必须为 0,它是为了数学目的而存在。目的是确保空 间的可预测性。保证包头的结合和数据的开始处偏移量能够被 32 整除,一般额 外的零以保证 TCP 头是 32 位的整数倍。标志控制功能 URG:紧急标志 紧急(The
urgent pointer) 标志有效。紧急标志置位, ACK:确认标志 确认编号(Acknowledgement Number)栏有效。大多数情况下该标志位是置位的。 TCP 报头内的确认编号栏内包含的确认编号(w+1,Figure:1)为下一个预期的序 列编号,同时提示远端系统已经成功接收所有数据。 PSH:推标志 该标志置位时,接收端不将该数据进行队列处理,而是尽可能快将数据转由应用 处理。在处理 telnet 或 rlogin 等交互模式的连接时,该标志总是置位的。 RST:复位标志 复位标志有效。用于复位相应的
TCP 连接。 SYN:同步标志 同步序列编号(Synchronize Sequence Numbers)栏有效。该标志仅在三次握手建 立 TCP 连接时有效。它提示 TCP 连接的服务端检查序列编号,该序列编号为 TCP 连接初始端(一般是客户端)的初始序列编号。在这里,可以把 TCP 序列编号看作 是一个范围从 0 到 4,294,967,295 的 32 位计数器。通过 TCP 连接交换的数据 中每一个字节都经过序列编号。 TCP 报头中的序列编号栏包括了 TCP 分段中第 在 一个字节的序列编号。
FIN:结束标志 带有该标志置位的数据包用来结束一个 TCP 回话,但对应端口仍处于开放状 态,准备接收后续数据。 服务端处于监听状态,客户端用于建立连接请求的数据包(IP packet)按照 TCP/IP 协议堆栈组合成为 TCP 处理的分段(segment)。分析报头信息:
TCP 层接收到相应的 TCP 和 IP 报头, 将这些信息存储到内存中。检查 TCP 校验和(checksum):标准的校验和位于分段之中(Figure:2)。如 果检验失败,不返回确认,该分段丢弃,并等待客户端进行重传。查找协议控制块(PCB):TCP 查找与该连接相关联的协议控制块。如果没
有找到,TCP 将该分段丢弃并返回 RST。(这就是 TCP 处理没有端口监听情况下的 机制) 如果该协议控制块存在,但状态为关闭,服务端不调用 connect()或 listen()。该分段丢弃,但不返回 RST。客户端会尝试重新建立连接请求。 建立新的 socket:当处于监听状态的 socket 收到该分段时,会建立一个子 socket,同时还有 socket(),tcpcb()和pub()建立。这时如果有错误发生,会通过标志位来拆除相应的socket和释放内存,TCP 连接失败。如果缓存队列处 于填满状态,TCP
认为有错误发生,所有的后续连接请求会被拒绝。这里可以看 出 SYN Flood 攻击是如何起作用的。 丢弃:如果该分段中的标志为 RST 或 ACK,或者没有 SYN 标志,则该分段丢 弃。并释放相应的内存。
TCP连接过程中各种状态的意义:LISTEN(监听来自远方
TCP 端口的连接请求),SYN-SENT(在发送连接请求后等待匹配的连接请求),SYN-RECEIVED(在收到和发送一个连接请求后等待对连接请求的确认),ESTABLISHED(代表一个打开的连接,数据可以传送给用户),FIN-WAIT-1(等待远程
TCP 的连接中断请求,或先前的连接中断请求的确认),FIN-WAIT-2(从远程 TCP 等待连接中断请求),CLOSE-WAIT(等待从本地用户发来的连接中断请求),CLOSING(等待远程 TCP 对连接中断的确认),LAST-ACK(等待原来发向远程 TCP 的连接中断请求的确认),TIME-WAIT (等待足够的时间以确保远程 TCP 接收到连接中断请求的确认),CLOSED(没有任何连接状态)。TCP连接过程是状态的转换,促使发生状态转换的是用户调用:OPEN,SEND,RECEIVE,CLOSE,ABORT
和 STATUS。
序列号请注意,我们在TCP连接中发送的字节都有一个序列号。因为编了号,所以可以确认它们的收到。对序列号的确认是累积性的。TCP
必须进行的序列号比较操作种类包括以下几种:①决定一些发送了的但未确认的序列号。②决定所有的序列号都已经收到了。③决定下一个段中应该包括的序列号。对于发送的数据 TCP 要接收确认,确认时必须进行的: SND.UNA = 最老的确认了的序列号。 SND.NXT = 下一个要发送的序列号。 SEG.ACK = 接收 TCP 的确认,接收 TCP 期待的下一个序列号。 SEG.SEQ = 一个数据段的第一个序列号。
SEG.LEN = 数据段中包括的字节数。 SEG.SEQ+SEG.LEN-1 = 数据段的最后一个序列号。 如果一个数据段的序列号小于等于确认号的值,那么整个数据段就被确认了。而在接收数据时下面的比较操作是必须的:RCV.NXT = 期待的序列号和接收窗口的最低沿。 RCV.NXT+RCV.WND:1 = 最后一个序列号和接收窗口的最高沿。SEG.SEQ = 接收到的第一个序列号。 SEG.SEQ+SEG.LEN:1=接收到的最后一个序列号。