SYN

一、TCP报文格式 TCP/IP协议的详细信息参看《TCP/IP协议详解》三卷本。下面是TCP报文格式图： 图1 TCP报文格式 上图中有几个字段需要重点介绍下： （1）序号：Seq序号，占32位，用来标识从TCP源端向目的端发送的字节流，发起方发送数据时对此进行标记。 （2）确认序号：Ack序号，占32位，只有ACK标志位为1时，确认序号字段才有效，Ack=Seq+1。 （3）标志位：共6个，即URG、ACK、PSH、RST、SYN、FIN等，具体含义如下： （A）URG：紧急指针（urgent pointer）有效。 （B）ACK：确认序号有效。 （C）PSH：接收方应该尽快将这个报文交给应用层。 （D）RST：重置连接。 （E）SYN：发起一个新连接。 （F）FIN：释放一个连接。 需要注意的是： （A）不要将确认序号Ack与标志位中的ACK搞混了。 （B）确认方Ack=发起方Req+1，两端配对。 二、三次握手 所谓三次握手（Three-Way Handshake）即建立TCP连接，就是指建立一个TCP连接时，需要客户端和服务端总共发送3个包以确认连接的建立。 在socket编程中， 这一过程由客户端执行connect来触发，整个流程如下图所示： 图2 TCP三次握手 （1）第一次握手：Client将标志位SYN置为1，随机产生一个值seq=J

在之前的一篇工作日志《 【原创】记录几个最近遇到的未解问题（resolved） 》中，记录了 3 个问题，其中两个比较直接，三言两语就能够打发了，而针对最后一个问题，却有不少内容可以说说，本文针对“ 终端设备通过 HTTP 协议经由 nginx 访问后端的 api 服务器时，TCP 连接行为诡异 ”这个问题展开讨论。 问题描述 ： 线上环境中，公司自研即时通讯软件不定时掉线。 问题排查 ： 由运维和测试人员发现并报告，线上环境出现网络异常，具体表现为登录服务器虚拟 IP 地址无法 ping 通，即时通讯工具不定时掉线； 在此情况下，现场人员第一反应就是受到了外部攻击（因为以前遇到过攻击情况），因为看到了如下信息 ... Apr 20 18:21:48 localhost kernel: possible SYN flooding on port 80. Sending cookies. Apr 20 18:24:37 localhost kernel: possible SYN flooding on port 80. Sending cookies. Apr 20 18:25:50 localhost kernel: possible SYN flooding on port 80. Sending cookies. Apr 20 18:27:02 localhost

kernel: possible SYN flooding on port 80. Sending cookies. 以上是系统日志中的信息，可能是遭到SYN洪水攻击（SYN Flood）。 那什么是SYN Flood呢 SYN Flood攻击是一种典型的拒绝服务型（Denial of Service）攻击。所谓拒绝服务型攻击就是通过进行攻击，使受害主机或网络不能够良好的提供服务（就是使服务器不能响应其他的访问请求），从而间接达到攻击的目的。 SYN Flood攻击利用的是IPv4中TCP协议的三次握手（Three-Way Handshake）过程进行的攻击。大家知道协议规定，如果一端想向另一端发起TCP连接，它需要首先发送TCP SYN 包到对方，对方收到后发送一个TCP SYN+ACK包回来，发起方再发送TCP ACK包回去，这样三次握手就结束了。我们把TCP连接的发起方叫作"TCP客户机（TCP Client）"，TCP连接的接收方叫作"TCP服务器（TCP Server）"。值得注意的是在TCP服务器收到TCP SYN request包时，在发送TCP SYN+ACK包回TCP客户机前，TCP服务器要先分配好一个数据区专门服务于这个即将形成的TCP连接。一般把收到SYN包而还未收到ACK包时的连 接状态成为半开连接（Half-open Connection）。 在