syn攻击

室友在今天再次经历了字节跳动的面试，面试我全程助攻，对于面试过程以及面试官的态度和问题也都有听到，当面试官再次问道tcp的握手过程时，我不禁感叹这个东西我要是不会是真不行啊！所以背着室友在这里总结他的面试经历。 面试官是由TCP和UDP区别开始问起的， 然后问到TCP的三次握手过程： 这里首先讲解什么是三次握手？ 三次握手就是在客户端和服务端进行TCP连接时需要发送三个包，目的是确定客户端和服务端的发送能力和接收能力都没有问题、实质上其实就是连接服务器指定端口，建立TCP连接，并同步连接双方的序列号和确认号，交换 TCP窗口大小 信息。 三次握手的过程： 第一次握手：客户端向服务端发送SYN报文段，并指明客户端的初始化序列号 ISN。 第二次握手：服务端收到客户端发送的SYN报文段，向客户端发送SYN报文，同时确定自己的ISN初始化序列号。 第三次握手：客户端向服务端发送ACK报文来建立TCP连接。 握手为什么要三次，两次行不行？ 三次握手主要是为了确定客户端以及服务端的接收能力和发送能力都没问题 第一次握手：客户端发送报文，服务端接收报文，确认了客户端的发送能力以及服务端的接收能力都没问题； 第二次握手：服务端发送报文，客户端接收报文，客户端确认了自己的发送能力和接收能力和服务端的接收能力以及发送能力没问题，但是服务端没法确认客户端的接收能力是否正常。 第三次握手

为什么会有TCP/IP协议 在世界上各地，各种各样的电脑运行着各自不同的操作系统为大家服务，这些电脑在表达同一种信息的时候所使用的方法是千差万别。就好像圣经中上帝打乱了各地人的口音，让他们无法合作一样。计算机使用者意识到，计算机只是单兵作战并不会发挥太大的作用。只有把它们联合起来，电脑才会发挥出它最大的潜力。于是人们就想方设法的用电线把电脑连接到了一起。 但是简单的连到一起是远远不够的，就好像语言不同的两个人互相见了面，完全不能交流信息。因而他们需要定义一些共通的东西来进行交流，TCP/IP就是为此而生。TCP/IP不是一个协议，而是一个协议族的统称。里面包括了IP协议，IMCP协议，TCP协议，以及我们更加熟悉的http、ftp、pop3协议等等。电脑有了这些，就好像学会了外语一样，就可以和其他的计算机终端做自由的交流了。 TCP/IP协议分层  TCP/IP协议族按照层次由上到下，层层包装。 应用层 : 向用户提供一组常用的应用程序，比如电子邮件、文件传输访问、远程登录等

1.TCP报文格式 TCP(Transmission Control Protocol)　传输控制协议。TCP是主机对主机层的传输控制协议，提供可靠的连接服务，采用三次握手确认建立一个连接。 我们需要知道TCP在网络OSI的七层模型中的第四层（Transport层），IP在第三层（Network层），第二层（Data Link层），在第二层上的数据，我们叫Frame，在第三层上的数据叫Packet，第四层的数据叫Segment。 TCP传输控制协议是面向连接的可靠的传输层协议，在进行数据传输之前，需要在传输数据的两端（客户端和服务器端）创建一个连接，这个连接由一对插口地址唯一标识，即是在IP报文首部的源IP地址、目的IP地址，以及TCP数据报首部的源端口地址和目的端口地址。 上图中有几个字段需要重点介绍下： （1） Sequence Number 序号：Seq序号，占32位，用来标识从TCP源端向目的端发送的字节流，发起方发送数据时对此进行标记。是包的序号，用来解决网络包乱序（reordering）问题。 （2） Acknowledgement Number 确认序号：Ack序号，占32位，只有ACK标志位为1时，确认序号字段才有效，Ack=Seq+1。 （3）标志位：共6个，即URG、ACK、PSH、RST、SYN、FIN等，具体含义如下： a. URG(urgent紧急)

一、TCP标志位 在讲TCP三次握手和四次挥手之前，先说一下TCP标志位，方便后续的理解。 简单来说，TCP标志位的值代表了当前请求的目的。 标志位一共有6种，分别是： SYN(synchronous)： 发送/同步标志，用来建立连接，和下面的第二个标志位ACK搭配使用。连接开始时，SYN=1，ACK=0，代表连接开始但是未获得响应。当连接被响应的时候，标志位会发生变化，其中ACK会置为1，代表确认收到连接请求，此时的标志位变成了 SYN=1，ACK=1。 ACK(acknowledgement)：确认标志，表示确认收到请求。 PSH(push) ：表示推送操作，就是指数据包到达接收端以后，不对其进行队列处理，而是尽可能的将数据交给应用程序处理； FIN(finish)：结束标志，用于结束一个TCP会话； RST(reset)：重置复位标志，用于复位对应的TCP连接。 URG(urgent)：紧急标志，用于保证TCP连接不被中断，并且督促中间层设备尽快处理。 此外，还有两个序号： Sequence number ：顺序号，发送数据包中的第一个字节的序列号，一般为小写的seq。 Acknowledge number：确认号，响应前面的seq，值为seq+1，可以理解为期望下次发出的序列号为seq+1； 二、TCP三次握手 1.TCP三次握手概述 所谓三次握手(Three-way

三次握手和四次挥手 转载链接： https://blog.csdn.net/hyg0811/article/details/102366854 带着如下问题进行阅读，收获会更大。 请画出三次握手和四次挥手的示意图 1 为什么连接的时候是三次握手？ 2 什么是半连接队列？ 3 ISN(Initial Sequence Number)是固定的吗？ 4 三次握手过程中可以携带数据吗？ 5 如果第三次握手丢失了，客户端服务端会如何处理？ 6 SYN攻击是什么？ 7 挥手为什么需要四次？ 8 四次挥手释放连接时，等待2MSL的意义 1. 三次握手 三次握手（Three-way Handshake）其实就是指建立一个TCP连接时，需要客户端和服务器总共发送3个包。进行三次握手的主要作用就是为了确认双方的接收能力和发送能力是否正常、指定自己的初始化序列号为后面的可靠性传送做准备。实质上其实就是连接服务器指定端口，建立TCP连接，并同步连接双方的序列号和确认号，交换TCP窗口大小信息。 刚开始客户端处于 Closed 的状态，服务端处于 Listen 状态。 进行三次握手： 第一次握手：客户端给服务端发一个 SYN 报文，并指明客户端的初始化序列号 ISN。此时客户端处于 SYN_SENT 状态。 首部的同步位SYN=1，初始序号seq=x，SYN=1的报文段不能携带数据，但要消耗掉一个序号。

TCP/IP协议(本文源自外部链接) TCP/IP不是一个协议，而是一个协议族的统称。里面包括IP协议、IMCP协议、TCP协议。 这里有几个需要注意的知识点： 互联网地址：也就是IP地址，一般为网络号+子网号+主机号域名系统：通俗的来说，就是一个数据库，可以将主机名转换成IP地址RFC：TCP/IP协议的标准文档端口号：一个逻辑号码，IP包所带有的标记Socket：应用编程接口数据链路层的工作特性： 为IP模块发送和接收IP数据报为ARP模块发送ARP请求和接收ARP应答（ARP：地址解析协议，将IP地址转换成MAC地址）为RARP发送RARP请求和接收RARP应答接下来我们了解一下TCP/IP的工作流程： 数据链路层从ARP得到数据的传递信息，再从IP得到具体的数据信息 IP协议 备注：总长为32位； 版本：IPV4/IPV6 首部长度：IP头长度 区分服务：（共8位，其中前三位和最后一位为空，即为0），中间为OTS服务，包含： 1000 最小传输/最小延迟 0100 最大吞吐量 0010 最高可靠性 0001 最小代价/成本 总长度：数据内容 标识：识别标识符 标志：共3位。第一位为空，第二位为禁止分片（DF），第三位为更多分片（MF） 片偏移：（涉及MTU最大传输值-1500，2的3次方倍数），位移量 生存时间（TTL）：在寻址过程中，最多可寻找64个路由，超过则放弃 协议

概述 本文主要介绍SYN Flood攻击的原理，以及防火墙设备的防御手段； TCP三次握手 TCP建立连接过程需要经过三次握手，在三次握手成功之后，建立连接，进而进行数据传输；假设有客户端和服务器，客户端向服务器发起连接请求： (1) 客户端向服务器发送SYN报文； (2) 服务器收到SYN之后向客户端回复SYN-ACK报文 (3)客户端收到SYN-ACK之后向服务器发送ACK报文； 经过上述三个步骤，整个连接建立过程结束； 上述过程中，在服务器收到SYN报文之后，会在内部建立连接请求控制块，该控制块用于跟踪连接建立过程和状态，控制块的生命周期如下： (1) 如果收到最后一个握手ACK报文，该控制块会转换成为正式的连接控制块； (2) 如果迟迟未收到最后的那个ACK报文，服务器会通过定时器重发SYN-ACK，直至超时，销毁请求控制块； 明确了上述流程之后，来看SYN Flood的产生； SYN Flood产生 SYN Flood正是利用了上面的服务器收到SYN报文之后，立即就会建立控制块的设计，发起攻击；攻击者通过多台攻陷的“肉机”或者伪造的IP地址，大量的向服务器发送SYN报文，服务器不断的申请资源建立控制块，从而大量占用资源直至资源耗尽，使正常请求服务变慢，或者完全停止服务； SYN Flood检测 1. 新建连接请求数检测 防火墙等中间设备记录SYN报文的速率

所谓 三次握手（Three-Way Handshake） 即建立TCP连接，就是指建立一个TCP连接时，需要客户端和服务端总共发送3个包以确认连接的建立。在socket编程中，这一过程由客户端执行connect来触发。 TCP三次握手 （1）第一次握手：Client将标志位SYN置为1，随机产生一个值seq=J，并将该数据包发送给Server，Client进入SYN_SENT状态，等待Server确认。 （2）第二次握手：Server收到数据包后由标志位SYN=1知道Client请求建立连接，Server将标志位SYN和ACK都置为1，ack=J+1，随机产生一个值seq=K，并将该数据包发送给Client以确认连接请求，Server进入SYN_RCVD状态。 （3）第三次握手：Client收到确认后，检查ack是否为J+1，ACK是否为1，如果正确则将标志位ACK置为1，ack=K+1，并将该数据包发送给Server，Server检查ack是否为K+1，ACK是否为1，如果正确则连接建立成功，Client和Server进入ESTABLISHED状态，完成三次握手，随后Client与Server之间可以开始传输数据了。 SYN攻击： 在三次握手过程中，Server发送SYN-ACK之后，收到Client的ACK之前的TCP连接称为半连接（half-open connect）

TCP握手协议 在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接. 第一次握手：建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认； SYN：同步序列编号(Synchronize Sequence Numbers) 第二次握手：服务器收到syn包,必须确认客户的SYN（ack=j+1）,同时自己也发送一个SYN包（syn=k）,即SYN+ACK包,此时服务器进入SYN_RECV状态； 第三次握手：客户端收到服务器的SYN＋ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手. 完成三次握手,客户端与服务器开始传送数据 A与B建立TCP连接时：首先A向B发SYN（同步请求），然后B回复SYN+ACK（同步请求应答），最后A回复ACK确认，这样TCP的一次连接（三次握手）的过程就建立了！ 一、TCP报文格式 TCP/IP协议的详细信息参看《TCP/IP协议详解》三卷本。下面是TCP报文格式图： 图1 TCP报文格式 上图中有几个字段需要重点介绍下： （1）序号：Seq序号，占32位，用来标识从TCP源端向目的端发送的字节流，发起方发送数据时对此进行标记。 （2）确认序号：Ack序号，占32位，只有ACK标志位为1时，确认序号字段才有效

TCP/IP协议三次握手与四次握手流程解析 Http协议三次握手过程 简述Socket，IP,TCP三次握手,HTTP协议 TCP/IP协议的三次握手及实现原理 SYN Flood攻击与防御方法 一、TCP报文格式 TCP报文格式图： 上图中有几个字段需要重点介绍下： （1）序号：Seq序号，占32位，用来标识从TCP源端向目的端发送的字节流，发起方发送数据时对此进行标记。 （2）确认序号：Ack序号，占32位，只有ACK标志位为1时，确认序号字段才有效，Ack=Seq+1。 （3）标志位：共6个，即URG、ACK、PSH、RST、SYN、FIN等，具体含义如下： （A）URG：紧急指针（urgent pointer）有效。 （B）ACK：确认序号有效。 （C）PSH：接收方应该尽快将这个报文交给应用层。 （D）RST：重置连接。 （E）SYN：发起一个新连接。 （F）FIN：释放一个连接。 需要注意的是： （A）不要将确认序号Ack与标志位中的ACK搞混了。 （B）确认方Ack=发起方Req+1，两端配对。 二、三次握手 TCP(Transmission Control Protocol)　传输控制协议 TCP是主机对主机层的传输控制协议，提供可靠的连接服务，采用三次握手确认建立一个连接 位码即tcp标志位,有6种标示: SYN(synchronous 建立联机 ) ACK