三次握手
Three-way Handshake
一个虚拟连接的建立是通过三次握手来实现的
1. (B) --> [SYN] --> (A) [客户端给服务器端说,我要连你了]
假如服务器A和客户机B通讯,当A要和B通信时,B首先向A发一个SYN (Synchronize 同步) 标记的包,告诉A请求建立连接.
注意:
一个SYN包就是仅SYN标记设为1的TCP包(参见TCP包头Resources). 认识到这点很重要,只有当A受到B发来的SYN包,才可建立连接,除此之>外别无他法。因此,如果你的防火墙丢弃所有的发往外网接口的SYN包,那么你将不能让外部任何主机主动建立连接。
2. (B) <-- [SYN/ACK] <--(A) [OK, 我知道了,资源给你分配好了,你连吧]
接着,A收到后会发一个对SYN包的确认包(SYN/ACK)回去,表示对第一个SYN包的确认,并继续握手操作.
注意:
SYN/ACK包是仅SYN和ACK标记为1的包.
3. (B) --> [ACK] --> (A) [好的]
B收到SYN/ACK 包,B发一个确认包(ACK),通知A连接已建立。至此,三次握手完成,一个TCP连接完成Note: ACK包就是仅ACK 标记设为1的TCP包
.
需要注意的是当三此握手完成、连接建立以后,TCP连接的每个包都会设置ACK位这就是为何连接跟踪很重要的原因了. 没有连接跟踪,防火
墙将无法判断收到的ACK包是否属于一个已经建立的连接.一般的包过滤(Ipchains)收到ACK包时,会让它通过(这绝对不是个好主意). 而当状
态型防火墙收到此种包时,它会先在连接表中查找是否属于哪个已建连接,否则丢弃该包.
阅读(1603) | 评论(0) | 转发(0) |