Chinaunix首页 | 论坛 | 博客
  • 博客访问: 42393
  • 博文数量: 10
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 101
  • 用 户 组: 普通用户
  • 注册时间: 2015-07-16 20:46
文章分类
文章存档

2015年(10)

分类: LINUX

2015-11-18 17:23:03

                                                三次握手
                                        Three-way Handshake

一个虚拟连接的建立是通过三次握手来实现的

1. (B) --> [SYN] --> (A)       [客户端给服务器端说,我要连你了]
 假如服务器A和客户机B通讯,当A要和B通信时,B首先向A发一个SYN (Synchronize 同步) 标记的包,告诉A请求建立连接.

注意:
 一个SYN包就是仅SYN标记设为1的TCP包(参见TCP包头Resources). 认识到这点很重要,只有当A受到B发来的SYN包,才可建立连接,除此之>外别无他法。因此,如果你的防火墙丢弃所有的发往外网接口的SYN包,那么你将不能让外部任何主机主动建立连接。

2. (B) <-- [SYN/ACK] <--(A)    [OK, 我知道了,资源给你分配好了,你连吧]
 接着,A收到后会发一个对SYN包的确认包(SYN/ACK)回去,表示对第一个SYN包的确认,并继续握手操作.

注意:
  SYN/ACK包是仅SYN和ACK标记为1的包.

3. (B) --> [ACK] --> (A)       [好的]
 B收到SYN/ACK 包,B发一个确认包(ACK),通知A连接已建立。至此,三次握手完成,一个TCP连接完成Note: ACK包就是仅ACK 标记设为1的TCP包
.
 需要注意的是当三此握手完成、连接建立以后,TCP连接的每个包都会设置ACK位这就是为何连接跟踪很重要的原因了. 没有连接跟踪,防火
墙将无法判断收到的ACK包是否属于一个已经建立的连接.一般的包过滤(Ipchains)收到ACK包时,会让它通过(这绝对不是个好主意). 而当状
态型防火墙收到此种包时,它会先在连接表中查找是否属于哪个已建连接,否则丢弃该包.

阅读(1603) | 评论(0) | 转发(0) |
0

上一篇:确认字符AWK

下一篇:TCP连接四次挥手

给主人留下些什么吧!~~