网络|学习一下tcp三次握手

TCP报文结构

我们想要介绍TCP/IP三次握手，需要有个前置条件，我们得补充下相关背景，目前我们所使用的的网络协议为TCP/IP4层协议，从下往上即: 数据链路层、网络层、传输层 以及 应用层。

图示如下：

在使用网络进行数据发送过程中，会将数据进行封包操作，到了对方机器，会逐步解包。我们使用的TCP协议，则是在传输层上，我们一般将其数据称之为报文段。

在介绍TCP如何通过三次握手建立连接之前，还需要先看看其TCP报文段结构，图示如下：

TCP报文段由2部分组成，首部 （黄色+绿色）和数据报文（蓝色），其中首部又包含基本首部20字节（上图黄色部分） 和 选项部分（上图绿色部分） 最多40字节。

上述报文段中，

• 源端口 和 目的端口

这2个没啥特别的意思，就是记录双方端口的，分别是2个字节，所以说，服务器的端口最大为65535，因为这是2的16次方还要减去一个数（这个数为0），所以是65535。

• 序号 和 确认序号

分别占了4个字节，我们常听见的seq和ack以及seq_ack等都是指的它两。

• 首部长度

首部长度，也称之为数据偏移，用来指定首部长度的，如前面所述，报文段固定首部20个字节，还有40个字节的选项部分，如该首部长度为5，则证明首部就20个字节（5*4个字节），该值最多为15,即60个字节。

• 保留

占了3个字节，现在还没有启用。

• 状态标志位

URG、ACK、PSH、RST、SYN、FIN这些都是占用了一个位，用以标志该报文段的状态，这些标志位在启用的时候会置为1，不启用的时候会置为0。其中

• SYN表示新建连接。
• FIN表示释放连接。
• ACK表示确认收到数据。
• RST表示请求重发。
• PSH表示紧急数据，需要尽快交付至应用层。
• URG表示紧急数据，需优先发送。

• 接收窗口：2个字节，用于告知对方接收窗口的大小，做流量控制使用。
• 校验和：2个字节，会校验伪首部、首部以及数据三个部分。
• 紧急指针：2个字节，当URG置为1的时候才有效，该数据会指出有多少字节需要紧急传输。
• 可选项：最大为40字节，包括窗口缩放、MSS、SACK、时间戳等。

以上就是整个tcp报文段的内容了，只是做了一个简单的概述。

tcp如何通过三次握手建立连接

假设主机A和主机B想要建立连接，在实际发送报文数据之前，需要先发送3个空包用于建立连接，建立连接和TCP的状态图示如下：

首先，在建立握手之前，服务器必须要优先于客户端启动服务，而后客户端才能进行连接。

当客户端第一次发起请求的时候，需将报文段SYN标志位置为1，并且指定一个随机数作为seq，此时客户端的状态为SYN SEND。

当服务器收到客户端请求后，需将报文段中的SYN和ACK标志位置为1,并且指定一个随机数作为seq，ack_seq值为x+1，此时服务器的状态为SYN REVD。

当客户端收到请求服务器请求后，此时客户端的状态为ESTABLISHED需将报文段中的ACK标志位置为1,seq值为x+1,ack_seq值为x+1。服务器接收到后，此时服务器的状态也为ESTABLISHED。

至此，客户端和服务器已经成功建立连接。

使用tcpdump进行抓取一个会话包

上面已经简单介绍了什么tcp的前置只是 和 为什么需要三次握手，而不是两次，本段落就来介绍一下如何使用tcpdump进行抓包，抓包工具有很多，在windows下，你可以选择Wireshark，在linux你可以选择tcpdump。也可以在linux抓包后保存到文件中，再导入Wireshark打开。

前置条件：若我们想使用tcpdump抓取信息，需要提前建立一个tcp服务器才行，这里搭建了一个nginx服务器，index.html简单设置为了hello pdudo。

如果你的操作系统没有安装tcpdump，那么需要使用yum来安装一下:

yum install tcpdump -y

使用man tcpdump可以获取更加详细的帮助文档，本篇文章需要用到的参数为如下几个:

-A: 以ascii码来显示报文。

-S: 输出TCP握手的全部信息，而非缩略信息。

-s num: 从每个数据包中抓取num字节的数据。

port: 指定从哪个端口抓取。

-i interface: 指定抓取的网口。

例如: 我们想抓取本地回环地址(lo)的80端口，以ASCII码的方式输出:

tcpdump -s 0 -S -A port 80 -i lo

抓取之后，结果为：

其中黄色线条框起来的地方就是三次握手的信息了。

如之前所述，可以清晰的看到，第一次握手信息是客户端发送给http服务器的，即: localhost.46452 > localhost.http。

来解释一下请求的第一段报文信息:

• Flags [S]: 表示报文的SYN标志位为1。
• seq 532696697：表示seq为: 532696697 。
• win 43690：表示滑动窗口为43690。
• options存储的是TCP的选项信息,这是可变长信息，最大为40字节，内容为:

• mss 65495：mss表示每一个报文段所能支持的最大数据长度，这个只在握手的时候会进行协定，所以看后续的报文中，都没有出现mss相关信息。
• sackOK：
• TS val 3302976138 ecr 0： 时间戳，用于测试报文往返时间。
• wscale 7： 表示接收窗口

• length：表示报文数据长度。

其他的，就不一一叙述了。

在结合之前的理论信息，我们可以知道：

当客户端第一次请求握手协议的时候，seq发送的是x为2992020176。

当服务器收到后，客户端发送上来的x+1作为ack返回，其值为2992020177，并且重新取了一个随机数y，其值为4127097599。

当客户的接收到该数据后，向服务器发送了一个ack，并且还携带了seq和seq_ack，只不过这里tcpdump给屏蔽了，使用其他抓包软件，例如 Wireshark 就可以正常显示出来。

在linux中如何查看连接状态

之前还介绍了tcp三次握手的状态信息，例如SYNC SEND 、 SYNC REVD应该从哪儿看呢？注意，这个只是一个标准来规定它的状态，而不是存储在报文中，在linux中，可以使用netstat、ss等命令来查看当前服务器有哪些链接，这些链接分别是什么状态，例如：

ss -a | head -n 1 ; ss -a | grep ^tcp

上述命令表示展示当前机器所有的socket信息，并且使用grep过滤了一下以tcp开头的，我们能够得到如下截图：

上述截图中会显示当前机器的所有socket，包括服务器，如果是真实服务器，会有很多条信息，比如我们想赛选出当前服务器哪些状态分别有多少个，应该如何选择呢？

这里可以使用awk，将状态给存储到数组中，继而遍历出来即可，命令为：

ss -a | grep ^tcp | awk '{status[$2]=status[$2]+1} END{for (i in status) {print i,status[i]}}'

该命令为使用了awk将第二列的值当做数组的key给存上，当再次出现时，该数组key的值就+1，最后再遍历数组，就可以得到结果了，我们找台机器看下：

如果是使用的netstat命令，则需要取其最后一列用以awk计算。

linux对于tcp三次握手调整队列

对于tcp三次握手，linux中会用到2个队列，分别是 半连接队列 和 全连接队列。

其中半连接队列也称之为SYN队列，是指已经收到了客户端的请求，但是还没有建立完整连接，此时网络状态为SYN_REVD介于此linux会将该链接放入SYN队列中，并且等待客户端发送ACK报文以便建立连接。

而全连接队列也称之为Accept队列，该队列用于存储完成握手的连接，此时网络状态为ESTABLISHED，如果全连接队列满了，那么此时新链接上来会在SYNC_REVD处等待，等待全连接队列有空的出来，或者超时断开连接。

在linux中如何查看并且修改这2个值呢？

全连接队列的配置内核参数为net.core.somaxconn，而半连接内核参数为net.ipv4.tcp_max_syn_backlog ，使用sysctl可以查看并且修改2个值：

sysctl net.core.somaxconn
sysctl net.ipv4.tcp_max_syn_backlog

上述结果显示服务器全连接队列为最高为128，而半连接则为256。

修改有2种方法：

• 使用sysctl -w设置。
• 将该值写入/etc/sysctl.conf中，并且使用sysctl -p使其重新加载。

例如: 修改全连接为1024，可以有2种方法:

方法1：

sysctl -w net.core.somaxconn=1024

方法2：

echo "net.core.somaxconn=1024" >> /etc/sysctl.conf && sysctl -p

总结

作为运维而言，网络和存储是必须且必要的知识，再结合linux调优，才能真正成为一名运维，在解决问题的过程中，特别是服务器性能过程中，是非常有意思的。运维不仅只是开关服务器以及背锅，还有其他更深层次有意义的事情等待运维去探索。