LINUX netstat连接状态解析及TCP状态转换
水平有限如果有误请指出。
我们经常在netstat -anlp 中能够看到端口连接状态一项
gaopeng@bogon:~netstat−anlp|grep10050(Notallprocessescouldbeidentified,non−ownedprocessinfowillnotbeshown,youwouldhavetoberoottoseeitall.)tcp000.0.0.0:100500.0.0.0:∗LISTEN2502/servertcp00192.168.190.81:48008192.168.190.81:10050ESTABLISHED2510/clienttcp00192.168.190.81:10050192.168.190.81:48008ESTABLISHED2502/server又比如gaopeng@bogon: netstat -anlp|grep 10050
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
tcp 1 0 192.168.190.81:48008 192.168.190.81:10050 CLOSE_WAIT 2510/client
tcp 0 0 192.168.190.81:10050 192.168.190.81:48008 FIN_WAIT2 -
比如这里的LISTEN,ESTABLISHED,CLOSE_WAIT,FIN_WAIT2 那么这些真正的含义是什么?
下面是一个TCP状态转换图(非常重要的一张图):
图中实线为主动方,虚线为被动方,比如SERVER-CLIENT端,CLIENT端请求断开连接那么他就是主动方
下面是各种状态的说明(截取自刑文鹏LINUX系统编程讲义)
CLOSED: 这个没什么好说的了,表示初始状态。
LISTEN: 这个也是非常容易理解的一个状态,表示服务器端的某个SOCKET处于监听状态,可以接受连接了。
SYN_RCVD: 这个状态表示接受到了SYN报文,在正常情况下,这个状态是服务器端的SOCKET在建立TCP连接时的三次
握手会话过程中的一个中间状态,很短暂,基本 上用netstat你是很难看到这种状态的,除非你特意写了一个客户
端测试程序,故意将三次TCP握手过程中最后一个ACK报文不予发送。因此这种状态 时,当收到客户端的ACK报文
后,它会进入到ESTABLISHED状态。
SYN_SENT: 这个状态与SYN_RCVD遥想呼应,当客户端SOCKET执行CONNECT连接时,它首先发送SYN报文,因此也随即
它会进入到了SYN_SENT状 态,并等待服务端的发送三次握手中的第2个报文。SYN_SENT状态表示客户端已发送SYN
报文。
ESTABLISHED:这个容易理解了,表示连接已经建立了。
FIN_WAIT_1: 这个状态要好好解释一下,其实FIN_WAIT_1和FIN_WAIT_2状态的真正含义都是表示等待对方的FIN报
文。而这两种状态的区别 是:FIN_WAIT_1状态实际上是当SOCKET在ESTABLISHED状态时,它想主动关闭连接,向
对方发送了FIN报文,此时该SOCKET即 进入到FIN_WAIT_1状态。而当对方回应ACK报文后,则进入到FIN_WAIT_2状
态,当然在实际的正常情况下,无论对方何种情况下,都应该马 上回应ACK报文,所以FIN_WAIT_1状态一般是比较
难见到的,而FIN_WAIT_2状态还有时常常可以用netstat看到。
FIN_WAIT_2:上面已经详细解释了这种状态,实际上FIN_WAIT_2状态下的SOCKET,表示半连接,也即有一方要求
close连接,但另外还告诉对方,我暂时还有点数据需要传送给你,稍后再关闭连接。
TIME_WAIT: 表示收到了对方的FIN报文,并发送出了ACK报文,就等2MSL后即可回到CLOSED可用状态了。如果
FIN_WAIT_1状态下,收到了对方同时带 FIN标志和ACK标志的报文时,可以直接进入到TIME_WAIT状态,而无须经过
FIN_WAIT_2状态。
CLOSING: 这种状态比较特殊,实际情况中应该是很少见,属于一种比较罕见的例外状态。正常情况下,当你发送
FIN报文后,按理来说是应该先收到(或同时收到)对方的 ACK报文,再收到对方的FIN报文。但是CLOSING状态表
示你发送FIN报文后,并没有收到对方的ACK报文,反而却也收到了对方的FIN报文。什 么情况下会出现此种情况
呢?其实细想一下,也不难得出结论:那就是如果双方几乎在同时close一个SOCKET的话,那么就出现了双方同时
发送FIN报 文的情况,也即会出现CLOSING状态,表示双方都正在关闭SOCKET连接。
我写了一个socket 简单的server和client 小程序什么也不做,只是为了测试连接状态,绑定端口10050,测试都是在一台机器190.81上做的
绑定网卡为本机全部网卡 INADDR_ANY 宏
我们现在来分析一下
1、正常连接情况
gaopeng@bogon:~netstat−anlp|grep10050(Notallprocessescouldbeidentified,non−ownedprocessinfowillnotbeshown,youwouldhavetoberoottoseeitall.)tcp000.0.0.0:100500.0.0.0:∗LISTEN2502/servertcp00192.168.190.81:48008192.168.190.81:10050ESTABLISHED2510/clienttcp00192.168.190.81:10050192.168.190.81:48008ESTABLISHED2502/server2、服务端ctrl+cSIGNT信号默认处置方式gaopeng@bogon: netstat -anlp|grep 10050
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
tcp 1 0 192.168.190.81:48008 192.168.190.81:10050 CLOSE_WAIT 2510/client
tcp 0 0 192.168.190.81:10050 192.168.190.81:48008 FIN_WAIT2 -
服务端ctrl+c SIGNT信号默认处置方式
主动方 server端
被动方 client端
很明显这个时候处于主动方发送了FIN报文给被动方请求关闭连接,
被动方受到FIN报文返回一个ACK报文给被动方,同时被动方给主动方发送一个FIN报文请求关闭连接,但是主动方
由于SIGINT已经进城终止,已经不能接收到这个FIN报文,所以这个时候主动方SERVER连接处于FIN_WAIT2状态
已经不能相应被动方过来的FIN报文,同时被动方CLIENT端由于服务端不能接受FIN报文处于CLOSE_WAIT状态。
3、
gaopeng@bogon:~$ netstat -anlp|grep 10050
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
tcp 0 0 0.0.0.0:10050 0.0.0.0:* LISTEN 2568/server
tcp 1 0 192.168.190.81:10050 192.168.190.81:48010 CLOSE_WAIT 2568/server
tcp 0 0 192.168.190.81:48010 192.168.190.81:10050 FIN_WAIT2 -
客户端ctrl+c SIGNT信号默认处置方式
被动方 server端
主动方 client端
这个情况和上面相反,不在描述。
下面是连接3次握手和断开连接4次握手截图:
作者微信:
水平有限如果有误请指出。
我们经常在netstat -anlp 中能够看到端口连接状态一项
gaopeng@bogon:~netstat−anlp|grep10050(Notallprocessescouldbeidentified,non−ownedprocessinfowillnotbeshown,youwouldhavetoberoottoseeitall.)tcp000.0.0.0:100500.0.0.0:∗LISTEN2502/servertcp00192.168.190.81:48008192.168.190.81:10050ESTABLISHED2510/clienttcp00192.168.190.81:10050192.168.190.81:48008ESTABLISHED2502/server又比如gaopeng@bogon: netstat -anlp|grep 10050
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
tcp 1 0 192.168.190.81:48008 192.168.190.81:10050 CLOSE_WAIT 2510/client
tcp 0 0 192.168.190.81:10050 192.168.190.81:48008 FIN_WAIT2 -
比如这里的LISTEN,ESTABLISHED,CLOSE_WAIT,FIN_WAIT2 那么这些真正的含义是什么?
下面是一个TCP状态转换图(非常重要的一张图):
图中实线为主动方,虚线为被动方,比如SERVER-CLIENT端,CLIENT端请求断开连接那么他就是主动方
下面是各种状态的说明(截取自刑文鹏LINUX系统编程讲义)
CLOSED: 这个没什么好说的了,表示初始状态。
LISTEN: 这个也是非常容易理解的一个状态,表示服务器端的某个SOCKET处于监听状态,可以接受连接了。
SYN_RCVD: 这个状态表示接受到了SYN报文,在正常情况下,这个状态是服务器端的SOCKET在建立TCP连接时的三次
握手会话过程中的一个中间状态,很短暂,基本 上用netstat你是很难看到这种状态的,除非你特意写了一个客户
端测试程序,故意将三次TCP握手过程中最后一个ACK报文不予发送。因此这种状态 时,当收到客户端的ACK报文
后,它会进入到ESTABLISHED状态。
SYN_SENT: 这个状态与SYN_RCVD遥想呼应,当客户端SOCKET执行CONNECT连接时,它首先发送SYN报文,因此也随即
它会进入到了SYN_SENT状 态,并等待服务端的发送三次握手中的第2个报文。SYN_SENT状态表示客户端已发送SYN
报文。
ESTABLISHED:这个容易理解了,表示连接已经建立了。
FIN_WAIT_1: 这个状态要好好解释一下,其实FIN_WAIT_1和FIN_WAIT_2状态的真正含义都是表示等待对方的FIN报
文。而这两种状态的区别 是:FIN_WAIT_1状态实际上是当SOCKET在ESTABLISHED状态时,它想主动关闭连接,向
对方发送了FIN报文,此时该SOCKET即 进入到FIN_WAIT_1状态。而当对方回应ACK报文后,则进入到FIN_WAIT_2状
态,当然在实际的正常情况下,无论对方何种情况下,都应该马 上回应ACK报文,所以FIN_WAIT_1状态一般是比较
难见到的,而FIN_WAIT_2状态还有时常常可以用netstat看到。
FIN_WAIT_2:上面已经详细解释了这种状态,实际上FIN_WAIT_2状态下的SOCKET,表示半连接,也即有一方要求
close连接,但另外还告诉对方,我暂时还有点数据需要传送给你,稍后再关闭连接。
TIME_WAIT: 表示收到了对方的FIN报文,并发送出了ACK报文,就等2MSL后即可回到CLOSED可用状态了。如果
FIN_WAIT_1状态下,收到了对方同时带 FIN标志和ACK标志的报文时,可以直接进入到TIME_WAIT状态,而无须经过
FIN_WAIT_2状态。
CLOSING: 这种状态比较特殊,实际情况中应该是很少见,属于一种比较罕见的例外状态。正常情况下,当你发送
FIN报文后,按理来说是应该先收到(或同时收到)对方的 ACK报文,再收到对方的FIN报文。但是CLOSING状态表
示你发送FIN报文后,并没有收到对方的ACK报文,反而却也收到了对方的FIN报文。什 么情况下会出现此种情况
呢?其实细想一下,也不难得出结论:那就是如果双方几乎在同时close一个SOCKET的话,那么就出现了双方同时
发送FIN报 文的情况,也即会出现CLOSING状态,表示双方都正在关闭SOCKET连接。
我写了一个socket 简单的server和client 小程序什么也不做,只是为了测试连接状态,绑定端口10050,测试都是在一台机器190.81上做的
绑定网卡为本机全部网卡 INADDR_ANY 宏
我们现在来分析一下
1、正常连接情况
gaopeng@bogon:~netstat−anlp|grep10050(Notallprocessescouldbeidentified,non−ownedprocessinfowillnotbeshown,youwouldhavetoberoottoseeitall.)tcp000.0.0.0:100500.0.0.0:∗LISTEN2502/servertcp00192.168.190.81:48008192.168.190.81:10050ESTABLISHED2510/clienttcp00192.168.190.81:10050192.168.190.81:48008ESTABLISHED2502/server2、服务端ctrl+cSIGNT信号默认处置方式gaopeng@bogon: netstat -anlp|grep 10050
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
tcp 1 0 192.168.190.81:48008 192.168.190.81:10050 CLOSE_WAIT 2510/client
tcp 0 0 192.168.190.81:10050 192.168.190.81:48008 FIN_WAIT2 -
服务端ctrl+c SIGNT信号默认处置方式
主动方 server端
被动方 client端
很明显这个时候处于主动方发送了FIN报文给被动方请求关闭连接,
被动方受到FIN报文返回一个ACK报文给被动方,同时被动方给主动方发送一个FIN报文请求关闭连接,但是主动方
由于SIGINT已经进城终止,已经不能接收到这个FIN报文,所以这个时候主动方SERVER连接处于FIN_WAIT2状态
已经不能相应被动方过来的FIN报文,同时被动方CLIENT端由于服务端不能接受FIN报文处于CLOSE_WAIT状态。
3、
gaopeng@bogon:~$ netstat -anlp|grep 10050
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
tcp 0 0 0.0.0.0:10050 0.0.0.0:* LISTEN 2568/server
tcp 1 0 192.168.190.81:10050 192.168.190.81:48010 CLOSE_WAIT 2568/server
tcp 0 0 192.168.190.81:48010 192.168.190.81:10050 FIN_WAIT2 -
客户端ctrl+c SIGNT信号默认处置方式
被动方 server端
主动方 client端
这个情况和上面相反,不在描述。
下面是连接3次握手和断开连接4次握手截图:
作者微信:
