TCP连接状态详解

Time-wait状态（2MSL）⼀些理解1. 编写TCP/SOCK 服务时，SO_REUSEADDR到底是什么意思？这个套接字选项通知内核，如果端⼝忙，但TCP状态处于TIME_WAIT，可以重⽤端⼝。

如果端⼝忙，TCP状态处于其他状态，重⽤端⼝时依旧指明“地址已经在使⽤中”。

如果你的服务程序停⽌后向⽴刻重启，⽽新套接字依旧使⽤同⼀个端⼝，此时SO_REUSEADDR选项⾮常有⽤。

但是必须意识到，此时任何⾮期望数据到达，都可能导致服务程序反应混乱。

⼀个套接字由五个部分组成：协议，本地地址，本地端⼝，远程地址和远程端⼝。

SO_REUSEADDR仅仅表⽰可以重⽤本地地址，本地端⼝。

2. 为什么需要TIME_WAIT状态？假设最后的ACK丢失，server将重发FIN，client必须维护TCP状态信息以便可以重发最后的ACK，否则将会发送RST，结果server认为发⽣错误。

TCP实现必须可靠地终⽌连接的两个⽅向，所以client必须进⼊TIME_WAIT状态。

此外，考虑⼀种情况，TCP实现可能⾯临着先后两个相同的五元组。

如果前⼀个连接处于TIME_WAIT状态，⽽允许另⼀个拥有相同五元组连接出现，可能处理TCP报⽂时，两个连接互相⼲扰。

所以使⽤SO_REUSEADDR选项就需要考虑这种情况。

3. 什么是2MSLMSL是Maximum Segment Lifetime,译为“报⽂最⼤⽣存时间”，他是任何报⽂在⽹络上存在的最长时间，超过这个时间报⽂将被丢弃。

因为TCP报⽂（segment）是IP数据报（datagram）的数据部分，⽽IP头中有⼀个TTL域，TTL是time to live的缩写，中⽂可以译为“⽣存时间”，这个⽣存时间是由源主机设置初始值但不是存的具体时间，⽽是存储了⼀个IP数据报可以经过的最⼤路由数，每经过⼀个处理他的路由器此值就减1，当此值为0则数据报将被丢弃，同时发送ICMP报⽂通知源主机。

TCP长连接原理详解1. 什么是TCP长连接在计算机网络中，TCP（Transmission Control Protocol）是一种可靠的、面向连接的传输层协议。

TCP长连接是指在一次TCP连接中可以进行多次数据传输的过程。

相对于短连接，长连接可以减少建立和断开连接的开销，提高网络传输效率。

2. TCP长连接的基本原理TCP长连接的基本原理是通过在客户端和服务器之间建立一条持久的连接，使得客户端和服务器可以在连接保持的状态下进行多次数据的传输。

具体的流程如下：1.客户端发起连接请求：客户端向服务器发起TCP连接请求，请求建立一条连接。

2.服务器确认连接请求：服务器接收到客户端的连接请求后，进行连接确认，建立连接。

3.数据传输：连接建立后，客户端和服务器可以进行多次的数据传输。

客户端发送请求数据，服务器接收并处理请求，并返回响应数据给客户端。

4.连接保持：在数据传输完成后，连接不会立即关闭，而是保持一段时间。

客户端和服务器仍然可以通过这个连接进行进一步的数据传输。

5.连接关闭：当连接保持的时间超过一定的阈值，或者客户端或服务器主动发起关闭连接的请求时，连接才会关闭。

3. TCP长连接的优势TCP长连接相比于短连接具有以下几个优势：1.减少连接建立和断开的开销：TCP连接的建立和断开需要进行三次握手和四次挥手的过程，会消耗一定的时间和资源。

长连接可以避免频繁的连接建立和断开，减少了这部分开销。

2.提高网络传输效率：长连接可以在连接保持的状态下进行多次的数据传输，避免了每次传输都需要重新建立连接的开销。

这样可以减少网络传输的延迟，提高传输效率。

3.节省服务器资源：长连接可以减少服务器的负载。

在短连接中，每次请求都需要服务器进行一次连接的建立和断开，而长连接可以复用已经建立的连接，减少了服务器的资源消耗。

4.更好的用户体验：长连接可以提供更好的用户体验。

对于需要频繁与服务器进行交互的应用场景，如实时通信、聊天等，使用长连接可以减少数据传输的延迟，使得用户感知到的响应速度更快。

TCP的建立连接过程和断开过程TCP（Transmission Control Protocol，传输控制协议）是一种基于连接的、可靠的传输层协议，用于在网络中的两个应用程序之间建立连接和传输数据。

1.TCP建立连接过程（三次握手）：当客户端想要与服务器建立连接时，TCP使用三次握手来确保双方都准备好进行通信。

步骤1：客户端向服务器发送一个特殊的TCP报文段，称为SYN（同步）报文段。

SYN报文段中包含一个初始序列号（ISN）。

步骤2：服务器收到SYN报文段后，会发送一个确认报文段SYN-ACK 给客户端。

SYN-ACK报文段中包含确认号（与ISN相同）和服务器的初始序列号（ISN）。

步骤3：客户端收到SYN-ACK报文段后，再发送一个确认报文段ACK 给服务器。

ACK报文段中的确认号是服务器的初始序列号加1这样，客户端和服务器之间就建立起了连接，可以开始传输数据。

2.TCP断开连接过程（四次挥手）：当客户端或服务器想要断开连接时，TCP使用四次挥手来确保双方都关闭了连接。

步骤1：客户端向服务器发送一个特殊的TCP报文段，称为FIN（结束）报文段。

该报文段表示客户端已经完成了数据的发送，但仍然接收数据。

步骤2：服务器收到FIN报文段后，会发送一个确认报文段ACK给客户端，表示已经接收到了FIN报文段。

步骤3：服务器发送一个特殊的TCP报文段，称为FIN报文段，表示服务器已经完成了数据的发送。

步骤4：客户端收到服务器的FIN报文段后，会发送一个确认报文段ACK给服务器，表示已经接收到了FIN报文段。

这样，客户端和服务器之间的连接就完全关闭了。

3.TCP建立连接过程的详细分析：-客户端发送一个带有SYN标志的TCP报文段给服务器，该报文段中包含一个随机生成的初始序列号（ISN）。

-服务器收到报文段后，生成一个自己的ISN，并发送一个带有SYN 和ACK标志的报文段给客户端。

该报文段中包含确认号（与客户端的ISN 相同）和服务器的ISN。

tcp的名词解释是什么简介：TCP（Transmission Control Protocol）是一种用于互联网通信的传输协议。

它是一种基于连接的协议，提供可靠的数据传输和流控制功能。

本文将从不同角度深入解释TCP的名词含义，包括TCP连接、三次握手、流控制、拥塞控制等方面。

TCP连接：TCP连接是指通过TCP协议在通信双方之间建立的一种虚拟的连接。

在TCP 连接的建立阶段，通过三次握手的方式确认通信双方的身份并同步初始序列号，确保双方之间可以稳定地传输数据。

TCP连接的建立过程确保了通信双方之间的可靠性和一致性。

三次握手：三次握手是建立TCP连接时使用的一种通信过程。

它包括三个阶段：发送方向接收方发送一个SYN（同步）包，接收方收到后回复一个SYN+ACK（同步+应答）包，最后发送方再发送一个ACK（应答）包。

这个过程用于确认双方的通信能力和同步初始序列号，确保数据能够正确传输。

流控制：流控制是指通过控制发送数据的速度来保证接收方能够正确处理数据的一种机制。

TCP利用窗口（Window）的概念来实现流控制。

发送方通过接收方反馈的窗口大小来确定可以发送的数据量，确保发送方和接收方的数据处理能力保持平衡。

如果接收方处理能力不足，它可以通过减小窗口大小来通知发送方降低发送速度。

拥塞控制：拥塞控制是指通过控制发送数据的速度来避免网络拥塞的一种机制。

TCP通过使用拥塞窗口（Congestion Window）来管理发送数据的速度。

拥塞窗口的大小受到网络拥塞程度的影响，当网络出现拥塞时，发送方会根据接收到的ACK包减小拥塞窗口的大小，降低发送速度，以避免进一步的拥塞。

超时和重传：超时和重传是TCP实现可靠传输的重要机制。

TCP通过设置一定的超时时间来检测数据包是否能够按时到达目的地。

如果发送方未收到对应的ACK包，它将会重传丢失的数据包，确保数据能够被可靠地传输。

TCP的应用：TCP被广泛应用于各种互联网应用中，包括网页浏览、电子邮件、文件传输、实时通信等。

TCP:连接成功的几种状态一、服务端,端口的状态变化先在本机（IP地址为：192.168.1.10）配置FTP服务，然后在其它计算机（IP地址为：192.168.1.1）访问FTP服务，从TCPView看看端口的状态变化。

下面黑体字显示的是从TCPView中截取的部分。

1、LISTENING状态FTP服务启动后首先处于侦听（LISTENING）状态。

State显示是LISTENING时表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接。

就像你房子的门已经敞开的，但还没有人进来。

从TCPView可以看出本机开放FTP的情况。

它的意思是:程序inetinfo.exe 开放了21端口，FTP默认的端口为21，可见在本机开放了FTP服务。

目前正处于侦听状态。

inetinfo.exe:1260 TCP 0.0.0.0:21 0.0.0.0:0 LISTENING2、ESTABLISHED状态现在从192.168.1.1这台计算机访问一下192.168.1.10的FTP服务。

在本机的TCPView可以看出端口状态变为ESTABLISHED。

ESTABLISHED的意思是建立连接。

表示两台机器正在通信。

下面显示的是本机的FTP服务正在被192.168.1.1这台计算机访问。

inetinfo.exe:1260 TCP 192.168.1.10:21 192.168.1.1:3009 ESTABLISHED注意：处于ESTABLISHED状态的连接一定要格外注意，因为它也许不是个正常连接。

后面我们要讲到这个问题。

3、TIME_WAIT状态现在从192.168.1.1这台计算机结束访问192.168.1.10的FTP服务。

在本机的TCPView可以看出端口状态变为TIME_WAIT。

TIME_WAIT的意思是结束了这次连接。

说明21端口曾经有过访问，但访问结束了。

[System Process]:0 TCP 192.168.1.10:21 192.168.1.1:3009 TIME_WAIT4、小技巧●可以telnet一个开放的端口，来观察该端口的变化。

TCP连接端口状态解析1、建立连接协议（三次握手）（1）客户端发送一个带SYN标志的TCP报文到服务器。

这是三次握手过程中的报文段1.（2）服务器端回应客户端的，这是三次握手中的第2个报文，这个报文同时带ACK标志和SYN标志。

因此它表示对刚才客户端SYN报文的回应；同时又标志SYN给客户端，询问客户端是否准备好进行数据通讯。

（3）客户必须再次回应服务段一个ACK报文，这是报文段3.2、连接终止协议（四次握手）由于TCP连接是全双工的，因此每个方向都必须单独进行关闭。

这原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接。

收到一个FIN只意味着这一方向上没有数据流动，一个T CP连接在收到一个FIN后仍能发送数据。

首先进行关闭的一方将执行主动关闭，而另一方执行被动关闭。

（1）TCP客户端发送一个FIN，用来关闭客户到服务器的数据传送（报文段4）。

（2）服务器收到这个FIN，它发回一个ACK，确认序号为收到的序号加1（报文段5）。

和SYN一样，一个FIN将占用一个序号。

（3）服务器关闭客户端的连接，发送一个FIN给客户端（报文段6）。

（4）客户段发回ACK报文确认，并将确认序号设置为收到序号加1（报文段7）。

3、TCP连接的端口状态CLOSED：这个没什么好说的了，表示初始状态未连接。

LISTEN：这个也是非常容易理解的一个状态，表示服务器端的某个SOCKET处于监听状态，可以接受连接了。

SYN_RECEIVED：这个状态表示接受到了SYN报文，在正常情况下，这个状态是服务器端的SOC KET在建立TCP连接时的三次握手会话过程中的一个中间状态，很短暂，基本上用netstat你是很难看到这种状态的，除非你特意写了一个客户端测试程序，故意将三次TCP握手过程中最后一个ACK报文不予发送。

因此这种状态时，当收到客户端的ACK报文后，它会进入到ESTABLISHED状态。

SYN_SENT：这个状态与SYN_RCVD遥想呼应，当客户端SOCKET执行CONNECT连接时，它首先发送SYN报文，因此也随即它会进入到了SYN_SENT状态，并等待服务端的发送三次握手中的第2个报文。

TCP三次握手/四次挥手详解[转]一、Linux服务器上11种网络连接状态:图:TCP的状态机通常情况下:一个正常的TCP连接，都会有三个阶段:1、TCP三次握手;2、数据传送;3、TCP四次挥手注:以下说明最好能结合”图:TCP的状态机”来理解。

SYN: (同步序列编号,Synchronize Sequence Numbers)该标志仅在三次握手建立TCP连接时有效。

表示一个新的TCP连接请求。

ACK: (确认编号,Acknowledgem ent Number)是对TCP请求的确认标志,同时提示对端系统已经成功接收所有数据。

FIN: (结束标志,FINish)用来结束一个TCP回话.但对应端口仍处于开放状态,准备接收后续数据。

1)、LISTEN:首先服务端需要打开一个socket进行监听，状态为LISTEN. /* The socket is listening for incoming connections. 侦听来自远方TCP端口的连接请求*/2)、SYN_SENT:客户端通过应用程序调用connect进行active open.于是客户端tcp发送一个SYN以请求建立一个连接.之后状态置为SYN_SENT. /*The socket is actively attempting to establish a connection. 在发送连接请求后等待匹配的连接请求*/3)、SYN_RECV:服务端应发出ACK确认客户端的SYN,同时自己向客户端发送一个SYN. 之后状态置为SYN_RECV /* A connection request has been received from the network. 在收到和发送一个连他套接字。

尤其是试图使用该端口创建新的Socket实例时，将抛出IOException异常。

TCP三次握手/四次挥手详解1、建立连接协议（三次握手）（1）客户端发送一个带SY N标志的TCP报文到服务器。

一、Linux服务器上11种网络连接状态:图:TCP的状态机通常情况下:一个正常的TCP连接，都会有三个阶段:1、TCP三次握手;2、数据传送;3、TCP四次挥手注:以下说明最好能结合”图:TCP的状态机”来理解。

SYN: (同步序列编号,Synchronize Sequence Numbers)该标志仅在三次握手建立TCP连接时有效。

表示一个新的TCP连接请求。

ACK: (确认编号,Acknowledgement Number)是对TCP请求的确认标志,同时提示对端系统已经成功接收所有数据。

FIN: (结束标志,FINish)用来结束一个TCP回话.但对应端口仍处于开放状态,准备接收后续数据。

1)、LISTEN:首先服务端需要打开一个socket进行监听，状态为LISTEN. /* The socket is listening for incoming connections. 侦听来自远方TCP端口的连接请求 */2)、SYN_SENT:客户端通过应用程序调用connect进行active open.于是客户端tcp发送一个SYN以请求建立一个连接.之后状态置为SYN_SENT. /*The socket is actively attempting to establish a connection. 在发送连接请求后等待匹配的连接请求 */3)、SYN_RECV:服务端应发出ACK确认客户端的SYN,同时自己向客户端发送一个SYN. 之后状态置为SYN_RECV /* A connection request has been received from the network. 在收到和发送一个连接请求后等待对连接请求的确认 */4)、ESTABLISHED: 代表一个打开的连接，双方可以进行或已经在数据交互了。

/* The socket has an established connection. 代表一个打开的连接，数据可以传送给用户 */5)、FIN_WAIT1:主动关闭(active close)端应用程序调用close，于是其TCP发出FIN请求主动关闭连接，之后进入FIN_WAIT1状态./* The socket is closed, and the connection is shutting down. 等待远程TCP的连接中断请求，或先前的连接中断请求的确认 */6)、CLOSE_WAIT:被动关闭(passive close)端TCP接到FIN后，就发出ACK以回应FIN请求(它的接收也作为文件结束符传递给上层应用程序),并进入CLOSE_WAIT. /* The remote end has shut down, waiting for the socket to close. 等待从本地用户发来的连接中断请求 */7)、FIN_WAIT2:主动关闭端接到ACK后，就进入了FIN-WAIT-2 ./* Connection is closed, and the socket is waiting for a shutdown from the remote end. 从远程TCP等待连接中断请求 */8)、LAST_ACK:被动关闭端一段时间后，接收到文件结束符的应用程序将调用CLOSE关闭连接。

iptables的状态检测机制（TCPUDPICMP状态详解）iptables是一个用于Linux操作系统的防火墙工具，用于管理网络数据包的过滤和转发。

它可以监测和控制网络流量，确保网络的安全性和可靠性。

在iptables中，有三种状态检测机制，即TCP状态检测、UDP 状态检测和ICMP状态检测。

本文将详细介绍这三种机制。

1.TCP状态检测：TCP（传输控制协议）是一种面向连接的、可靠的传输协议，通过三次握手建立和维持连接。

在iptables中，我们可以使用TCP状态检测来监测TCP连接的状态并控制流量。

常用的TCP状态检测有以下几种：- NEW：检测新建立的TCP连接。

当iptables检测到一个新的TCP连接时，它会按照我们预先定义的规则进行处理。

- ESTABLISHED：检测已建立的TCP连接。

当iptables检测到一个已建立的TCP连接时，它会根据我们的规则允许或拒绝数据包的传输。

-RELATED：检测与已建立的TCP连接相关的连接。

比如FTP数据连接就是建立在一个FTP控制连接之上的，这时候可以使用RELATED状态检测来检测与FTP控制连接相关的数据连接。

- INVALID：检测无效的TCP连接。

当iptables检测到一个无效的TCP连接时，它会拒绝该连接并记录日志。

通过对TCP连接状态的检测，我们可以根据需要采取相应的安全措施和控制措施，确保网络的安全性和可靠性。

2.UDP状态检测：UDP（用户数据报协议）是一种无连接的、不可靠的传输协议，数据包之间没有建立连接的过程。

在iptables中，我们可以使用UDP状态检测来监测UDP连接的状态并进行相应的处理。

常用的UDP状态检测有以下几种：- NEW：检测新收到的UDP数据包。

当iptables检测到一个新的UDP数据包时，它会按照我们预先定义的规则进行处理。

- ESTABLISHED：检测已建立的UDP连接。

当iptables检测到一个已建立的UDP连接时，它会根据我们的规则允许或拒绝数据包的传输。

iptables 的状态检测机制的状态检测机制1.1.什么是状态检测什么是状态检测什么是状态检测 每个网络连接包括以下信息：源地址、目的地址、源端口和目的端口，叫作套接字对(socket pairs);协议类型、连接状态(TCP 协议)和超时时间等。

防火墙把这些信息叫作状态(stateful)，能够检测每个连接状态的防火墙叫作状态包过滤防火墙。

它除了能够完成简单包过滤防火墙的包过滤工作外，还在自己的内存中维护一个跟踪连接状态的表，比简单包过滤防火墙具有更大的安全性。

iptables 中的状态检测功能是由state 选项来实现的。

对这个选项，在iptables 的手册页中有以下描述：state这个模块能够跟踪分组的连接状态(即状态检测)。

--state state这里，state 是一个用逗号分割的列表，表示要匹配的连接状态。

有效的状态选项包括：INVAILD，表示分组对应的连接是未知的; ESTABLISHED，表示分组对应的连接已经进行了双向的分组传输，也就是说连接已经建立;NEW，表示这个分组需要发起一个连接，或者说，分组对应 的连接在两个方向上都没有进行过分组传输;RELATED，表示分组要发起一个新的连接，但是这个连接和一个现有的连接有关，例如：FTP 的数据传输连接和控制连接之间就是RELATED 关系。

对于本地产生分组，在PREROUTING 或者OUTPUT 链中都可以对连接的状态进行跟踪。

在进行状态检测之前，需要重组分组的分片。

这就是为什么在iptables 中不再使用ipchains 的ip_always_defrag 开关。

UDP 和TCP 连接的状态表由/proc/net/ip_conntrack 进行维护。

稍后我们再介绍它的内容。

状态表能够保存的最大连接数保存在/proc/sys/net/ipv4/ip_conntrack_max 中。

它取决于硬件的物理内存。

2.iptables 的状态检测是如何工作的的状态检测是如何工作的??2.1.iptables 概述概述在讨论iptables 状态检测之前，我们先大体看一下整个netfilter 框架。

tcp 连接状态变化原理TCP（传输控制协议）是一种面向连接的、可靠的、基于字节流的传输层通信协议。

TCP连接状态变化原理可以概括为以下几个阶段：1. LISTEN（监听）状态：服务器在开始时处于CLOSED状态，然后进入LISTEN状态，等待客户端的连接请求。

2. SYN-SENT（同步已发送）状态：当客户端主动发起连接请求时，客户端会进入SYN-SENT状态。

客户端会发送一个SYN报文给服务器，同时等待服务器的SYN报文和ACK报文。

3. SYN-RECEIVED（同步收到）状态：服务器接收到客户端的SYN报文后，会回应一个SYN报文和ACK报文给客户端，此时服务器进入SYN-RECEIVED状态。

4. ESTABLISHED（建立）状态：客户端收到服务器的SYN报文和ACK报文后，会发送一个ACK报文给服务器，此时客户端进入ESTABLISHED状态。

同时，服务器也进入ESTABLISHED状态，表示TCP连接已经建立完成。

5. CLOSE-WAIT（关闭等待）状态：当客户端或服务器想要关闭连接时，它会发送一个FIN报文给对方。

当对方收到FIN报文后，会发送一个ACK报文给对方，然后进入CLOSE-WAIT状态。

此时连接处于半关闭状态，表示一方已经准备好关闭连接，但另一方可能还会发送数据。

6. FIN-WAIT-1（终止等待1）状态：当一方想要完全关闭连接时，它会发送一个FIN报文给对方。

当对方收到FIN报文后，会发送一个ACK报文给对方，然后进入FIN-WAIT-1状态。

7. FIN-WAIT-2（终止等待2）状态：当对方准备好关闭连接时，它会发送一个FIN报文给当前方。

当当前方收到FIN报文后，会发送一个ACK报文给对方，然后进入FIN-WAIT-2状态。

8. TIME-WAIT（时间等待）状态：当前方发送完最后一个ACK报文后，它会进入TIME-WAIT状态。

在此状态下，它会等待一段时间以确保对方收到了ACK报文。

TCP连接的11种状态传输控制协议（TCP，Transmission Control Protocol）是⼀种⾯向连接的、可靠的、基于字节流的传输层通信协议。

TCP协议主要针对三次握⼿建⽴连接和四次挥⼿断开连接，其中包括了11中具体的连接状态。

分别是：⼀、LISTENLISTEN：表⽰侦听来⾃远⽅的TCP端⼝的连接请求。

⾸先服务端需要打开⼀个socket 进⾏监听，状态为LISTEN。

有提供某种服务才会处于LISTEN状态， TCP状态变化就是某个端⼝的状态变化，提供⼀个服务就打开⼀个端⼝。

例如FTP服务启动后⾸先处于侦听(LISTEN)状态。

处于侦听LISTEN状态时，该端⼝是开放的，等待连接，但还没有被连接。

⼆、SYN-SENT在客户端发送连接请求后，等待匹配的连接请求。

⽐如客户端tcp发送⼀个SYN以请求建⽴⼀个连接，之后状态置为SYN_SENT。

三、SYN-RECEIVED在收到和发送⼀个连接请求后等待对⽅对连接请求的确认。

当服务器收到客户端发送的同步信号时，将标志位ACK和SYN置1发送给客户端，此时服务器端处于SYN_RCVD状态， 如果连接成功了就变为ESTABLISHED，正常情况下SYN_RCVD状态⾮常短暂。

四、ESTABLISHEDESTABLISHED状态是表⽰两台机器正在传输数据，观察这个状态最主要的就是看哪个程序正在处于ESTABLISHED状态。

五、FIN-WAIT-1等待远程TCP连接中断请求，或先前的连接中断请求的确认。

主动关闭(active close)端应⽤程序调⽤close，于是其TCP发出FIN请求主动关闭连接，之后进⼊FIN-WAIT-1状态。

六、FIN-WAIT-2主动关闭端接到ACK后，就进⼊了FIN-WAIT-2，这时处于等待远程TCP等待连接中断请求，这就是著名的半关闭的状态了，这是在关闭连接时，客户端和服务器两次握⼿之后的状态。

在这个状态下，应⽤程序还有接受数据的能⼒，但是已经⽆法发送数据，但是也有⼀种可能是，客户端⼀直处于FIN_WAIT_2状态，⽽服务器则⼀直处于WAIT_CLOSE状态，⽽直到应⽤层来决定关闭这个状态。

Linux服务器中的TCP连接状态详细解释
2010-11-12 14:17 40人阅读评论(0) 收藏举报Linux服务器中的TCP连接状态详细解释！
1.LISTEN
监听状态，表示服务器进程监听某端口等待着为到来的TCP客户端提供服务。

2.SYN_RECV
表示服务器接收到了TCP客户端发送来的SYN数据包后，服务器已经发出了对应的响应ACK包和自己的SYN包给客户端。

3.SYN_SEND
此状态通常用在客户端发起到服务器的连接，表示客户端主机主动向服务器发出了SYN包后的状态。

4.ESTABLISHED
在客户端受到服务器的ACK应答包和SYN包后，向服务器发出ACK包以响应其SYN包后，TCP连接已经正是建立。

通过上面的过程其实就是TCP三次握手的整个过程。

下面的状态与TCP连接的断开有关
5.TIME_WAIT
当TCP连接建立后双方传输数据时TCP状态为ESTABLISHED，如果有一方主动提出断开请求则其状态转为TIME_WAIT。

下面是TCP状态转化的图：
断开连接的时候，当发起主动关闭的左边这方发送一个FIN过去后，右边被动关闭的这方要回应一个ACK，这个ACK是TCP回应的，而不是应用程序发送的，此时，被动关闭的一方就处于CLOSE_WAIT状态了。

如果此时被动关闭的这一方不再继续调用closesocket,那么他就不会发送接下来的FIN，导致自己老是处于CLOSE_WAIT。

只有被动关闭的这一方调用了closesocket,才会发送一个FIN给主动关闭的这一方，同时也使得自己的状态变迁为LAST_ACK。

TCP的几个状态(SYN, FIN, ACK, PSH, RST, URG)1 在TCP层，有个FLAGS字段，这个字段有以下几个标识：SYN, FIN, ACK, PSH, RST, URG.23 其中，对于我们日常的分析有用的就是前面的五个字段。

45 它们的含义是：67 SYN表示建立连接，89 FIN表示关闭连接，1011 ACK表示响应，1213 PSH表示有DATA数据传输，1415 RST表示连接重置。

1617 其中，ACK是可能与SYN，FIN等同时使用的，比如SYN和ACK可能同时为1，它表示的就是建立连接之后的响应，1819 如果只是单个的一个SYN，它表示的只是建立连接。

2021 TCP的几次握手就是通过这样的ACK表现出来的。

2223 但SYN与FIN是不会同时为1的，因为前者表示的是建立连接，而后者表示的是断开连接。

2425 RST一般是在FIN之后才会出现为1的情况，表示的是连接重置。

2627 一般地，当出现FIN包或RST包时，我们便认为客户端与服务器端断开了连接；而当出现SYN和SYN＋ACK包时，我们认为客户端与服务器建立了一个连接。

2829 PSH为1的情况，一般只出现在DATA内容不为0的包中，也就是说PSH 为1表示的是有真正的TCP数据包内容被传递。

3031 TCP的连接建立和连接关闭，都是通过请求－响应的模式完成的。

3233 概念补充-TCP三次握手：3435 TCP(Transmission Control Protocol)传输控制协议3637 TCP是主机对主机层的传输控制协议，提供可靠的连接服务，采用三次握手确认建立一个连接：3839 位码即tcp标志位，有6种标示：SYN(synchronous建立联机) ACK(acknowledgement 确认) PSH(push传送) FIN(finish结束) RST(reset重置) URG(urgent紧急)Sequence number(顺序号码) Acknowledge number(确认号码)4041 第一次握手：主机A发送位码为syn＝1，随机产生seq number=123456。

tcp_user_timeout 工作原理TCP（Transmission Control Protocol）是一种面向连接的传输层协议，它提供可靠的、有序的、基于字节流的数据传输。

在TCP中，有一个重要的概念叫做"用户超时"（user timeout），它是指当TCP连接中的双方长时间没有数据交互时，TCP会认为连接已经失效并主动关闭连接。

用户超时的工作原理主要涉及以下几个方面：连接状态、超时计时器和超时时间。

首先，让我们了解一下TCP连接的状态。

TCP连接的生命周期可以分为三个主要阶段：建立连接、数据传输和关闭连接。

在建立连接阶段，TCP客户端和服务端通过"三次握手"建立了连接，并进入了已连接的状态。

在数据传输阶段，双方通过TCP的滑动窗口协议进行数据的传输和确认。

最后，在关闭连接阶段，双方通过"四次握手"关闭连接。

在数据传输阶段，TCP会根据数据的传输情况来动态调整超时时间。

当TCP发送数据时，如果收到了对方的确认（ACK），则认为连接是活动的，并重置超时计时器。

如果超过了超时时间仍未收到对方的确认，则认为连接可能已经失效，TCP会尝试重新发送数据。

如果尝试的次数达到了一定的阈值（通常是3次），仍未收到确认，则TCP将认为连接已经失效并主动关闭连接。

那么，超时计时器是如何工作的呢？每个TCP连接都有一个独立的超时计时器。

当建立连接时，TCP会根据一些启发式算法（如RTT估计）来设置初始的超时时间。

随着时间的推移和数据的传输，超时时间可能会进行调整。

一般情况下，每次收到一个新的确认时，TCP会根据当前的网络状况来调整超时时间。

具体的调整算法可能因TCP实现的不同而有所差异，但是通常会根据当前的RTT估计和一些乘法因子来进行调整。

当超过了超时时间仍未收到确认时，TCP会认为连接可能已经失效，并执行相应的处理。

最后，超时时间是如何确定的呢？超时时间的确定是一个复杂的问题，需要考虑到网络状况的变化、传输时延的波动以及应用程序的需求等因素。

tcp状态：LISTEN：侦听来自远方的TCP端口的连接请求SYN-SENT：再发送连接请求后等待匹配的连接请求SYN-RECEIVED：再收到和发送一个连接请求后等待对方对连接请求的确认ESTABLISHED：代表一个打开的连接FIN-WAIT-1：等待远程TCP连接中断请求，或先前的连接中断请求的确认FIN-WAIT-2：从远程TCP等待连接中断请求CLOSE-WAIT：等待从本地用户发来的连接中断请求CLOSING：等待远程TCP对连接中断的确认LAST-ACK：等待原来的发向远程TCP的连接中断请求的确认TIME-WAIT：等待足够的时间以确保远程TCP接收到连接中断请求的确认CLOSED：没有任何连接状态TCP是一个面向连接的协议，所以在连接双方发送数据之前，都需要首先建立一条连接。

这和前面讲到的协议完全不同。

前面讲的所有协议都只是发送数据而已，大多数都不关心发送的数据是不是送到，UDP尤其明显，从编程的角度来说，UDP编程也要简单的多----UDP都不用考虑数据分片。

书中用telnet登陆退出来解释TCP协议连接的建立和中止的过程，可以看到，TCP连接的建立可以简单的称为三次握手，而连接的中止则可以叫做四次握手。

1.连接的建立在建立连接的时候，客户端首先向服务器申请打开某一个端口(用SYN段等于1的TCP报文)，然后服务器端发回一个ACK报文通知客户端请求报文收到，客户端收到确认报文以后再次发出确认报文确认刚才服务器端发出的确认报文（绕口么），至此，连接的建立完成。

这就叫做三次握手。

如果打算让双方都做好准备的话，一定要发送三次报文，而且只需要三次报文就可以了。

可以想见，如果再加上TCP的超时重传机制，那么TCP就完全可以保证一个数据包被送到目的地。

2.结束连接TCP有一个特别的概念叫做half-close，这个概念是说，TCP的连接是全双工（可以同时发送和接收）连接，因此在关闭连接的时候，必须关闭传和送两个方向上的连接。

TCP连接的状态详解以及故障排查⼀、TCP⽹络常⽤命令了解TCP之前，先了解⼏个命令：linux查看tcp的状态命令：1）、netstat -nat 查看TCP各个状态的数量2）、lsof -i:port 可以检测到打开套接字的状况3)、 sar -n SOCK 查看tcp创建的连接数4)、tcpdump -iany tcp port 9000 对tcp端⼝为9000的进⾏抓包5)、tcpdump dst port 9000 -w dump9000.pcap 对tcp⽬标端⼝为9000的进⾏抓包保存pcap⽂件wireshark分析。

6)、tcpdump tcp port 9000 -n -X -s 0 -w tcp.cap 对tcp/http⽬标端⼝为9000的进⾏抓包保存pcap⽂件wireshark分析。

⽹络测试常⽤命令;1）ping:检测⽹络连接的正常与否,主要是测试延时、抖动、丢包率。

但是很多服务器为了防⽌攻击，⼀般会关闭对ping的响应。

所以ping⼀般作为测试连通性使⽤。

ping命令后，会接收到对⽅发送的回馈信息，其中记录着对⽅的IP地址和TTL。

TTL 是该字段指定IP包被路由器丢弃之前允许通过的最⼤⽹段数量。

TTL是IPv4包头的⼀个8 bit字段。

例如IP包在服务器中发送前设置的TTL是64，你使⽤ping命令后，得到服务器反馈的信息，其中的TTL为56，说明途中⼀共经过了8道路由器的转发，每经过⼀个路由，TTL减1。

2）traceroute：raceroute 跟踪数据包到达⽹络主机所经过的路由⼯具traceroute hostname3）pathping：是⼀个路由跟踪⼯具，它将 ping 和 tracert 命令的功能与这两个⼯具所不提供的其他信息结合起来，综合了⼆者的功能4）mtr：以结合ping nslookup tracert 来判断⽹络的相关特性5) nslookup:⽤于解析域名，⼀般⽤来检测本机的DNS设置是否配置正确。

三次握手图四次握手图三次握手Three-way Handshake一个虚拟连接的建立是通过三次握手来实现的1. (B) --> [SYN] --> (A)假如服务器A和客户机B通讯. 当A要和B通信时，B首先向A发一个SYN (Synchronize) 标记的包，告诉A请求建立连接.注意: 一个SYN包就是仅SYN标记设为1的TCP包(参见TCP包头Resources). 认识到这点很重要，只有当A受到B发来的SYN包，才可建立连接，除此之外别无他法。

因此，如果你的防火墙丢弃所有的发往外网接口的SYN包，那么你将不能让外部任何主机主动建立连接。

2. (B) <-- [SYN/ACK] <--(A)接着，A收到后会发一个对SYN包的确认包(SYN/ACK)回去，表示对第一个SYN包的确认，并继续握手操作.注意: SYN/ACK包是仅SYN 和ACK 标记为1的包.3. (B) --> [ACK] --> (A)B收到SYN/ACK 包,B发一个确认包(ACK)，通知A连接已建立。

至此，三次握手完成，一个TCP连接完成Note: ACK包就是仅ACK 标记设为1的TCP包. 需要注意的是当三此握手完成、连接建立以后，TCP连接的每个包都会设置ACK位这就是为何连接跟踪很重要的原因了. 没有连接跟踪,防火墙将无法判断收到的ACK包是否属于一个已经建立的连接.一般的包过滤(Ipchains)收到ACK包时,会让它通过(这绝对不是个好主意). 而当状态型防火墙收到此种包时，它会先在连接表中查找是否属于哪个已建连接，否则丢弃该包四次握手Four-way Handshake四次握手用来关闭已建立的TCP连接1. (B) --> ACK/FIN --> (A)2. (B) <-- ACK <-- (A)3. (B) <-- ACK/FIN <-- (A)4. (B) --> ACK --> (A)注意: 由于TCP连接是双向连接, 因此关闭连接需要在两个方向上做。

描述tcp建立连接的过程TCP建立连接的过程TCP（Transmission Control Protocol）是一种面向连接的协议，它在传输数据之前需要先建立连接。

TCP建立连接的过程可以分为三个阶段：建立连接、数据传输和断开连接。

在TCP建立连接之前，需要先了解一下TCP的三次握手过程。

三次握手是指在建立连接时，客户端和服务器之间需要进行三次通信，以确保双方都能够正常收发数据。

第一次握手：客户端向服务器发送一个SYN（同步）包，表示客户端请求建立连接，并指定一个初始序列号（ISN）。

第二次握手：服务器收到客户端的SYN包后，向客户端发送一个SYN+ACK（同步+确认）包，表示服务器已经收到了客户端的请求，并且同意建立连接。

服务器也会指定一个初始序列号。

第三次握手：客户端收到服务器的SYN+ACK包后，向服务器发送一个ACK（确认）包，表示客户端已经收到了服务器的确认，并且可以开始传输数据了。

数据传输在TCP连接建立之后，客户端和服务器之间可以开始传输数据了。

TCP协议会对数据进行分段，并且每个分段都会进行编号，以确保数据的可靠传输。

如果某个分段没有收到确认，TCP会自动重传该分段，直到收到确认为止。

断开连接当客户端和服务器之间的数据传输完成后，需要断开连接。

TCP断开连接的过程可以分为四个阶段：发送FIN、确认FIN、发送ACK、确认ACK。

第一次握手：客户端向服务器发送一个FIN（结束）包，表示客户端已经完成了数据传输，并且请求断开连接。

第二次握手：服务器收到客户端的FIN包后，向客户端发送一个ACK（确认）包，表示服务器已经收到了客户端的请求，并且同意断开连接。

第三次握手：服务器向客户端发送一个FIN包，表示服务器也已经完成了数据传输，并且请求断开连接。

第四次握手：客户端收到服务器的FIN包后，向服务器发送一个ACK包，表示客户端已经收到了服务器的请求，并且同意断开连接。

总结TCP建立连接的过程可以分为三个阶段：建立连接、数据传输和断开连接。

netstat状态详解⼀、⽣产服务器netstat tcp连接状态 (2)1.1⽣产服务器某个业务LVS负载均衡上连接状态数量 (2)1.2⽣产服务器某个业务web上连接状态数量 (3)1.3 ⽣产服务器某个业务db上连接状态数量 (3)⼆、tcp连接状态的描述说明(netstat输出) (4)2.1 执⾏netstat -n查看输出结果共6列 (4)2.2 通过man netstat查看netstat输出结果信息 (4)2.3netstat第六列State的状态信息 (5)2.4netstat第六列State状态信息转换图表 (6)2.4.1 状态参考图⼀ (7)2.4.2 状态参考图⼆ (9)2.4.3 状态参考图三 (10)2.4.4 客户端的状态变化描述 (10)2.4.5 服务器的状态变化描述 (10)2.4.6 其他的状态变化描述总结 (11)更多⽬录见博⽂结尾。

⼀、⽣产服务器netstat tcp连接状态1.1⽣产服务器某个业务LVS负载均衡上连接状态数量[oldboy@LVS-1-1 ~]$ netstat -n |awk '/^tcp/ {++oldboy[$NF]} END {for(a in oldboy) print a, oldboy[a]}' TIME_WAIT 9137CLOSE_WAIT 207FIN_WAIT1 547ESTABLISHED 597FIN_WAIT2 74SYN_RECV 70CLOSING 55LAST_ACK 8[root@lvs_nginx~]#netstat -n |awk '/^tcp/ {++oldboy[$NF]} END {for(a in oldboy) print a, oldboy[a]}' TIME_WAIT 422CLOSE_WAIT 590FIN_WAIT1 56FIN_WAIT2 28ESTABLISHED 17311.2⽣产服务器某个业务web上连接状态数量[root@web1 ~]# netstat -n |awk '/^tcp/ {++oldboy[$NF]} END {for(a in oldboy) print a, oldboy[a]}' TIME_WAIT 418FIN_WAIT1 7FIN_WAIT2 3ESTABLISHED 1097LAST_ACK 2[root@web2 ~]# netstat -n |awk '/^tcp/ {++oldboy[$NF]} END {for(a in oldboy) print a, oldboy[a]}' TIME_WAIT 250FIN_WAIT1 2FIN_WAIT2 3ESTABLISHED 1032LAST_ACK 2[root@old_web ~]# netstat -n |awk '/^tcp/ {++oldboy[$NF]} END {for(a in oldboy) print a, oldboy[a]}' TIME_WAIT 342CLOSE_WAIT 618FIN_WAIT1 37FIN_WAIT2 3ESTABLISHED 1681SYN_RECV 1[root@K32_50718 ~]# netstat -n |awk '/^tcp/ {++oldboy[$NF]} END {for(a in oldboy) print a, oldboy[a]}' TIME_WAIT 4146FIN_WAIT1 352FIN_WAIT2 1112ESTABLISHED 8451SYN_RECV 186CLOSING 9LAST_ACK 1021.3 ⽣产服务器某个业务db上连接状态数量[root@web_slave ~]# netstat -n |awk '/^tcp/ {++oldboy[$NF]} END {for(a in oldboy) print a, oldboy[a]}' TIME_WAIT 263FIN_WAIT1 1FIN_WAIT2 48ESTABLISHED 918⼆、tcp连接状态的描述说明(netstat输出)2.1 执⾏netstat -n查看输出结果共6列[root@OLDBOY ~]# netstat -nActive Internet connections (w/o servers)Proto Recv-Q Send-Q Local AddressForeign AddressStatetcp00 10.0.0.183:5058410.0.0.181:22ESTABLISHED2.2 通过man netstat查看netstat输出结果信息[root@oldboy ~]# man netstatOUTPUTActive Internet connections (TCP, UDP, raw)ProtoThe protocol (tcp, udp, raw) used by the socket.第⼀列为socket使⽤的协议。