TCP头标志位的含义和TCP连接状态的含义

TCPIP协议头部结构TCP/IP协议是计算机网络通信中最重要的协议之一，它定义了数据在网络中的传输方式和规则。

TCP/IP协议头部是数据传输中包含的一部分，包含了必要的信息以描绘和控制数据传输的过程。

本文将详细介绍TCP/IP协议头部的结构。

TCP/IP协议头部结构如下：首部长度（Header Length）：占4位，用于指示TCP/IP协议头部的长度。

由于TCP/IP协议头部中的各字段长度不固定，所以需要首部长度字段来指示实际长度。

首部长度字段的速与单位是4字节，所以一个数据报的首部长度最多为60字节。

服务类型（Type of Service）：占8位，用于指示数据报在网络中的处理优先级。

这个字段一般用于指示比如数据报的延迟要求、吞吐量要求、可靠性要求等。

总长度（Total Length）：占16位，表示整个IP数据报的长度。

包括首部和数据部分的总长度。

总长度字段可以对IP数据报进行分片和重组操作。

标识（Identification）：占16位，用于标识IP数据报的碎片。

当IP数据报需要进行分片时，原始数据报的标识字段会被分片后的每个数据片段所继承。

标志（Flags）：占3位，用于指示数据报的分片情况。

包括“不分片”、“更多分片”、“最后一个分片”。

这些标志字段主要用于数据报的重组。

分段偏移（Fragment Offset）：占13位，用于表示分片结束的字节数。

当IP数据报需要进行分片时，原始数据报的分段偏移字段会被分片后的每个数据片段所继承。

生存时间（Time to Live）：占8位，用于指示数据报在网络中的最大存活时间。

每经过一个路由器，生存时间减1，当生存时间为0时，数据报会被丢弃。

协议（Protocol）：占8位，用于指示IP数据报传递给哪个上层协议处理。

例如，TCP协议的值为6，UDP协议的值为17头部校验和（Header Checksum）：占16位，用于检验IP首部的完整性。

TCP报头结构TCP协议头最少20个字节，包括以下的区域:源端口和目的端口我们知道，网络实现的是不同主机的进程间通信。

在一个操作系统中，有很多进程，当数据到来时要提交给哪个进程进行处理呢?这就需要用到端口号。

在TCP头中，有源端口号(Source Port)和目标端口号(Destination Port)。

TCP与UDP段结构中端口地址都是16比特，可以有在0---65535范围内的端口号。

对于这65536个端口号有以下的使用规定：（1）端口号小于256的定义为常用端口，服务器一般都是通过常用端口号来识别的。

任何TCP/IP实现所提供的服务都用1---1023之间的端口号，是由ICANN来管理的；（2）客户端只需保证该端口号在本机上是惟一的就可以了。

客户端口号因存在时间很短暂又称临时端口号；（3）大多数TCP/IP实现给临时端口号分配1024---5000之间的端口号。

大于5000的端口号是为其他服务器预留的。

源端口(Source Port)：16位。

源端口号标识了发送主机的进程。

目的端口(Destination port)：16位。

目标端口号标识接受方主机的进程。

序列号和确认号例如，pc1向pc2发送数据，该数据为5000字节，该数据到达传输层，使用tcp传输会给每个字节加一个序列号，序列号是从0-2^32之间随机产生的。

比如该报文的第一个字节的序列号为x，第二个字节的序列号就是x+1，最后一个字节的编号就是x+4999。

传输层在传送数据时如果数据比较大会进行分段传送，假设,100个字节分一个片段，那么第一个片段的第一个字节序列号肯定是X，最后一个字节的序列号就是x+99，那么就用X来表示该报文片段。

第二个报文片段的序列号范围是X+100-----X+199，用X+100代表第二个报文片段。

以此类推，第三个X+200---X+299。

当接收方收到第一个报文片段后，如果接受方正确的收到了第一个报文段就会发送一个确认，确认的目的就是表示准确的收到了一个报文，并通知发送方希望继续接受下一个报文段的序号。

TCP报⽂格式转载⾃1.TCP报⽂格式TCP报头中的源端⼝号和⽬的端⼝号同IP数据报中的源IP与⽬的IP唯⼀确定⼀条TCP连接序号（4字节=32位）：37 59 56 75⽤来标识TCP发端向TCP收端发送的数据字节流确认序号（4字节=32位）：由于该报⽂为SYN报⽂，ACK标志为0，故没有确认序号（ACK标志为1时确认序号才有效）TCP协议规定，只有ACK=1时有效，也规定连接建⽴后所有发送的报⽂的ACK必须为1⼀旦连接建⽴，该值将始终发送（同ACK标志）头部长度：该字段占⽤4位，⽤来表⽰报⽂⾸部的长度，单位是4Byte。

如：headLen = ((packet[12]>>4)&0x0F)*4;预留6位：长度为6位，作为保留字段，暂时没有什么⽤处。

URG：长1位，表⽰紧急指针字段有效；ACK：长1位，置位表⽰确认号字段有效；TCP协议规定，只有ACK=1时有效，也规定连接建⽴后所有发送的报⽂的ACK必须为1PSH：长1位，表⽰当前报⽂需要请求推（push）操作；RST：长1位，置位表⽰复位TCP连接；SYN：长1位，在连接建⽴时⽤来同步序号。

当SYN=1⽽ACK=0时，表明这是⼀个连接请求报⽂。

对⽅若同意建⽴连接，则应在响应报⽂中使SYN=1和ACK=1. 因此,SYN置1就表⽰这是⼀个连接请求或连接接受报⽂。

FIN：长1位，⽤于释放TCP连接时标识发送⽅⽐特流结束；即完，终结的意思，⽤来释放⼀个连接。

当 FIN = 1时，表明此报⽂段的发送⽅的数据已经发送完毕，并要求释放连接。

窗⼝⼤⼩：长度为16位，2个字节。

校验和：长度为16位，2个字节。

紧急指针：长度为16位，2个字节。

以上是TCP包头必须要有的字段，也称固有字段，长度为20个字节。

2.TCP三次握⼿TCP怎样才能保证可靠的传输任务，就是通过三次握⼿⾸先由Client发出请求连接即 SYN=1 ACK=0 (请看头字段的介绍), TCP规定SYN=1时不能携带数据，但要消耗⼀个序号,因此声明⾃⼰的序号是 seq=x然后 Server 进⾏回复确认，即 SYN=1 ACK=1 seq=y, ack=x+1,再然后 Client 再进⾏⼀次确认，但不⽤SYN 了，这时即为 ACK=1, seq=x+1, ack=y+1.3.TCP四次挥⼿ 当客户A 没有东西要发送时就要释放 A 这边的连接，A会发送⼀个报⽂（没有数据），其中 FIN 设置为1, 服务器B收到后会给应⽤程序⼀个信，这时A那边的连接已经关闭，即A不再发送信息（但仍可接收信息）。

TCP/UDP报文格式TCP 协议为终端设备提供了面向连接的、可靠的网络服务，UDP 协议为终端设备提供了无连接的、不可靠的数据报服务。

从上图我们可以看出，TCP 协议为了保证数据传输的可靠性，相对于UDP 报文，TCP 报文头部有更多的字段选项。

首先让我们来看一下TCP 的报文头部主要字段：每个TCP 报文头部都包含源端口号（source port）和目的端口号（destination port），用于标识和区分源端设备和目的端设备的应用进程。

在TCP/IP 协议栈中，源端口号和目的端口号分别与源IP 地址和目的IP 地址组成套接字（socket），唯一的确定一条TCP 连接。

序列号（Sequence number）字段用来标识TCP 源端设备向目的端设备发送的字节流，它表示在这个报文段中的第一个数据字节。

如果将字节流看作在两个应用程序间的单向流动，则TCP 用序列号对每个字节进行计数。

序列号是一个32bits 的数。

既然每个传输的字节都被计数，确认序号（Acknowledgement number，32bits）包含发送确认的一端所期望接收到的下一个序号。

因此，确认序号应该是上次已成功收到的数据字节序列号加1。

TCP 的流量控制由连接的每一端通过声明的窗口大小（windows size）来提供。

窗口大小用数据包来表示，例如Windows size=3, 表示一次可以发送三个数据包。

窗口大小起始于确认字段指明的值，是一个16bits 字段。

窗口大小可以调节。

校验和（checksum）字段用于校验TCP 报头部分和数据部分的正确性。

最常见的可选字段是MSS（Maximum Segment Size，最大报文大小）。

MSS指明本端所能够接收的最大长度的报文段。

当一个TCP 连接建立时，连接的双方都要通告各自的MSS 协商可以传输的最大报文长度。

我们常见的MSS有1024（以太网可达1460 字节）字节。

TCP报⽂头部解析1. TCP报头
源端⼝：指定了发送端的端⼝（图1　TCP报头结构）
⽬的端⼝：指定了接受端的端⼝号
序号：指明了段在即将传输的段序列中的位置
确认号：规定成功收到段的序列号，确认序号包含发送确认的⼀端所期望收到的下⼀个序号TCP偏移量：指定了段头的长度。

段头的长度取决与段头选项字段中设置的选项
保留：指定了⼀个保留字段，以备将来使⽤
标志：SYN、ACK、PSH、RST、URG、FIN
SYN：表⽰同步
ACK：表⽰确认
PSH：表⽰尽快的将数据送往接收进程
RST：表⽰复位连接
URG：表⽰紧急指针
FIN：表⽰发送⽅完成数据发送
窗⼝：指定关于发送端能传输的下⼀段的⼤⼩的指令
校验和：校验和包含TCP段头和数据部分，⽤来校验段头和数据部分的可靠性
紧急：指明段中包含紧急信息，只有当U R G标志置1时紧急指针才有效
选项：指定了公认的段⼤⼩，时间戳，选项字段的末端，以及指定了选项字段的边界选项。

TCP连接的状态详解以及故障排查⼀、TCP⽹络常⽤命令了解TCP之前，先了解⼏个命令：linux查看tcp的状态命令：1）、netstat -nat 查看TCP各个状态的数量2）、lsof -i:port 可以检测到打开套接字的状况3)、 sar -n SOCK 查看tcp创建的连接数4)、tcpdump -iany tcp port 9000 对tcp端⼝为9000的进⾏抓包5)、tcpdump dst port 9000 -w dump9000.pcap 对tcp⽬标端⼝为9000的进⾏抓包保存pcap⽂件wireshark分析。

6)、tcpdump tcp port 9000 -n -X -s 0 -w tcp.cap 对tcp/http⽬标端⼝为9000的进⾏抓包保存pcap⽂件wireshark分析。

⽹络测试常⽤命令;1）ping:检测⽹络连接的正常与否,主要是测试延时、抖动、丢包率。

但是很多服务器为了防⽌攻击，⼀般会关闭对ping的响应。

所以ping⼀般作为测试连通性使⽤。

ping命令后，会接收到对⽅发送的回馈信息，其中记录着对⽅的IP地址和TTL。

TTL 是该字段指定IP包被路由器丢弃之前允许通过的最⼤⽹段数量。

TTL是IPv4包头的⼀个8 bit字段。

例如IP包在服务器中发送前设置的TTL是64，你使⽤ping命令后，得到服务器反馈的信息，其中的TTL为56，说明途中⼀共经过了8道路由器的转发，每经过⼀个路由，TTL减1。

2）traceroute：raceroute 跟踪数据包到达⽹络主机所经过的路由⼯具traceroute hostname3）pathping：是⼀个路由跟踪⼯具，它将 ping 和 tracert 命令的功能与这两个⼯具所不提供的其他信息结合起来，综合了⼆者的功能4）mtr：以结合ping nslookup tracert 来判断⽹络的相关特性5) nslookup:⽤于解析域名，⼀般⽤来检测本机的DNS设置是否配置正确。

TCP((Transmission Control Protocol)传输控制协议，是一个面向连接的协议。

在运用此协议进行数据传输前都会进行连接的建立工作（三次握手）；当数据传输完毕，连接的双方都会通知对方要释放此连接（四次挥手）。

•认识TCP标志位tcp标志位有6种标示:SYN(synchronous建立联接)ACK(acknowledgement 确认)PSH(push传送)FIN(finish结束)RST(reset重置)URG(urgent紧急)•图解TCP与UDP的三次握手与四次挥手过程三次握手过程：第一次握手：host1发送一个TCP标志位SYN=1、ACK=0的数据包给host2，并随机产生一个Sequence number=3233.当host2接收到这个数据后，host2由SYN=1可知客户端是想要建立连接；第二次握手：host2要对客户端的联机请求进行确认，向host1发送应答号ACK=1、SYN=1、确认号Acknowledge number=3234，此值是host1的序列号加1，还会产生一个随机的序列号Sequence number=36457，这样就告诉host1可以进行连接；第三次握手：host1收到数据后检查Acknowledge number是否是3233+1的值，以及ACK的值是否为1，若为1，host1会发送ACK=1、确认号码Acknowledge number=36457，告诉host2,你的请求连接被确认，连接可以建立。

四次挥手过程：第一次挥手：当传输的数据到达尾部时，host1向host2发送FIN=1标志位；可理解成，host1向host2说，我这边的数据传送完成了，我准备断开连接了；第二次挥手：因TCP的连接是全双工的双向连接，关闭也是要从两边关闭；当host2收到host1发来的FIN=1的标志位后，host2不会立刻向host1发送FIN=1的请求关闭信息，而是先向host1发送一个ACK=1的应答信息，表示：你请求关闭的请求我已经收到，但我可能还有数据没有完成传送，你再等下，等我数据传输完成了我就告诉你；第三次挥手：host2数据传输完成，向host1发送FIN=1，host1收到关闭连接的请求后，host1就明白host2的数据已传输完成，现在可以断开连接了；第四次挥手：host1收到FIN=1后，host1还是怕由于网络不稳定的原因，怕host2不知道他要断开连接，于是向host2发送ACK=1确认信息进行确认，把自己设置成TIME_WAIT状态并启动定时器，如果host2没有收到ACK，host2端TCP的定时器到达后，会要求host1重新发送ACK，当host2收到ACK后，host2就断开连接；当host1等待2MLS（2倍报文最大生存时间）后，没有收到host2的重传请求后，他就知道host2已收到了ACK，所以host1此时才关闭自己的连接。

TCP标志位TCP标志位URG：此标志表示TCP包的紧急指针域（后面马上就要说到）有效，用来保证TCP连接不被中断，并且督促中间层设备要尽快处理这些数据；ACK：此标志表示应答域有效，就是说前面所说的TCP应答号将会包含在TCP数据包中；有两个取值：0和1，为1的时候表示应答域有效，反之为0；PSH：这个标志位表示Push操作。

所谓Push操作就是指在数据包到达接收端以后，立即传送给应用程序，而不是在缓冲区中排队；RST：这个标志表示连接复位请求。

用来复位那些产生错误的连接，也被用来拒绝错误和非法的数据包；SYN：表示同步序号，用来建立连接。

SYN标志位和ACK标志位搭配使用，当连接请求的时候，SYN=1，ACK=0；连接被相应的时候，SYN=1，ACK= 1；这个标志的数据包经常被用来进行端口扫描。

扫描者发送一个只有SYN的数据包，如果对方主机响应了一个数据包回来，就表明这台主机存在这个端口；但是由于这种扫描方式只是进行TCP三次握手的第一次握手，因此这种扫描的成功表示被扫描的机器不很安全，一台安全的主机将会强制要求一个连接严格的进行TCP的三次握手；FIN：表示发送端已经达到数据末尾，也就是说双方的数据传送完成，没有数据可以传送了，发送FIN标志位的TCP数据包后，连接将被断开。

这个标志的数据包也经常被用于进行端口扫描。

当一个FIN标志的TCP 数据包发送到一台计算机的特定端口，如果这台计算机响应了这个数据，并且反馈回来一个RST标志的TCP包，就表明这台计算机上没有打开这个端口，但是这台计算机是存在的；如果这台计算机没有反馈回来任何数据包，这就表明，这台被扫描的计算机存在这个端口。

*SYN：同步标志同步序列编号(Synchronize Sequence Numbers)栏有效。

该标志仅在三次握手建立TCP连接时有效。

它提示TCP连接的服务端检查序列编号，该序列编号为TCP连接初始端(一般是客户端)的初始序列编号。

TCP报⽂格式和三次握⼿——三次握⼿三个tcp包（header+data），此外，TCP报。

TCP报⽂是TCP层传输的数据单元，也叫报⽂段。

1、端⼝号：⽤来标识同⼀台计算机的不同的应⽤进程。

1）源端⼝：源端⼝和IP地址的作⽤是标识报⽂的返回地址。

2）⽬的端⼝：端⼝指明接收⽅计算机上的应⽤程序接⼝。

TCP报头中的源端⼝号和⽬的端⼝号同IP数据报中的源IP与⽬的IP唯⼀确定⼀条TCP连接。

2、序号和确认号：是TCP可靠传输的关键部分。

序号是本报⽂段发送的数据组的第⼀个字节的序号。

在TCP传送的流中，每⼀个字节⼀个序号。

e.g.⼀个报⽂段的序号为300，此报⽂段数据部分共有100字节，则下⼀个报⽂段的序号为400。

所以序号确保了TCP传输的有序性。

确认号，即ACK，指明下⼀个期待收到的字节序号，表明该序号之前的所有数据已经正确⽆误的收到。

确认号只有当ACK标志为1时才有效。

⽐如建⽴连接时，SYN报⽂的ACK标志位为0。

3、数据偏移／⾸部长度：4bits。

由于⾸部可能含有可选项内容，因此TCP报头的长度是不确定的，报头不包含任何任选字段则长度为20字节，4位⾸部长度字段所能表⽰的最⼤值为1111，转化为10进制为15，15*32/8 = 60，故报头最⼤长度为60字节。

⾸部长度也叫数据偏移，是因为⾸部长度实际上指⽰了数据区在报⽂段中的起始偏移值。

4、保留：为将来定义新的⽤途保留，现在⼀般置0。

5、控制位：URG ACK PSH RST SYN FIN，共6个，每⼀个标志位表⽰⼀个控制功能。

1）URG：紧急指针标志，为1时表⽰紧急指针有效，为0则忽略紧急指针。

2）ACK：确认序号标志，为1时表⽰确认号有效，为0表⽰报⽂中不含确认信息，忽略确认号字段。

3）PSH：push标志，为1表⽰是带有push标志的数据，指⽰接收⽅在接收到该报⽂段以后，应尽快将这个报⽂段交给应⽤程序，⽽不是在缓冲区排队。

4）RST：重置连接标志，⽤于重置由于主机崩溃或其他原因⽽出现错误的连接。

TCPIP头部详解在⽹上找了很多有关tcp/ip头部解析的资料，都是类似于下⾯的结构抽象出图⽂是这种结构，但是在底层中数据到底是怎么传输的呢？没有答案，在深⼊学习之后，总结出数据传输的⽅式IP数据包头部格式：上⾯是在数据到达传输层对数据进⾏IP头部封装的数据TCP协议TCP协议是传输协议，为应⽤层提供数据服务，和UDP不同，TCP提供可靠的⾯向连接服务，关于TCP头部数据格式的说明跟IP头部差不多，基本长度为20个字节，基本介绍到此为⽌，详解在⽹上多如⽜⽑，下⾯⽤两台pc建⽴连接为例说明：主机1：IP地址为192.168.1.1主机2: IP地址为216.3.226.21下⾯是TCP/IP传输的数据，下⾯这些为⼗六进制TCP/IP协议的数据，不是完整的⽹络通信数据第⼀次：向web站点发送连接请求192.168.1.246 -> 123.56.106.180IP头部：45 00 00 30 52 52 40 00 80 06 2c 23 c0 a8 01 01 d8 03 e2 15转化成⼆进制：10001001110111111111110111111111111001011111111010100000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 TCP头部：0d 28 00 15 50 5f a9 06 00 00 00 00 70 02 40 00 c0 29 00 00转化成⼆进制：11001111001001111110111111111111000101001111010100000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000来看看IP头部的数据都表⽰什么：第⼀个字节 45：其中'4'代表IP的版本协议，说明是IPV4，'5'标识IP头部长度，是⼀个4bit的字段，最⼤值就是1111了，IP头部最⼤长度为60字节，最⼤值12，⽽这⾥的'5'，说明有20个字节的长度，这是标准的IP头部长度。

TCP标志位详解及tcp拦截配置TCP标志位URG：此标志表示TCP包的紧急指针域（后面马上就要说到）有效，用来保证TCP连接不被中断，并且督促中间层设备要尽快处理这些数据；ACK：此标志表示应答域有效，就是说前面所说的TCP应答号将会包含在TCP数据包中；有两个取值：0和1，为1的时候表示应答域有效，反之为0；PSH：这个标志位表示Push操作。

所谓Push操作就是指在数据包到达接收端以后，立即传送给应用程序，而不是在缓冲区中排队；RST：这个标志表示连接复位请求。

用来复位那些产生错误的连接，也被用来拒绝错误和非法的数据包；SYN：表示同步序号，用来建立连接。

SYN标志位和ACK标志位搭配使用，当连接请求的时候，SYN=1，ACK=0；连接被相应的时候，SYN=1，ACK= 1；这个标志的数据包经常被用来进行端口扫描。

扫描者发送一个只有SYN的数据包，如果对方主机响应了一个数据包回来，就表明这台主机存在这个端口；但是由于这种扫描方式只是进行TCP三次握手的第一次握手，因此这种扫描的成功表示被扫描的机器不很安全，一台安全的主机将会强制要求一个连接严格的进行TCP的三次握手；FIN：表示发送端已经达到数据末尾，也就是说双方的数据传送完成，没有数据可以传送了，发送FIN标志位的TCP数据包后，连接将被断开。

这个标志的数据包也经常被用于进行端口扫描。

当一个FIN标志的TCP数据包发送到一台计算机的特定端口，如果这台计算机响应了这个数据，并且反馈回来一个RST标志的TCP包，就表明这台计算机上没有打开这个端口，但是这台计算机是存在的；如果这台计算机没有反馈回来任何数据包，这就表明，这台被扫描的计算机存在这个端口。

*SYN：同步标志同步序列编号(Synchronize Sequence Numbers)栏有效。

该标志仅在三次握手建立TCP连接时有效。

它提示TCP连接的服务端检查序列编号，该序列编号为TCP连接初始端(一般是客户端)的初始序列编号。

TCP 标志位TCP 标志位URG ：此标志表示TCP 包的紧急指针域（后面马上就要说到）有效，用来保证TCP 连接不被中断，并且督促中间层设备要尽快处理这些数据；ACK ：此标志表示应答域有效，就是说前面所说的TCP 应答号将会包含在TCP 数据包中；有两个取值：0 和1，为1 的时候表示应答域有效，反之为0；PSH ：这个标志位表示Push 操作。

所谓Push 操作就是指在数据包到达接收端以后，立即传送给应用程序，而不是在缓冲区中排队；RST ：这个标志表示连接复位请求。

用来复位那些产生错误的连接，也被用来拒绝错误和非法的数据包；SYN ：表示同步序号，用来建立连接。

SYN 标志位和ACK 标志位搭配使用，当连接请求的时候，SYN=1 ，ACK=0 ；连接被相应的时候，SYN=1 ，ACK= 1 ；这个标志的数据包经常被用来进行端口扫描。

扫描者发送一个只有SYN 的数据包，如果对方主机响应了一个数据包回来，就表明这台主机存在这个端口；但是由于这种扫描方式只是进行TCP 三次握手的第一次握手，因此这种扫描的成功表示被扫描的机器不很安全，一台安全的主机将会强制要求一个连接严格的进行TCP 的三次握手；FIN ：表示发送端已经达到数据末尾，也就是说双方的数据传送完成，没有数据可以传送了，发送FIN 标志位的TCP 数据包后，连接将被断开。

这个标志的数据包也经常被用于进行端口扫描。

当一个FIN 标志的TCP 数据包发送到一台计算机的特定端口，如果这台计算机响应了这个数据，并且反馈回来一个RST 标志的TCP 包，就表明这台计算机上没有打开这个端口，但是这台计算机是存在的；如果这台计算机没有反馈回来任何数据包，这就表明，这台被扫描的计算机存在这个端口。

*SYN ：同步标志同步序列编号(Synchronize Sequence Numbers) 栏有效。

该标志仅在三次握手建立TCP 连接时有效。

它提示TCP 连接的服务端检查序列编号，该序列编号为TCP 连接初始端(一般是客户端)的初始序列编号。

TCP中的RST标志（Reset）详解在谈RST攻击前，必须先了解TCP：如何通过三次握⼿建⽴TCP连接、四次握⼿怎样把全双⼯的连接关闭掉、滑动窗⼝是怎么传输数据的、TCP的flag标志位⾥RST在哪些情况下出现。

下⾯我会画⼀些尽量简化的图来表达清楚上述⼏点，之后再了解下RST攻击是怎么回事。

1、TCP是什么？TCP是在IP⽹络层之上的传输层协议，⽤于提供port到port⾯向连接的可靠的字节流传输。

我来⽤⼟语解释下上⾯的⼏个关键字：port到port：IP层只管数据包从⼀个IP到另⼀个IP的传输，IP层之上的TCP层加上端⼝后，就是⾯向进程了，每个port都可以对应到⽤户进程。

可靠：TCP会负责维护实际上⼦虚乌有的连接概念，包括收包后的确认包、丢包后的重发等来保证可靠性。

由于带宽和不同机器处理能⼒的不同，TCP要能控制流量。

字节流：TCP会把应⽤进程传来的字节流数据切割成许多个数据包，在⽹络上发送。

IP包是会失去顺序或者产⽣重复的，TCP协议要能还原到字节流本来⾯⽬。

从上⾯我⽤PowerPoint画的TCP协议图可以看到，标志位共有六个，其中RST位就在TCP异常时出现，也是我这篇⽂章重点关注的地⽅。

2、通过三次握⼿建⽴连接下⾯我通过A向B建⽴TCP连接来说明三次握⼿怎么完成的。

为了能够说清楚下⾯的RST攻击，需要结合上图说说：SYN标志位、序号、滑动窗⼝⼤⼩。

建⽴连接的请求中，标志位SYN都要置为1，在这种请求中会告知MSS段⼤⼩，就是本机希望接收TCP包的最⼤⼤⼩。

发送的数据TCP包都有⼀个序号。

它是这么得来的：最初发送SYN时，有⼀个初始序号，根据RFC的定义，各个操作系统的实现都是与系统时间相关的。

之后，序号的值会不断的增加，⽐如原来的序号是100，如果这个TCP包的数据有10个字节，那么下次的TCP包序号会变成110。

滑动窗⼝⽤于加速传输，⽐如发了⼀个seq=100的包，理应收到这个包的确认ack=101后再继续发下⼀个包，但有了滑动窗⼝，只要新包的seq与没有得到确认的最⼩seq之差⼩于滑动窗⼝⼤⼩，就可以继续发。

TCP协议的6个标志位6个标志位：URG 紧急指针，告诉接收TCP模块紧要指针域指着紧要数据。

ACK 置1时表示确认号（为合法，为0的时候表示数据段不包含确认信息，确认号被忽略。

PSH 置1时请求的数据段在接收方得到后就可直接送到应用程序，而不必等到缓冲区满时才传送。

RST 置1时重建连接。

如果接收到RST位时候，通常发生了某些错误。

SYN 置1时用来发起一个连接。

FIN 置1时表示发端完成发送任务。

用来释放连接，表明发送方已经没有数据发送了。

其中URG不能和PSH标志位同时使用。

URG为紧急数据标志，如果URG为1，表示本数据包中包含紧急数据。

此时紧急数据指针表示的值有效，它表示在紧急数据之后的第一个字节的偏移值（即紧急数据的总长度）。

ACK为确认标志位。

如果ACK为1，表示数据包中的确认号有效。

PSH位，表示强迫数据传输。

RST标志位用来复位一条连接。

当RST=1时，表示出现严重错误，必须释放连接，然后再重新建立。

SYN标志位用来建立连接，如果SYN=1而ACK=0,表明它是一个连接请求；如果SYN=1且ACK=1，则表示同意建立一个连接。

FIN为1时，表示数据已经发送完毕，希望释放连接。

不合法的标志位组合。

1、所有标志位都为0。

2、SYN和FIN同时被置1。

3、SYN和RST同时被置1。

4、FIN和RST同时被置1。

5、FIN位被置1，但ACK位没有被置1。

6、PSH位被置1，但ACK位没有被置1。

7、URG位被置1，但ACK位没有被置1。

wireshark rst解析TCP重置包（RST）是TCP协议中的一种重要的网络数据包类型，它的作用是终止TCP连接。

Wireshark是一种流行的网络协议分析工具，它可以帮助我们解析TCP重置包，并深入了解其原理和应用。

本文将介绍Wireshark RST解析的相关知识，包括TCP连接的建立和终止过程、RST包的格式、RST包的产生原因和使用场景等。

通过阅读本文，您将对TCP连接和RST包有更深入的理解。

TCP连接的建立和终止过程TCP是一种可靠的面向连接的传输协议，它在传输数据之前需要先建立连接。

TCP连接的建立和终止分别由三步握手和四步挥手完成。

三步握手过程如下：1.客户端向服务器发送SYN包，表示请求建立连接。

2.服务器收到SYN包后，向客户端发送SYN-ACK包，表示允许建立连接。

3.客户端收到SYN-ACK包后，向服务器发送ACK包，表示连接已建立。

四步挥手过程如下：1.客户端向服务器发送FIN包，表示请求关闭连接。

2.服务器收到FIN包后，向客户端发送ACK包，表示已收到关闭请求。

3.服务器处理完毕后，向客户端发送FIN包，表示可以关闭连接。

4.客户端收到FIN包后，向服务器发送ACK包，表示确认关闭连接。

RST包的格式RST包是TCP协议中的一种控制包，用于中断TCP连接。

RST包的格式如下：其中，各字段含义如下：Source Port和Destination Port：源端口和目的端口，用于标识TCP连接。

Sequence Number和Acknowledgment Number：序列号和确认号，用于标识TCP数据流的顺序和完整性。

Data Offset：数据偏移，用于标识TCP头部长度，以4字节为单位。

Flags：标志位，包括URG、ACK、PSH、RST、SYN、FIN六个标志位。

Window：窗口大小，用于控制发送方数据量。

6个标志位‎：U‎R G 紧急‎指针，告诉‎接收TCP‎模块紧要指‎针域指着紧‎要数据。

‎ACK ‎置1时表示‎确认号（为‎合法，为0‎的时候表示‎数据段不包‎含确认信息‎，确认号被‎忽略。

‎PSH ‎置1时请求‎的数据段在‎接收方得到‎后就可直接‎送到应用程‎序，而不必‎等到缓冲区‎满时才传送‎。

R‎S T 置1‎时重建连接‎。

如果接收‎到RST位‎时候，通常‎发生了某些‎错误。

‎SYN ‎置1时用来‎发起一个连‎接。

‎F IN 置‎1时表示发‎端完成发送‎任务。

用来‎释放连接，‎表明发送方‎已经没有数‎据发送了。

‎‎其中‎U RG不能‎和PSH标‎志位同时使‎用。

U‎R G为紧急‎数据标志，‎如果URG‎为1，表示‎本数据包中‎包含紧急数‎据。

此时紧‎急数据指针‎表示的值有‎效，它表示‎在紧急数据‎之后的第一‎个字节的偏‎移值（即紧‎急数据的总‎长度）。

‎ACK为‎确认标志位‎。

如果AC‎K为1，表‎示数据包中‎的确认号有‎效。

P‎S H位，表‎示强迫数据‎传输。

‎R ST标志‎位用来复位‎一条连接。

‎当RST=‎1时，表示‎出现严重错‎误，必须释‎放连接，然‎后再重新建‎立。

S‎Y N标志位‎用来建立连‎接，如果S‎Y N=1而‎A CK=0‎,表明它是‎一个连接请‎求；如果S‎Y N=1且‎A CK=1‎，则表示同‎意建立一个‎连接。

‎F IN为1‎时，表示数‎据已经发送‎完毕，希望‎释放连接。

‎‎不合‎法的标志位‎组合。

‎1、所有标‎志位都为0‎。

2、‎S YN和F‎I N同时被‎置1。

‎3、SYN‎和RST同‎时被置1。

‎4、F‎I N和RS‎T同时被置‎1。

5‎、FIN位‎被置1，但‎A CK位没‎有被置1。

‎6、P‎S H位被置‎1，但AC‎K位没有被‎置1。

‎7、URG‎位被置1，‎但ACK位‎没有被置1‎。

‎‎。

TCP系列01—概述及协议头格式⼀、TCP简单介绍我们经常听⼈说TCP是⼀个⾯向连接的(connection-oriented)、可靠的(reliable)、字节流式(byte stream)传输协议， TCP的这三个特性该怎么理解呢？⾯向连接：在应⽤TCP协议进⾏通信之前双⽅通常需要通过三次握⼿来建⽴TCP连接，连接建⽴后才能进⾏正常的数据传输，因此⼴播和多播不会承载在TCP协议上。

(⾕歌提交了⼀个RFC⽂档，建议在TCP三次握⼿的过程允许SYN数据包中带数据，即 TFO(TCP Fast Open)，⽬前ubuntu14.04已经⽀持该TFO功能)。

但是同时⾯向连接的特性给TCP带来了复杂的连接管理以及⽤于检测连接状态的存活检测机制。

可靠性：由于TCP处于多跳通信的IP层之上，⽽IP层并不提供可靠的传输，因此在TCP层看来就有四种常见传输错误问题，分别是⽐特错误(packet bit errors)、包乱序(packet reordering)、包重复(packet duplication)、丢包(packet erasure或称为packet drops)，TCP要提供可靠的传输，就需要有额外的机制处理这⼏种错误。

因此个⼈理解可靠性体现在三个⽅⾯，⾸先TCP通过超时重传和快速重传两个常见⼿段来保证数据包的正确传输，也就是说接收端在没有收到数据包或者收到错误的数据包的时候会触发发送端的数据包重传(处理⽐特错误和丢包)。

其次TCP接收端会缓存接收到的乱序到达数据，重排序后在向应⽤层提供有序的数据(处理包乱序)。

最后TCP发送端会维持⼀个发送"窗⼝"动态的调整发送速率以适⽤接收端缓存限制和⽹络拥塞情况，避免了⽹络拥塞或者接收端缓存满⽽⼤量丢包的问题(降低丢包率)。

因此可靠性需要TCP协议具有超时与重传管理、窗⼝管理、流量控制、拥塞控制等功能。

另外TFO下TCP有可能向应⽤层提供重复的数据，也就是不可靠传输，但是只会发⽣在连接建⽴阶段，我们后续会进⾏介绍。