面試時看到應(yīng)聘者簡歷中寫精通網(wǎng)絡(luò),，TCP編程,，我常問一個問題，TCP建立連接需要幾次握手,？95%以上的應(yīng)聘者都能答對是3次,。問TCP斷開連接需要幾次握手，70%的應(yīng)聘者能答對是4次通訊,。再問CLOSE_WAIT,，TIME_WAIT是什么狀態(tài)，怎么產(chǎn)生的，對服務(wù)有什么影響,，如何消除,？有一部分同學(xué)就回答不上來。不是我扣細(xì)節(jié),，而是在通訊為主的前端服務(wù)器上,，必須有能力處理各種TCP狀態(tài)。比如統(tǒng)計(jì)在本廠的一臺前端機(jī)上高峰時間TCP連接的情況,，統(tǒng)計(jì)命令：

Linux shell代碼  

1. netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'  

結(jié)果：

除了ESTABLISHED,，可以看到連接數(shù)比較多的幾個狀態(tài)是：FIN_WAIT1, TIME_WAIT, CLOSE_WAIT, SYN_RECV和LAST_ACK；下面的文章就這幾個狀態(tài)的產(chǎn)生條件,、對系統(tǒng)的影響以及處理方式進(jìn)行簡單描述,。

TCP狀態(tài)

TCP狀態(tài)如下圖所示：

可能有點(diǎn)眼花繚亂？再看看這個時序圖

下面看下大家一般比較關(guān)心的三種TCP狀態(tài)

SYN_RECV 

服務(wù)端收到建立連接的SYN沒有收到ACK包的時候處在SYN_RECV狀態(tài),。有兩個相關(guān)系統(tǒng)配置：

1,，net.ipv4.tcp_synack_retries ：INTEGER

默認(rèn)值是5

對于遠(yuǎn)端的連接請求SYN，內(nèi)核會發(fā)送SYN ＋ ACK數(shù)據(jù)報,，以確認(rèn)收到上一個 SYN連接請求包,。這是所謂的三次握手( threeway handshake)機(jī)制的第二個步驟。這里決定內(nèi)核在放棄連接之前所送出的 SYN+ACK 數(shù)目,。不應(yīng)該大于255,，默認(rèn)值是5，對應(yīng)于180秒左右時間,。通常我們不對這個值進(jìn)行修改,，因?yàn)槲覀兿Ｍ鸗CP連接不要因?yàn)榕紶柕膩G包而無法建立。

2,，net.ipv4.tcp_syncookies

一般服務(wù)器都會設(shè)置net.ipv4.tcp_syncookies=1來防止SYN Flood攻擊,。假設(shè)一個用戶向服務(wù)器發(fā)送了SYN報文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報文后是無法收到客戶端的ACK報文的（第三次握手無法完成）,，這種情況下服務(wù)器端一般會重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時間后丟棄這個未完成的連接,，這段時間的長度我們稱為SYN Timeout，一般來說這個時間是分鐘的數(shù)量級（大約為30秒-2分鐘）,。

這些處在SYNC_RECV的TCP連接稱為半連接,，并存儲在內(nèi)核的半連接隊(duì)列中，在內(nèi)核收到對端發(fā)送的ack包時會查找半連接隊(duì)列,，并將符合的requst_sock信息存儲到完成三次握手的連接的隊(duì)列中,，然后刪除此半連接。大量SYNC_RECV的TCP連接會導(dǎo)致半連接隊(duì)列溢出,，這樣后續(xù)的連接建立請求會被內(nèi)核直接丟棄,，這就是SYN Flood攻擊,。

能夠有效防范SYN Flood攻擊的手段之一，就是SYN Cookie,。SYN Cookie原理由D. J. Bernstain和 Eric Schenk發(fā)明,。SYN Cookie是對TCP服務(wù)器端的三次握手協(xié)議作一些修改，專門用來防范SYN Flood攻擊的一種手段,。它的原理是,，在TCP服務(wù)器收到TCP SYN包并返回TCP SYN+ACK包時，不分配一個專門的數(shù)據(jù)區(qū),，而是根據(jù)這個SYN包計(jì)算出一個cookie值。在收到TCP ACK包時,，TCP服務(wù)器在根據(jù)那個cookie值檢查這個TCP ACK包的合法性,。如果合法，再分配專門的數(shù)據(jù)區(qū)進(jìn)行處理未來的TCP連接,。