上圖對排除和定位網(wǎng)絡(luò)或系統(tǒng)故障時大有幫助，但是怎樣牢牢地將這張圖刻在腦中呢,？那么你就一定要對這張圖的每一個狀態(tài),，及轉(zhuǎn)換的過程有深刻地認(rèn)識，不能只停留在一知半解之中,。下面對這張圖的11種狀態(tài)詳細(xì)解釋一下,，以便加強記憶！不過在這之前,，先回顧一下TCP建立連接的三次握手過程,，以及關(guān)閉連接的四次握手過程。

1,、建立連接協(xié)議（三次握手）
（1）客戶端發(fā)送一個帶SYN標(biāo)志的TCP報文到服務(wù)器,。這是三次握手過程中的報文1。

（2） 服務(wù)器端回應(yīng)客戶端的,，這是三次握手中的第2個報文,，這個報文同時帶ACK標(biāo)志和SYN標(biāo)志。因此它表示對剛才客戶端SYN報文的回應(yīng),；同時又標(biāo)志SYN給客戶端,，詢問客戶端是否準(zhǔn)備好進(jìn)行數(shù)據(jù)通訊。

（3） 客戶必須再次回應(yīng)服務(wù)段一個ACK報文,，這是報文段3,。

2、連接終止協(xié)議（四次握手）
由于TCP連接是全雙工的,，因此每個方向都必須單獨進(jìn)行關(guān)閉,。這原則是當(dāng)一方完成它的數(shù)據(jù)發(fā)送任務(wù)后就能發(fā)送一個FIN來終止這個方向的連接。收到一個 FIN只意味著這一方向上沒有數(shù)據(jù)流動,，一個TCP連接在收到一個FIN后仍能發(fā)送數(shù)據(jù),。首先進(jìn)行關(guān)閉的一方將執(zhí)行主動關(guān)閉，而另一方執(zhí)行被動關(guān)閉,。

（1） TCP客戶端發(fā)送一個FIN,，用來關(guān)閉客戶到服務(wù)器的數(shù)據(jù)傳送（報文段4）,。
（2） 服務(wù)器收到這個FIN，它發(fā)回一個ACK,，確認(rèn)序號為收到的序號加1（報文段5）,。和SYN一樣，一個FIN將占用一個序號,。
（3） 服務(wù)器關(guān)閉客戶端的連接,，發(fā)送一個FIN給客戶端（報文段6）。
（4） 客戶段發(fā)回ACK報文確認(rèn),，并將確認(rèn)序號設(shè)置為收到序號加1（報文段7）,。

CLOSED: 這個沒什么好說的了，表示初始狀態(tài),。

LISTEN: 這個也是非常容易理解的一個狀態(tài),，表示服務(wù)器端的某個SOCKET處于監(jiān)聽狀態(tài)，可以接受連接了,。

SYN_RCVD: 這個狀態(tài)表示接受到了SYN報文,，在正常情況下，這個狀態(tài)是服務(wù)器端的SOCKET在建立TCP連接時的三次握手會話過程中的一個中間狀態(tài),，很短暫,，基本上用netstat你是很難看到這種狀態(tài)的，除非你特意寫了一個客戶端測試程序,，故意將三次TCP握手過程中最后一個ACK報文不予發(fā)送,。因此這種狀態(tài)時，當(dāng)收到客戶端的ACK報文后,，它會進(jìn)入到ESTABLISHED狀態(tài),。

SYN_SENT: 這個狀態(tài)與SYN_RCVD遙想呼應(yīng)，當(dāng)客戶端SOCKET執(zhí)行CONNECT連接時,，它首先發(fā)送SYN報文,，因此也隨即它會進(jìn)入到了SYN_SENT狀態(tài)，并等待服務(wù)端的發(fā)送三次握手中的第2個報文,。SYN_SENT狀態(tài)表示客戶端已發(fā)送SYN報文,。

ESTABLISHED：這個容易理解了，表示連接已經(jīng)建立了,。

FIN_WAIT_1: 這個狀態(tài)要好好解釋一下,，其實FIN_WAIT_1和FIN_WAIT_2狀態(tài)的真正含義都是表示等待對方的FIN報文。而這兩種狀態(tài)的區(qū)別是：FIN_WAIT_1狀態(tài)實際上是當(dāng)SOCKET在ESTABLISHED狀態(tài)時,，它想主動關(guān)閉連接,，向?qū)Ψ桨l(fā)送了FIN報文，此時該SOCKET即進(jìn)入到FIN_WAIT_1狀態(tài)。而當(dāng)對方回應(yīng)ACK報文后,，則進(jìn)入到FIN_WAIT_2狀態(tài),，當(dāng)然在實際的正常情況下，無論對方何種情況下,，都應(yīng)該馬上回應(yīng)ACK報文,，所以FIN_WAIT_1狀態(tài)一般是比較難見到的，而FIN_WAIT_2狀態(tài)還有時常?？梢杂胣etstat看到,。

FIN_WAIT_2：上面已經(jīng)詳細(xì)解釋了這種狀態(tài)，實際上FIN_WAIT_2狀態(tài)下的SOCKET,，表示半連接,，也即有一方要求close連接，但另外還告訴對方,，我暫時還有點數(shù)據(jù)需要傳送給你，稍后再關(guān)閉連接,。

TIME_WAIT: 表示收到了對方的FIN報文,，并發(fā)送出了ACK報文，就等2MSL后即可回到CLOSED可用狀態(tài)了,。如果FIN_WAIT_1狀態(tài)下,，收到了對方同時帶FIN標(biāo)志和ACK標(biāo)志的報文時，可以直接進(jìn)入到TIME_WAIT狀態(tài),，而無須經(jīng)過FIN_WAIT_2狀態(tài),。

注:MSL(最大分段生存期)指明TCP報文在Internet上最長生存時間,每個具體的TCP實現(xiàn)都必須選擇一個確定的MSL值.RFC 1122建議是2分鐘,但BSD傳統(tǒng)實現(xiàn)采用了30秒.TIME_WAIT 狀態(tài)最大保持時間是2 * MSL,也就是1-4分鐘.

CLOSING: 這種狀態(tài)比較特殊，實際情況中應(yīng)該是很少見,，屬于一種比較罕見的例外狀態(tài),。正常情況下，當(dāng)你發(fā)送FIN報文后,，按理來說是應(yīng)該先收到（或同時收到）對方的ACK報文,，再收到對方的FIN報文。但是CLOSING狀態(tài)表示你發(fā)送FIN報文后,，并沒有收到對方的ACK報文,，反而卻也收到了對方的FIN報文。什么情況下會出現(xiàn)此種情況呢,？其實細(xì)想一下,，也不難得出結(jié)論：那就是如果雙方幾乎在同時close一個SOCKET的話，那么就出現(xiàn)了雙方同時發(fā)送FIN報文的情況,，也即會出現(xiàn)CLOSING狀態(tài),，表示雙方都正在關(guān)閉SOCKET連接。

CLOSE_WAIT: 這種狀態(tài)的含義其實是表示在等待關(guān)閉。怎么理解呢,？當(dāng)對方close一個SOCKET后發(fā)送FIN報文給自己,，你系統(tǒng)毫無疑問地會回應(yīng)一個ACK報文給對方，此時則進(jìn)入到CLOSE_WAIT狀態(tài),。接下來呢,，實際上你真正需要考慮的事情是察看你是否還有數(shù)據(jù)發(fā)送給對方，如果沒有的話,，那么你也就可以close這個SOCKET,，發(fā)送FIN報文給對方，也即關(guān)閉連接,。所以你在CLOSE_WAIT狀態(tài)下,，需要完成的事情是等待你去關(guān)閉連接。

LAST_ACK: 這個狀態(tài)還是比較容易好理解的,，它是被動關(guān)閉一方在發(fā)送FIN報文后,，最后等待對方的ACK報文。當(dāng)收到ACK報文后,，也即可以進(jìn)入到CLOSED可用狀態(tài)了,。

最后有2個問題的回答，我自己分析后的結(jié)論（不一定保證100%正確）

1,、 為什么建立連接協(xié)議是三次握手,，而關(guān)閉連接卻是四次握手呢？

這是因為服務(wù)端的LISTEN狀態(tài)下的SOCKET當(dāng)收到SYN報文的建連請求后,，它可以把ACK和SYN（ACK起應(yīng)答作用,，而SYN起同步作用）放在一個報文里來發(fā)送。但關(guān)閉連接時,，當(dāng)收到對方的FIN報文通知時,，它僅僅表示對方?jīng)]有數(shù)據(jù)發(fā)送給你了；但未必你所有的數(shù)據(jù)都全部發(fā)送給對方了,，所以你可以未必會馬上會關(guān)閉SOCKET,也即你可能還需要發(fā)送一些數(shù)據(jù)給對方之后,，再發(fā)送FIN報文給對方來表示你同意現(xiàn)在可以關(guān)閉連接了，所以它這里的ACK報文和FIN報文多數(shù)情況下都是分開發(fā)送的,。

2,、 為什么TIME_WAIT狀態(tài)還需要等2MSL后才能返回到CLOSED狀態(tài)？

這是因為：雖然雙方都同意關(guān)閉連接了,，而且握手的4個報文也都協(xié)調(diào)和發(fā)送完畢,，按理可以直接回到CLOSED狀態(tài)（就好比從SYN_SEND狀態(tài)到ESTABLISH狀態(tài)那樣）；但是因為我們必須要假想網(wǎng)絡(luò)是不可靠的,，你無法保證你最后發(fā)送的ACK報文會一定被對方收到,，因此對方處于LAST_ACK狀態(tài)下的SOCKET可能會因為超時未收到ACK報文，而重發(fā)FIN報文，所以這個TIME_WAIT狀態(tài)的作用就是用來重發(fā)可能丟失的ACK報文,，并保證于此,。

查看當(dāng)前系統(tǒng)下所有連接狀態(tài)的數(shù)：

[root@vps ~]#netstat -n|awk '/^tcp/{++S[$NF]}END{for (key in S) print key,S[key]}'
TIME_WAIT 286
FIN_WAIT1 5
FIN_WAIT2 6
ESTABLISHED 269
SYN_RECV 5
CLOSING 1

如發(fā)現(xiàn)系統(tǒng)存在大量TIME_WAIT狀態(tài)的連接，通過調(diào)整內(nèi)核參數(shù)解決：
編輯文件/etc/sysctl.conf,，加入以下內(nèi)容：

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 30

然后執(zhí)行 /sbin/sysctl -p 讓參數(shù)生效,。

net.ipv4.tcp_syncookies = 1 表示開啟SYN Cookies。當(dāng)出現(xiàn)SYN等待隊列溢出時,，啟用cookies來處理,，可防范少量SYN攻擊，默認(rèn)為0,，表示關(guān)閉,；
net.ipv4.tcp_tw_reuse = 1 表示開啟重用。允許將TIME-WAIT sockets重新用于新的TCP連接,，默認(rèn)為0,，表示關(guān)閉；
net.ipv4.tcp_tw_recycle = 1 表示開啟TCP連接中TIME-WAIT sockets的快速回收,，默認(rèn)為0,，表示關(guān)閉。
net.ipv4.tcp_fin_timeout 修改系默認(rèn)的 TIMEOUT 時間

其它參數(shù)說明：
net.ipv4.tcp_syncookies = 1 表示開啟SYN Cookies,。當(dāng)出現(xiàn)SYN等待隊列溢出時，啟用cookies來處理,，可防范少量SYN攻擊,，默認(rèn)為0，表示關(guān)閉,；
net.ipv4.tcp_tw_reuse = 1 表示開啟重用,。允許將TIME-WAIT sockets重新用于新的TCP連接，默認(rèn)為0,，表示關(guān)閉,；
net.ipv4.tcp_tw_recycle = 1 表示開啟TCP連接中TIME-WAIT sockets的快速回收，默認(rèn)為0,，表示關(guān)閉,。
net.ipv4.tcp_fin_timeout = 30 表示如果套接字由本端要求關(guān)閉，這個參數(shù)決定了它保持在FIN-WAIT-2狀態(tài)的時間,。
net.ipv4.tcp_keepalive_time = 1200 表示當(dāng)keepalive起用的時候,，TCP發(fā)送keepalive消息的頻度。缺省是2小時,，改為20分鐘,。
net.ipv4.ip_local_port_range = 1024 65000 表示用于向外連接的端口范圍。缺省情況下很小：32768到61000,，改為1024到65000,。
net.ipv4.tcp_max_syn_backlog = 8192 表示SYN隊列的長度，默認(rèn)為1024,，加大隊列長度為8192,，可以容納更多等待連接的網(wǎng)絡(luò)連接數(shù)。
net.ipv4.tcp_max_tw_buckets = 5000 表示系統(tǒng)同時保持TIME_WAIT套接字的最大數(shù)量,，如果超過這個數(shù)字,，TIME_WAIT套接字將立刻被清除并打印警告信息。
默 認(rèn)為180000,，改為5000,。對于Apache、Nginx等服務(wù)器,，上幾行的參數(shù)可以很好地減少TIME_WAIT套接字?jǐn)?shù)量,，但是對于Squid，效果卻不大,。此項參數(shù)可以控制TIME_WAIT套接字的最大數(shù)量,，避免Squid服務(wù)器被大量的TIME_WAIT套接字拖死。

注:
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1

設(shè)置這兩個參數(shù)： reuse是表示是否允許重新應(yīng)用處于TIME-WAIT狀態(tài)的socket用于新的TCP連接,； recyse是加速TIME-WAIT sockets回收