不知道大家在面试时候是否会遇到tcp方面相关的面试题，比如几个相关的内核调优，SYN_FLood攻击的原理和防御，time_wait不回收对系统有什么影响，等等还是很多的，前几天有人问到，今天刚好细细学习一下：

    一个正常的TCP连接，都会有三个阶段:1、TCP三次握手;2、数据传送;3、TCP四次挥手：（如下）

   

TCP三次握手(创建 OPEN)

    客户端发起一个和服务创建TCP链接的请求，这里是SYN(J)
    服务端接受到客户端的创建请求后，返回两个信息： SYN(K) + ACK(J+1)
    客户端在接受到服务端的ACK信息校验成功后(J与J+1)，返回一个信息：ACK(K+1)
    服务端这时接受到客户端的ACK信息校验成功后(K与K+1)，不再返回信息，后面进入数据通讯阶段

数据通讯

    客户端/服务端 read/write数据包

TCP四次握手(关闭 finish)

    客户端发起关闭请求，发送一个信息：FIN(M)
    服务端接受到信息后，首先返回ACK(M+1),表明自己已经收到消息。
    服务端在准备好关闭之前，最后发送给客户端一个 FIN(N)消息，询问客户端是否准备好关闭了
    客户端接受到服务端发送的消息后，返回一个确认信息: ACK(N+1)
    最后，服务端和客户端在双方都得到确认时，各自关闭或者回收对应的TCP链接。

状态说明：

   SYN_SEND
        客户端尝试链接服务端，通过open方法。也就是TCP三次握手中的第1步之后,注意是客户端状态
        sysctl -w net.ipv4.tcp_syn_retries = 2 ,做为客户端可以设置SYN包的重试次数，默认5次(大约180s)

    SYN_RECEIVED
        服务接受创建请求的SYN后，也就是TCP三次握手中的第2步，发送ACK数据包之前
        注意是服务端状态,一般15个左右正常，如果很大，怀疑遭受SYN_FLOOD攻击
        sysctl -w net.ipv4.tcp_max_syn_backlog=200000 , 设置该状态的等待队列数，默认1024，调大后可适当防止syn-flood，根据内存大小来定
        sysctl -w net.ipv4.tcp_syncookies=1 ,　打开syncookie，在syn backlog队列不足的时候，提供一种机制临时将syn链接换出
        sysctl -w net.ipv4.tcp_synack_retries = 2 ,做为服务端返回ACK包的重试次数，默认5次(大约180s)，要是遇到网络SYN_RECV比较多时临时设置成0也是一个不错的选择，攻击过后改回来。
    ESTABLISHED
        客户端接受到服务端的ACK包后的状态，服务端在发出ACK在一定时间后即为ESTABLISHED
        sysctl -w net.ipv4.tcp_keepalive_time = 1200 ，默认为7200秒(2小时)，系统针对空闲链接会进行心跳检查，如果超过net.ipv4.tcp_keepalive_probes * net.ipv4.tcp_keepalive_intvl = 默认11分，终止对应的tcp链接，可适当调整心跳检查频率

     FIN_WAIT1
        主动关闭的一方，在发出FIN请求之后，也就是在TCP四次握手的第1步
    CLOSE_WAIT
        被动关闭的一方，在接受到客户端的FIN后，也就是在TCP四次握手的第2步
    FIN_WAIT2
        主动关闭的一方，在接受到被动关闭一方的ACK后，也就是TCP四次握手的第2步
        sysctl -w net.ipv4.tcp_fin_timeout=30, 可以设定被动关闭方返回FIN后的超时时间，有效回收链接，避免syn-flood.
    LASK_ACK
        被动关闭的一方，在发送ACK后一段时间后(确保客户端已收到)，再发起一个FIN请求。也就是TCP四次握手的第3步
    TIME_WAIT
        主动关闭的一方，在收到被动关闭的FIN包后，发送ACK。也就是TCP四次握手的第4步
        sysctl -w net.ipv4.tcp_tw_recycle = 1 , 打开快速回收TIME_WAIT，Enabling this option is not recommended since this causes problems when working with NAT (Network Address Translation)
        sysctl -w net.ipv4.tcp_tw_reuse =1, 快速回收并重用TIME_WAIT的链接, 貌似和tw_recycle有冲突，不能重用就回收?
        net.ipv4.tcp_max_tw_buckets: 处于time_wait状态的最多链接数，默认为180000.

遇到syn_FLOOD攻击：

本文转自 小罗ge11 51CTO博客，原文链接：http://blog.51cto.com/xiaoluoge/1774233，如需转载请自行联系原作者