mobile wallpaper 1mobile wallpaper 2mobile wallpaper 3mobile wallpaper 4
Profile Image of the Author
Souloss
公告
欢迎来到我的博客!这是一条示例公告
标签
1904 字
5 分钟
为什么 TCP 建立连接需要三次握手
2023-01-08
技术科普
TCP/IP
/
技术科普
/
底层原理

TCP(Transmission Control Protocol)是互联网中最核心的传输层协议之一,它提供了可靠的、面向连接的字节流服务。在 TCP 通信开始之前,通信双方需要通过「三次握手」建立连接。这个看似简单的过程,背后隐藏着精妙的设计考量。

一、TCP 连接的建立过程#

1.1 三次握手的完整流程#

sequenceDiagram participant C as 客户端 participant S as 服务端 C->>S: SYN seq=x S->>C: SYN ACK seq=y, ack=x+1 C->>S: ACK seq=x+1, ack=y+1 Note over C,S: 连接建立完成

三次握手的过程:

  1. 第一次握手(SYN):客户端发送一个 SYN 包(同步序列号),请求建立连接
  2. 第二次握手(SYN + ACK):服务端收到 SYN 后,返回 SYN+ACK 包,表示同意建立连接
  3. 第三次握手(ACK):客户端再发送一个 ACK 包,确认收到服务端的确认

1.2 抓包验证#

使用 Wireshark 或 tcpdump 可以观察到实际的三次握手过程:

# 使用 tcpdump 抓取 TCP 握手包
tcpdump -i eth0 'tcp[tcpflags] & (tcp-syn|tcp-ack|tcp-fin) != 0'


# 观察到的三次握手
# 1. Client -> Server: SYN Seq=0
# 2. Server -> Client: SYN ACK Seq=0 Ack=1
# 3. Client -> Server: ACK Seq=1 Ack=1

二、为什么不能两次握手?#

这是理解 TCP 设计的核心问题。直觉上,似乎确认和应答机制用两次就够了,为什么要画蛇添足地多一次?

2.1 两次握手无法保证可靠性#

分析一个具体场景:

sequenceDiagram participant C as 客户端 participant S as 服务端 Note over C,S: 场景:旧数据包延迟到达 C->>S: SYN seq=1000 (请求连接) S->>C: SYN ACK seq=2000, ack=1001 (同意连接) Note over C,S: 连接建立,发送数据 S->>C: 数据 (来自旧的延迟 SYN 请求) C->>S: ??? (困惑:这个数据是谁发的?)

问题的本质:TCP 是全双工通信,两次握手只能让一端确认另一端的存在,但无法让双方互相确认对方都「能够正常收发」。

2.2 历史请求的困扰#

考虑这个场景:

  1. 客户端发送了一个 SYN 请求(seq=100),这个包在网络中迷路了
  2. 客户端超时重传了新的 SYN 请求(seq=200)
  3. 旧的 SYN(seq=100)最终到达服务端
  4. 如果只有两次握手,服务端会认为这是一个有效的连接请求并建立连接
  5. 而客户端并不知道这个「幽灵连接」的存在
sequenceDiagram participant C as 客户端 participant S as 服务端 Note over C,S: 场景:SYN 延迟到达 rect rgb(255, 230, 230) C->>S: SYN seq=100 (迷路) end C->>S: SYN seq=200 (重传) S->>C: SYN ACK seq=?, ack=201 Note over C,S: 客户端认为连接已建立,发送数据 S->>C: 数据 rect rgb(230, 255, 230) Note over S: 旧 SYN 到达,服务端错误建立连接 end

2.3 两次握手无法同步初始序列号#

TCP 的可靠传输依赖于序列号(Sequence Number)。每个字节的数据都有一个序列号,用于:

  • 可靠性:检测丢失的数据包
  • 有序性:保证数据按顺序到达
  • 双工通信:全双工意味着双方都要有序列号

三次握手中的第二次握手,服务端要将自己的初始序列号(Initial Sequence Number,ISN 告知客户端。第三次握手时,客户端也要将自己的 ISN 告知服务端。只有这样,双方才能正确地:

  1. 对发送的数据进行编号
  2. 对接收的数据进行确认
  3. 处理乱序到达的数据包

三、为什么不需要四次握手?#

既然三次握手都各有其道理,为什么不是四次、五次?能否更少?

3.1 四次握手是否必要?#

sequenceDiagram participant C as 客户端 participant S as 服务端 C->>S: SYN seq=x S->>C: ACK ack=x+1 S->>S: (服务端处理) S->>C: SYN seq=y C->>S: ACK ack=y+1 Note over C,S: 需要 4 次交互

四次握手在理论上是可行的,但效率低下。关键在于:服务端的 SYNACK 可以合并成一次传输。

3.2 合并的艺术#

在 TCP 的状态转换中,服务端收到客户端的 SYN 后,可以立即发送 SYN+ACK(其中 ACK 是对客户端 SYN 的确认,SYN 是服务端自己的初始化序列号)。这两次信息可以同时发送,因此两次交互变成了三次。

flowchart LR subgraph 两次握手的问题 A[客户端发送 SYN] --> B[服务端发送 ACK] B --> C[服务端发送 SYN] C --> D[客户端发送 ACK] end subgraph 三次握手的优化 E[客户端发送 SYN] --> F[服务端发送 SYN+ACK] F --> G[客户端发送 ACK] end

核心洞察:服务端对客户端 SYN 的「确认」和 服务端自己的「SYN」在时间上紧密相关,合并发送是自然的优化。

四、三次握手的深层设计哲学#

4.1 最小化连接建立时间#

网络通信中,延迟是敌人。三次握手是最小化的、能够建立可靠全双工连接的交互次数:

  • 一次交互:只能单向通信(类似 UDP)
  • 两次交互:无法同步双方的序列号
  • 三次交互:刚好满足所有需求
  • 四次及以上:浪费,不需要
flowchart TD A[需要什么?] --> B{能否单向?} B -->|否| C{需要同步双方序列号?} B -->|是| D[一次握手] C -->|否| E[两次握手] C -->|是| F{能否合并?} F -->|ACK+SYN| G[三次握手] F -->|不能合并| H[四次握手]

4.2 状态机的精妙设计#

TCP 的连接管理通过状态机来实现:

flowchart LR subgraph 客户端状态 C1[CLOSED] --> C2[SYN_SENT] C2 --> C3[ESTABLISHED] end subgraph 服务端状态 S1[CLOSED] --> S2[LISTEN] S2 --> S3[SYN_RCVD] S3 --> S4[ESTABLISHED] end C1 --"主动打开"--> S2 C2 --"收到 SYN"--> S3 S3 --"收到 ACK"--> C3

三次握手完美对应了状态机的转换:

  1. 客户端发送 SYN → 客户端进入 SYN_SENT,服务端进入 SYN_RCVD
  2. 服务端发送 SYN+ACK → 双方都看到了对方的「我准备好了」
  3. 客户端发送 ACK → 双方都确认了对方知道自己准备好了

4.3 防御性的设计#

TCP 的设计考虑到了网络的不可靠性:

设计要素作用
序列号随机化防止攻击者猜测序列号
超时重传处理丢包
最大报文段寿命(MSS)防止迷途数据包永久存活
3-way handshake确保双方都能收发

五、半关闭与四次挥手#

既然提到了三次握手,就不得不提 TCP 连接的关闭——四次挥手(Four-way Wave)。

5.1 为什么关闭需要四次?#

sequenceDiagram participant C as 客户端 participant S as 服务端 C->>S: FIN seq=u S->>C: ACK ack=u+1 Note over S: 客户端已无数据发送<br>但服务端可能还有数据要发 S->>C: FIN seq=v C->>S: ACK ack=v+1 Note over C,S: 连接关闭

关闭连接时,需要确保双方都没有数据要发送了。TCP 是全双工的,每个方向都必须单独关闭:

  • 客户端发送 FIN,表示「我这边不会发送新数据了」
  • 服务端收到 FIN,回复 ACK,表示「我收到了」
  • 但此时服务端可能还有数据要发送给客户端,所以不能同时发送自己的 FIN
  • 服务端发送完数据后,才发送自己的 FIN
  • 客户端收到后回复 ACK

5.2 半关闭状态#

TCP 允许连接的一端在接收完数据后单独关闭发送功能,这称为「半关闭」:

flowchart LR A[全双工] -->|close write| B[半双工] B -->|close read| C[完全关闭]

使用 shutdown() 函数可以实现半关闭,而 close() 会同时关闭读和写。

六、性能与安全的权衡#

6.1 SYN Flood 攻击#

三次握手设计的一个副作用是:服务端在收到客户端的 SYN 后,会分配资源并进入 SYN_RCVD 状态,等待客户端的 ACK。

攻击者发送大量 SYN 包但不完成握手,就会耗尽服务端的连接资源:

# SYN Flood 示意
for i in $(seq 1 100000); do
    curl -S http://target.com &
done

防御手段包括:

  • SYN Cookie:不存储半开连接,而是将信息编码在序列号中
  • SYN Proxy:使用代理来验证 SYN 的真实性
  • 减少 SYN_RCVD 超时时间

6.2 快速打开(TCP Fast Open)#

为了减少连接建立的开销,TCP Fast Open(TFO)允许在第一次握手时就交换数据:

sequenceDiagram participant C as 客户端 participant S as 服务端 C->>S: SYN + Cookie + HTTP请求 S->>C: SYN ACK + 响应数据 Note over C,S: 数据交换在第一次交互完成

但这需要在之前已经建立过连接并获得过 Cookie,安全性需要仔细考虑。

七、总结#

TCP 三次握手的设计完美地平衡了多个目标:

目标三次握手如何实现
可靠性通过序列号确认数据接收
全双工双方都能发送和接收
效率最小化交互次数
灵活性支持半关闭等高级特性
安全性序列号随机化防御攻击

理解三次握手的设计原理,不仅有助于网络编程,更是理解分布式系统可靠性的起点。在设计高并发系统时,这些原理依然有重要的指导意义。

参考引用#

支持与分享

如果这篇文章对你有帮助,欢迎支持作者或分享给更多人

赞助
为什么 TCP 建立连接需要三次握手
https://blog.souloss.com/posts/why-the-design/why-tcp-needs-three-way-handshake/
作者
Souloss
发布于
2023-01-08
许可协议
CC BY-NC-SA 4.0

部分信息可能已经过时

为什么使用通信来共享内存
Go 可执行文件深度解析:ELF 结构与 runtime 嵌入
相关文章 智能推荐
1
为什么 TCP 协议有性能问题
技术科普 深入解析 TCP 协议的性能瓶颈——队头阻塞、连接创建开销、拥塞控制等设计考量。
2
为什么 TCP 协议有 TIME_WAIT 状态
技术科普 深入解析 TCP TIME_WAIT 状态的成因、作用和优化策略,理解连接关闭的复杂性。
3
为什么 TCP 协议有粘包问题
技术科普 深入解析 TCP 粘包问题的本质,为什么 TCP 是字节流协议,以及如何正确处理消息边界。
4
为什么 TCP/IP 协议会拆分数据
技术科普 深入解析 TCP/IP 协议数据分片的原因,MTU、MSS 的概念,以及为什么会出现粘包问题。
5
为什么 DNS 使用 UDP 协议
技术科普 深入解析 DNS 协议为什么主要使用 UDP,以及什么时候会切换到 TCP,DNS 协议设计的精妙之处。
随机文章 随机推荐
1
服务发现:微服务通信的基础设施
分布式系统深入 2025-03-09
2
TLS 握手实战:从自建 CA 到抓包分析
密码学与安全工程 2026-05-04
3
为 Web 应用构建可扩展的访问控制能力
网络 2022-08-27
4
Kubernetes 安全与 RBAC
面试 2023-12-25
5
认证协议实战:构建 OAuth2 + JWT 认证系统
密码学与安全工程 2026-05-11
© 2026 Souloss. All Rights Reserved. / RSS / Atom / Sitemap
Powered by Astro & souloss  Version 9.0