三次握手和四次挥手

服务端

SYN=1 seq = J

ACK=1 ack=J+1

（1）第一次握手：Client将标志位SYN置为1，随机产生一个值seq=J，并将该数据包发送给Server，Client进入SYN_SENT状态，等待Server确认。（2）第二次握手：Server收到数据包后由标志位SYN=1知道Client请求建立连接，Server将标志位SYN和ACK都置为1，ack=J+1，随机产生一个值seq=K，并将该数据包发送给Client以确认连接请求，Server进入SYN_RCVD状态。（3）第三次握手：Client收到确认后，检查ack是否为J+1，ACK是否为1，如果正确则将标志位ACK置为1，ack=K+1，并将该数据包发送给Server，Server检查ack是否为K+1，ACK是否为1，如果正确则连接建立成功，Client和Server进入ESTABLISHED状态，完成三次握手，随后Client与Server之间可以开始传输数据了。

ACK = 1 ack = K+1

忙完剩余的工作

ACK=1 ack=u+1 seq=v

四次挥手

第一次发送连接请求，但是卡在路上

释放资源

SYN_RCVD【SYN=1 ACK=1 ack=J+1 seq = k】

客户端

第一次连接每收到确认，第二次发送连接请求

准备释放资源

第一次请求发送，但是第一次客户端不会使用该连接资源

SYN=1 seq = k

SYN攻击：  在三次握手过程中，Server发送SYN-ACK之后，收到Client的ACK之前的TCP连接称为半连接（half-open connect），此时Server处于SYN_RCVD状态，当收到ACK后，Server转入ESTABLISHED状态。SYN攻击就是Client在短时间内伪造大量不存在的IP地址，并向Server不断地发送SYN包，Server回复确认包，并等待Client的确认，由于源地址是不存在的，因此，Server需要不断重发直至超时，这些伪造的SYN包将产时间占用未连接队列，导致正常的SYN请求因为队列满而被丢弃，从而引起网络堵塞甚至系统瘫痪。SYN攻击时一种典型的DDOS攻击，检测SYN攻击的方式非常简单，即当Server上有大量半连接状态且源IP地址是随机的，则可以断定遭到SYN攻击了。使用如下命令可以让之现行：#netstat -nap | grep SYN_RECV

ACK=1 ack=w+1 seq = w+1

冗余的四次握手

ESTABLISEND【ACK = 1 ack = K+1】

可合并

ESTABLISHED

FIN=1 seq = u

正常通信

接收到第一次连接请求开辟连接资源

三次握手

SYN_SENT

接收到第二次连接请求开辟连接资源

第二次请求确认

浪费资源的二次握手

FIN=1 ack=u+1 seq=w

SYN_RECV