传输层协议分析

TCP分析、UDP分析、三次握手建立TCP、四次握手断开TCP连接、抓包、DDOS

一、TCP协议分析

1.TCP协议属于四层传输层

TCP可靠传输数据，速度慢（TCP是面向连接的服务） UDP不可靠，速度快（UDP是无连接的服务） TCP包头分析：

TCP总长度：20到60字节。 源端口：客户机随机生成的。例如：打开IE浏览器，就自动生成一个50000 目标端口：服务器的服务端口，例如：FTP21/20 HTTP80 HTTPS443 TELNET23 注释：端口号范围：0-65535 序号：sequence，发出的每一个报文，都要唯一编号。初始报文的编号是随机的。 确认号：acknowledge，ack。确认对方的报文是否正常。若正常，则ack=对方的seq+1 发送序号100，ack为101，通知发方可以发下一条数据。若ack为100，则通知发方重传。 首部长度：TCP包头长度是可变的，20到60字节，一般情况下都是20个字节。 保留：国际组织没有对该值做定义，保留使用。 SYN：syn。建立连接位，1代表请求建议连接 FIN：final。请求断开连接位。 RST：reset。重置位（强制断开位）。如浏览器奔溃，进程卡死、闪退。 ACK：开关。为1代表ack是有效。0代表ack无效。

【文章福利】小编推荐自己的Linux内核技术交流群:【891587639】整理了一些个人觉得比较好的学习书籍、视频资料共享在群文件里面，有需要的可以自行添加哦！！！（含视频教程、电子书、实战项目及代码)    

二、三次握手建立TCP连接

SYN只有双方前两次（各一次）握手为1，代表彼此要建立连接。

三、四次握手断开TCP连接

四、UDP协议分析

无连接服务、不可靠的传输协议。（8个字节）

16：16位二进制。8位二进制相当于1个字节。一个字母占用1个字节，一个汉字两个字节。 UDP包头长度：8个字节 UDP长度：代表4+5层数据的总长度。 UDP校验和：校验4+5层数据是否发送

五、DDOS

D：Distribute D：Deny 拒绝 O:Of S：Services服务 DOS攻击：拒绝服务攻击（SYN泛洪攻击、ICMP泛洪攻击、UDP泛洪攻击） 特点：非法占用甚至占满资源（CPU、内存、会话、带宽），最终实现目标无法正常运转或提供正常的服务

DDOS攻击：分布式拒绝服务攻击

CC攻击：频繁的模拟正常访问去攻击服务器，服务器检查不出来。杀敌一千，自损八百。

六、DDOS攻击实例

使用win7攻击2003服务器，由于使用线程数少，简单模仿攻击过程，实际后果则比较恶劣。下图为攻击方的CPU、内存情况：

下图为被攻击方CPU等情况：