TCP连接的ISN、连接建立超时及TCP的长短连接

问题现象：

一、TCP连接的ISN

        之前我们说过初始建立TCP连接的时候的系列号(ISN)是随机选择的，那么这个系列号为什么不采用一个固定的值呢？主要有两方面的原因

• 防止同一个连接的不同实例(different instantiations/incarnations of the same connection)的数据包混淆。

同一个连接的不同实例是怎么回事呢？之前我们说过(源IP、源端口号、目的地址、目的端口号)这个四元组唯一标识一个TCP连接，当一个TCP连接在经历四次挥手关闭时，假如有一个数据包延迟特别大，而这个连接在关闭后又马上以相同的四元组建立起来，那么先前这个连接的TCP数据包到达的时候，如果系列号还落在接收窗内，那么这个数据包就可能会被错误接收。因此RFC0793指出ISN应该每4μs自增1，从而防止同一个连接的不同实例的数据包混淆。另外对数据完整性要求比较高的应该同时在应用层添加校验。

• 防止TCP系列号欺骗

TCP系列号欺骗如下图所示，假设A是服务器，B是拥有特殊权限的客户端，C是攻击者，第一条消息C冒充B来向服务器A请求建立连接，此时C发出的数据包的IP地址会填写成B的；第二条消息假设A没有其他手段来验证B，而仅仅根据IP地址判断C发过来的建立连接的请求是B发过来的，因此向B发送SYN+ACK，此时假设B被C进行了DOS攻击或者处于其他异常状态而不能响应第二条消息(如果B处于正常状态会响应一个RST包来重启TCP连接，后面我们讲解RST数据包)；第三条消息假如C能正确的猜测出A在第二条消息中的ISN，就可以冒充B和A完成三次握手的过程，让A误以为和B建立了连接。接下来C就可以冒充B给A发送一些危险数据或者指令而实现攻击。

因此假如ISN仅仅是依靠时间来增长还不够安全，因此RFC1948又提出了一个ISN随机生成的算法

ISN = M + F(localhost, localport, remotehost, remoteport)

其中M是一个计时器，这个计时器每隔4毫秒加1。F是一个Hash算法，根据源IP、目的IP、源端口、目的端口生成一个随机数值。要保证hash算法不能被外部轻易推算得出，用MD5算法是一个比较好的选择。

具体到linux的实现中，F采用MD5进行Hash，另外还会在F这个函数中带入一个随机的net_secret安全码进一步安全性，linux中M计时器则是每64ns加1。

2）原因分析

二、连接超时

        当一个TCP连接请求超时的时候，比如对应目标IP的主机挂掉的时候，会触发SYN数据包的重传，重传的时间间隔按照指数退避(exponential backoff)算法增长，还记得我们之前说过得SYN和FIN数据包是在逻辑上占有一个byte的是，也就会消耗一个系列号，消耗系列号意味着能进行重传，没有数据的ACK确认包因为不消耗系列号即使传输过程中出错也不会触发ACK数据包的重传。后续TCP重传部分我们会进一步介绍TCP的重传和指数退避。

在linux中net.ipv4.tcp_syn_retries变量表示TCP主动连接端SYN数据包的最大重传次数，net.ipv4.tcp_synack_retries表示TCP连接的被动端响应的SYN+ACK包的最大重传次数。也可以通过TCP_SYNCNT的socket选项单独设置某一个TCP连接SYN重传次数。

我们观察一下下图中SYN重传的过程，首先发出No 1的SYN包，在1s内没有收到SYN-ACK包，触发SYN重传即No 2包，后续又分别以2s/4s/8s/16s/32s的间隔进行SYN的重传，直到No 7包进行第6次重传依旧没有收到SYN-ACK回复(net.ipv4.tcp_syn_retries默认配置值为6)，客户端放弃连接。

3）结论

三、长连接与短连接

TCP连接类型又可以分为长连接和短连接

• 短连接：Client方与Server每进行一次报文收发时才进行通讯连接，收发完毕后立即断开连接。此种方式常用于一点对多点通讯，比如多个Client连接一个Server.优点是管理起来比较简单，存在的连接都是有用的连接，不需要额外的控制手段
• 长连接：Client方与Server方先建立通讯连接，连接建立后不断开，然后再进行报文发送和接收。这种方式下由于通讯连接一直存在，可以用下面命令查看连接是否建立：netstat –f inet|grep 端口号(如5678)。此种方式常用于点对点通讯。

补充说明
1、linux中计算ISN的过程可以参考相关代码tcp_v4_init_sequence