寬帶IP網絡技術的連接建立

連接是兩個或多個需要交換消息和數據的計算機系統之間的鏈路。在共享網絡和互聯網絡上，連接通常是虛擬的，即連接狀態是建立在軟件基礎上，該軟件跟蹤似乎是專用電路(對于正使用它的應用程序而言)中的數據交換。這些連接發生在傳輸層，由因特網協議族中的TCP處理。

TCP的工作主要是建立連接，然后從應用層程序中接收數據并進行傳輸。TCP采用虛電路連接方式進行工作，在發送數據前它需要在發送方和接收方建立一個連接，數據在發送出去后，發送方會等待接收方給出一個確認性的應答，否則發送方將認為此數據丟失，并重新發送此數據。

連接是可靠數據傳遞業務的要求。傳輸服務是通過建立連接的兩個傳輸實體之間所用的傳輸協議來實現的。在實際數據交換發生之前，建立連接。連接用于確認收到數據分組和重新傳輸那些丟失的數據分組。與之相反的是盡力傳輸業務。文件傳輸是要求保證傳遞業務的示例。傳遞的文件必須是原始文件的精確副本。

一個網絡系統上的應用程序與另一個網絡系統上的應用程序創建端對端連接，以便可靠地交換數據。單個計算機可以在任何時間建立和終止連接。來自這些連接的數據分組通過單個物理鏈路時被多路處理，如下圖所示，因此，它們是虛連接。此外，每個連接是全雙工模式，允許雙向數據分組交換。

建立連接的第一步獲取目標主機的網絡地址。如果源和目標在同一LAN(或路由的不同LAN)上，假設它的IP地址已知，則ARP(地址解析協議)可以用于獲取目標的硬件地址。如果IP地址未知，可以聯系DNS服務器獲取該地址。在Windows環境下，NetBIOS命名提供一種定位計算機地址的方法。一旦知道這些地址，這兩臺計算機則可以建立連接。

連接必須首先由發送方請求，并由接收方同意。這樣通過確保接收方已準備好接收數據，來提供一級可靠性。它還指出TCP如何管理數據傳遞。如果應用程序直接將數據傳遞到IP進行傳遞，則IP只是簡單地開始將數據分組發送到目的地。但是如果目標脫機或者正忙，則會丟失那些數據分組，并且IP本身無法通知應用程序沒有傳遞那些數據分組。TCP通過IP首先傳遞一個簡單的連接請求來管理這種情況。

?實際的連接涉及一個三次握手進程，其中三個數據分組(稱為TCP層中的段)通過網絡交換。下面是客戶機和服務器之間的這一進程的描述。

?客戶機使用稱為“連接”的“套接字”過程，創建一個包含服務器的IP地址和想要的服務的端口號的TCP段。將SYN位設置為打開，將ACK位設置為關閉，以表示這是個連接請求。此外，客戶機生成一個初始序號，并將其置于標題的“序號”字段中。

?當服務器接收該段時，進行檢查以確保指定端口可用，并且如果可用，則將確認段返回到客戶機。該段將SYN和ACK位設置為打開。為了確認服務器已經接收到客戶機的初始序號，服務器將序號加1，并將其插入到返回給客戶機的段的“確認”字段。此外，它將自己的序號插入到“序號”字段。服務器就是使用這個序號將段發送給客戶機。

?在客戶機接收到來自服務器的確認段后，它將一個具有ACK位設置的確認段返回到服務器。同時，它將從服務器接收到的序號加1，并將其插入到“確認”字段，以表明它已收到服務器的初始序號。

注意，SYN(同步)和ACK(確認)是TCP標題中的標志位，可以設置為打開或關閉。該序列繪制在圖C-22中的流程圖中。

該交換之后，緊接著可以開始數據傳輸。在傳輸完成之后，兩端終止連接。

在三次握手協議中，服務器維護一個未連接隊列，該隊列為每個客戶端的SYN包（sYN=j）開設一個條目，該條目表明服務器已收到SYN包，并向客戶發出確認，正在等待客戶的確認包。這些條目所標識的連接在服務器處于SYN_RECV狀態，當服務器收到客戶的確認包時，刪除該條目，服務器進入ESTABLISHED狀態。用Backlog參數來表示未連接隊列的最大容納數目。

TCP可能要在連接建立階段處理一些連接參數。其中之一是建立傳輸延遲參數。假設客戶機將一個段發送到服務器并且服務器返回一個確認，但由于某種原因該確認沒有在合理的時間內到達客戶機。該服務器必須假設客戶機沒有收到它的確認，于是它重發該段。這期間，“丟失”的確認可能找到了到達客戶機的路徑并且重發也到達了該服務器，這時服務器要處理兩個相同的段。

發送方等待確認的時間長短不是固定值，因為某些鏈路(如衛星)比其他鏈路的延遲時間更長。TCP可以協商該值，方法是測量它用于接收響應的時間。然后，它估計一個往返的延遲值，并使用這個值傳輸和確認連接進行定時。

發送方可以盡量為數據分組找到最佳大小以避免發生分段。發送方以較慢的速度開始傳輸，以避免擁塞網絡。然后，它可能改變它的傳輸速度，以避免使接收方溢出。

此外，這種連接序列容易遭到猜測序號的攻擊，攻擊者可以竊取由合法用戶建立的會話，并假裝成目標系統的該用戶。依照RFC1948 (Defending Against Sequence Number Attacks，May1996)，看來實際上初始序號易于預測。攻擊者連接到服務器，然后等待其他人進行連接。服務器隨后將一個確認段發送給請求連接者。同時，攻擊者已經猜出下一個序號應該是什么，使用那個序號將確認消息發送回服務器，并假裝成請求連接者。服務器接受這個連接，這樣攻擊者可以開始在服務器上執行命令。