首先，要解释下图解中用到的一些关键字的含义：

（1）序号：seq，占32位，用来标示从源端向目的端发送的字节流，发起方发送数据时对此标志进行标记。
一般是发起方自己生成的随机数
（2）确认序号：ack，只有下面的标志位ACK=1时才有效，这里ack=seq + 1
（3）标志位，一共6个：
    1. URG：紧急指针（urgent pointer）有效
    2. ACK:  确认序号有效；注意他和确认序号ack不是一个意思
    3. PSH:  接收方应该尽快将这个报文交给应用层
    4. RST：重置链接
    5. SYN：发起一个新的链接
    6. FIN：释放一个链接

三次握手

下面，我们用一个打电话的小🌰，来模拟TCP的三次握手：

三次握手

第一次握手：客户端（小王）将标志位SYN置1，表示要新建链接；生成一个随机数seq=J; 发送给服务器（牛哥），然后进入SYN_SEND状态，等待服务器确认；

第二次握手：服务器（牛哥）收到数据包后，看到SYN=1，知道客户端要新建链接，然后将SYN也置为1，ack置为J+1，并将ACK置1；也生成一个随机数seq=K；然后发回给客户端，并进入SYN_RCVD状态；

第三次握手：客户端收到后，检查ack是否为J+1，ACK是否为1，如果都正确，则将ACK置1，ack置为K+1，发送给服务器；同样，服务器接到后也检查ACK和ack，如果都正确，则链接建立成功。双方进入ESTABLISHED状态。之后，双方就可以互相发送数据了。

关于SYN攻击
由上图我们看到，服务器第一次接到新建链接的请求，并回应客户端后，会进入SYN_RCVD状态，这时候链接并未成功建立，只有收到ACK包确认后才进入ESTABLISHED状态；这就给不法者提供了可乘之机，他们可以伪造大量不存在的ip地址，向服务器发送新建链接的请求，服务器回复响应包后就会等待客户端确认，由于客户端都是伪造的并不存在，也就没有回应，服务器不得不重发，直到超时为止；这样的请求多了之后，就会占满服务器的未连接队列，导致正常的SYN请求被丢弃，从而引起网络阻塞瘫痪。这是一种典型的DDOS攻击，当服务器上存在大量的半链接状态的请求，ip地址随机时，基本可以确认是遭到了SYN攻击，也可以用下面的命令进行查看：

#netstat -nap | grep SYN_RECV

四次挥手

下面，用同样的小🌰来解释下TCP关闭链接时候的过程：

四次挥手

第一次挥手：客户端（小王）发送FIN=M给服务器（牛哥），表示客户端不会再发送数据了。并进入FIN_WAIT_1状态

第二次挥手：服务器（牛哥）接到FIN后，将ACK置1，ack置为M+1，回应客户端，并进入CLOSE_WAIT状态；客户端接到后进入FIN_WAIT_2状态

第三次挥手：服务器（牛哥）发送FIN=N给客户端，表示服务器也不再发送数据了，并进入LAST_ACK状态

第四次挥手：客户端接到FIN后，将ACK置1，ack置为N+1，回应服务器，并进入TIME_WAIT状态。服务器接受到后，进入CLOSED状态，链接关闭

实际中，也有可能双方同时主动发起关闭链接的请求，如下：

同时发起关闭请求

---

最后是面试经常会问的一个小问题

为什么TCP建立链接是三次握手，而断开链接要四次？

上面的图解已经很清楚了，建立链接时，服务器端接到SYN报文后，将SYN和ACK放在一个报文里发送给了客户端；而断开链接时，收到对方发来的FIN报文，仅仅表示对方不再发送数据了，但还是可以接受数据的，如果服务器数据没有发送完，还是可以继续发送的，所以服务器先发送ACK回应客户端，当自己这边数据发送完了，或者不想发了，再发送FIN报文给客户端表示关闭链接，因此，关闭链接时ACK和FIN是分开发送的。