使用tcpdump观察TCP连接的建立和关闭

当执行telnet命令并在两台通信主机之间建立TCP连接后。输入Ctrl + ]以调出telnet命令提示符，然后telnet命令提示符后输入quit以退出telnet客户端程序，从而结束TCP连接。

IP 10.0.0.103.55570 > 10.0.0.199.6379: Flags [S], seq 3841401858, win 64240, options [mss 1460,sackOK,TS val 1154875489 ecr 0,nop,wscale 7], length 0

IP 10.0.0.199.6379 > 10.0.0.103.55570: Flags [S.], seq 3944805231, ack 3841401859, win 65160, options [mss 1250,sackOK,TS val 1543289971 ecr 1154875489,nop,wscale 7], length 0

IP 10.0.0.103.55570 > 10.0.0.199.6379: Flags [.], ack 3944805232, win 502, options [nop,nop,TS val 1154875493 ecr 1543289971], length 0

IP 10.0.0.103.55570 > 10.0.0.199.6379: Flags [F.], seq 3841401859, ack 3944805232, win 502, options [nop,nop,TS val 1154882707 ecr 1543289971], length 0

IP 10.0.0.199.6379 > 10.0.0.103.55570: Flags [F.], seq 3944805232, ack 3841401860, win 510, options [nop,nop,TS val 1543297188 ecr 1154882707], length 0

IP 10.0.0.103.55570 > 10.0.0.199.6379: Flags [.], ack 3944805233, win 502, options [nop,nop,TS val 1154882711 ecr 1543297188], length 0

整个过程并没有发生应用层数据的交换，所以tcp报文段的数据部分的长度(length)总和为0。

我们将tcpdump输出的内容绘制成时序图，如下：

第一个TCP报文段包含SYN标志，因此它是一个同步报文段。同时报文段包含一个ISN值为3841401858的序号。

第二个TCP报文段也是同步报文段，表示10.0.0.199同意与10.0.0.103建立连接。确认值是3841401859，即第一个同步报文的序号值加1。

第三个TCP报文段是10.0.0.103对第二个同步报文段的确认。至此TCP连接就建立起来了。

建立TCP连接的这3个步骤被称为TCP3次握手。

后面3个TCP报文是关闭连接的过程。

第4个TCP报文段包含FIN标志，因此它是一个结束报文段，即10.0.0.103要求关闭连接。

10.0.0.199用报文段5来发送自己的结束报文段。

然后10.0.0.103用报文段6给予确认。

这里需要注意的是10.0.0.199在发送自己的结束报文段之前，也就是报文段4和报文段5之间，应该要发一个对报文段4的确认报文，但这里省略了，因为报文段5也携带了该确认信息。省略的这个报文是否出现在连接断开的过程中，取决于TCP的延迟确认特性。

半关闭状态

TCP连接是全双工的，所以它允许两个方向的数据传输被独立关闭。换言之，通信的一端可以发送结束报文段给对方，告诉它本端已经完成了数据的发送，但允许继续接受来自对方的数据，直到对方也发送结束报文段以关闭连接。TCP连接的这种状态称为半封闭。

这里需要注意的是，服务器和客户端应用程序判断对方是否已经关闭连接的方法是：read系统调用返回0（收到结束报文段）。

虽然介绍了半关闭状态，但在应用程序中很少见。

连接超时

如果客户端访问一个距离它很远的服务器，或者由于网络繁忙，导致服务器对于客户端发送出去的同步报文段没有应答，对于可靠服务TCP来说，它是先进行重连（可能执行多次），如果重连仍然你无效，则通知应用程序连接超时。

我们先模拟一个繁忙的服务器：

然后在raspberry上做如下操作：

我们可以从第二张图上可以看到，raspberry建立TCP连接的超时时间是32秒。

07:42:21.201942 IP 10.0.0.199.56424 > 10.0.0.103.23: Flags [S], seq 3031880096, win 64240, options [mss 1460,sackOK,TS val 1547423187 ecr 0,nop,wscale 7], length 0

07:42:22.228889 IP 10.0.0.199.56424 > 10.0.0.103.23: Flags [S], seq 3031880096, win 64240, options [mss 1460,sackOK,TS val 1547424214 ecr 0,nop,wscale 7], length 0

07:42:24.308885 IP 10.0.0.199.56424 > 10.0.0.103.23: Flags [S], seq 3031880096, win 64240, options [mss 1460,sackOK,TS val 1547426294 ecr 0,nop,wscale 7], length 0

07:42:28.388886 IP 10.0.0.199.56424 > 10.0.0.103.23: Flags [S], seq 3031880096, win 64240, options [mss 1460,sackOK,TS val 1547430374 ecr 0,nop,wscale 7], length 0

07:42:36.708895 IP 10.0.0.199.56424 > 10.0.0.103.23: Flags [S], seq 3031880096, win 64240, options [mss 1460,sackOK,TS val 1547438694 ecr 0,nop,wscale 7], length 0

我们一个抓取到5个TCP报文段，它们都是同步报文段，并且具有相同的序号值，这说明后面的4个报文都是超时重连报文段。观察间隔，分别是1s,2s,4s,8s秒，可以推断最后一个TCP报文段的超时时间是16s.

上图定义了重连的次数。在5次冲连都失败的i情况下，TCP模块放弃连接并通知应用程序。

在应用程序中，我们也可以修改连接超时时间。