TCP连接成功的几种状态

TCP:连接成功的几种状态一、服务端,端口的状态变化先在本机（IP地址为：0）配置FTP服务，然后在其它计算机（IP地址为：）访问FTP服务，从TCPView看看端口的状态变化。下面黑体字显示的是从TCPView中截取的部分。1、 LISTENING状态FTP服务启动后首先处于侦听（LISTENING）状态。State显示是LISTENING时表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接。就像你房子的门已经敞开的，但还没有人进来。从TCPView可以看出本机开放FTP的情况。它的意思是:程序inetinfo.exe开放了21端口，FTP默认的端口为21,可见在本机开放了FTP服务。目前正处于侦听状态。inetinfo.exe:1260TCP:21:0LISTENING2、 ESTABLISHED状态现在从这台计算机访问一下0的FTP服务。在本机的TCPView可以看出端口状态变为ESTABLISHED。ESTABLISHED的意思是建立连接。表示两台机器正在通信。下面显示的是本机的FTP服务正在被这台计算机访问。inetinfo.exe:1260TCP0:21:3009ESTABLISHED注意：处于ESTABLISHED状态的连接一定要格外注意，因为它也许不是个正常连接。后面我们要讲到这个问题。3、 TIME_WAIT状态现在从这台计算机结束访问0的FTP服务。在本机的TCPView可以看出端口状态变为TIME_WAIT。TIME_WAIT的意思是结束了这次连接。说明21端口曾经有过访问，但访问结束了。[SystemProcess]:0TCP0:21:3009TIME_WAIT4、小技巧•可以telnet—个开放的端口，来观察该端口的变化。比如看1025端口是开放的，在命令状态（如图1运行cmd）运行：telnet01025从本机也可以测试，只不过显示的是本机连本机在Tcpview中双击连接可看出程序的位置，右键点击该连接，选择EndProcess即可结束该连接二、客户端,端口的状态变化客户端口实际上就是从本机访问其它计算机服务时打开的源端口，最多的应用是上网，下面就以访问/r/为例来看看端口开放以及状态的变化情况。1、SYN_SENT状态SYN_SENT状态表示请求连接，当你要访问其它的计算机的服务时首先要发个同步信号给该端口，此时状态为 SYN_SENT，如果连接成功了就变为ESTABLISHED，此时SYN_SENT状态非常短暂。但如果发现SYN_SENT非常多且在向不同的机器发出，那你的机器可能中了冲击波或震荡波之类的病毒了。这类病毒为了感染别的计算机，它就要扫描别的计算机，在扫描的过程中对每个要扫描的计算机都要发出了同步请求，这也是出现许多SYN_SENT的原因。下面显示的是本机连接/r/网站时的开始状态，如果你的网络正常的，那很快就变为ESTABLISHED的连接状态。IEXPLORE.EXE:2928TCP0:103549:80SYN_SENT2、 ESTABLISHED状态下面显示的是本机正在访问/r/网站。如果你访问的网站有许多内容比如访问/r/,那会发现一个地址有许多ESTABLISHED，这是正常的，网站中的每个内容比如图片、flash等都要单独建立一个连接。看ESTABLISHED状态时一定要注意是不是IEXPLORE.EXE程序（IE）发起的连接，如果是EXPLORE.EXE之类的程序发起的连接，那也许是你的计算机中了木马了。IEXPLORE.EXE:3120TCP0:104549:80ESTABLISHED3、 TIME_WAIT状态如果浏览网页完毕，那就变为TIME_WAIT状态。[SystemProcess]:0TCP0:425949:80TIME_WAIT备注：配合netstatn查看或下载TCPview2.53查看！附:CLOSEDLISTEN〔SYN收到发：SYNMF屁时打幵FIN-：VI:HX.^A：T.1ACK无收:发谨ACKV— 渥用进理关ffl 5YN„5ENT>- ■［应用进科去闭］|发：［F［N；［星事汗彼離闭收：FIN主动关闭―■说明拜户的正常狀态变辻"-■*■说明咚昂卑的正常找恋变迁应