netstat의 TCP 연결 상태 의미
netstat의 State 필드에 표시되는 TCP 상태표시가 갖는 의미를 알아봅시다.
RFC 793 문서에 있는 TCP 기본 연결, 종료 과정을 보면 이해가 더 빠를 거라 생각한다.
LISTEN
연결 요청이 수신되기를 기다리고 있는 상태
sYN-SENT
클라이언트 및 서버가 서로 연결을 기다리는 상태
SYN-RECEIVED
서버의 TCP가 원격 클라이언트로부터 Synchronize 플래그를 설정한 시작 세그먼트를 수신하였고 자신의 시작 세그먼트로 응답 하였으며, 그 세그먼트에 대한 확인 메시지를 기다리는 상태
ESTABLISHED
서로 연결이 되었다는 상태
FIN-WAIT-1
회선이 완전히 종결될 때까지 원격 시스템으로부터 데이터는 수신하지만, 추가적인 데이터를 전송하지는 않을 그러한 상태
CLOSE-WAIT
FIN- WAIT-1의 설명과 같이 Finish 플래그가 설정된 종결 세그먼트가 수신되었고, 로컬 TCP는 그 세그먼트에 대한 확인 메시지를 송신 시스템에 전송하였음. 그러나 로컬 TCP는 로컬 application에서 작업을 종료하지 않아 자신의 종결 세그먼트를 생성하지 못한 상태
FIN-WAIT-2
FIN- WAIT-1의 설명과 같이 로컬 TCP는 Finish 플래그가 설정된 종결 세그먼트를 전송하였으며 CLOSE-WAIT 설명대로 원격 시스템으로부터 그 세그먼트에 대한 확인 메시지를 수신한 상태. 그러나 원격 application이 아직 작업을 종료하지 않아 원격 TCP가 자신의 종결 세그먼트를 생성하지 못한 그러한 상태
LAST-ACK
FIN- WAIT-1의 설명과 같이 Finish 플래그가 설정된 종결 세그먼트가 수신되었고, 로컬 application은 회선의 종결에 합의하여 자신도 종결을 요청하였음. 그 결과 로컬 TCP는 Finish 플래그가 설정된 자신의 종결 세그먼트를 전송하였으며, 회선은 이 세그먼트에 대한 확인 메시지가 수신되면 종결됩니다
TIME-WAIT
회선의 종결 절차가 완료되었으나 TCP는 분실되었을지 모르는 느린 세그먼트를 위해 당분간 소켓을 열어 놓은 상태로 유지하는 상태
CLOSED
완전 회선연결상태가 종료되어 있는 상태
# netstat -atn
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
... 생략 ...
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN <-- 포트가 열렸음
tcp 0 0 192.168.123.10:32799 207.46.106.141:1863 ESTABLISHED <-- 서로 연결중
tcp 0 0 192.168.123.10:32794 218.xxx.xx.xx:22 ESTABLISHED
tcp 0 0 192.168.123.10:32802 207.46.108.46:1863 CLOSE_WAIT <-- 종료 대기중
tcp 0 0 192.168.123.10:33244 211.xxx.xx.x:80 ESTABLISHED
... 생략 ...
-----------------------------------------------------------
1) TCP 연결관련 상태
* RFC 793문서에 나온 기본적인 TCP 연결 과정
TCP A TCP B
1. CLOSED LISTEN
2. SYN-SENT --> < SEQ=100>< CTL=SYN> --> SYN-RECEIVED
3. ESTABLISHED <-- < SEQ=300>< ACK=101>< CTL=SYN,ACK> <-- SYN-RECEIVED
4. ESTABLISHED --> < SEQ=101>< ACK=301>< CTL=ACK> --> ESTABLISHED
5. ESTABLISHED --> < SEQ=101>< ACK=301>< CTL=ACK>< DATA> --> ESTABLISHED
LISTEN : 데몬이 요청을 발을 수 있도록 연결 요구를 기다리는 상태
즉, 포트가 열려있음을 의미. http(80), mail(25), ftp(21), telnet(23) 등
위에서 포트 25(mail)이 메일을 받을 수 있도록 열려 있는 상태
윈도우즈에서는 LISTENING으로 표시
SYN_SENT : 로컬에서 원격으로 연결 요청(SYN 신호를 보냄)을 시도한 상태
SYN_RECV : 원격으로 부터 연결 요청을 받은 상태
요청을 받아 SYN+ACK 신호로 응답은 한 상태이지만 ACK는 받지 못했다.
netstat로 확인할 때 SYN_RECV가 상당히 많다면 TCP SYN 플러딩(Flooding) 공격일
가능성이 있다.
윈도우즈와 솔라리스에서는 SYN_RECEIVED으로, FreeBSD는 SYN_RCVD으로 표시
ESTABLISHED : 서로연결이 되어 있는 상태
위에서 192.168.123.10의 포트 32794과 218.xxx.xx.xx의 포트 22(ssh)이 서로
연결되어 있는 상태
2) TCP 종료관련 상태
* 정상적인 연결 종료 과정
TCP A TCP B
1. ESTABLISHED ESTABLISHED
2. (Close)
FIN-WAIT-1 --> < SEQ=100>< ACK=300>< CTL=FIN,ACK> --> CLOSE-WAIT
3. FIN-WAIT-2 <-- < SEQ=300>< ACK=101>< CTL=ACK> <-- CLOSE-WAIT
4. (Close)
TIME-WAIT <-- < SEQ=300>< ACK=101>< CTL=FIN,ACK> <-- LAST-ACK
5. TIME-WAIT --> < SEQ=101>< ACK=301>< CTL=ACK> --> CLOSED
6. (2 MSL)
CLOSED
FIN_WAIT1 : 소켓이 닫히고 연결이 종료되고 있는 상태. 원격의 응답은 받을 수 있다.
솔라리스에서는 FIN_WAIT_1로 표시
FIN_WAIT2 : 로컬이 원격으로 부터 연결 종료 요구를 기다리는 상태
솔라리스에서는 FIN_WAIT_2로 표시
CLOSE_WAIT : 원격의 연결 요청을 받고 연결이 종료되기를 기다리는 상태
원격으로 부터 FIN+ACK 신호를 받고 ACK 신호를 원격에 보냈다.
TIME_WAIT : 연결은 종료되었으나 원격의 수신 보장을 위해 기다리고 있는 상태
이 상태를 특히 자주 보게되는 Apache에서 KeepAlive를 OFF로 해둔 경우,
Tomcat 서버를 쓰는 경우 등
LAST_ACK : 연결은 종료되었고 승인을 기다리는 상태
CLOSED : 완전히 연결이 종료된 상태
※ 위의 FIN_WAIT1, FIN_WAIT2, CLOSE_WAIT 3개 상태는 연결 종료를 위해 서로간에
신호를 주고받는 과정에 나타나는 상태로 이해하면 된다.
종료 요청을 한 곳에서는 FIN_WAIT1, FIN_WAIT2, TIME_WAIT 상태가
종료 요청을 받는 곳에서는 CLOSE_WAIT, LAST_ACK 상태가 표시된다.
3) 기타
CLOSING : 연결은 종료되었으나 전송도중 데이타가 분실된 상태
UNKNOWN : 소켓의 상태를 알 수 없음
솔라리스의 netstat 명령에서는 다음 2개의 상태를 더 표시한다.
IDLE : 소켓이 열렸지만 binding 되지 않은 상태
BOUND : listen이나 연결을 위한 준비 상태
ERR blog_07 61.106.160.18 Too long idle time, you(100.1.1.41) are disconnected
원본 링크 : http://cyhome.cyworld.com/?home_id=a1429626&postSeq=2704204
