TCP三次握手与四次挥手，网络排查的底层逻辑

TCP连接管理是网络问题排查的基本功。握手的每一步都对应了特定的网络状态和可能的问题点。

三次握手详解

客户端发SYN（seq=x）表示请求建立连接。服务端回SYN-ACK（seq=y, ack=x+1）表示同意。客户端再回ACK（seq=x+1, ack=y+1）确认收到。完成这三步后连接建立。如果SYN_SENT状态停留过久，通常是被防火墙拦截了。

四次挥手过程

主动关闭方发FIN，被动方回ACK，被动方再发FIN，主动方最后回ACK。TIME_WAIT状态持续2MSL（约2分钟），确保最后一个ACK能被对方收到。服务器上大量TIME_WAIT是正常现象，除非内存或端口不够用。

排查工具

ss -tan查看所有TCP连接状态，重点关注LISTEN、ESTAB、TIME_WAIT的数量。tcpdump抓包分析握手过程：tcpdump -i eth0 host 目标IP and port 80。配合Wireshark可视化分析更直观。