TCP協議在能夠傳送資料之前就建立起了“連線”。要實現這個連線，啟動TCP連線的那一方首先將傳送一個SYN資料包。這只是一個不包含資料的資料包， 然後，開啟SYN標記。如果另一方同時在它收到SYN標記的埠通話，它將發回一個SYN+ACK:SYN和ACK標誌位都被開啟，並將ACK(確認)編 號欄位設定為剛收到的那個資料包的順序號欄位的值。接下來，連線發起方為了表示收到了這個SYN+ACK資訊，會向傳送方傳送一個最終的確認資訊（ACK 包）。這種SYN、SYN+ACK、ACK的步驟被稱為TCP連線建立時的“三次握手”。在這之後，連線就建立起來了。這個連線將一直保持活動狀態，直到 超時或者任何一方發出一個FIN(結束)訊號。
任何一方都可以關閉一個TCP連線，要求雙方傳送一個FIN訊號關閉自己的通訊頻道。一方可以在另 一方之前關閉，或者雙方同時關閉TCP連線。因此，當一方傳送一個FIN訊號時，另一方可傳送“FIN+ACK”，開始關閉自己一方的通訊並且確認收到了 第一個FIN訊號。傳送第一個FIN訊號的人接下來再發送一個“FIN+ACK”資訊，確認收到第二個FIN訊號。另一方就知道這個連線已經關閉了，並且 關閉了自己的連線。傳送第一個FIN的人沒有辦法收到最後一個ACK訊號的確認資訊。這時它會進入“TIME_WAIT”(等待時間)狀態並啟動一個定時 器，防止另一方沒有收到ACK資訊並且認為連線仍是開啟的。一般來說，這個狀態會持續1至2分鐘。
現在，我們來討論第一個問題。如果有人(假如一 個黑客)在你的Web伺服器上留下一個半開或者半關的連線，那就是一個壞訊息。每一個連線都要消耗記憶體，開啟數千個虛假的TCP連線可能導致伺服器癱瘓。 當然，你實際上不可能在不影響TCP正常工作的情況下調整TCP定時器。如果你聽說過TCP SYN 攻擊的話，那就是這個意思。為了防止出現這種情況，大多數

轉自http://blog.csdn.net/zhengchunhao/article/details/4425717