在我多年打黑工的职业生涯之中，除了在盛大游戏出身的半个老师（做游戏服务器的）曾今深入的教过我，关于正确的 TCP/IP 流式应用层网络协议的设计理念，前往其它公司打黑工、包括一些的开源项目，见识到的 TCP/IP 应用层网络协议设计似乎都有一些潜在问题。

很多人虽然设计的 TCP/IP 应用层协议解决了沾包的问题，但是并没有对 CC 有一定预防措施，也没有对错误的协议有预防措施。

举个例子：

很多人涉及 TCP/IP 应用层协议，只是在每个包前面加上两个字节、或三个/四个字节代表长度字节，也不考虑大小端平台的差异性，也没有考虑别人会不会恶意的 CC 挂着大量的长连接，每个TCP 链接实例保护一般是在7200秒（2个小时），多数操作系统一般能够保证至少 30 分钟链接是存活的。

那么是否可以完全可以挂着大量的 CC 来耗死服务器系统的资源，并且经过抓包分析测试应用层协议的长度，假设为两个字节代表长度，人家完全有必要每个挂起的链接，只发送 65534 个字节数据包，让服务器一直处于缓冲区数据保持读入的状态，而资源无法得到释放。

你算算一个G内存能够支撑多少个64字节，而且这不是成比例的，应用层分配64K内存，往往需要至少多占用一个页的内存空间大小，因为内存分配是需要加上链表帧头、校队帧尾的，所以分配64K，意味着至少需要分配 64K+4096K 的内存资源（这里还没有算页头这些占用的内存空间）。

单纯指望三方防火墙，而开发人员不做一些处理是有些搞笑的，别人是正常的网络链接，也是在给服务器跑流量的。

而且在现代的网络环境之中，充斥着大量恶意轮段 TCP 应用层协议扫端口的情况，不做一些预防措施是典型错误的想法。

所以一个正确的 TCP/IP 应用层协议需要确保以下两个点：

1、帧头（关键帧字）

2、长度

帧头字节的目的，人们可以理解为判定协议是否为程序所需的，例如：帧头（0x2A 关键帧字）为我们设计的应用层协议 “KF 关键帧字”，那么当读入的第一个字节不是 0x2A，那么可以理解立即关闭链接，不在需要处理后续的行为。

正确的 TCP/IP 协议读入是片段读入的，而不是直接读入一个完整帧头，这是不正确的，因为你并不知道这个帧是否为伪造的，如果你完整读入，那么在这个帧头没有完整被读取完毕之前，程序都将处于 pending 状态，而持有的资源也没有办法得到释放。

若只按照上述只在帧头加上这两个部分，并不能缓解：

可以针对某个 “关键帧字” 的 TCP 端口扫段，这个时候人们应该引入 “效验核” 的概念，每个帧头都需要验证效验合。

那么可以缓解这类情况，但需要注意一点：CC的工具链基本只是连接上服务器，并不做数据发送的动作，而发送数据数据均为抓包所得。

程序预防普通CC，基本服务器对每个连入TCP链接正确计时，当超时没有正确完成某些行为就应该理解关闭链接，防止服务器应用过多的占用内核资源被占满。

在全球范围内这个时间都不应该超过五秒，国内期望尽快回收设定值为1秒，是比较合理的，用户在国内网络环境之中，通常一秒钟以内，客户端都没有发送有效数据过来，那么基本可以判断是被人 CC 之中了，当然你会说弱网环境的问题。

在弱网环境之中 RTT 往返延迟时间，通常不会超过 2 秒时（算上丢包），而两秒钟足够用户完成弱网环境下的服务器认证行为了，而且你要知道当TCP能够弱化到2秒才完成，那么基本意味着这个链接在丢失一次客户端就会成为 “链接被积极拒绝问题”，因为 TCP 最大只允许重传 3~5 次，普遍只会重传三次，所以那么设定在三秒没有完成，立即关闭链接即可。

须知：弱网不等于没有网络。

关于 TCP 协议重传公式相关的文章可以参考以下两篇文章。

TCP系列13—重传—3、协议中RTO计算和RTO定时器维护 - lshs - 博客园 (cnblogs.com)

第14章 TCP超时与重传：RTT与RTO概念；RTO计算的经典方法；RTO计算的标准方法；超时重传；快速重传；SACK；DSACK - 雲淡風輕333 - 博客园 (cnblogs.com)

类似像开源的 KCP 这类控制协议算法在RTO计算上跟TCP是没有多大区别的，只是系数上会有一些的差异。

比如： 

https://github.com/skywind3000/kcp/blob/master/ikcp.c#L559

(7 * kcp->rx_srtt + rtt) / 8 在 KCP 之中这句换到 TCP 之中则大约等于： (8 * rx_srtt + rtt) / 8 这个样子，区别上不是很大，只是 KCP 的重传时间要比TCP小，当然也意味着 KCP 相对会消耗更多带宽。

但应用层过于复杂的协议设计是没有意义的，这会消耗更多的宝贵的硬件CPU资源，应用层TCP协议设计这些部分也只不过是减少了，被一定 CC 拖垮系统资源的问题，减少服务器对于错误链接的预防措施。

但好一点的实现方式是需要带上掩码计算，即客户端发送到服务器的数据包都应带上掩码，进阶一点需要补充时间效验，以便服务器防止抓包工具搞得CC攻击。

那么一个相对完整且较为安全得 TCP/IP 应用层协议帧头就类似以下这样：

1、关键帧字

2、时间帧字

3、掩码帧字

4、效对合帧字

5、帧长度字节

6、帧载荷数据

而只有长度两个、三个、四个字节得 TCP/IP 应用层协议是不安全得，当然无论如何都需要做无效长时间挂起得 CC 链接中断检查，即在 X 个时间内没有完成第一个验证有效包得情况，而为了减少上述帧头占用得网络宽频开销，因为在网络传输之中，我们一般只看有效数据载荷得长度，帧头通常属于无效数据这一类。

另外需要说明：

效验核是需要包含完整帧头、及载荷数据一起计算，而不是只包含帧载荷数据，掩码需要计算整个帧，就像在 RFC 6455 - The WebSocket Protocol (ietf.org) 之中客户端向服务器发送得数据一样，系统学习成熟的 TCP/IP 应用层协议设计是很有意义得。

所以人们应当在设计 TCP/IP 应用层时，对于第一个握手帧做非常复杂处理是合理得，但对于握手帧完成后得载荷帧却并需要，因为这会产生大量无效得宽频占用，这是权衡得手段，在中国大陆这种带宽非常昂贵得情况，基本就是买带宽送服务器硬件，所以合理得设计 TCP/IP 应用层协议及权衡利弊变得尤为重要。