代码编织梦想

文章出处:http://www.vants.org/?post=22


TCP异常终止(reset报文)

TCP的异常终止是相对于正常释放TCP连接的过程而言的,我们都知道,TCP连接的建立是通过三次握手完成的,而TCP正常释放连接是通过四次挥手来完成,但是有些情况下,TCP在交互的过程中会出现一些意想不到的情况,导致TCP无法按照正常的四次挥手来释放连接,如果此时不通过其他的方式来释放TCP连接的话,这个TCP连接将会一直存在,占用系统的部分资源。在这种情况下,我们就需要有一种能够释放TCP连接的机制,这种机制就是TCP的reset报文。reset报文是指TCP报头的标志字段中的reset位置一的报文,如下图所示:




TCP异常终止的常见情形

我们在实际的工作环境中,导致某一方发送reset报文的情形主要有以下几种:


1,客户端尝试与服务器未对外提供服务的端口建立TCP连接,服务器将会直接向客户端发送reset报文。



2,客户端和服务器的某一方在交互的过程中发生异常(如程序崩溃等),该方系统将向对端发送TCP reset报文,告之对方释放相关的TCP连接,如下图所示:




3,接收端收到TCP报文,但是发现该TCP的报文,并不在其已建立的TCP连接列表内,则其直接向对端发送reset报文,如下图所示:



4,在交互的双方中的某一方长期未收到来自对方的确认报文,则其在超出一定的重传次数或时间后,会主动向对端发送reset报文释放该TCP连接,如下图所示:



5,有些应用开发者在设计应用系统时,会利用reset报文快速释放已经完成数据交互的TCP连接,以提高业务交互的效率,如下图所示:




Reset报文的利用

安全设备利用reset报文阻断异常连接

安全设备(如防火墙、入侵检测系统等)在发现某些可疑的TCP连接时,会构造交互双方的reset报文发给对端,让对端释放该TCP连接。比如入侵检测检测到黑客攻击的TCP连接,其构造成被攻击端给黑客主机发送reset报文,让黑客主机释放攻击连接。

利用reset报文实施攻击

安全设备可以利用reset报文达到安全防护的效果,黑客和攻击者也可以利用reset报文实现对某些主机的入侵和攻击,最常见的就是TCP会话劫持攻击。关于TCP会话劫持的相关知识请参考第三章《TCP会话劫持》一文。

tcp安全之——rst复位攻击简析_superltx的博客-爱代码爱编程

以下为阶段学习协议分析的一些flag : 一、TCP基础:三次握手、滑动窗口和四次挥手 先上图说明: a)三次握手   简单讲,TCP是基于IP网络层之上的传输层协议,用于端到端的可靠的字节流传输。 端到端:I

初步认识tcp协议——tcp的reset报文_菜到怀疑人生的博客-爱代码爱编程_tcp-reset

当本次TCP接收到不正确的TCP报文(即端口号与IP地址为本机,但对方的IP地址本机不认识,或是对应端口上没有TCP连接)时,会发送reset报文通知对方放弃连接。TCP连接是通过socket对来标识连接的(即本机与对方的IP地址加端口号)。 发送RST包关闭连接时,不必等缓冲区的包都发出去,直接就丢弃缓冲区中的包,发送RST 在如下情况会发送res

网络通信中 tcp 产生 rst 的三个条件分析_kph_hajash的博客-爱代码爱编程_tcp发送rst的原因

RST 是 TCP 发生错误时发送的一种 TCP 分节( segment:传输层的 PDU ),可用来异常的关闭一个连接,此时客户端会返回一个 ECONNREFUSED 错误。 它会在以下三种情况下产生: 目的地为某个端

从tcp协议的原理来谈谈rst复位攻击_iteye_10227的博客-爱代码爱编程

在谈RST攻击前,必须先了解TCP:如何通过三次握手建立TCP连接、四次握手怎样把全双工的连接关闭掉、滑动窗口是怎么传输数据的、TCP的flag标志位里RST在哪些情况下出现。下面我会画一些尽量简化的图来表达清楚上述几点,之后再了解下RST攻击是怎么回事。   1、TCP是什么? TCP是在IP网络层之上的传输层协议,用于提供port到port面向连

tcp连接异常终止(rst包)场景分析_爬虫仔蛙的博客-爱代码爱编程

转自:http://blog.csdn.net/ixidof/article/details/8049667     TCP异常终止(reset报文) TCP的异常终止是相对于正常释放TCP连接的过程而言的,我们都知道,TCP连接的建立是通过三次握手完成的,而TCP正常释放连接是通过四次挥手来完成,但是有些情况下,TCP在交互的过程中会出现一些意想

tcp port numbers reused出现原因_从TCP协议的原理来谈谈rst复位攻击-爱代码爱编程

在谈RST攻击前,必须先了解TCP:如何通过三次握手建立TCP连接、四次握手怎样把全双工的连接关闭掉、滑动窗口是怎么传输数据的、TCP的flag标志位里RST在哪些情况下出现。下面我会画一些尽量简化的图来表达清楚上述几点,之后再了解下RST攻击是怎么回事。 1、TCP是什么? TCP是在IP网络层之上的传输层协议,用于提供port到port面向连接

RST攻击扫盲-爱代码爱编程

文章目录 RST 攻击也叫 TCP 重置攻击。TCP 重置攻击是指黑客伪造 TCP 的 RST 包来断开用户与网站的连接,这个技术也被运用在防火墙中,例如著名的 GFW。 什么是RST? RST 是 Reset 的简称。在我看来,RST 有点类似于手机的强制重启。当我们手机死机时,我们通常会长按电源键来将手机直接关机,这时手机不会保存任何

【TCP】关于TCP连接中,Connection reset by peer和Connection reset原因分析-爱代码爱编程

1、如果一端的Socket被关闭(或主动关闭,或因为异常退出而引起的关闭),另一端仍发送数据,发送的第一个数据包引发该异常(Connect reset by peer)。 2、一端退出,但退出时并未关闭该连接,另一端如果在从连接中读数据则抛出该异常(Connection reset)。 简单的说就是在连接断开后的读和写操作引起的。 Connect

TCP的RESET报文-爱代码爱编程

调用tcp_send_active_reset发送RESET报文: 当TCP调用tcp_close时,如果socket的sk_receive_queue中skb还有数据的话,则调用tcp_send_active_reset,向对端发送RESET报文。当TCP调用tcp_out_of_resource时,当orphan(孤儿)socket过多,或者TCP内