几种TCP连接中出现RST的情况

最新推荐文章于 2023-05-29 10:26:19 发布
最新推荐文章于 2023-05-29 10:26:19 发布
阅读量631 收藏 1
点赞数
分类专栏: socket网络通信 重要文章记录

原文地址:https://my.oschina.net/costaxu/blog/127394

应该没有人会质疑,现在是一个网络时代了。应该不少程序员在编程中需要考虑多机、局域网、广域网的各种问题。所以网络知识也是避免不了学习的。而且笔者一直觉得TCP/IP网络知识在一个程序员知识体系中必需占有一席之地的。

在TCP协议中RST表示复位,用来异常的关闭连接,在TCP的设计中它是不可或缺的。发送RST包关闭连接时,不必等缓冲区的包都发出去,直接就丢弃缓存区的包发送RST包。而接收端收到RST包后,也不必发送ACK包来确认。

其实在网络编程过程中,各种RST错误其实是比较难排查和找到原因的。下面我列出几种会出现RST的情况。

1 端口未打开

服务器程序端口未打开而客户端来连接。这种情况是最为常见和好理解的一种了。去telnet一个未打开的TCP的端口可能会出现这种错误。这个和操作系统的实现有关。在某些情况下,操作系统也会完全不理会这些发到未打开端口请求。

比如在下面这种情况下,主机241向主机114发送一个SYN请求,表示想要连接主机114的40000端口,但是主机114上根本没有打开40000这个端口,于是就向主机241发送了一个RST。这种情况很常见。特别是服务器程序core dump之后重启之前连续出现RST的情况会经常发生。


当然在某些操作系统的主机上,未必是这样的表现。比如向一台WINDOWS7的主机发送一个连接不存在的端口的请求,这台主机就不会回应。

2 请求超时

曾经遇到过这样一个情况:一个客户端连接服务器,connect返回-1并且error=EINPROGRESS。 直接telnet发现网络连接没有问题。ping没有出现丢包。用抓包工具查看,客户端是在收到服务器发出的SYN之后就莫名其妙的发送了RST。

比如像下面这样:


有89、27两台主机。主机89向主机27发送了一个SYN,表示希望连接8888端口,主机27回应了主机89一个SYN表示可以连接。但是主机27却很不友好,莫名其妙的发送了一个RST表示我不想连接你了。

后来经过排查发现,在主机89上的程序在建立了socket之后,用setsockopt的SO_RCVTIMEO选项设置了recv的超时时间为100ms。而我们看上面的抓包结果表示,从主机89发出SYN到接收SYN的时间多达110ms。(从15:01:27.799961到15:01:27.961886, 小数点之后的单位是微秒)。因此主机89上的程序认为接收超时,所以发送了RST拒绝进一步发送数据。

3 提前关闭

关于TCP,我想我们在教科书里都读到过一句话,'TCP是一种可靠的连接'。 而这可靠有这样一种含义,那就是操作系统接收到的来自TCP连接中的每一个字节,我都会让应用程序接收到。如果应用程序不接收怎么办?你猜对了,RST。

看两段程序: 

//server.c

int main(int argc, char** argv)  
{  
    int listen_fd, real_fd;  
    struct sockaddr_in listen_addr, client_addr;  
    socklen_t len = sizeof(struct sockaddr_in);  
    listen_fd = socket(AF_INET, SOCK_STREAM, 0);  
    if(listen_fd == -1)  
    {  
        perror("socket failed   ");  
        return -1;  
    }  
    bzero(&listen_addr,sizeof(listen_addr));  
    listen_addr.sin_family = AF_INET;  
    listen_addr.sin_addr.s_addr = htonl(INADDR_ANY);  
    listen_addr.sin_port = htons(SERV_PORT);  
    bind(listen_fd,(struct sockaddr *)&listen_addr, len);  
    listen(listen_fd, WAIT_COUNT);  
    while(1)  
    {  
        real_fd = accept(listen_fd, (struct sockaddr*)&client_addr, &len);  
        if(real_fd == -1)  
        {  
            perror("accpet fail  ");  
            return -1;  
        }  
        if(fork() == 0)  
        {  
            close(listen_fd);  
            char pcContent[4096];
            read(real_fd,pcContent,4096);
            close(real_fd);  
            exit(0);              
        }  
        close(real_fd);  
    }     
    return 0;  
}

这一段是server的最简单的代码。逻辑很简单,监听一个TCP端口然后当有客户端来连接的时候fork一个子进程来处理。注意看的是这一段fork里面的处理: 

char pcContent[4096];
read(real_fd,pcContent,4096);
close(real_fd);

每次只是读socket的前4096个字节,然后就关闭掉连接。

然后再看一下client的代码: 

//client.c
int main(int argc, char** argv)  
{  
    int send_sk;  
    struct sockaddr_in s_addr;  
    socklen_t len = sizeof(s_addr);  
    send_sk = socket(AF_INET, SOCK_STREAM, 0);  
    if(send_sk == -1)  
    {  
        perror("socket failed  ");  
        return -1;  
    }  
    bzero(&s_addr, sizeof(s_addr));  
    s_addr.sin_family = AF_INET;  

    inet_pton(AF_INET,SER_IP,&s_addr.sin_addr);  
    s_addr.sin_port = htons(SER_PORT);  
    if(connect(send_sk,(struct sockaddr*)&s_addr,len) == -1)  
    {  
        perror("connect fail  ");  
        return -1;  
    }  
    char pcContent[5000]={0};
    write(send_sk,pcContent,5000);
    sleep(1);
    close(send_sk);
}

这段代码更简单,就是打开一个socket然后连接一个服务器并发送5000个字节。刚才我们看服务器的代码,每次只接收4096个字节,那么就是说客户端发送的剩下的4个字节服务端的应用程序没有接收到,服务器端的socket就被关闭掉,这种情况下会发生什么状况呢,还是抓包看一看。


前三行就是TCP的3次握手,从第四行开始看,客户端的49660端口向服务器的9877端口发送了5000个字节的数据,然后服务器端发送了一个ACK进行了确认,紧接着服务器向客户端发送了一个RST断开了连接。和我们的预期一致。

4 在一个已关闭的socket上收到数据

如果某个socket已经关闭,但依然收到数据也会产生RST。

代码如下:

客户端: 

int main(int argc, char** argv)  
{  
    int send_sk;  
    struct sockaddr_in s_addr;  
    socklen_t len = sizeof(s_addr);  
    send_sk = socket(AF_INET, SOCK_STREAM, 0);  
    if(send_sk == -1)  
    {  
        perror("socket failed  ");  
        return -1;  
    }  
    bzero(&s_addr, sizeof(s_addr));  
    s_addr.sin_family = AF_INET;  

    inet_pton(AF_INET,SER_IP,&s_addr.sin_addr);  
    s_addr.sin_port = htons(SER_PORT);  
    if(connect(send_sk,(struct sockaddr*)&s_addr,len) == -1)  
    {  
        perror("connect fail  ");  
        return -1;  
    }  
    char pcContent[4096]={0};
    write(send_sk,pcContent,4096);
    sleep(1);
    write(send_sk,pcContent,4096);
    close(send_sk);
}

服务端:

int main(int argc, char** argv)  
{  
    int listen_fd, real_fd;  
    struct sockaddr_in listen_addr, client_addr;  
    socklen_t len = sizeof(struct sockaddr_in);  
    listen_fd = socket(AF_INET, SOCK_STREAM, 0);  
    if(listen_fd == -1)  
    {  
        perror("socket failed   ");  
        return -1;  
    }  
    bzero(&listen_addr,sizeof(listen_addr));  
    listen_addr.sin_family = AF_INET;  
    listen_addr.sin_addr.s_addr = htonl(INADDR_ANY);  
    listen_addr.sin_port = htons(SERV_PORT);  
    bind(listen_fd,(struct sockaddr *)&listen_addr, len);  
    listen(listen_fd, WAIT_COUNT);  
    while(1)  
    {  
        real_fd = accept(listen_fd, (struct sockaddr*)&client_addr, &len);  
        if(real_fd == -1)  
        {  
            perror("accpet fail  ");  
            return -1;  
        }  
        if(fork() == 0)  
        {  
            close(listen_fd);  
            char pcContent[4096];
            read(real_fd,pcContent,4096);
            close(real_fd);  
            exit(0);              
        }  
        close(real_fd);  
    }     
    return 0;  
}

客户端在服务端已经关闭掉socket之后,仍然在发送数据。这时服务端会产生RST。


总结

总结,本文讲了几种TCP连接中出现RST的情况。实际上肯定还有无数种的RST发生,我以后会慢慢收集把更多的例子加入这篇文章。

参考文献:

1 从TCP协议的原理来谈谈RST攻击 http://russelltao.iteye.com/blog/1405349

2 TCP客户-服务器程序例子 http://blog.csdn.net/youkuxiaobin/article/details/6917880
dvlinker
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TCP协议的原理来谈谈rst复位攻击
iteye_10227的博客
02-06 4505
在谈RST攻击前,必须先了解TCP:如何通过三次握手建立TCP连接、四次握手怎样把全双工的连接关闭掉、滑动窗口是怎么传输数据的、TCP的flag标志位里RST在哪些情况出现。下面我会画一些尽量简化的图来表达清楚上述几点,之后再了解下RST攻击是怎么回事。   1、TCP是什么? TCP是在IP网络层之上的传输层协议,用于提供port到port面向连接的可靠的字节流传输。我来用土语解释下上面...
TCP.rar_TCP rst_URG_fin_syn
09-24
随机生成160位01序列模拟TCP报文首部 16位源端口,16位目的端口,32位序号,32位确认序号,4位首部长度都转化成相应的十进制显示,6位保留位,URG,ACK,PSH,RST,SYN,FIN 均为1位二进制, 16位窗口,16位紧急指针,16位校验和均用二进制显示
TCP协议RST标志位 作者文章电子版 需要的下载
06-04
TCP协议RST标志位 作者文章电子版 需要的下载
TCP协议的原理来谈谈RST复位攻击
03-03
在谈RST攻击前,必须先了解TCP:如何通过三次握手建立TCP连接、四次握手怎样把全双工的连接关闭掉、滑动窗口是怎么传输数据的、TCP的flag标志位里RST在哪些情况出现。下面我会画一些尽量简化的图来表达清楚上述几点,之后再了解下RST攻击是怎么回事。1、TCP是什么?TCP是在IP网络层之上的传输层协议,用于提供port到port面向连接的可靠的字节流传输。我来用土语解释下上面的几个关键字:port到port:IP层只管数据包从一个IP到另一个IP的传输,IP层之上的TCP层加上端口后,就是面向进程了,每个port都可以对应到用户进程。可靠:TCP会负责维护实际上子虚乌有的连接概念,包括
TCP异常终止(reset报文)
热门推荐
韦编二绝
10-08 4万+
文章出处:http://www.vants.org/?post=22 TCP异常终止(reset报文) TCP的异常终止是相对于正常释放TCP连接的过程而言的,我们都知道,TCP连接的建立是通过三次握手完成的,而TCP正常释放连接是通过四次挥手来完成,但是有些情况下,TCP在交互的过程出现一些意想不到的情况,导致TCP无法按照正常的四次挥手来释放连接,如果此时不通过其他的方式来
TCP连接异常终止(RST包)场景分析
Yonx
08-25 9352
一、TCP异常终止(reset报文) TCP的异常终止是相对于正常释放TCP连接的过程而言的,我们都知道,TCP连接的建立是通过三次握手完成的,而TCP正常释放连接是通过四次挥手来完成。但是有些情况下,TCP在交互的过程出现一些意想不到的情况,导致TCP无法按照正常的三次握手建立连接或四次挥手来释放连接。如果此时不通过其他的方式来释放TCP连接的话,这个TCP连接将会一直存在,占用系统的资源。在这种情况下,我们就需要有一种能够释放TCP连接的机制,这种机制就是TCP的reset报文。reset报文是指
TCP收到RST几种情况
knowledgebao的博客
11-30 8354
相关索引:https://blog.csdn.net/knowledgebao/article/details/84626184 关于三次握手,四次挥手过程及状态变化,请参考https://blog.csdn.net/knowledgebao/article/details/84626238 关于TCP的接口,请参考:https://blog.csdn.net/knowledgebao/art...
TCP协议的RST标志
有理论,有实验,有结论,可为一篇文章
05-29 2685
下文的内容多数来自【参考】的文章,这边进行一个整理和总结,后续会慢慢增加各个 RST 包的测试代码,便于理解。
TCPRST标志(Reset)详解
weixin_43763259的博客
07-16 2149
在谈RST攻击前,必须先了解TCP:如何通过三次握手建立TCP连接、四次握手怎样把全双工的连接关闭掉、滑动窗口是怎么传输数据的、TCP的flag标志位里RST在哪些情况出现。下面我会画一些尽量简化的图来表达清楚上述几点,之后再了解下RST攻击是怎么回事。1、TCP是什么?TCP是在IP网络层之上的传输层协议,用于提供port到port面向连接的可靠的字节流传输。我来用土语解释下上面的几个关键字:port到port:IP层只管数据包从一个IP到另一个IP的传输,IP层之上的TCP层...
TCP SYN ACK FIN RST PSH URG.doc
05-24
TCP SYN ACK FIN RST PSH URG.doc
利用libpcap发送TCP RST标志位,测试tcp连接破坏
11-10
测试libpcap的抓包与发包功能,发送tcp rst标志位实现网络断开。测试rst的部分功能。
TCP RST阻断 他人 链接 代码结构非常简单
06-17
对于下载等长时间的任务,...原因:RST到达对方前,数据包已经发送结束了。优化可能性不高。。经过测试,完全正常。 PS:编译、连接需要Winpcap开发包,运行需要winpcap运行库。。 可以从官网下载或者从我的资源下。
tcp-shaker:在Go不带ACK的情况下执行TCP握手,对健康检查很有用,即SYN,SYN-ACK,RST
05-10
在大多数情况下,当您建立TCP连接(例如通过net.Dial )时,这些是客户端和服务器之间的前三个数据包( ): 客户端->服务器:SYN 服务器->客户端:SYN-ACK 客户端->服务器:ACK 该软件包在进行握手时尝试避免...
TCP RST阻断 链接 代码结构简单
06-17
受限于发包个数,如果只有一个包的情况。阻断不能保证100%成功,原因是RST在通信结束后才到达。 对于多个包和长时间连接,成功率100% 也就是:网页不能完全成功(一大半成功),下载以及其他连接,100%成功。 PS:...
RST.rar_RST_RST数据包
09-21
发送RST包的程序,用于网络上数据包的发送。从而实现网络数据通信
Snapper:将 TCP RST 数据包发送到 WLAN(子网)的端点的命令行实用程序
07-08
概要Snapper 是一个命令行实用程序,它嗅探本地网络的活动 TCP 连接(仅那些设置了 ACK 标志的连接),然后发送 RST(重置)数据包以终止这些连接(使用 RAW 套接字)。 因此“snapper”是一个产生单包DoS攻击的程序...
TCP详解
02-24
标识紧急指针是否有效ACK:标识确认序号是否有效PSH:用来提示接收端应用程序立刻将数据从tcp缓冲区读走RST:要求重新建立连接.我们把含有RST标识的报文称为复位报文段SYN:请求建立连接.我们把含有SYN标识的报文称为...
什么是全连接扫描,并简述全连接扫描的几种情况
最新发布
07-11
连接扫描(Full Connect Scan)是一种常见的扫描技术,它于确定目标主机上哪些端口开放的、哪些是关闭的。连接扫描通过建立完整TCP连接来判断目标主机上的端口状态。 全连接扫描的几种况包括: 1.放端口:当连接扫描发起连接时,如果目标主机返回一个确认(SYN/ACK)的响应那么该端口被判定为开放状态。这意味着目标主机上的服务正在监听该端口并准备接受连接。 2. 关闭端口:如果全连接扫描发起连接请求后,目标主机返回一个拒绝连接RST)的响应,那么该端口被判定为关闭状态。这表示目标主机上没有相关服务在该端口上监听。 3. 过滤端口:在某些情况下,目标主机可能会过滤或阻止全连接扫描的请求。这种情况下,全连接扫描无法确定端口的状态,因为没有得到任何响应。这可能是由于目标主机使用了防火墙或入侵防御系统来过滤扫描请求。 4. 无法确定状态:在一些情况下,全连接扫描可能无法确定端口的状态。例如,如果目标主机对于每个连接请求都返回一个确认连接(SYN/ACK)响应,无论端口是否开放,那么全连接扫描无法准确判断端口的状态。 全连接扫描是网络安全评估和攻击行为常用的一种技术,它可以帮助管理员了解网络设备上的开放端口,同时也可以作为攻击者发现潜在漏洞的手段。因此,网络管理员需要采取一系列措施来保护网络免受全连接扫描的威胁,如配置防火墙、入侵检测系统和及时更新安全补丁等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值