几种TCP连接中出现RST的情况

最新推荐文章于 2024-05-16 16:03:31 发布
最新推荐文章于 2024-05-16 16:03:31 发布
阅读量536 收藏 1
点赞数
分类专栏: 网络技术 协议 文章标签: tcp

应该没有人会质疑,现在是一个网络时代了。应该不少程序员在编程中需要考虑多机、局域网、广域网的各种问题。所以网络知识也是避免不了学习的。而且笔者一直觉得TCP/IP网络知识在一个程序员知识体系中必需占有一席之地的。

在TCP协议中RST表示复位,用来异常的关闭连接,在TCP的设计中它是不可或缺的。发送RST包关闭连接时,不必等缓冲区的包都发出去,直接就丢弃缓存区的包发送RST包。而接收端收到RST包后,也不必发送ACK包来确认。

其实在网络编程过程中,各种RST错误其实是比较难排查和找到原因的。下面我列出几种会出现RST的情况。

1 端口未打开

服务器程序端口未打开而客户端来连接。这种情况是最为常见和好理解的一种了。去telnet一个未打开的TCP的端口可能会出现这种错误。这个和操作系统的实现有关。在某些情况下,操作系统也会完全不理会这些发到未打开端口请求。

比如在下面这种情况下,主机241向主机114发送一个SYN请求,表示想要连接主机114的40000端口,但是主机114上根本没有打开40000这个端口,于是就向主机241发送了一个RST。这种情况很常见。特别是服务器程序core dump之后重启之前连续出现RST的情况会经常发生。

当然在某些操作系统的主机上,未必是这样的表现。比如向一台WINDOWS7的主机发送一个连接不存在的端口的请求,这台主机就不会回应。

2 请求超时

曾经遇到过这样一个情况:一个客户端连接服务器,connect返回-1并且error=EINPROGRESS。 直接telnet发现网络连接没有问题。ping没有出现丢包。用抓包工具查看,客户端是在收到服务器发出的SYN之后就莫名其妙的发送了RST。

比如像下面这样:

有89、27两台主机。主机89向主机27发送了一个SYN,表示希望连接8888端口,主机27回应了主机89一个SYN表示可以连接。但是主机27却很不友好,莫名其妙的发送了一个RST表示我不想连接你了。

后来经过排查发现,在主机89上的程序在建立了socket之后,用setsockopt的SO_RCVTIMEO选项设置了recv的超时时间为100ms。而我们看上面的抓包结果表示,从主机89发出SYN到接收SYN的时间多达110ms。(从15:01:27.799961到15:01:27.961886, 小数点之后的单位是微秒)。因此主机89上的程序认为接收超时,所以发送了RST拒绝进一步发送数据。

3 提前关闭

关于TCP,我想我们在教科书里都读到过一句话,'TCP是一种可靠的连接'。 而这可靠有这样一种含义,那就是操作系统接收到的来自TCP连接中的每一个字节,我都会让应用程序接收到。如果应用程序不接收怎么办?你猜对了,RST。

看两段程序:


?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
//server.c
 
int main( int argc, char ** argv) 
     int listen_fd, real_fd; 
     struct sockaddr_in listen_addr, client_addr; 
     socklen_t len = sizeof ( struct sockaddr_in); 
     listen_fd = socket(AF_INET, SOCK_STREAM, 0); 
     if (listen_fd == -1) 
    
         perror ( "socket failed   " ); 
         return -1; 
    
     bzero(&listen_addr, sizeof (listen_addr)); 
     listen_addr.sin_family = AF_INET; 
     listen_addr.sin_addr.s_addr = htonl(INADDR_ANY); 
     listen_addr.sin_port = htons(SERV_PORT); 
     bind(listen_fd,( struct sockaddr *)&listen_addr, len); 
     listen(listen_fd, WAIT_COUNT); 
     while (1) 
    
         real_fd = accept(listen_fd, ( struct sockaddr*)&client_addr, &len); 
         if (real_fd == -1) 
        
             perror ( "accpet fail  " ); 
             return -1; 
        
         if (fork() == 0) 
        
             close(listen_fd); 
             char pcContent[4096];
             read(real_fd,pcContent,4096);
             close(real_fd); 
             exit (0);             
        
         close(real_fd); 
     }    
     return 0; 
}
这一段是server的最简单的代码。逻辑很简单,监听一个TCP端口然后当有客户端来连接的时候fork一个子进程来处理。注意看的是这一段fork里面的处理:



?
1
2
3
char pcContent[4096];
read(real_fd,pcContent,4096);
close(real_fd);
每次只是读socket的前4096个字节,然后就关闭掉连接。


然后再看一下client的代码:


?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
//client.c
int main( int argc, char ** argv) 
     int send_sk; 
     struct sockaddr_in s_addr; 
     socklen_t len = sizeof (s_addr); 
     send_sk = socket(AF_INET, SOCK_STREAM, 0); 
     if (send_sk == -1) 
    
         perror ( "socket failed  " ); 
         return -1; 
    
     bzero(&s_addr, sizeof (s_addr)); 
     s_addr.sin_family = AF_INET; 
 
     inet_pton(AF_INET,SER_IP,&s_addr.sin_addr); 
     s_addr.sin_port = htons(SER_PORT); 
     if (connect(send_sk,( struct sockaddr*)&s_addr,len) == -1) 
    
         perror ( "connect fail  " ); 
         return -1; 
    
     char pcContent[5000]={0};
     write(send_sk,pcContent,5000);
     sleep(1);
     close(send_sk);
}
这段代码更简单,就是打开一个socket然后连接一个服务器并发送5000个字节。刚才我们看服务器的代码,每次只接收4096个字节,那么就是说客户端发送的剩下的4个字节服务端的应用程序没有接收到,服务器端的socket就被关闭掉,这种情况下会发生什么状况呢,还是抓包看一看。


前三行就是TCP的3次握手,从第四行开始看,客户端的49660端口向服务器的9877端口发送了5000个字节的数据,然后服务器端发送了一个ACK进行了确认,紧接着服务器向客户端发送了一个RST断开了连接。和我们的预期一致。

4 在一个已关闭的socket上收到数据

如果某个socket已经关闭,但依然收到数据也会产生RST。

代码如下:

客户端:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
int main( int argc, char ** argv)  
{  
     int send_sk;  
     struct sockaddr_in s_addr;  
     socklen_t len = sizeof (s_addr);  
     send_sk = socket(AF_INET, SOCK_STREAM, 0);  
     if (send_sk == -1)  
     {  
         perror ( "socket failed  " );  
         return -1;  
     }  
     bzero(&s_addr, sizeof (s_addr));  
     s_addr.sin_family = AF_INET;  
 
     inet_pton(AF_INET,SER_IP,&s_addr.sin_addr);  
     s_addr.sin_port = htons(SER_PORT);  
     if (connect(send_sk,( struct sockaddr*)&s_addr,len) == -1)  
     {  
         perror ( "connect fail  " );  
         return -1;  
     }  
     char pcContent[4096]={0};
     write(send_sk,pcContent,4096);
     sleep(1);
     write(send_sk,pcContent,4096);
     close(send_sk);
服务端:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
int main( int argc, char ** argv)  
{  
     int listen_fd, real_fd;  
     struct sockaddr_in listen_addr, client_addr;  
     socklen_t len = sizeof ( struct sockaddr_in);  
     listen_fd = socket(AF_INET, SOCK_STREAM, 0);  
     if (listen_fd == -1)  
     {  
         perror ( "socket failed   " );  
         return -1;  
     }  
     bzero(&listen_addr, sizeof (listen_addr));  
     listen_addr.sin_family = AF_INET;  
     listen_addr.sin_addr.s_addr = htonl(INADDR_ANY);  
     listen_addr.sin_port = htons(SERV_PORT);  
     bind(listen_fd,( struct sockaddr *)&listen_addr, len);  
     listen(listen_fd, WAIT_COUNT);  
     while (1)  
     {  
         real_fd = accept(listen_fd, ( struct sockaddr*)&client_addr, &len);  
         if (real_fd == -1)  
         {  
             perror ( "accpet fail  " );  
             return -1;  
         }  
         if (fork() == 0)  
         {  
             close(listen_fd);  
             char pcContent[4096];
             read(real_fd,pcContent,4096);
             close(real_fd);  
             exit (0);              
         }  
         close(real_fd);  
     }     
     return 0;  
客户端在服务端已经关闭掉socket之后,仍然在发送数据。这时服务端会产生RST。

总结

总结,本文讲了几种TCP连接中出现RST的情况。实际上肯定还有无数种的RST发生,我以后会慢慢收集把更多的例子加入这篇文章。

haoyu_linux
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TCP协议的原理来谈谈rst复位攻击
iteye_10227的博客
02-06 4687
在谈RST攻击前,必须先了解TCP:如何通过三次握手建立TCP连接、四次握手怎样把全双工的连接关闭掉、滑动窗口是怎么传输数据的、TCP的flag标志位里RST在哪些情况出现。下面我会画一些尽量简化的图来表达清楚上述几点,之后再了解下RST攻击是怎么回事。   1、TCP是什么? TCP是在IP网络层之上的传输层协议,用于提供port到port面向连接的可靠的字节流传输。我来用土语解释下上面...
TCP连接异常终止(RST包)场景分析
Yonx
08-25 9717
一、TCP异常终止(reset报文) TCP的异常终止是相对于正常释放TCP连接的过程而言的,我们都知道,TCP连接的建立是通过三次握手完成的,而TCP正常释放连接是通过四次挥手来完成。但是有些情况下,TCP在交互的过程出现一些意想不到的情况,导致TCP无法按照正常的三次握手建立连接或四次挥手来释放连接。如果此时不通过其他的方式来释放TCP连接的话,这个TCP连接将会一直存在,占用系统的资源。在这种情况下,我们就需要有一种能够释放TCP连接的机制,这种机制就是TCP的reset报文。reset报文是指
FIN和RST的区别,几种TCP连接出现RST情况_tcp fin rst
2401_84969443的博客
05-16 296
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
TCP协议的RST标志
有理论,有实验,有结论,可为一篇文章
05-29 3379
下文的内容多数来自【参考】的文章,这边进行一个整理和总结,后续会慢慢增加各个 RST 包的测试代码,便于理解。
TCP收到RST几种情况
knowledgebao的博客
11-30 8707
相关索引:https://blog.csdn.net/knowledgebao/article/details/84626184 关于三次握手,四次挥手过程及状态变化,请参考https://blog.csdn.net/knowledgebao/article/details/84626238 关于TCP的接口,请参考:https://blog.csdn.net/knowledgebao/art...
TCPRST标志(Reset)详解
weixin_43763259的博客
07-16 2513
在谈RST攻击前,必须先了解TCP:如何通过三次握手建立TCP连接、四次握手怎样把全双工的连接关闭掉、滑动窗口是怎么传输数据的、TCP的flag标志位里RST在哪些情况出现。下面我会画一些尽量简化的图来表达清楚上述几点,之后再了解下RST攻击是怎么回事。1、TCP是什么?TCP是在IP网络层之上的传输层协议,用于提供port到port面向连接的可靠的字节流传输。我来用土语解释下上面的几个关键字:port到port:IP层只管数据包从一个IP到另一个IP的传输,IP层之上的TCP层...
TCP关于不正常连接的请求释放1
08-03
通常,TCP连接关闭可以通过以下几种方式:双FIN(双方都发送FIN标志表示关闭);FIN+RST组合(一方在FIN后立即发送RST,表示无法接收更多数据);或者直接发送RST包,表明连接已异常终止。然而,即使在没有建立连接...
Python-tcpkiller用于在Linux或macOS上关闭一个TCP连接
08-10
1. **TCP连接状态**:TCP连接有多个状态,包括SYN(同步),ACK(确认),FIN(结束)和RST(复位)。tcp_killer主要利用RST标志来强制断开连接。 2. **套接字API**:Python的socket模块提供了与操作系统底层网络...
tcpScan.rar
09-04
TCP扫描的基本原理是建立TCP连接尝试,通常分为三次握手过程:SYN(同步序列编号)、SYN+ACK(同步确认)和ACK(确认)。如果目标端口开放,服务器会回应SYN+ACK,然后客户端发送ACK完成连接。如果端口未开放或...
TCP.rar_TCP 调试_tcp调试_tcp调试工具_visual c_调试工具
09-20
5. **TCP工具使用**:Visual C++是一种强大的C++编程环境,可以用于编写TCP客户端和服务器程序,进行TCP连接的模拟和测试。同时,还有很多专门的TCP调试工具,如Wireshark、TCPView、TCPClient/Server等,它们可以...
网络通信 TCP 产生 RST 的三个条件分析
chuanglan的专栏
06-16 5469
RSTTCP 发生错误时发送的一种 TCP 分节( segment:传输层的 PDU ),可用来异常的关闭一个连接,此时客户端会返回一个 ECONNREFUSED 错误。 它会在以下三种情况下产生: 目的地为某个端口的 SYN 到达服务器,但并没有服务器在该端口监听。 TCP 想取消一个已有连接,即异常地关闭连接TCP收到一个根本不存在的连接上的分节。 第一种情况可能有如下...
TCP协议的RST
nbaDWde的博客
01-22 1万+
前言:TCP有几个比较重要的标志位, SYN ACK FIN RST PSH URG。 比如:  (B) --> [SYN] -->(A)  (B)<-- [SYN/ACK] A)  (B)--> [ACK] --> (A)  以上是三次握手建立连接的过程。以上字段的具体含义: SYN: 表示建立连接 FIN: 表示关闭连接 ACK: 表示响应
TCP重置报文段(RST)
qq_41105501的博客
10-07 5956
TCP重置报文段(RST) 通常当发现一个到达的报文段对于相关连接而言是不正确的时,TCP就会发送一个重置报文段。总体上来说,重置报文段主要有以下几种场景: 1.针对不存端口的连接请求 当一个连接请求到达本地却没有相关进程在目的端口侦听时就会产生一个重置报文段。 2.终止一条连接 通常终止一条连接的正常方法是由通信一方发送一个FIN。这种方法有时也被称为有序释放。(因为FIN是在之前所有排队数据都已经发送后才被发送出去,通常不会出现丢失数据的情况) 而在任何时刻,我们都可以通过发送一个重置报文段RST替代F
会话结束原因:tcp-rst-from-server 常见原因分析和解决办法
par@ish的博客
10-19 2699
TCP RST(重置)包通常由服务器端发出,TCP RST包通常是用于在连接出现异常或需要立即终止连接情况下,所以它的作用是立即终止TCP连接。意味着服务器不再愿意或不能够继续与客户端通信,并且双方的连接被立即关闭。在TCP的设计TCP RST是不可或缺的,发送RST包关闭连接时,不会等缓冲区的包都发出去(不像TCP握手过程的的FIN包,FIN包会根据缓冲区的顺序来发送,FIN包是TCP握手过程正常结束后发送的正常关闭连接的包),它会直接就丢弃缓存区的包发送RST包。
TCP协议RSTRST介绍、什么时候发送RST
热门推荐
kanguolaikanguolaik的专栏
09-17 8万+
一、RST介绍       RST标示复位、用来异常的关闭连接。            1. 发送RST包关闭连接时,不必等缓冲区的包都发出去,直接就丢弃缓冲区的包,发送RST。             2. 而接收端收到RST包后,也不必发送ACK包来确认。 二、什么时候发送RST包      1.  建立连接的SYN到达某端口,但是该端口上没有正在 监听的服务。
tcp 出现rst情况整理
dbd379717的博客
12-07 417
正常情况tcp四层握手关闭连接rst基本都是异常情况,整理如下: 1.GFW 2. 对方端口未打开,发生在连接建立   如果端口打开,只是sync_backlog满了的话,sync简单被丢弃,表现为超时,而不会rst。 3. close Socket 时recv buffer 不为空   例如,客户端发了两个请求,服务器只从buffer 读取第一个请求处理完就关闭连接,...
tcp rst ack报文
最新发布
06-22
TCP RST (Reset) ACK 报文是Transmission Control Protocol(传输控制协议)的一种响应报文,用于在网络通信表示一种异常情况。当一个TCP连接在以下几种情况下可能会发送RST ACK: 1. **连接建立失败**:如果客户端或服务器在尝试三次握手(SYN-SYN-ACK/ACK-SYN-ACK)后没有收到对方的确认(ACK),通常会发送一个RST ACK来连接初始化过程。 2. **数据段损坏**:当TCP检测到数据包严重错误(如序列号错误、校验和错误等)时,发送端会选择关闭连接,并发送一个RST ACK给对端,通知其连接已被终止。 3. **连接被恶意终止**:为了防止拒绝服务攻击,如果一方检测到连接受到了连续的错误或者恶意行为,可能会发送RST报文以立即断开连接。 4. **超时重置**:当TCP连接长时间无数据传输,且双方都没有主动维持连接(例如使用FIN),如果超时仍未收到确认,也会发送RST ACK来关闭连接RST ACK报文的结构包括一个ACK(确认序号字段),表明它是对上一个有效的ACK的响应,以及一个RST位,即标志位,表示这个报文的作用是请求重置连接。相关问题如下:

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值