TCP收到RST的几种情况

最新推荐文章于 2023-10-19 11:45:39 发布
最新推荐文章于 2023-10-19 11:45:39 发布
阅读量8.3k 收藏 16
点赞数 1
分类专栏: 网络相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/knowledgebao/article/details/84644233
版权

相关索引:https://blog.csdn.net/knowledgebao/article/details/84626184

关于三次握手,四次挥手过程及状态变化,请参考https://blog.csdn.net/knowledgebao/article/details/84626238

关于TCP的接口,请参考:https://blog.csdn.net/knowledgebao/article/details/85384510

目录

产生RST的原因

1.  访问不存在的端口。

2. 异常终止连接。

3.处理半打开连接。

4.请求超时

5,keepalive 超时

6, TIME_WAIT 状态

RST攻击

产生RST的原因

1.  访问不存在的端口。

若端口不存,则直接返回RST,同时RST报文接收通告窗口大小为0.其实客户端向服务器的某个端口发起连接,如果端口被处于TIME_WAIT 状态的连接占用时,客户端也会收到RST。这种情况很常见。特别是服务器程序core dump之后重启之前连续出现RST的情况会经常发生。

2. 异常终止连接。

一方直接发送RST报文,表示异常终止连接。

  • 一旦发送方发送复位报文段,发送端所有排队等待发送的数据都被丢弃。应用程序可以通过socket选项SO_LINGER来发送RST复位报文。而接收端收到RST包后,不必发送ACK包来确认。
  • 接收方如果不接受完所有的数据,就关闭链接,底层TCP会给发送方返回一个RET报文,表示数据没有被完全接受,并且关闭里。参考文章3有Demo实现。

3.处理半打开连接。

一方关闭了连接,另一方却没有收到结束报文(如网络故障),此时另一方还维持着原来的连接。而一方即使重启,也没有该连接的任何信息。这种状态就叫做半打开连接。而此时另一方往处于半打开状态的连接写数据,则对方回应RST复位报文。此时会出现connect reset by peer错误。

4.请求超时

设置 connect_timeout,应用设置了连接超时,sync 未完成时超时了,会发送rst终止连接。

曾经遇到过这样一个情况:一个客户端连接服务器,connect返回-1并且error=EINPROGRESS。 直接telnet发现网络连接没有问题。ping没有出现丢包。用抓包工具查看,客户端是在收到服务器发出的SYN之后就莫名其妙的发送了RST。

比如像下面这样:

有89、27两台主机。主机89向主机27发送了一个SYN,表示希望连接8888端口,主机27回应了主机89一个SYN表示可以连接。但是主机27却很不友好,莫名其妙的发送了一个RST表示我不想连接你了。

后来经过排查发现,在主机89上的程序在建立了socket之后,用setsockopt的SO_RCVTIMEO选项设置了recv的超时时间为100ms。而我们看上面的抓包结果表示,从主机89发出SYN到接收SYN的时间多达110ms。(从15:01:27.799961到15:01:27.961886, 小数点之后的单位是微秒)。因此主机89上的程序认为接收超时,所以发送了RST拒绝进一步发送数据。

 

5,keepalive 超时

    公网服务tcp keepalive 最好别打开;移动网络下会增加网络负担,切容易掉线;非移动网络核心ISP设备也不一定都支持keepalive,曾经也发现过广州那边有个核心节点就不支持。

6, TIME_WAIT 状态

  tw_recycle = 1 时,sync timestamps 比上次小时,会被rst。

 

RST攻击

服务器A和服务器B之间建立了TCP连接,此时服务器C伪造了一个TCP包发给B,使B异常的断开了与A之间的TCP连接,这就是RST攻击。
那么伪造什么样的TCP包可以达成目的呢?我们至顶向下的看:

  • 假定C伪装成A发过去的包,这个包如果是RST包的话,毫无疑问,B将会丢弃与A的缓冲区上所有数据,强制关掉连接;
  • 如果发过去的包是SYN包,B会表示A已经发疯了(与OS的实现有关),正常连接时又来建新连接,B主动向A发个RST包,并在自己这端强制关掉连接;

这两种方式都能够达到复位攻击的效果。似乎挺恐怖,然而关键是C如何能伪造成A发给B的包呢?这里有两个关键因素,源端口和序列号。

一个TCP连接都是四元组,由源IP+源端口、目标IP+目标端口唯一确定一个连接。所以,如果C要伪造A发给B的包,要在上面提到的IP头和TCP头,把源IP、源端口、目标IP、目标端口都填对。这里B作为服务器,IP和端口是公开的,A是我们要下手的目标,IP当然知道,但A的源端口就不清楚了,因为这可能是A随机生成的。当然,如果能够对常见的OS如windows和linux找出生成source port规律的话,还是可以搞定的。

此外,伪造的TCP包里需要填序列号(SeqNum),如果序列号的值不在A之前向B发送时B的滑动窗口内,B是会主动丢弃的。所以我们要找到能落到当时的AB间滑动窗口的序列号。这个可以暴力解决,因为一个sequence长度是32位,取值范围0-4294967296,如果滑动窗口大小为65535的话,则最多只需要发65537(4294967296/65535=65537)个包就能有一个序列号落到滑动窗口内。RST包是很小的,IP头+TCP头也才40字节,算算我们的带宽就知道这实在只需要几秒钟就能搞定。

 

参考文章:

1,https://blog.csdn.net/a_tu_/article/details/80389878

2,https://blog.csdn.net/hhgggggg/article/details/77678687

3,https://www.cnblogs.com/JohnABC/p/6323046.html

4,https://blog.csdn.net/ilozk/article/details/78667499

有任何问题,请联系:knowledgebao@163.com

knowledgebao
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TCP SYN ACK FIN RST PSH URG.doc
05-24
TCP SYN ACK FIN RST PSH URG.doc
TCP.rar_TCP rst_URG_fin_syn
09-24
随机生成160位01序列模拟TCP报文首部 16位源端口,16位目的端口,32位序号,32位确认序号,4位首部长度都转化成相应的十进制显示,6位保留位,URG,ACK,PSH,RST,SYN,FIN 均为1位二进制, 16位窗口,16位紧急指针,16位校验和均用二进制显示
TCP协议的原理来谈谈RST复位攻击
03-03
在谈RST攻击前,必须先了解TCP:如何通过三次握手建立TCP连接、四次握手怎样把全双工的连接关闭掉、滑动窗口是怎么传输数据的、TCP的flag标志位里RST在哪些情况下出现。下面我会画一些尽量简化的图来表达清楚上述几点,之后再了解下RST攻击是怎么回事。1、TCP是什么?TCP是在IP网络层之上的传输层协议,用于提供port到port面向连接的可靠的字节流传输。我来用土语解释下上面的几个关键字:port到port:IP层只管数据包从一个IP到另一个IP的传输,IP层之上的TCP层加上端口后,就是面向进程了,每个port都可以对应到用户进程。可靠:TCP会负责维护实际上子虚乌有的连接概念,包括
TCP协议---RST
zhangbinalan的专栏
12-02 1万+
RST:(Reset the connection)用于复位因某种原因引起出现的错误连接,也用来拒绝非法数据和请求。如果接收到RST位时候,通常发生了某些错误; 发送RST包关闭连接时,不必等缓冲区的包都发出去,直接就丢弃缓冲区中的包,发送RST;接收端收到RST包后,也不必发送ACK包来确认。
TCP中的RST标志(Reset)详解
weixin_43763259的博客
07-16 2148
在谈RST攻击前,必须先了解TCP:如何通过三次握手建立TCP连接、四次握手怎样把全双工的连接关闭掉、滑动窗口是怎么传输数据的、TCP的flag标志位里RST在哪些情况下出现。下面我会画一些尽量简化的图来表达清楚上述几点,之后再了解下RST攻击是怎么回事。1、TCP是什么?TCP是在IP网络层之上的传输层协议,用于提供port到port面向连接的可靠的字节流传输。我来用土语解释下上面的几个关键字:port到port:IP层只管数据包从一个IP到另一个IP的传输,IP层之上的TCP层...
TCP协议的原理来谈谈rst复位攻击
iteye_10227的博客
02-06 4505
在谈RST攻击前,必须先了解TCP:如何通过三次握手建立TCP连接、四次握手怎样把全双工的连接关闭掉、滑动窗口是怎么传输数据的、TCP的flag标志位里RST在哪些情况下出现。下面我会画一些尽量简化的图来表达清楚上述几点,之后再了解下RST攻击是怎么回事。   1、TCP是什么? TCP是在IP网络层之上的传输层协议,用于提供port到port面向连接的可靠的字节流传输。我来用土语解释下上面...
网络通信中 TCP 产生 RST 的三个条件分析
chuanglan的专栏
06-16 5133
RSTTCP 发生错误时发送的一种 TCP 分节( segment:传输层的 PDU ),可用来异常的关闭一个连接,此时客户端会返回一个 ECONNREFUSED 错误。 它会在以下三种情况下产生: 目的地为某个端口的 SYN 到达服务器,但并没有服务器在该端口监听。 TCP 想取消一个已有连接,即异常地关闭连接。 TCP收到一个根本不存在的连接上的分节。 第一种情况可能有如下...
几种TCP连接中出现RST情况
xupeng1644的博客
02-06 2710
应该没有人会质疑,现在是一个网络时代了。应该不少程序员在编程中需要考虑多机、局域网、广域网的各种问题。所以网络知识也是避免不了学习的。而且笔者一直觉得TCP/IP网络知识在一个程序员知识体系中必需占有一席之地的。 在TCP协议中RST表示复位,用来异常的关闭连接,在TCP的设计中它是不可或缺的。发送RST包关闭连接时,不必等缓冲区的包都发出去,直接就丢弃缓存区的包发送RST包。而接收端收...
TCP协议的RST标志
有理论,有实验,有结论,可为一篇文章
05-29 2683
下文中的内容多数来自【参考】中的文章,这边进行一个整理和总结,后续会慢慢增加各个 RST 包的测试代码,便于理解。
漏洞攻击 --- TCP -- 半开攻击、RST攻击
weixin_62443409的博客
07-12 9497
sys 攻击数据是DOS攻击的一种,利用TCP协议缺陷,发送大量的半连接请求,耗费CPU和内存资源,发生在TCP三次握手中。A向B发起请求,B按照正常情况执行响应,A不进行第3次握手,这就是半连接攻击。
tcp port numbers reused出现原因_从TCP协议的原理来谈谈rst复位攻击
weixin_39754411的博客
11-27 1万+
在谈RST攻击前,必须先了解TCP:如何通过三次握手建立TCP连接、四次握手怎样把全双工的连接关闭掉、滑动窗口是怎么传输数据的、TCP的flag标志位里RST在哪些情况下出现。下面我会画一些尽量简化的图来表达清楚上述几点,之后再了解下RST攻击是怎么回事。1、TCP是什么?TCP是在IP网络层之上的传输层协议,用于提供port到port面向连接的可靠的字节流传输。我来用土语解释下上面的几个关键字:...
TCP连接异常终止(RST包)场景分析
Yonx
08-25 9352
一、TCP异常终止(reset报文) TCP的异常终止是相对于正常释放TCP连接的过程而言的,我们都知道,TCP连接的建立是通过三次握手完成的,而TCP正常释放连接是通过四次挥手来完成。但是有些情况下,TCP在交互的过程中会出现一些意想不到的情况,导致TCP无法按照正常的三次握手建立连接或四次挥手来释放连接。如果此时不通过其他的方式来释放TCP连接的话,这个TCP连接将会一直存在,占用系统的资源。在这种情况下,我们就需要有一种能够释放TCP连接的机制,这种机制就是TCP的reset报文。reset报文是指
会话结束原因:tcp-rst-from-server 常见原因分析和解决办法
最新发布
par@ish的博客
10-19 1943
TCP RST(重置)包通常由服务器端发出,TCP RST包通常是用于在连接出现异常或需要立即终止连接的情况下,所以它的作用是立即终止TCP连接。意味着服务器不再愿意或不能够继续与客户端通信,并且双方的连接被立即关闭。在TCP的设计中TCP RST是不可或缺的,发送RST包关闭连接时,不会等缓冲区的包都发出去(不像TCP握手过程中的的FIN包,FIN包会根据缓冲区的顺序来发送,FIN包是TCP握手过程正常结束后发送的正常关闭连接的包),它会直接就丢弃缓存区的包发送RST包。
TCP重置报文段(RST)
qq_41105501的博客
10-07 5771
TCP重置报文段(RST) 通常当发现一个到达的报文段对于相关连接而言是不正确的时,TCP就会发送一个重置报文段。总体上来说,重置报文段主要有以下几种场景: 1.针对不存端口的连接请求 当一个连接请求到达本地却没有相关进程在目的端口侦听时就会产生一个重置报文段。 2.终止一条连接 通常终止一条连接的正常方法是由通信一方发送一个FIN。这种方法有时也被称为有序释放。(因为FIN是在之前所有排队数据都已经发送后才被发送出去,通常不会出现丢失数据的情况) 而在任何时刻,我们都可以通过发送一个重置报文段RST替代F
TCP协议RSTRST介绍、什么时候发送RST
热门推荐
kanguolaikanguolaik的专栏
09-17 8万+
一、RST介绍       RST标示复位、用来异常的关闭连接。            1. 发送RST包关闭连接时,不必等缓冲区的包都发出去,直接就丢弃缓冲区中的包,发送RST。             2. 而接收端收到RST包后,也不必发送ACK包来确认。 二、什么时候发送RST包      1.  建立连接的SYN到达某端口,但是该端口上没有正在 监听的服务。
什么是tcp rst以及什么时候产生?
iUcool的博客
07-25 651
rst包是仅在header control bits设置rst的空payload包,用于强制关闭tcp连接。常在以下场景发送远程主机没有监听该端口远程主机强迫关闭了一个现有连接。比如服务端进程崩溃后重启会向之前连接发送rst相比于四次挥手的fin,rst是在异常情况下的无条件关闭,在该连接中不再发送和接收包。而fin是在四次挥手场景中,而且还是会接收连接对方发送的包。
收到RST,就一定会断开TCP连接吗?
ss810540895的博客
08-31 615
我们都知道TCP正常情况下断开连接是用四次挥手,那是正常时候的优雅做法。但异常情况下,收发双方都不一定正常,连挥手这件事本身都可能做不到,所以就需要一个机制去强行关闭连接。RST就是用于这种情况,一般用来异常地关闭一个连接。它是一个TCP包头中的标志位。正常情况下,不管是发出,还是收到置了这个标志位的数据包,相应的内存、端口等连接资源都会被释放。从效果上来看就是TCP连接被关闭了。而接收到 RST的一方,一般会看到一个或的报错。TCP报头RSTRST其实是TCP包头里的一个标志位,目的是为了在。
tcprst序列号如何计算
07-14
TCPRST(Reset)标志用于中断TCP连接。在发送RST包时,需要指定序列号。计算RST包的序列号可以按照以下步骤进行: 1. 首先,需要确定RST包是作为响应的还是主动发送的。如果是作为响应,那么RST包的序列号将与收到TCP数据包的确认号相同。 2. 如果RST包是主动发送的,那么需要确定RST包的序列号。可以通过以下方式计算: - 如果已经建立了TCP连接,可以使用已建立连接的初始序列号(ISN)作为RST包的序列号。ISN是在建立连接时由双方协商生成的一个随机数。 - 如果还没有建立TCP连接,可以使用随机数生成器生成一个合法的序列号。 需要注意的是,RST包的序列号只是用于指定连接中的位置,并不要求按照特定的逻辑或算法计算。每个实现都可能有不同的方式来计算RST包的序列号。以上是一种基本的计算方法,具体实现可能会有所差异。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值