TCP连接异常终止（RST包）场景分析

转自&＃xff1a;http://blog.csdn.net/ixidof/article/details/8049667

TCP异常终止&＃xff08;reset报文&＃xff09;

TCP的异常终止是相对于正常释放TCP连接的过程而言的&＃xff0c;我们都知道&＃xff0c;TCP连接的建立是通过三次握手完成的&＃xff0c;而TCP正常释放连接是通过四次挥手来完成&＃xff0c;但是有些情况下&＃xff0c;TCP在交互的过程中会出现一些意想不到的情况&＃xff0c;导致TCP无法按照正常的四次挥手来释放连接&＃xff0c;如果此时不通过其他的方式来释放TCP连接的话&＃xff0c;这个TCP连接将会一直存在&＃xff0c;占用系统的部分资源。在这种情况下&＃xff0c;我们就需要有一种能够释放TCP连接的机制&＃xff0c;这种机制就是TCP的reset报文。reset报文是指TCP报头的标志字段中的reset位置一的报文&＃xff0c;如下图所示&＃xff1a;

TCP异常终止的常见情形

我们在实际的工作环境中&＃xff0c;导致某一方发送reset报文的情形主要有以下几种&＃xff1a;

1&＃xff0c;客户端尝试与服务器未对外提供服务的端口建立TCP连接&＃xff0c;服务器将会直接向客户端发送reset报文。

2&＃xff0c;客户端和服务器的某一方在交互的过程中发生异常&＃xff08;如程序崩溃等&＃xff09;&＃xff0c;该方系统将向对端发送TCP reset报文&＃xff0c;告之对方释放相关的TCP连接&＃xff0c;如下图所示&＃xff1a;

3&＃xff0c;接收端收到TCP报文&＃xff0c;但是发现该TCP的报文&＃xff0c;并不在其已建立的TCP连接列表内&＃xff0c;则其直接向对端发送reset报文&＃xff0c;如下图所示&＃xff1a;

4&＃xff0c;在交互的双方中的某一方长期未收到来自对方的确认报文&＃xff0c;则其在超出一定的重传次数或时间后&＃xff0c;会主动向对端发送reset报文释放该TCP连接&＃xff0c;如下图所示&＃xff1a;

5&＃xff0c;有些应用开发者在设计应用系统时&＃xff0c;会利用reset报文快速释放已经完成数据交互的TCP连接&＃xff0c;以提高业务交互的效率&＃xff0c;如下图所示&＃xff1a;

Reset报文的利用

1 安全设备利用reset报文阻断异常连接

安全设备&＃xff08;如防火墙、入侵检测系统等&＃xff09;在发现某些可疑的TCP连接时&＃xff0c;会构造交互双方的reset报文发给对端&＃xff0c;让对端释放该TCP连接。比如入侵检测检测到黑客攻击的TCP连接&＃xff0c;其构造成被攻击端给黑客主机发送reset报文&＃xff0c;让黑客主机释放攻击连接。

2 利用reset报文实施攻击

安全设备可以利用reset报文达到安全防护的效果&＃xff0c;黑客和攻击者也可以利用reset报文实现对某些主机的入侵和攻击&＃xff0c;最常见的就是TCP会话劫持攻击。关于TCP会话劫持的相关知识请参考第三章《TCP会话劫持》一文。