TCP連線異常終止分析

2021-07-30 10:04:16 字數 1347 閱讀 3342

cp的異常終止是相對於正常釋放tcp連線的過程而言的,我們都知道,tcp連線的建立是通過三次握手完成的,而tcp正常釋放連線是通過四次揮手來完成,但是有些情況下,tcp在互動的過程中會出現一些意想不到的情況,導致tcp無法按照正常的四次揮手來釋放連線,如果此時不通過其他的方式來釋放tcp連線的話,這個tcp連線將會一直存在,占用系統的部分資源。在這種情況下,我們就需要有一種能夠釋放tcp連線的機制,這種機制就是tcp的reset報文。reset報文是指tcp報頭的標誌欄位中的reset位置一的報文,如下圖所示:

我們在實際的工作環境中,導致某一方傳送reset報文的情形主要有以下幾種:

1、客戶端嘗試與伺服器未對外提供服務的埠建立tcp連線,伺服器將會直接向客戶端傳送reset報文。

3、接收端收到tcp報文,但是發現該tcp的報文,並不在其已建立的tcp連線列表內,則其直接向對端傳送reset報文。

如下圖所示:

4、在互動的雙方中的某一方長期未收到來自對方的確認報文,則其在超出一定的重傳次數或時間後,會主動向對端傳送reset報文釋放該tcp連線。

如下圖所示:

5、有些應用開發者在設計應用系統時,會利用reset報文快速釋放已經完成資料互動的tcp連線,以提高業務互動的效率。

如下圖所示:

1、 安全裝置利用reset報文阻斷異常連線

安全裝置(如防火牆、入侵檢測系統等)在發現某些可疑的tcp連線時,會構造互動雙方的reset報文發給對端,讓對端釋放該tcp連線。比如入侵檢測檢測到黑客攻擊的tcp連線,其構造成被攻擊端給黑客主機傳送reset報文,讓黑客主機釋放攻擊連線。

2 、利用reset報文實施攻擊

安全裝置可以利用reset報文達到安全防護的效果,黑客和攻擊者也可以利用reset報文實現對某些主機的入侵和攻擊,最常見的就是tcp會話劫持攻擊。關於tcp會話劫持的相關知識請參考第三章《tcp會話劫持》一文。

TCP異常終止分析

tcp異常終止 reset報文 tcp的異常終止是相對於正常釋放tcp連線的過程而言的,我們都知道,tcp連線的建立是通過三次握手完成的,而tcp正常釋放連線是通過四次揮手來完成,但是有些情況下,tcp在互動的過程中會出現一些意想不到的情況,導致tcp無法按照正常的四次揮手來釋放連線,如果此時不通過...

TCP的連線與終止

t c p將使用者資料打包構成報文段 它傳送資料後啟動乙個定時器 另一端對收到的資料進行確認,對失序的資料重新排序,丟棄重複資料 t c p提供端到端的流量控制,並計算和驗證乙個強制性的端到端檢驗和。導致兩個進入established狀態的變遷對應開啟乙個連線,而兩個導致從established狀態...

TCP的連線與終止

一 三次握手 1 伺服器必須準備好接受外來的連線。這通常通過呼叫socket bind和listen這三個函式來完成,我們稱之為被動開啟。2 客戶端通過呼叫connect發起主動開啟。這導致客戶tcp傳送乙個syn 同步 位元組,它告訴伺服器客戶將在 待建立 連線傳送的資料的初始序列號。通常syn分...