几种TCP连接中出现RST的情况(比较详细)

TCPRST标志位
1. RST标志位
RST标志位位于TCP报⽂⾸部, 其置位时, 表⽰连线复位，⾸先断开连接，然后重建.
RST置位的分节(TCP数据包), 常称为RST分节. RST不同于close (FIN分节), close⽤于关闭正常连接, ⽽RST⽤于复位异常连接.
参考
2. 产⽣条件
UNP 4.3提到, RST是TCP发⽣错误时, 发送的⼀种TCP分节, 产⽣RST的三个条件是:
1. ⽬的地为某端⼝的SYN达到, ⽽该端⼝上没有正在监听的服务器;
2. TCP想取消⼀个已有连接;
3. TCP接收到⼀个根本不存在的连接上的分节;
3. 产⽣场景
例如,
1. 客户端发起connect请求时, 服务器在指定端⼝上没有进程在等待与之连接(没有accept阻塞等待), 或者服务器进程根本没有启动, 服务器
就会回送RST分节, 此时客户端会报"connection refuse"错误;
2. 服务器端通过设置TCP选项SO_LINGER, 取消⼀个长时间空闲连接, 可以发送RST分节;
3. 当close A -> B的连接时, A发送FIN分节给B, B回ACK分节由于⽹络原因未能及时发送给A, 后来A重启进程后, ⼜重新收到B回的ACK,
然⽽此时A的化⾝已经⽆法识别之前的连接, 就会回送RST分节;。

原文出处：陶辉的博客在谈RST攻击前，必须先了解TCP：如何通过三次握手建立TCP连接、四次握手怎样把全双工的连接关闭掉、滑动窗口是怎么传输数据的、TCP的flag标志位里RST在哪些情况下出现。

下面我会画一些尽量简化的图来表达清楚上述几点，之后再了解下RST攻击是怎么回事。

1、TCP是什么？TCP是在IP网络层之上的传输层协议，用于提供port到port面向连接的可靠的字节流传输。

我来用土语解释下上面的几个关键字：port到port：IP层只管数据包从一个IP到另一个IP的传输，IP层之上的TCP层加上端口后，就是面向进程了，每个port都可以对应到用户进程。

可靠：TCP会负责维护实际上子虚乌有的连接概念，包括收包后的确认包、丢包后的重发等来保证可靠性。

由于带宽和不同机器处理能力的不同，TCP要能控制流量。

字节流：TCP会把应用进程传来的字节流数据切割成许多个数据包，在网络上发送。

IP包是会失去顺序或者产生重复的，TCP协议要能还原到字节流本来面目。

FIN标志位也看到了，它用来表示正常关闭连接。

图的左边是主动关闭连接方，右边是被动关闭连接方，用netstat命令可以看到标出的连接状态。

FIN是正常关闭，它会根据缓冲区的顺序来发的，就是说缓冲区FIN之前的包都发出去后再发FIN包，这与RST不同。

5、RST标志位RST表示复位，用来异常的关闭连接，在TCP的设计中它是不可或缺的。

就像上面说的一样，发送RST包关闭连接时，不必等缓冲区的包都发出去（不像上面的FIN包），直接就丢弃缓存区的包发送RST包。

而接收端收到RST包后，也不必发送ACK包来确认。

TCP处理程序会在自己认为的异常时刻发送RST包。

例如，A向B发起连接，但B之上并未监听相应的端口，这时B操作系统上的TCP处理程序会发RST包。

又比如，AB正常建立连接了，正在通讯时，A向B发送了FIN包要求关连接，B发送ACK后，网断了，A通过若干原因放弃了这个连接（例如进程重启）。

wireshark rst解析TCP重置包（RST）是TCP协议中的一种重要的网络数据包类型，它的作用是终止TCP连接。

Wireshark是一种流行的网络协议分析工具，它可以帮助我们解析TCP重置包，并深入了解其原理和应用。

本文将介绍Wireshark RST解析的相关知识，包括TCP连接的建立和终止过程、RST包的格式、RST包的产生原因和使用场景等。

通过阅读本文，您将对TCP连接和RST包有更深入的理解。

TCP连接的建立和终止过程TCP是一种可靠的面向连接的传输协议，它在传输数据之前需要先建立连接。

TCP连接的建立和终止分别由三步握手和四步挥手完成。

三步握手过程如下：1.客户端向服务器发送SYN包，表示请求建立连接。

2.服务器收到SYN包后，向客户端发送SYN-ACK包，表示允许建立连接。

3.客户端收到SYN-ACK包后，向服务器发送ACK包，表示连接已建立。

四步挥手过程如下：1.客户端向服务器发送FIN包，表示请求关闭连接。

2.服务器收到FIN包后，向客户端发送ACK包，表示已收到关闭请求。

3.服务器处理完毕后，向客户端发送FIN包，表示可以关闭连接。

4.客户端收到FIN包后，向服务器发送ACK包，表示确认关闭连接。

RST包的格式RST包是TCP协议中的一种控制包，用于中断TCP连接。

RST包的格式如下：其中，各字段含义如下：Source Port和Destination Port：源端口和目的端口，用于标识TCP连接。

Sequence Number和Acknowledgment Number：序列号和确认号，用于标识TCP数据流的顺序和完整性。

Data Offset：数据偏移，用于标识TCP头部长度，以4字节为单位。

Flags：标志位，包括URG、ACK、PSH、RST、SYN、FIN六个标志位。

Window：窗口大小，用于控制发送方数据量。

readconnection reset by peer"Read connection reset by peer" 是一个常见的网络错误消息，通常出现在使用TCP协议的网络通信中。

它表示在建立连接的过程中，远程服务器主动断开了与客户端的连接。

本篇文章将分步回答这个问题，从错误原因到可能的解决方案，帮助读者更好地理解和解决这个问题。

第一步：了解错误含义和原因"Read connection reset by peer" 通常意味着客户端与服务器之间的连接被远程服务器主动断开。

这通常发生在以下情况下：1. 服务器端关闭了与客户端的连接。

2. 服务器端在数据传输过程中出现了错误，需要关闭连接以恢复正常。

3. 客户端发送了无效或错误的数据包，导致服务器主动关闭连接。

4. 服务器端遭受到了网络攻击或故障，导致连接中断。

明确错误发生的原因非常重要，因为不同的原因对应着不同的解决方案。

第二步：检查网络连接和配置在遇到连接重置错误之前，首先应该检查网络连接和配置是否正常。

确保您的网络连接是稳定的，没有任何网络故障或中断。

检查您的网络设备（如路由器、交换机等）是否正常工作，并确保网络设置正确配置。

另外，如果您正在使用防火墙或代理服务器，需要确认它们没有阻止或干扰与服务器之间的连接。

如果防火墙或代理服务器配置不正确，可能会导致服务器无法与客户端建立连接，并最终导致"Read connection reset by peer" 错误。

第三步：确认您的服务器正常工作在确定网络连接和配置都正确无误后，要确保您的服务器正常工作。

检查服务器的运行状态、负载和资源使用情况。

如果服务器遭受到高负载或资源不足，可能会导致它无法处理来自客户端的请求，从而导致连接被重置。

在这种情况下，您可以尝试增加服务器的资源（如CPU、内存等），或考虑优化服务器程序或配置，以提高其性能和稳定性。

TCP重置报⽂段及RST常见场景分析RST表⽰连接重置，⽤于关闭那些已经没有必要继续存在的连接。

⼀般情况下表⽰异常关闭连接，区别与四次分⼿正常关闭连接。

产⽣RST的三个条件是：1. ⽬的地为某端⼝的SYN到达，然⽽在该端⼝上并没有正在监听的服务器；2. TCP想取消⼀个已有连接；3. TCP接收到⼀个根本不存在的连接上的分节。

下⾯的⼏种场景，都会产⽣RST，以此来说明重置报⽂段的⽤途。

⼀、针对不存在端⼝的连接请求客户端向服务端某端⼝发起连接请求SYN，但是⽬的服务端主机不存在该端⼝，此时向客户端回应RST，中断连接请求。

下⾯通过程序和抓包进⾏分析。

程序源码如下：use std::io::prelude::*;use std::net::TcpStream;use std::thread;fn main() {let mut stream = TcpStream::connect("192.168.2.229:33333").unwrap();let n = stream.write(&[1,2,3,4,5,6,7,8,9]).unwrap();println!("send {} bytes to remote node, waiting for end.", n);loop{thread::sleep_ms(1000);}}上⾯程序向⽬的主机192.168.2.229发起TCP连接，⽽⽬的主机并没有启动端⼝为33333的监听服务。

所以当本地主机向⽬的主机发起TCP连接后，会收到来⾃⽬的主机的RST，并断开连接。

（当然也不是所有的都会回复RST，有的主机可能不会进⾏回复）。

抓包如下：本地主机向⽬的主机发送TCP连接SYN：⽬的主机向本地主机回复ACK、RST：⼆、终⽌⼀条连接终⽌⼀条连接的正常⽅法是由通信⼀⽅发送⼀个FIN。

这种⽅法也被称为有序释放。

TCP协议中FLAG的含义1. URG：紧急标志（URGent），占位1位。

当URG为1时，说明TCP报文段中包含紧急数据。

该位一般用于TCP的紧急模式，表示紧急数据的结束位置。

2. ACK：确认标志（ACKnowledgment），占位1位。

当ACK为1时，表示确认序号字段中的值是有效的。

也就是说，发送端收到了对方发来的数据，并且接下来发送的报文段中确认序号字段的值是有效的。

3.PSH：推送标志（PuSH），占位1位。

当PSH为1时，表示接收端应该尽快将数据交给上层应用程序，而不是等待TCP缓冲区填满或者等待延迟定时器到期。

4. RST：复位标志（Reset），占位1位。

当RST为1时，表示TCP连接存在问题，需要立即关闭连接。

5. SYN：同步标志（SYNchronization），占位1位。

当SYN为1时，表示TCP报文段是一个连接请求。

在建立TCP连接时，客户端向服务器发送连接请求时，该位被置为16. FIN：结束标志（FINish），占位1位。

当FIN为1时，表示发送端已经没有数据需要发送并且即将关闭连接。

一般用于TCP连接的释放阶段。

FLAG字段的各种组合可以表示不同的控制信息和状态。

下面是一些常见的FLAG组合及其含义：1.SYN=1，ACK=0：发送端发起一个新的连接请求，请求与对方建立TCP连接。

2.SYN=1，ACK=1：接收端回应连接请求，同意与发送端建立TCP连接。

3.SYN=0，ACK=1：用于确认已经收到了对方发送的数据。

4.FIN=1，ACK=0：发送端请求关闭连接，停止发送数据。

5.FIN=1，ACK=1：接收端对关闭连接请求的确认，同意关闭连接。

6.RST=1：发生错误或异常情况，需要立即中断连接。

FLAG字段在TCP协议中扮演重要的角色，通过FLAG字段的设置，TCP报文段可以进行连接的建立、确认、数据的传输和连接的关闭等各种操作。

FLAG字段的正确使用对于保证TCP连接的可靠性和可用性非常重要。

TCP连接的状态详解以及故障排查我们通过了解TCP各个状态，可以排除和定位⽹络或系统故障时⼤有帮助。

（总结⽹络上的内容）1、TCP状态了解TCP之前，先了解⼏个命令：linux查看tcp的状态命令：1）、netstat -nat 查看TCP各个状态的数量2）、lsof -i:port 可以检测到打开套接字的状况3)、sar -n SOCK 查看tcp创建的连接数4)、tcpdump -iany tcp port 9000 对tcp端⼝为9000的进⾏抓包⽹络测试常⽤命令;1）ping:检测⽹络连接的正常与否,主要是测试延时、抖动、丢包率。

但是很多服务器为了防⽌攻击，⼀般会关闭对ping的响应。

所以ping⼀般作为测试连通性使⽤。

ping命令后，会接收到对⽅发送的回馈信息，其中记录着对⽅的IP地址和TTL。

TTL是该字段指定IP包被路由器丢弃之前允许通过的最⼤⽹段数量。

TTL是IPv4包头的⼀个8 bit字段。

例如IP包在服务器中发送前设置的TTL是64，你使⽤ping命令后，得到服务器反馈的信息，其中的TTL为56，说明途中⼀共经过了8道路由器的转发，每经过⼀个路由，TTL减1。

2）traceroute：raceroute 跟踪数据包到达⽹络主机所经过的路由⼯具traceroute hostname3）pathping：是⼀个路由跟踪⼯具，它将 ping 和 tracert 命令的功能与这两个⼯具所不提供的其他信息结合起来，综合了⼆者的功能pathping 4）mtr：以结合ping nslookup tracert 来判断⽹络的相关特性5) nslookup:⽤于解析域名，⼀般⽤来检测本机的DNS设置是否配置正确。

LISTENING：侦听来⾃远⽅的TCP端⼝的连接请求.⾸先服务端需要打开⼀个socket进⾏监听，状态为LISTEN。

有提供某种服务才会处于LISTENING状态，TCP状态变化就是某个端⼝的状态变化，提供⼀个服务就打开⼀个端⼝，例如：提供www服务默认开的是80端⼝，提供ftp服务默认的端⼝为21，当提供的服务没有被连接时就处于LISTENING状态。

TCP的三次握⼿以及重置（Reset） 在最近的⼯作中需要对同⼀个域名下的源站同时发起多次请求，有时甚⾄达到了6000次，发⽣了很严重的性能问题，追查了下原因是被浏览器（Chrome）stalled了，因为浏览器只⽀持对同⼀个域名下保持6个连接，拥有更多连接时，就只能被挂起，直到上⼀个连接完成被复⽤。

所以同时发起6000次请求，100ms的耗时也将会导致100秒的处理时间，在实际过程中复⽤连接将会导致更⾼的耗时。

最终的解决⽅案当然是要求对⽅接⼝⼈改批量接⼝啦，皆⼤欢喜。

在追查的过程中也发现了前⼈关于请求被挂起导致加载缓慢的分析，最终追查到chrome⽇志，其中关于⽹络连接引⽤到了TCP Reset的⽂章，对⾃⼰有⼀些启发，这⾥翻译并总结下。

在⽹络服务中，经常性会遇到reset导致的连接断开问题，每⼀次追查问题可能都会让⼈⼤为恼⽕，但是⾸先我们需要了解reset是怎么⼯作的。

reset事实上是⼀件好事情，它关闭那些已经没有必要继续存在的连接，举个例⼦，我们的程序建⽴了许多的TCP短连接，这些连接在断开时将会保持⼀段时间的Time Wait State状态，默认4分钟，⽤于保证连接能够被正确的断开，但是当我并不想这么做，想降低资源的消耗快速重⽤这些端⼝和资源时，就需要使⽤reset来重置这些连接了。

从这⾥我们也能看出，重置实质上就是强制断开连接。

三次握⼿ ⾸先来说⼀下具体的TCP连接，⽼⽣常谈的三次握⼿，它适⽤于基于IP协议的稳定⽹络传输，保证信息是准确⽆误的。

当⼀个节点A想要跟另外⼀个⽹络节点B通信时，A节点会先发送⼀个同步包Syn包，这个包将会包含建联需要的基本信息，如源IP和端⼝以及⽬的IP和端⼝，以及序列值等信息。

如上⾯的包可以看到TCP:Flags=......S字段，这标识着这是⼀个Syn包，⾥⾯同时包含着Source IP, SrcPort, Destination IP, DstPort信息⽤于建联，还有内容长度以及序列值等信息。

TCP报⽂中的SYN,FIN,ACK,PSH,RST,URGTCP的三次握⼿是怎么进⾏的：发送端发送⼀个SYN=1，ACK=0标志的数据包给接收端，请求进⾏连接，这是第⼀次握⼿；接收端收到请求并且允许连接的话，就会发送⼀个SYN=1，ACK=1标志的数据包给发送端，告诉它，可以通讯了，并且让发送端发送⼀个确认数据包，这是第⼆次握⼿；最后，发送端发送⼀个SYN=0，ACK=1的数据包给接收端，告诉它连接已被确认，这就是第三次握⼿。

之后，⼀个TCP 连接建⽴，开始通讯。

*SYN：同步标志同步序列编号(Synchronize Sequence Numbers)栏有效。

该标志仅在三次握⼿建⽴TCP连接时有效。

它提⽰TCP连接的服务端检查序列编号，该序列编号为TCP连接初始端(⼀般是客户端)的初始序列编号。

在这⾥，可以把 TCP序列编号看作是⼀个范围从0到4，294，967，295的32位计数器。

通过TCP连接交换的数据中每⼀个字节都经过序列编号。

在TCP报头中的序列编号栏包括了TCP分段中第⼀个字节的序列编号。

*ACK：确认标志确认编号(Acknowledgement Number)栏有效。

⼤多数情况下该标志位是置位的。

TCP报头内的确认编号栏内包含的确认编号(w+1，Figure-1)为下⼀个预期的序列编号，同时提⽰远端系统已经成功接收所有数据。

*RST：复位标志复位标志有效。

⽤于复位相应的TCP连接。

*URG：紧急标志紧急(The urgent pointer) 标志有效。

*PSH：推标志该标志置位时，接收端不将该数据进⾏队列处理，⽽是尽可能快将数据转由应⽤处理。

在处理 telnet 或 rlogin 等交互模式的连接时，该标志总是置位的。

*FIN：结束标志带有该标志置位的数据包⽤来结束⼀个TCP回话，但对应端⼝仍处于开放状态，准备接收后续数据。

TCP的⼏个状态对于我们分析所起的作⽤在TCP层，有个FLAGS字段，这个字段有以下⼏个标识：SYN, FIN, ACK, PSH, RST, URG.其中，对于我们⽇常的分析有⽤的就是前⾯的五个字段。

read econnreset详解read econnreset是一个网络编程的错误代码，在进行TCP连接时可能出现，表示连接对端因各种原因主动或被动关闭了连接。

一般情况下，这种错误代码代表了一个网络问题，应该尽早排查问题，以确保网络连接的稳定性。

在本文中，将会分步骤阐述read econnreset 的原因、解决方法以及相关的技术细节。

原因：econnreset错误代码在TCP连接时可能出现，这是因为另一端关闭了连接。

这种情况可以出现在多种情况下，例如网络断开、重启等。

此外，在高负载的环境下，可能会由于负载过大而导致连接被终止。

在某些情况下，源代码中可能存在bug，导致程序无法正确处理连接终止情况，因此程序需要进行修复。

解决方法：1. 调整程序在程序中增加代码，以处理连接中断的情况。

例如，可以使用try-catch语句来处理异常，确保程序能够正确地处理连接中断的情况。

2. 检查网络连接检查网络连接，确保网络连接的稳定性。

可以通过ping命令等工具检查网络连接是否正常。

3. 调整操作系统参数调整操作系统参数，以提高网络连接的稳定性。

例如，可以调整linux内核参数，增加网络缓存，以提高网络传输效率。

在Windows系统中，可以调整注册表等参数来提高网络连接效率。

4. 调整TCP参数调整TCP参数，以提高网络连接的稳定性。

例如，可以调整TCP超时等参数，以提高网络连接的可靠性。

在高负载的环境下，可以增加TCP连接数限制等参数，以保障网络连接的可靠性。

技术细节：1. TCP连接的基本流程TCP连接是一种可靠的、面向连接的数据传输协议。

在进行TCP连接时，通常需要进行握手、传输数据、断开连接等操作。

握手操作包括建立连接、确认连接、关闭连接等步骤。

2. TCP连接的状态TCP连接具有四种状态：CLOSED、LISTEN、SYN-SENT和ESTABLISHED。

在进行TCP连接时，连接会从CLOSED状态开始，经过LISTEN、SYN-SENT等状态，最终进入ESTABLISHED状态。

三次握手图四次握手图三次握手Three-way Handshake一个虚拟连接的建立是通过三次握手来实现的1. (B) --> [SYN] --> (A)假如服务器A和客户机B通讯. 当A要和B通信时，B首先向A发一个SYN (Synchronize) 标记的包，告诉A请求建立连接.注意: 一个SYN包就是仅SYN标记设为1的TCP包(参见TCP包头Resources). 认识到这点很重要，只有当A受到B发来的SYN包，才可建立连接，除此之外别无他法。

因此，如果你的防火墙丢弃所有的发往外网接口的SYN包，那么你将不能让外部任何主机主动建立连接。

2. (B) <-- [SYN/ACK] <--(A)接着，A收到后会发一个对SYN包的确认包(SYN/ACK)回去，表示对第一个SYN包的确认，并继续握手操作.注意: SYN/ACK包是仅SYN 和ACK 标记为1的包.3. (B) --> [ACK] --> (A)B收到SYN/ACK 包,B发一个确认包(ACK)，通知A连接已建立。

至此，三次握手完成，一个TCP连接完成Note: ACK包就是仅ACK 标记设为1的TCP包. 需要注意的是当三此握手完成、连接建立以后，TCP连接的每个包都会设置ACK位这就是为何连接跟踪很重要的原因了. 没有连接跟踪,防火墙将无法判断收到的ACK包是否属于一个已经建立的连接.一般的包过滤(Ipchains)收到ACK包时,会让它通过(这绝对不是个好主意). 而当状态型防火墙收到此种包时，它会先在连接表中查找是否属于哪个已建连接，否则丢弃该包四次握手Four-way Handshake四次握手用来关闭已建立的TCP连接1. (B) --> ACK/FIN --> (A)2. (B) <-- ACK <-- (A)3. (B) <-- ACK/FIN <-- (A)4. (B) --> ACK --> (A)注意: 由于TCP连接是双向连接, 因此关闭连接需要在两个方向上做。

TCP 标志位TCP 标志位URG ：此标志表示TCP 包的紧急指针域（后面马上就要说到）有效，用来保证TCP 连接不被中断，并且督促中间层设备要尽快处理这些数据；ACK ：此标志表示应答域有效，就是说前面所说的TCP 应答号将会包含在TCP 数据包中；有两个取值：0 和1，为1 的时候表示应答域有效，反之为0；PSH ：这个标志位表示Push 操作。

所谓Push 操作就是指在数据包到达接收端以后，立即传送给应用程序，而不是在缓冲区中排队；RST ：这个标志表示连接复位请求。

用来复位那些产生错误的连接，也被用来拒绝错误和非法的数据包；SYN ：表示同步序号，用来建立连接。

SYN 标志位和ACK 标志位搭配使用，当连接请求的时候，SYN=1 ，ACK=0 ；连接被相应的时候，SYN=1 ，ACK= 1 ；这个标志的数据包经常被用来进行端口扫描。

扫描者发送一个只有SYN 的数据包，如果对方主机响应了一个数据包回来，就表明这台主机存在这个端口；但是由于这种扫描方式只是进行TCP 三次握手的第一次握手，因此这种扫描的成功表示被扫描的机器不很安全，一台安全的主机将会强制要求一个连接严格的进行TCP 的三次握手；FIN ：表示发送端已经达到数据末尾，也就是说双方的数据传送完成，没有数据可以传送了，发送FIN 标志位的TCP 数据包后，连接将被断开。

这个标志的数据包也经常被用于进行端口扫描。

当一个FIN 标志的TCP 数据包发送到一台计算机的特定端口，如果这台计算机响应了这个数据，并且反馈回来一个RST 标志的TCP 包，就表明这台计算机上没有打开这个端口，但是这台计算机是存在的；如果这台计算机没有反馈回来任何数据包，这就表明，这台被扫描的计算机存在这个端口。

*SYN ：同步标志同步序列编号(Synchronize Sequence Numbers) 栏有效。

该标志仅在三次握手建立TCP 连接时有效。

它提示TCP 连接的服务端检查序列编号，该序列编号为TCP 连接初始端(一般是客户端)的初始序列编号。

TCP之RST报⽂段TCP ⾸部中的 RST ⽐特是⽤于 "复位" 的。

⼀般来说，⽆论何时⼀个报⽂段发往基准的连接（referenced connection）出现错误，TCP 都会发出⼀个复位报⽂段（"基准的连接" 指由⽬的 IP 地址和⽬的端⼝号以及源 IP 地址和源端⼝号指明的连接）。

1. 到不存在的端⼝的连接请求产⽣复位的⼀种常见情况是当连接请求达到时，⽬的端⼝没有进程正在监听。

对于 UDP，当⼀个数据报到达⽬的端⼝时，该端⼝没有在使⽤，它将产⽣⼀个 ICMP 端⼝不可达的信息。

⽽ TCP 则使⽤复位。

如下⽰例，客户端向⽬的端⼝ 1935 发送连接请求的起始包 "SYN"，但是端⼝为 1935 的服务器并没有启动，此时 TCP 回复客户端 RST 报⽂。

C: SYN -> S(1935)S(1935): RST -> C2. 异常终⽌⼀个连接终⽌⼀个连接的正常⽅式是⼀⽅发送 FIN，有时这也称为有序释放（orderly release），因为在所有排队数据都已发送之后才发送 FIN，正常情况下没有任何数据丢失。

但也有可能发送⼀个复位报⽂段⽽不是 FIN 来中途释放⼀个连接，有时称这为异常释放（abortive relase）。

异常终⽌⼀个连接对应⽤程序来说有两个优点：1. 丢弃任何待发送数据并⽴即发送复位报⽂段；2. RST 的接收⽅会区分另⼀端执⾏的是异常关闭还是正常关闭。

应⽤程序使⽤的 API 必须提供产⽣异常关闭⽽不是正常关闭的⼿段。

socket API 通过 "linger on close" 选项（即 SO_LINGER）提供了这种异常关闭的能⼒。

3. 检测半打开连接如果⼀⽅已经关闭或异常终⽌连接⽽另⼀⽅却还不知道，我们将这样的 TCP 连接称为半打开（Half-Open）。

任何⼀端的主机异常都可能导致这种情况发⽣。

为什么服务器突然回复RST——⼩⼼⽹络中的安全设备RST产⽣原因 ⼀般情况下导致TCP发送RST报⽂的原因有如下3种： 1、 SYN数据段指定的⽬的端⼝处没有接收进程在等待。

2、TCP想放弃⼀个已经存在的连接。

3、TCP接收到⼀个数据段，但是这个数据段所标识的连接不存在。

对于第⼀种情况，常见的例⼦是终端访问服务器未开放的端⼝，服务器回复RST报⽂。

⽐如，访问Web服务器的21端⼝（FTP），如果该端⼝服务器未开放或者阻断了到该端⼝的请求报⽂，则服务器很可能会给终端SYN报⽂回应⼀个RST报⽂。

因此，服务器对终端的SYN报⽂响应RST报⽂在很多时候可以作为端⼝扫描器判断⽬标端⼝未开放的⼀个可靠依据。

当然，在⼤多数场景下，服务器对到达⾃⾝未监听端⼝的报⽂进⾏丢弃⽽不响应是⼀种更为安全的实现。

第⼆种情况⽐较好理解，正常拆除⼀个已有TCP连接的⽅式是发送FIN，FIN报⽂会在所有排队数据都发出后才会发送，正常情况下不会有数据丢失，因此，这也被称为是有序释放。

另外⼀种拆除已有TCP连接的⽅式就是发送RST，这种⽅式的优点在于⽆需等待数据传输完毕，可以⽴即终结连接，这种通过RST拆除连接的⽅式被称为异常释放。

⼤多数时候服务器需要针对两种不同的拆链⽅式提供不同的处理⽅法，也有很多服务器⽆法识别RST⽅式的拆链，这时候就需要格外⼩⼼，因为⼀旦出现这种情况，尤其是⼤量终端使⽤RST⽅式拆链，可能会导致服务器侧连接⽆法得到有效释放，影响其正常业务侧处理能⼒。

最后⼀种情况，TCP通过4元组（源⽬IP，源⽬端⼝）唯⼀的标识⼀个连接，由于TCP状态机的存在，触发TCP连接建⽴的第⼀个报⽂标志位⼀定是SYN置位，因此，当服务器接收到⼀个新四元组（服务器本地没有这个连接）的⾮SYN⾸包就会丢弃该报⽂并向终端响应⼀个RST报⽂。

最后⼀种情况，TCP通过4元组（源⽬IP，源⽬端⼝）唯⼀的标识⼀个连接，由于TCP状态机的存在，触发TCP连接建⽴的第⼀个报⽂标志位⼀定是SYN置位，因此，当服务器接收到⼀个新四元组（服务器本地没有这个连接）的⾮SYN⾸包就会丢弃该报⽂并向终端响应⼀个RST报⽂。

TCP中的RST标志（Reset）详解在谈RST攻击前，必须先了解TCP：如何通过三次握⼿建⽴TCP连接、四次握⼿怎样把全双⼯的连接关闭掉、滑动窗⼝是怎么传输数据的、TCP的flag标志位⾥RST在哪些情况下出现。

下⾯我会画⼀些尽量简化的图来表达清楚上述⼏点，之后再了解下RST攻击是怎么回事。

1、TCP是什么？TCP是在IP⽹络层之上的传输层协议，⽤于提供port到port⾯向连接的可靠的字节流传输。

我来⽤⼟语解释下上⾯的⼏个关键字：port到port：IP层只管数据包从⼀个IP到另⼀个IP的传输，IP层之上的TCP层加上端⼝后，就是⾯向进程了，每个port都可以对应到⽤户进程。

可靠：TCP会负责维护实际上⼦虚乌有的连接概念，包括收包后的确认包、丢包后的重发等来保证可靠性。

由于带宽和不同机器处理能⼒的不同，TCP要能控制流量。

字节流：TCP会把应⽤进程传来的字节流数据切割成许多个数据包，在⽹络上发送。

IP包是会失去顺序或者产⽣重复的，TCP协议要能还原到字节流本来⾯⽬。

从上⾯我⽤PowerPoint画的TCP协议图可以看到，标志位共有六个，其中RST位就在TCP异常时出现，也是我这篇⽂章重点关注的地⽅。

2、通过三次握⼿建⽴连接下⾯我通过A向B建⽴TCP连接来说明三次握⼿怎么完成的。

为了能够说清楚下⾯的RST攻击，需要结合上图说说：SYN标志位、序号、滑动窗⼝⼤⼩。

建⽴连接的请求中，标志位SYN都要置为1，在这种请求中会告知MSS段⼤⼩，就是本机希望接收TCP包的最⼤⼤⼩。

发送的数据TCP包都有⼀个序号。

它是这么得来的：最初发送SYN时，有⼀个初始序号，根据RFC的定义，各个操作系统的实现都是与系统时间相关的。

之后，序号的值会不断的增加，⽐如原来的序号是100，如果这个TCP包的数据有10个字节，那么下次的TCP包序号会变成110。

滑动窗⼝⽤于加速传输，⽐如发了⼀个seq=100的包，理应收到这个包的确认ack=101后再继续发下⼀个包，但有了滑动窗⼝，只要新包的seq与没有得到确认的最⼩seq之差⼩于滑动窗⼝⼤⼩，就可以继续发。

几种TCP连接中出现RST的情况（比较详细）应该没有人会质疑，现在是一个网络时代了。

应该不少程序员在编程中需要考虑多机、局域网、广域网的各种问题。

所以网络知识也是避免不了学习的。

而且笔者一直觉得TCP/IP网络知识在一个程序员知识体系中必需占有一席之地的。

在TCP协议中RST表示复位，用来异常的关闭连接，在TCP的设计中它是不可或缺的。

发送RST包关闭连接时，不必等缓冲区的包都发出去，直接就丢弃缓存区的包发送RST包。

而接收端收到RST包后，也不必发送ACK包来确认。

其实在网络编程过程中，各种RST错误其实是比较难排查和找到原因的。

下面我列出几种会出现RST的情况。

1 端口未打开服务器程序端口未打开而客户端来连接。

这种情况是最为常见和好理解的一种了。

去telnet一个未打开的TCP的端口可能会出现这种错误。

这个和操作系统的实现有关。

在某些情况下，操作系统也会完全不理会这些发到未打开端口请求。

比如在下面这种情况下，主机241向主机114发送一个SYN请求，表示想要连接主机114的40000端口，但是主机114上根本没有打开40000这个端口，于是就向主机241发送了一个RST。

这种情况很常见。

特别是服务器程序core dump之后重启之前连续出现RST的情况会经常发生。

当然在某些操作系统的主机上，未必是这样的表现。

比如向一台WINDOWS7的主机发送一个连接不存在的端口的请求，这台主机就不会回应。

2 请求超时曾经遇到过这样一个情况:一个客户端连接服务器，connect返回-1并且error=EINPROGRESS。

直接telnet发现网络连接没有问题。

ping没有出现丢包。

用抓包工具查看，客户端是在收到服务器发出的SYN之后就莫名其妙的发送了RST。

比如像下面这样：有89、27两台主机。

主机89向主机27发送了一个SYN，表示希望连接8888端口，主机27回应了主机89一个SYN表示可以连接。

但是主机27却很不友好，莫名其妙的发送了一个RST表示我不想连接你了。

移动宽带三次握手后 rst 问题的解决思路和实践经验
在使用移动宽带进行数据传输时，经常会出现三次握手后 RST （Reset）问题，即建立连接后立即被重置，导致数据无法传输。

为了解决这个问题，我们可以采取以下思路和实践经验：
1.排查网络问题：首先要确定问题是否来自于网络本身，比如网络拥塞、带宽不足、信号干扰等。

可以通过 ping、tracert 等命令来检测网络延迟和丢包率，同时考虑调整网络参数，如 MTU、TCP 缓冲区等。

2.检查设备设置：还需要检查设备设置，比如路由器、网卡、防火墙、杀毒软件等，是否存在异常配置或冲突问题。

特别是在使用虚拟化技术的情况下，需要注意虚拟网络的配置和管理，避免影响真实网络的通信。

3.升级软件版本：如果以上两个方面都没有发现问题，可以考虑升级软件版本来修复可能存在的漏洞或错误。

尤其是在使用开源软件或定制化软件时，需要及时关注更新和修复信息。

4.联系运营商：如果问题仍然存在，可以联系运营商寻求技术支持。

运营商可以对网络设备进行监测和维护，提供更高效的解决方案和优化建议。

总之，移动宽带三次握手后 RST 问题的解决思路和实践经验需要综合考虑多种因素，尽可能排除各种可能性，维护网络的稳定性和可靠性。

- 1 -。