几种TCP连接中出现RST的情况(比较详细)

TCPRST标志位
1. RST标志位
RST标志位位于TCP报⽂⾸部, 其置位时, 表⽰连线复位，⾸先断开连接，然后重建.
RST置位的分节(TCP数据包), 常称为RST分节. RST不同于close (FIN分节), close⽤于关闭正常连接, ⽽RST⽤于复位异常连接.
参考
2. 产⽣条件
UNP 4.3提到, RST是TCP发⽣错误时, 发送的⼀种TCP分节, 产⽣RST的三个条件是:
1. ⽬的地为某端⼝的SYN达到, ⽽该端⼝上没有正在监听的服务器;
2. TCP想取消⼀个已有连接;
3. TCP接收到⼀个根本不存在的连接上的分节;
3. 产⽣场景
例如,
1. 客户端发起connect请求时, 服务器在指定端⼝上没有进程在等待与之连接(没有accept阻塞等待), 或者服务器进程根本没有启动, 服务器
就会回送RST分节, 此时客户端会报"connection refuse"错误;
2. 服务器端通过设置TCP选项SO_LINGER, 取消⼀个长时间空闲连接, 可以发送RST分节;
3. 当close A -> B的连接时, A发送FIN分节给B, B回ACK分节由于⽹络原因未能及时发送给A, 后来A重启进程后, ⼜重新收到B回的ACK,
然⽽此时A的化⾝已经⽆法识别之前的连接, 就会回送RST分节;。

原文出处：陶辉的博客在谈RST攻击前，必须先了解TCP：如何通过三次握手建立TCP连接、四次握手怎样把全双工的连接关闭掉、滑动窗口是怎么传输数据的、TCP的flag标志位里RST在哪些情况下出现。

下面我会画一些尽量简化的图来表达清楚上述几点，之后再了解下RST攻击是怎么回事。

1、TCP是什么？TCP是在IP网络层之上的传输层协议，用于提供port到port面向连接的可靠的字节流传输。

我来用土语解释下上面的几个关键字：port到port：IP层只管数据包从一个IP到另一个IP的传输，IP层之上的TCP层加上端口后，就是面向进程了，每个port都可以对应到用户进程。

可靠：TCP会负责维护实际上子虚乌有的连接概念，包括收包后的确认包、丢包后的重发等来保证可靠性。

由于带宽和不同机器处理能力的不同，TCP要能控制流量。

字节流：TCP会把应用进程传来的字节流数据切割成许多个数据包，在网络上发送。

IP包是会失去顺序或者产生重复的，TCP协议要能还原到字节流本来面目。

FIN标志位也看到了，它用来表示正常关闭连接。

图的左边是主动关闭连接方，右边是被动关闭连接方，用netstat命令可以看到标出的连接状态。

FIN是正常关闭，它会根据缓冲区的顺序来发的，就是说缓冲区FIN之前的包都发出去后再发FIN包，这与RST不同。

5、RST标志位RST表示复位，用来异常的关闭连接，在TCP的设计中它是不可或缺的。

就像上面说的一样，发送RST包关闭连接时，不必等缓冲区的包都发出去（不像上面的FIN包），直接就丢弃缓存区的包发送RST包。

而接收端收到RST包后，也不必发送ACK包来确认。

TCP处理程序会在自己认为的异常时刻发送RST包。

例如，A向B发起连接，但B之上并未监听相应的端口，这时B操作系统上的TCP处理程序会发RST包。

又比如，AB正常建立连接了，正在通讯时，A向B发送了FIN包要求关连接，B发送ACK后，网断了，A通过若干原因放弃了这个连接（例如进程重启）。

wireshark rst解析TCP重置包（RST）是TCP协议中的一种重要的网络数据包类型，它的作用是终止TCP连接。

Wireshark是一种流行的网络协议分析工具，它可以帮助我们解析TCP重置包，并深入了解其原理和应用。

本文将介绍Wireshark RST解析的相关知识，包括TCP连接的建立和终止过程、RST包的格式、RST包的产生原因和使用场景等。

通过阅读本文，您将对TCP连接和RST包有更深入的理解。

TCP连接的建立和终止过程TCP是一种可靠的面向连接的传输协议，它在传输数据之前需要先建立连接。

TCP连接的建立和终止分别由三步握手和四步挥手完成。

三步握手过程如下：1.客户端向服务器发送SYN包，表示请求建立连接。

2.服务器收到SYN包后，向客户端发送SYN-ACK包，表示允许建立连接。

3.客户端收到SYN-ACK包后，向服务器发送ACK包，表示连接已建立。

四步挥手过程如下：1.客户端向服务器发送FIN包，表示请求关闭连接。

2.服务器收到FIN包后，向客户端发送ACK包，表示已收到关闭请求。

3.服务器处理完毕后，向客户端发送FIN包，表示可以关闭连接。

4.客户端收到FIN包后，向服务器发送ACK包，表示确认关闭连接。

RST包的格式RST包是TCP协议中的一种控制包，用于中断TCP连接。

RST包的格式如下：其中，各字段含义如下：Source Port和Destination Port：源端口和目的端口，用于标识TCP连接。

Sequence Number和Acknowledgment Number：序列号和确认号，用于标识TCP数据流的顺序和完整性。

Data Offset：数据偏移，用于标识TCP头部长度，以4字节为单位。

Flags：标志位，包括URG、ACK、PSH、RST、SYN、FIN六个标志位。

Window：窗口大小，用于控制发送方数据量。

readconnection reset by peer"Read connection reset by peer" 是一个常见的网络错误消息，通常出现在使用TCP协议的网络通信中。

它表示在建立连接的过程中，远程服务器主动断开了与客户端的连接。

本篇文章将分步回答这个问题，从错误原因到可能的解决方案，帮助读者更好地理解和解决这个问题。

第一步：了解错误含义和原因"Read connection reset by peer" 通常意味着客户端与服务器之间的连接被远程服务器主动断开。

这通常发生在以下情况下：1. 服务器端关闭了与客户端的连接。

2. 服务器端在数据传输过程中出现了错误，需要关闭连接以恢复正常。

3. 客户端发送了无效或错误的数据包，导致服务器主动关闭连接。

4. 服务器端遭受到了网络攻击或故障，导致连接中断。

明确错误发生的原因非常重要，因为不同的原因对应着不同的解决方案。

第二步：检查网络连接和配置在遇到连接重置错误之前，首先应该检查网络连接和配置是否正常。

确保您的网络连接是稳定的，没有任何网络故障或中断。

检查您的网络设备（如路由器、交换机等）是否正常工作，并确保网络设置正确配置。

另外，如果您正在使用防火墙或代理服务器，需要确认它们没有阻止或干扰与服务器之间的连接。

如果防火墙或代理服务器配置不正确，可能会导致服务器无法与客户端建立连接，并最终导致"Read connection reset by peer" 错误。

第三步：确认您的服务器正常工作在确定网络连接和配置都正确无误后，要确保您的服务器正常工作。

检查服务器的运行状态、负载和资源使用情况。

如果服务器遭受到高负载或资源不足，可能会导致它无法处理来自客户端的请求，从而导致连接被重置。

在这种情况下，您可以尝试增加服务器的资源（如CPU、内存等），或考虑优化服务器程序或配置，以提高其性能和稳定性。

TCP重置报⽂段及RST常见场景分析RST表⽰连接重置，⽤于关闭那些已经没有必要继续存在的连接。

⼀般情况下表⽰异常关闭连接，区别与四次分⼿正常关闭连接。

产⽣RST的三个条件是：1. ⽬的地为某端⼝的SYN到达，然⽽在该端⼝上并没有正在监听的服务器；2. TCP想取消⼀个已有连接；3. TCP接收到⼀个根本不存在的连接上的分节。

下⾯的⼏种场景，都会产⽣RST，以此来说明重置报⽂段的⽤途。

⼀、针对不存在端⼝的连接请求客户端向服务端某端⼝发起连接请求SYN，但是⽬的服务端主机不存在该端⼝，此时向客户端回应RST，中断连接请求。

下⾯通过程序和抓包进⾏分析。

程序源码如下：use std::io::prelude::*;use std::net::TcpStream;use std::thread;fn main() {let mut stream = TcpStream::connect("192.168.2.229:33333").unwrap();let n = stream.write(&[1,2,3,4,5,6,7,8,9]).unwrap();println!("send {} bytes to remote node, waiting for end.", n);loop{thread::sleep_ms(1000);}}上⾯程序向⽬的主机192.168.2.229发起TCP连接，⽽⽬的主机并没有启动端⼝为33333的监听服务。

所以当本地主机向⽬的主机发起TCP连接后，会收到来⾃⽬的主机的RST，并断开连接。

（当然也不是所有的都会回复RST，有的主机可能不会进⾏回复）。

抓包如下：本地主机向⽬的主机发送TCP连接SYN：⽬的主机向本地主机回复ACK、RST：⼆、终⽌⼀条连接终⽌⼀条连接的正常⽅法是由通信⼀⽅发送⼀个FIN。

这种⽅法也被称为有序释放。

TCP协议中FLAG的含义1. URG：紧急标志（URGent），占位1位。

当URG为1时，说明TCP报文段中包含紧急数据。

该位一般用于TCP的紧急模式，表示紧急数据的结束位置。

2. ACK：确认标志（ACKnowledgment），占位1位。

当ACK为1时，表示确认序号字段中的值是有效的。

也就是说，发送端收到了对方发来的数据，并且接下来发送的报文段中确认序号字段的值是有效的。

3.PSH：推送标志（PuSH），占位1位。

当PSH为1时，表示接收端应该尽快将数据交给上层应用程序，而不是等待TCP缓冲区填满或者等待延迟定时器到期。

4. RST：复位标志（Reset），占位1位。

当RST为1时，表示TCP连接存在问题，需要立即关闭连接。

5. SYN：同步标志（SYNchronization），占位1位。

当SYN为1时，表示TCP报文段是一个连接请求。

在建立TCP连接时，客户端向服务器发送连接请求时，该位被置为16. FIN：结束标志（FINish），占位1位。

当FIN为1时，表示发送端已经没有数据需要发送并且即将关闭连接。

一般用于TCP连接的释放阶段。

FLAG字段的各种组合可以表示不同的控制信息和状态。

下面是一些常见的FLAG组合及其含义：1.SYN=1，ACK=0：发送端发起一个新的连接请求，请求与对方建立TCP连接。

2.SYN=1，ACK=1：接收端回应连接请求，同意与发送端建立TCP连接。

3.SYN=0，ACK=1：用于确认已经收到了对方发送的数据。

4.FIN=1，ACK=0：发送端请求关闭连接，停止发送数据。

5.FIN=1，ACK=1：接收端对关闭连接请求的确认，同意关闭连接。

6.RST=1：发生错误或异常情况，需要立即中断连接。

FLAG字段在TCP协议中扮演重要的角色，通过FLAG字段的设置，TCP报文段可以进行连接的建立、确认、数据的传输和连接的关闭等各种操作。

FLAG字段的正确使用对于保证TCP连接的可靠性和可用性非常重要。

TCP连接的状态详解以及故障排查我们通过了解TCP各个状态，可以排除和定位⽹络或系统故障时⼤有帮助。

（总结⽹络上的内容）1、TCP状态了解TCP之前，先了解⼏个命令：linux查看tcp的状态命令：1）、netstat -nat 查看TCP各个状态的数量2）、lsof -i:port 可以检测到打开套接字的状况3)、sar -n SOCK 查看tcp创建的连接数4)、tcpdump -iany tcp port 9000 对tcp端⼝为9000的进⾏抓包⽹络测试常⽤命令;1）ping:检测⽹络连接的正常与否,主要是测试延时、抖动、丢包率。

但是很多服务器为了防⽌攻击，⼀般会关闭对ping的响应。

所以ping⼀般作为测试连通性使⽤。

ping命令后，会接收到对⽅发送的回馈信息，其中记录着对⽅的IP地址和TTL。

TTL是该字段指定IP包被路由器丢弃之前允许通过的最⼤⽹段数量。

TTL是IPv4包头的⼀个8 bit字段。

例如IP包在服务器中发送前设置的TTL是64，你使⽤ping命令后，得到服务器反馈的信息，其中的TTL为56，说明途中⼀共经过了8道路由器的转发，每经过⼀个路由，TTL减1。

2）traceroute：raceroute 跟踪数据包到达⽹络主机所经过的路由⼯具traceroute hostname3）pathping：是⼀个路由跟踪⼯具，它将 ping 和 tracert 命令的功能与这两个⼯具所不提供的其他信息结合起来，综合了⼆者的功能pathping 4）mtr：以结合ping nslookup tracert 来判断⽹络的相关特性5) nslookup:⽤于解析域名，⼀般⽤来检测本机的DNS设置是否配置正确。

LISTENING：侦听来⾃远⽅的TCP端⼝的连接请求.⾸先服务端需要打开⼀个socket进⾏监听，状态为LISTEN。

有提供某种服务才会处于LISTENING状态，TCP状态变化就是某个端⼝的状态变化，提供⼀个服务就打开⼀个端⼝，例如：提供www服务默认开的是80端⼝，提供ftp服务默认的端⼝为21，当提供的服务没有被连接时就处于LISTENING状态。

TCP的三次握⼿以及重置（Reset） 在最近的⼯作中需要对同⼀个域名下的源站同时发起多次请求，有时甚⾄达到了6000次，发⽣了很严重的性能问题，追查了下原因是被浏览器（Chrome）stalled了，因为浏览器只⽀持对同⼀个域名下保持6个连接，拥有更多连接时，就只能被挂起，直到上⼀个连接完成被复⽤。

所以同时发起6000次请求，100ms的耗时也将会导致100秒的处理时间，在实际过程中复⽤连接将会导致更⾼的耗时。

最终的解决⽅案当然是要求对⽅接⼝⼈改批量接⼝啦，皆⼤欢喜。

在追查的过程中也发现了前⼈关于请求被挂起导致加载缓慢的分析，最终追查到chrome⽇志，其中关于⽹络连接引⽤到了TCP Reset的⽂章，对⾃⼰有⼀些启发，这⾥翻译并总结下。

在⽹络服务中，经常性会遇到reset导致的连接断开问题，每⼀次追查问题可能都会让⼈⼤为恼⽕，但是⾸先我们需要了解reset是怎么⼯作的。

reset事实上是⼀件好事情，它关闭那些已经没有必要继续存在的连接，举个例⼦，我们的程序建⽴了许多的TCP短连接，这些连接在断开时将会保持⼀段时间的Time Wait State状态，默认4分钟，⽤于保证连接能够被正确的断开，但是当我并不想这么做，想降低资源的消耗快速重⽤这些端⼝和资源时，就需要使⽤reset来重置这些连接了。

从这⾥我们也能看出，重置实质上就是强制断开连接。

三次握⼿ ⾸先来说⼀下具体的TCP连接，⽼⽣常谈的三次握⼿，它适⽤于基于IP协议的稳定⽹络传输，保证信息是准确⽆误的。

当⼀个节点A想要跟另外⼀个⽹络节点B通信时，A节点会先发送⼀个同步包Syn包，这个包将会包含建联需要的基本信息，如源IP和端⼝以及⽬的IP和端⼝，以及序列值等信息。

如上⾯的包可以看到TCP:Flags=......S字段，这标识着这是⼀个Syn包，⾥⾯同时包含着Source IP, SrcPort, Destination IP, DstPort信息⽤于建联，还有内容长度以及序列值等信息。