產生原因
有三個條件可以產生RST包:
1. 建立連線的SYN到達某連線埠,但是該連線埠上沒有正在監聽的服務
如:IP為192.168.1.33的主機上並沒有開啟WEB服務(連線埠號為0x50),這時我們通過IE去訪問192.168.1.33,通過Wireshark抓包,可以看到,對此SYN包的回覆為RST。說明此伺服器(即IP192.168.1.33)是存在的,不過其上並沒有運行WEB Server(如apache)的程式
2. TCP想取消一個已有連線
基於什麼樣的情況才會取消一個已有的連線?
3. TCP接收到了一個根本不存在的的連線上的分節
我們知道,TCP在數據傳輸前,要通過三路握手(three-way handshake)建立連線,即連線建立起後,伺服器和客戶端都有一個關於此連線的描述,具體形式表現為套接口對,如果收到的某TCP分節,根據源 IP,源tcp port number,及目的IP,目的tcp port number在本地(指伺服器或客戶端)找不到相應的套接口對,TCP則認為在一個不存在的連線上收到了分節,說明此連線已錯,要求重新建立連線,於是發出了RST的TCP包!
防禦
對付這種攻擊也可以通過防火牆簡單設定就可以了。建議使用防火牆將進來的包帶RST位的包丟棄就可以了。
RST攻擊只能針對tcp。對udp無效。
RST:(Reset the connection)用於復位因某種原因引起出現的錯誤連線,也用來拒絕非法數據和請求。如果接收到RST位時候,通常發生了某些錯誤。假設有一個合法用戶(1.1.1.1)已經同伺服器建立了正常的連線,攻擊者構造攻擊的TCP數據,偽裝自己的IP為1.1.1.1,並向伺服器傳送一個帶有RST位的TCP數據段。伺服器接收到這樣的數據後,認為從1.1.1.1傳送的連線有錯誤,就會清空緩衝區中建立好的連線。這時,如果合法用戶1.1.1.1再傳送合法數據,伺服器就已經沒有這樣的連線了,該用戶就必須重新開始建立連線。
對付這種攻擊也可以通過防火牆簡單設定就可以了。
RST攻擊示意圖