TCP异常终止（reset报文）

TCP异常终止（reset报文）

TCP的异常终止是相对于正常释放TCP链接的过程而言的，咱们都知道，TCP链接的创建是经过三次握手完成的，而TCP正常释放链接是经过四次挥手来完成，可是有些状况下，TCP在交互的过程当中会出现一些意想不到的状况，致使TCP没法按照正常的四次挥手来释放链接，若是此时不经过其余的方式来释放TCP链接的话，这个TCP链接将会一直存在，占用系统的部分资源。在这种状况下，咱们就须要有一种可以释放TCP链接的机制，这种机制就是TCP的reset报文。reset报文是指TCP报头的标志字段中的reset位置一的报文，以下图所示：

TCP异常终止的常见情形

咱们在实际的工做环境中，致使某一方发送reset报文的情形主要有如下几种：

1，客户端尝试与服务器未对外提供服务的端口创建TCP链接，服务器将会直接向客户端发送reset报文。

2，客户端和服务器的某一方在交互的过程当中发生异常（如程序崩溃等），该方系统将向对端发送TCP reset报文，告之对方释放相关的TCP链接，以下图所示：

3，接收端收到TCP报文，可是发现该TCP的报文，并不在其已创建的TCP链接列表内，则其直接向对端发送reset报文，以下图所示：

4，在交互的双方中的某一方长期未收到来自对方的确认报文，则其在超出必定的重传次数或时间后，会主动向对端发送reset报文释放该TCP链接，以下图所示：

5，有些应用开发者在设计应用系统时，会利用reset报文快速释放已经完成数据交互的TCP链接，以提升业务交互的效率，以下图所示：

 Reset报文的利用

1 安全设备利用reset报文阻断异常链接

安全设备（如防火墙、入侵检测系统等）在发现某些可疑的TCP链接时，会构造交互双方的reset报文发给对端，让对端释放该TCP链接。好比入侵检测检测到黑客攻击的TCP链接，其构形成被攻击端给黑客主机发送reset报文，让黑客主机释放攻击链接。

2 利用reset报文实施攻击

安全设备能够利用reset报文达到安全防御的效果，黑客和攻击者也能够利用reset报文实现对某些主机的入侵和攻击，最多见的就是TCP会话劫持攻击。关于TCP会话劫持的相关知识请参考第三章《TCP会话劫持》一文。