RST攻擊

1. 建立連線的SYN到達某連線埠，但是該連線埠上沒有正在監聽的服務

如：IP為192.168.1.33的主機上並沒有開啟WEB服務（連線埠號為0x50），這時我們通過IE去訪問192.168.1.33，通過Wireshark抓包，可以看到，對此SYN包的回覆為RST。說明此伺服器（即IP192.168.1.33）是存在的，不過其上並沒有運行WEB Server(如apache)的程式

2. TCP想取消一個已有連線

基於什麼樣的情況才會取消一個已有的連線？

3. TCP接收到了一個根本不存在的的連線上的分節

我們知道，TCP在數據傳輸前，要通過三路握手(three-way handshake)建立連線，即連線建立起後，伺服器和客戶端都有一個關於此連線的描述，具體形式表現為套接口對，如果收到的某TCP分節，根據源 IP，源tcp port number，及目的IP，目的tcp port number在本地（指伺服器或客戶端）找不到相應的套接口對，TCP則認為在一個不存在的連線上收到了分節，說明此連線已錯，要求重新建立連線，於是發出了RST的TCP包！

對付這種攻擊也可以通過防火牆簡單設定就可以了。建議使用防火牆將進來的包帶RST位的包丟棄就可以了。

RST攻擊只能針對tcp。對udp無效。

RST：（Reset the connection）用於復位因某種原因引起出現的錯誤連線，也用來拒絕非法數據和請求。如果接收到RST位時候，通常發生了某些錯誤。假設有一個合法用戶(1.1.1.1)已經同伺服器建立了正常的連線，攻擊者構造攻擊的TCP數據，偽裝自己的IP為1.1.1.1，並向伺服器傳送一個帶有RST位的TCP數據段。伺服器接收到這樣的數據後，認為從1.1.1.1傳送的連線有錯誤，就會清空緩衝區中建立好的連線。這時，如果合法用戶1.1.1.1再傳送合法數據，伺服器就已經沒有這樣的連線了，該用戶就必須重新開始建立連線。

對付這種攻擊也可以通過防火牆簡單設定就可以了。