多次RST以及不同场景下的RST报文的差异

作者：易隐者发布于：2012-10-9 11:27 Tuesday 分类：网络分析

在某个TCP交互过程中，我们发现在交互的后期，客户端多次向服务器端发送RST报文，如下图所示：

我们首先来看客户端发出的第一个RST报文的解码：

RST与ACK标志位都置一了，并且具有ACK number，非常明显，这个报文在释放TCP连接的同时，完成了对前面已接收报文的确认。

我们再来看看客户端发出的后续RST报文的解码：

我们可以看到，这些后续的RST报文仅Reset位置一，ACK位未置一，在这种情况下，该报文的ACK确认号应该为0，但是我们留意到在这个报文中，其ACK确认号与序列号是一致的。

这是为什么呢？

因为ACK位未置一，ACK确认号也就失去了意义，因此，不论ACK确认号是什么值都不会对接收端产生影响，因此大部分的系统都会将ACK确认号设置为0，之所以在这个报文中出现ACK确认号非0而是与序列号一致的情况，个人认为应该是该主机端系统的处理机制与大部分系统不一样导致的。

另外，我们也看到了wireshark的专家系统在此处给出了提示，由此可见wireshark在传输层的专家系统的强大之处。

为什么前后RST报文会出现这种差异？

原因为第一个RST报文是异常释放TCP连接的，在端系统发送RST报文之前，这个TCP连接尚在端系统的连接表中，因此其ACK位置一并且具有ACK确认号。而客户端后续收到DATA报文，因其连接表中已经没有相关信息与之对应，此时客户端发送的RST报文ACK位无需置一。

也许有朋友会问：服务器端为什么在收到客户端的RST报文后，还继续给客户端发送报文呢？

原因只有一个，那就是TCP成块数据流。服务器端一次性向客户端发送数个数据块，在客户端发出第一个RST报文之后，后续的报文已经在网络中传输了，并陆续达到客户端。

其交互过程大致如下：

标签: TCP wireshark RST ACK 连接表 TCP成块数据流端系统 ACK确认号连接

您对本文的评分:

当前平均分: 9.5(26 次打分)

QQ空间新浪微博腾讯微博人人网更多

相关日志：

« 网页打开慢但HTTP下载快故障分析案例 | 端系统对RST报文的过滤»

发表评论：

蚂蚁网-多维人生，三实而立！

真实-不弄虚，不做假，做自己，不违心；踏实-不浮躁，不盲从，不急功，不近利；实学-不投机，不取巧，勤于学，精于业。