Sniffer使用攻略经验:[7]RST数据包分析

工具/原料PC电脑一台、Sniffer抓包软件、RST数据包
在遇到的攻击中，RST也作为一种攻击的形式，由于频繁或者超多的RST连接让服务器承受不了而随之崩溃。如下图

文章插图
可以看到有一个客户端频繁向服务器发起RST连接，超多。正常的一个客户端，任凭他怎么刷新都不会产生这么多的RST的，肯定是恶意发起RST的。这是看到一个比较简单的，单客户端在发起这种RST，有些是错乱IP 的。但是现在没有收到那种包的截图

文章插图

文章插图
可以看到RST是在48标识位是04（十六进制），在过程中记得还会有出现14（十六进制）的RST 。平时这这么多的RST会做一个RST拦截防护。但这样会影响一起需要重新连接的客户端，所以最好做频率限制。
RST数据不会频繁出现，但出现超多的RST连接就要留意下，如何在防火墙里边做好防护策略，这个就要靠个人的想法了。如果实在不行，就先全部拦截了，等攻击退了再撤防护。
【Sniffer使用攻略经验:[7]RST数据包分析】根据数据的标识位判断，是SYN还是RST或者其它都可以判断