RST数据出现的频率不会很高的,如果频繁发起RST连接到服务器,是有些不正常的。下面提供一个数据包供大家参考下
![Sniffer使用攻略经验:[7]RST数据包分析](https://exp-picture.cdn.bcebos.com/9b2098254193cee821960faf5a0ff2260c9aa82a.jpg)
工具/原料
PC电脑一台、Sniffer抓包软件、RST数据包
Sniffer分析RST数据包
1、 在遇到的攻击中,RST也作为一种攻击的形式,由于频繁或者超多的RST连接让服务器承受不了而随之崩溃。如下图
![Sniffer使用攻略经验:[7]RST数据包分析](https://exp-picture.cdn.bcebos.com/b1454a1bd10ff22698086aba9c99e92abbb8a42a.jpg)
2、 可以看到有一个客户端频繁向服务器发起RST连接,超多。正常的一个客户端,任凭他怎么刷新都不会产生这么多的RST的,肯定是恶意发起RST的。这是看到一个比较简单的,单客户端在发起这种RST,有些是错乱IP 的。但是现在没有收到那种包的截图
![Sniffer使用攻略经验:[7]RST数据包分析](https://exp-picture.cdn.bcebos.com/f367139a310e179971b8e10cc9406afec214a32a.jpg)
![Sniffer使用攻略经验:[7]RST数据包分析](https://exp-picture.cdn.bcebos.com/304f0999e92abab8d8d2314a4814f1c594eea12a.jpg)
3、 可以看到RST是在48标识位是04(十六进制),在过程中记得还会有出现14(十六进制)的RST。平时这这么多的RST会做一个RST拦截防护。但这样会影响一起需要重新连接的客户端,所以最好做频率限制。
4、 RST数据不会频繁出现,但出现超多的RST连接就要留意下,如何在防火墙里边做好防护策略,这个就要靠个人的想法了。如果实在不行,就先全部拦截了,等攻击退了再撤防护。