De acordo com o O TCP Guide nas finalizações, a ordem usual dos eventos é:
- --- > FIN
- < --- ACK
- < --- Espera que o aplicativo com o soquete ACK ative o fechamento da conexão
- < --- FIN
- --- > ACK
Os passos 2 e 3 são frequentemente feitos ao mesmo tempo, para um pacote FIN / ACK. Uma dança agradável e majestosa.
No entanto, o TCP tem outra maneira de derrubar uma conexão e é mais rápido do que esse procedimento imponente. Lança um pacote RST
. É uma maneira grosseira de fazê-lo, mas o HTTP pode se dar bem com isso, já que a transferência de dados tem dois fluxos e, se o segundo fluxo estiver concluído (a resposta do servidor), tudo estará concluído. Para conexões HTTP que são notoriamente lentas (ou seja, têm um humano tocando os pés frequentemente esperando uma página renderizar enquanto o navegador lida com mais de 50 solicitações de ativos), pequenos ajustes de velocidade são como tudo é feito a tempo.
Nesse caso, o host 185
está tentando ser legal, mas o host 172
é todo que terminei, vá embora .
Como administrador de segurança de rede, a prevalência de pacotes RST
em fluxos como esses se destaca como anomalias de rede. Esta é uma área onde os protocolos estão sendo abusados em nome da otimização. É um fluxo esperado para o tráfego HTTP nos dias de hoje.