1.在ESTABLISHED状态时，连接收到SYN会回复什么？
2.SynEdit特点

在ESTABLISHED状态时，连接收到SYN会回复什么？

       最初的问题，读者在阅读我关于《TCP RST 攻击与如何杀掉一条 TCP 连接》时提出，即处于 ESTABLISHED状态的连接为什么还需要响应 SYN 包？接下来，我们通过实验、下单php源码内核源码分析与工具介绍，详细解答这一问题。

       实验复现

       在机器 A（IP：...）使用 nc 启动服务监听 端口。同时，机器 B 使用 nc 连接 A 的 nc 服务器，并输入 "hello"。通过 tcpdump 观察此次连接信息。随后，机器 B 使用 scapy 模拟发送 SYN 包，并查看 tcpdump 显示的包结果。实验发现，对于一个序列号为随意的 SYN 包，TCP 回复了正确的 ACK 包，确认号为 。RFC 文档也指出，手机 查看网页源码Linux 内核收到乱序 SYN 报文时，会回复携带正确序列号和确认号的 ACK 包，即 Challenge ACK。

       原因分析

       发送 SYN 包的一端记为 A，接收 SYN 的 ESTABLISHED 状态端记为 B。B 对收到的 SYN 包回复 ACK 的目的是验证先前的连接是否失效，以便采取相应处理。若 A 的连接仍在，则正常处理 ACK 包。若连接已不在，uc网址导航源码此 SYN 包试图发起新连接，收到 ACK 后，A 会立即回复 RST 包，序列号等于 ACK 包的序列号，B 收到合法的 RST 包后释放连接。若 A 想重新与 B 创建连接，则可再次发送 SYN 包。

       内核源码分析

       使用 SystemTap 工具插入探针，观察内核函数 tcp_send_ack 的调用过程。在端口号为 时，爱心互助系统源码打印函数调用堆栈。通过 SystemTap 脚本执行后，发现 ACK 包经过了 tcp_validate_incoming 和 tcp_send_challenge_ack 函数。RFC 提出了 ACK Throttling 方案，限制每秒最多发送 个 Challenge ACK 报文，通过 sysctl 函数可以调整此限制。

       RST 攻击

       RST 攻击通过伪造 RST 包关闭正常连接。攻击难点在于构造序列号落在对方滑动窗口内的包。实验中，启动 tcpkill 工具并发送 RST 包，app 发布 平台 源码观察服务端与客户端进程退出。tcpkill 通过 libpcap 库抓取符合条件的包，从而获取序列号，伪造 IP 发送 RST 包。此外，介绍 killcx 工具，用于处理僵死连接。

       工具介绍

       杀掉 TCP 连接的工具包括 tcpkill 和 killcx。tcpkill 假冒 IP 发送 RST 包，依赖有数据传输的连接才能获取序列号。killcx 是一个 perl 编写的脚本，可以在任何 TCP 连接状态下关闭连接。

       总结，本文通过实验、内核源码分析和工具介绍，详细解答了 ESTABLISHED 状态连接为何响应 SYN 包，以及如何使用 Challenge ACK、ACK Throttling、tcpkill 和 killcx 来处理相关连接问题。

SynEdit特点

       SynEdit是一种功能强大的多行编辑控件，适用于Borland Delphi和Kylix（尤其是C++ Builder，尽管支持有限）。这款工具支持语法高亮显示和自动换行，提供了代码完成和模板组件，以及HTML、TeX和RTF格式的导出选项，表现出高度的灵活性和兼容性。

       SynEdit作为一款纯粹的VCL/CLX控件，它并非基于微软Windows控件的封装，因此无需额外的运行时库支持，简化了集成和使用过程。尽管如此，它与FreePascal/Lazarus的兼容性是开发团队的目标。在Lazarus集成开发环境（IDE）中，确实存在一个基于SynEdit的版本，但基于1.1版本并附加了一些额外特性。

       此外，SynEdit还包含一个名为“亮光笔”的组件，用于实现对多种编程语言源代码的语法高亮显示，极大地提升了代码的可读性和用户体验。开发者们可以密切关注SynEdit的最新进展，特别是在Unicode版本方面，实际上，已经有一个可用的Unicode版本存在于CVS仓库中，感兴趣的用户可以在此处找到最新快照。