# TCP RST Flood

## **📋 Índice**

1. [Conceitos Fundamentais](#-conceitos-fundamentais)
2. [O Mecanismo do Reset Flood](#-o-mecanismo-do-reset-flood)
3. [Diferença entre RST Flood e RST Injection](#-diferença-entre-rst-flood-e-rst-injection)
4. [Técnicas de Exploração](#-técnicas-de-exploração)
5. [Mitigação e Prevenção](#-mitigação-e-prevenção)

***

## **🔍 Conceitos Fundamentais**

O **TCP RST Flood** é um ataque de negação de serviço (DoS) que consiste no envio massivo de pacotes TCP com a flag **RST (Reset)** ativada para um servidor alvo. Ao contrário do SYN Flood, o objetivo não é necessariamente preencher a tabela de conexões, mas sim exaurir a largura de banda e o poder de processamento do firewall e da pilha TCP do sistema operacional.

***

## **🏗️ O Mecanismo do Reset Flood**

Em uma comunicação TCP normal, o pacote RST é usado para informar que o outro lado não reconhece a conexão ou que ela deve ser abortada imediatamente. No ataque de flood:

1. O atacante envia uma torrente de pacotes RST, geralmente com IPs de origem falsificados (**Spoofed**).
2. O servidor (ou o firewall de borda) recebe o pacote e precisa verificar se ele corresponde a uma conexão ativa no seu registro de estados.
3. Mesmo que a conexão não exista, a análise de cada pacote consome ciclos de CPU e recursos do roteador/firewall.

***

## **⚖️ Reset Flood vs Reset Injection**

* **RST Flood:** Ataque de volume. O objetivo é sobrecarregar a rede com muitos pacotes. Não se importa com sessões reais.
* **RST Injection:** Ataque cirúrgico. O objetivo é derrubar uma **conexão específica** existente entre duas pessoas através da adivinhação do número de sequência.

***

## **🔧 Técnicas de Exploração**

### **Uso do Hping3**

```bash
# Inundação de RST com IPs aleatórios
sudo hping3 -R --flood --rand-source <IP_ALVO> -p <PORTA>
```

***

## **🛡️ Mitigação e Prevenção**

### **1. Anti-Spoofing (uRPF)**

Implementar **Unicast Reverse Path Forwarding** em roteadores para descartar pacotes que chegam por uma interface na qual o IP de origem não seria alcançável. Isso reduz drasticamente a eficácia de floods com IPs falsificados.

### **2. Stateful Firewalls**

Configurar o firewall para descartar silenciosamente pacotes RST/FIN que não pertençam a uma conexão já estabelecida (`INVALID state` no iptables).

```bash
iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
```

### **3. Proteção em Nuvem (Anti-DDoS)**

Uso de serviços como Cloudflare, Akamai ou AWS Shield, que filtram esse tráfego em sua rede global antes mesmo dele chegar ao servidor final.

***

> O RST Flood é frequentemente uma tática de "ruído" usada para distrair equipes de infraestrutura enquanto outros ataques ocorrem.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://0xmorte.gitbook.io/bibliadopentestbr/tecnicas/rede-and-infraestrutura/tcp/tcp-rst-flood.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.