1.一種防火墻重置TCP鏈路的檢測方法，其特征在于，包括：

讀取網(wǎng)絡(luò)報文并進行深度包解析，利用IP層的IPID信息和TCP流會話信息，對TCP重置包進行分析，檢測出該重置包是否為防火墻發(fā)出；

具體包括以下步驟：

S201、讀取網(wǎng)絡(luò)報文；

S203、完成網(wǎng)絡(luò)層解析，獲取IPID、源IP地址、目的IP地址、下一層協(xié)議；

S204、根據(jù)之前獲得的協(xié)議進行分發(fā)：TCP協(xié)議報文進入TCP處理子模塊，UDP協(xié)議報文進入UDP處理子模塊，ICMP協(xié)議報文進入ICMP處理子模塊；

S205、TCP處理子模塊中的操作具體包括：

S301、根據(jù)四元組在TCP流表中查找TCP流會話，四元組包括：從IP層得到的源IP地址和目的IP地址，從傳輸層得到的源端口和目的端口；如果找到則執(zhí)行S303，否則執(zhí)行S302；

S302、根據(jù)四元組在TCP流表中創(chuàng)建流會話，流會話包含三個狀態(tài)：流會話狀態(tài)、客戶端狀態(tài)和服務端狀態(tài)，然后執(zhí)行S303；

S303、根據(jù)流會話和本包確認本包方向，確認本包是客戶端還是服務端發(fā)出的報文，然后執(zhí)行S304；

S304、對本端狀態(tài)更新bytes、packets層IP層數(shù)據(jù)；

S305、根據(jù)TCP Flags對TCP流會話進行不同邏輯的處理，對應邏輯完成后需要更新本端的IPID和包時戳，還需要更新本端的TCP Sequence和TCP ACK，按照TCP協(xié)議，分別記錄最大值；

S306、如果當前包為RST包即重置包，則進入RST包處理邏輯， 具體操作包括：

S401、判斷本TCP流會話是否已經(jīng)進入FIN/RST狀態(tài)，如果不是，則表明不是第一個拆鏈包，跳到S411；

S402、更新本TCP流會話狀態(tài)，標記為RST；

S403、對比本包和TCP流會話中TCP Sequence和TCP ACK的變化，判斷是否發(fā)生明顯不一致的情況；

S404、根據(jù)本端狀態(tài)判斷本包是否為本端的第一個包，如果是則跳到S409；

S405、根據(jù)本包IPID與本端狀態(tài)中的IPID計算差值，作為IPID增長量；

S406、如果IPID增長量超過第一閾值，則跳到S410，否則執(zhí)行S407；

S407、如果IPID增長量超過第二閾值，則執(zhí)行S408，否則跳到S409；

S408、如果IPID在特殊名單列表中，則跳到S410，否則執(zhí)行S409；

S409、判斷為本側(cè)主機主動重置TCP鏈路，對TCP流會話添加標記host_reset，執(zhí)行S411；

S410、判斷為防火墻重置TCP鏈路，對TCP流會話添加標記firewall_reset，執(zhí)行S411；

S411、其它TCP協(xié)議處理邏輯；

其中，第二閾值小于第一閾值。