34

Poˇ c´ıtaˇ cov´ e s´ıtˇ e pˇrednáˇsky

Jan Outrata ˇr´ıjen–listopad 2008

Jan Outrata (KI UP)

Poˇ c´ıtaˇ cov´ e s´ıtˇ e

ˇr´ıjen–listopad 2008

1 / 34

Transportn´ı vrstva

Jan Outrata (KI UP)



2 / 34

Transportn´ı protokoly “proˇc dva protokoly?” s´ıt’ové protokoly pˇrepravuj´ı data mezi libovolnými uzly (poˇc´ıtaˇci) v s´ıti, adresuj´ı s´ıt’ová rozhran´ı uzlu transportn´ı protokoly pˇrepravuj´ı data mezi dvˇema aplikacemi bˇez´ıc´ımi na poˇc´ıtaˇc´ıch, adresuj´ı aplikaci na poˇc´ıtaˇci zprostˇredkovávaj´ı transparentn´ı spojen´ı s poˇzadovanou kvalitou mezi aplikacemi (klienty) v rámci jednoho s´ıt’ového zaˇr´ızen´ı (poˇc´ıtaˇce)

Jan Outrata (KI UP)



3 / 34

Transportn´ı protokoly Sluˇ zby spojovan´ a (connection oriented): mezi aplikacemi navázáno spojen´ı (vytvoˇren virtuáln´ı okruh), plnˇ e duplexn´ı ztracená nebo poˇskozená znovu vyˇzádána – “spolehliv´ a” sluˇ zba integrita dat zabezpeˇcena kontroln´ım souˇctem zpracovává souvisl´ y proud/tok (uspoˇr´ adan´ ych) dat od vyˇsˇs´ı vrstvy (stream)

nespojovan´ a (connectionless): nenavazuje spojen´ı data odeslána, nezaruˇcuje se doruˇcen´ı ani znovuzas´ılán´ı ztracených nebo poˇskozených dat (ponecháno na vyˇsˇs´ım protokolu) – “nespolehliv´ a” (datagramov´ a) sluˇ zba integrita dat zabezpeˇcena kontroln´ım souˇctem zpracovává ˇ c´ asti dat od vyˇsˇs´ı vrstvy (datagramy), rozdˇelen´ı toku dat na datagramy ˇreˇs´ı vyˇsˇs´ı vrstva Jan Outrata (KI UP)



4 / 34

Transportn´ı protokoly Port identifikátor aplikace (aplikace jich m˚ uˇze pouˇz´ıvat v´ıc), transportn´ı adresa ˇc´ıslo délky 2 B, 0 aˇz 65535 porty 0 – 1023 jsou tzv. privilegovan´ e (m˚ uˇze je pouˇz´ıt pouze privilegovaná aplikace, napˇr. privilegovaného uˇzivatele), ostatn´ı neprivilegovan´ e (m˚ uˇze pouˇz´ıt kdokoliv, pokud je volný) pro bˇeˇzné sluˇzby (aplikaˇcn´ı protokoly) Internetu vˇseobecnˇe známá “standarn´ı” (well-known) ˇc´ısla port˚ u pˇridˇelovaná IANA, privilegovaných (aplikace typicky spouˇstˇena jako systémová sluˇzba privilegovaného uˇzivatele) i neprivilegovaných ˇ Í: zjiˇstˇen´ı ˇc´ısel port˚ CVICEN u nejznámˇejˇs´ıch sluˇzeb Internetu, napˇr. jmenné (aplikaˇcn´ı protokol DNS), vzdáleného pˇrihláˇsen´ı (Telnet, SSH), pˇrenosu dat (FTP(S), SMB), poˇstovn´ı (SMTP, POP3(S), IMAP(S)), webové (HTTP(S)), a LAN (DHCP, SNMP) Jan Outrata (KI UP)



5 / 34

Transportn´ı protokoly aplikace jednoznaˇcnˇe urˇcena: s´ıt’ovou (IP) adresou, ˇc´ıslem portu a transportn´ım protokolem (TCP/UDP), tzv. adresa socketu (s´ıt’ového rozhran´ı Socket API) Datagram/Segment základn´ı jednotka pˇrenosu, transportn´ı paket/datagram/segment, vkládán do s´ıt’ového (IP) paketu obsahuje ˇcást toku dat od odes´ılatele k pˇr´ıjemci segmentace: rozdˇelen´ı toku dat na ˇcásti “zabalené” do segmentu Obrázek: Obrázek pr˚ uvodce 219

max. délka = max. délka IP paketu (64 kB) - délka IP záhlav´ı záhlav´ı s porty pˇr´ıjemce a odes´ılatele, data Jan Outrata (KI UP)



6 / 34

Transmission Control Protocol (TCP) RFC 962 IP protokol poskytuje datagramovou (nespojovanou) “nespolehlivou” sluˇzbu, bez vyˇzadován´ı opakován´ı pˇrenosu paket˚ u, nanejvýˇs signalizace nemoˇznosti doruˇcen´ı (ICMP, nepovinná, potlaˇcovaná) poskytuje spojovanou “spolehlivou” sluˇzbu, ˇreˇs´ı: navázán´ı, udrˇzován´ı a ukonˇcen´ı spojen´ı potvrzován´ı pˇrijet´ı dat (tzv. pozitivn´ı potvrzov´ an´ı) vyˇzádán´ı opakov´ an´ı pˇrenosu ztracených nebo poˇskozených dat, zaruˇcen´ı správného poˇrad´ı byt˚ u dat adaptivn´ı pˇrizp˚ usoben´ı parametr˚ u protokolu podle stavu spojen´ı ˇr´ızen´ı toku dat pomoc´ı buffer˚ u a posuvného okna a pr˚ uchodnost pˇrenosové cesty (zahlcen´ı s´ıtˇe)

nezávislý rozsah port˚ u pro TCP a UDP, TCP porty oznaˇceny ˇ c´ıslo/tcp

Jan Outrata (KI UP)



7 / 34

TCP segment Obrázek: Obrázek pr˚ uvodce 219

záhlav´ı 20 B povinných poloˇzek + volitelné poloˇzky identifikace spojen´ı (v Internetu): zdrojový a c´ılový port, zdrojová a c´ılová IP adresa, transportn´ı protokol (TCP) poˇradov´ eˇ c´ıslo odes´ılan´ eho bytu: poˇradové ˇc´ıslo 1. bytu segmentu v odes´ılaném toku dat (spojen´ı), segment nese byty toku dat od poˇradového ˇc´ısla do délky segmentu, ˇc´ıslován´ı zaˇc´ıná od náhodného ˇc´ısla (tzv. ISN, Initial Sequence Number), po dosaˇzen´ı 232 − 1 opˇet od 0, zajiˇstˇen´ı správného poˇrad´ı dat poˇradov´ eˇ c´ıslo pˇrijat´ eho bytu: poˇradové ˇc´ıslo následuj´ıc´ıho bytu, který má být pˇrijat d´ elka z´ ahlav´ı: v jednotkách 4 B, max. 60 B Jan Outrata (KI UP)



8 / 34

TCP segment pˇr´ıznaky: URG – segment nese naléhavá data, která má pˇr´ıjemce zpracovat pˇrednostnˇe (out of band data, pouˇzit´ı vyj´ımeˇcnˇe, napˇr. u Telnetu pro pˇr´ıkazy) ACK – platné poˇradové ˇc´ıslo pˇrijatého bytu, tj. potvrzen´ı správného pˇrijet´ı byt˚ u aˇz do tohoto ˇc´ısla - 1 (pozitivn´ı potvrzován´ı) PSH – segment obsahuje aplikaˇcn´ı data, pouˇzit´ı nen´ı ustáleno RST – odm´ıtnut´ı TCP spojen´ı SYN – nová sekvence ˇc´ıslován´ı odes´ılaných byt˚ u, poˇradové ˇc´ıslo odes´ılaného bytu je ˇc´ıslo 1. bytu toku dat (ISN), pˇri navazován´ı spojen´ı FIN – ukonˇcen´ı odes´ılán´ı dat (kromˇe opakován´ı pˇrenosu segment˚ u)

d´ elka okna: poˇcet byt˚ u, které je pˇr´ıjemce schopen pˇrijmout, pˇredcházen´ı zahlcen´ı pˇrij´ımaˇce

Jan Outrata (KI UP)



9 / 34

TCP segment kontroln´ı souˇ cet: poˇc´ıtaný z nˇekterých poloˇzek IP záhlav´ı (IP adresy odes´ılatele a pˇr´ıjemce, 1 B bin. nul, protokol vyˇsˇs´ı vrstvy, celková délka IP paketu), záhlav´ı TCP segmentu a dat (plus pˇr´ıpadnˇe 1 B bin. nul výplnˇe na sudý poˇcet byt˚ u), tzv. pseudoz´ ahlav´ı, zajiˇstˇen´ı integrity dat ukazatel nal´ ehav´ ych dat: poˇcet byt˚ u odes´ılaných naléhavých dat, pouze pˇri pˇr´ıznaku URG ˇ Í: zachytáván´ı a inspekce TCP segment˚ CVICEN u

Jan Outrata (KI UP)



10 / 34

Voliteln´ e poloˇ zky TCP z´ ahlav´ı max. 40 B za povinnými poloˇzkami TCP segmentu Obrázek: Obrázek pr˚ uvodce 225

typ 0 je pro posledn´ı poloˇzku, 1 pro výplˇ n záhlav´ı na násobek 4 B max. d´ elka segmentu (MSS, typ 2): max. délka dat pˇrij´ımaných segment˚ u, dohodnutá stranami pˇri navazován´ı spojen´ı, jen s pˇr´ıznakem SYN zvˇ etˇsen´ı okna (typ 3): bitový posun doleva délky okna povolen´ı SACK a SACK (typy 4 a 5): selektivn´ı potvrzován´ı segment˚ u mimo poˇrad´ı ˇ casov´ e raz´ıtko a echo ˇ casov´ eho raz´ıtka (typ 8): echo je zopakován´ı raz´ıtka z posledn´ıho pˇrijatého segmentu, pro detekci starého zatoulaného segmentu pˇri dlouhých oknech (stovky MB) Jan Outrata (KI UP)



11 / 34

Navazov´ an´ı spojen´ı jedna strana spojen´ı navazuje (inicializuje), druhá jej pˇrijme nebo odm´ıtne model klient/server (z hlediska aplikaˇcn´ı vrstvy) – klient navazuje, server oˇcekává a pˇr´ıpadnˇe pˇrij´ımá protokol TCP umoˇzn ˇuje navazovat spojen´ı souˇcasnˇe v obou smˇerech (v praxi ne pˇr´ıliˇs vyuˇz´ıvané) obˇe strany otevˇrou port (pomoc´ı socketu), klient v tzv. aktivn´ım reˇzimu, server v tzv. pasivn´ı reˇzimu c´ılový port (na serveru) je daný aplikac´ı zdrojový port (na klientu) typicky vybrán OS z volných neprivilegovaných (≥ 1024)

Jan Outrata (KI UP)



12 / 34

Navazov´ an´ı spojen´ı Tˇr´ıf´ azov´ y (Three-Way) handshake Obrázek: Obrázek pr˚ uvodce 226

1

2

3

klient odeˇsle segment (bez dat) s pˇr´ıznakem SYN, náhodnˇe vygenerovaným poˇradovým ˇc´ıslem odes´ılaného bytu jako startovac´ım ˇc´ıslem 1. bytu spojen´ı (toku dat, ISN) a navrhovanou max. délku pˇrij´ımaných segment˚ u (MSS) server odeˇsle segment (bez dat) s pˇr´ıznaky SYN a ACK, ISN a navrhovanou MSS pro opaˇcný smˇer (od serveru), poˇradové ˇc´ıslo pˇrijatého bytu je klientovo ISN + 1 (potvrzuje pˇrijet´ı pˇredchoz´ıho segmentu, jakoby 1 B dat, od klienta) klient odeˇsle segment (bez dat) s pˇr´ıznakem ACK, poˇradové ˇc´ıslo odes´ılaného bytu je klientovo ISN + 1 (jakoby dalˇs´ı byte, který server oˇcekává), poˇradové ˇc´ıslo pˇrijatého bytu je serverovo ISN + 1 (potvrzuje pˇrijet´ı pˇredchoz´ıho segmentu, jakoby 1 B dat, od serveru) Jan Outrata (KI UP)



13 / 34

Navazov´ an´ı spojen´ı po navázán´ı spojen´ı, tj. pˇr´ıjmu segmentu s pˇr´ıznakem ACK obˇema stranami, lze zas´ılat obˇema smˇery data (datové segmenty s pˇr´ıznaky ACK a PSH) nebo jen potvrzovac´ı segmenty (s pˇr´ıznakem ACK) prvn´ı segment s pˇr´ıznakem SYN nepotvrzuje ˇzádná pˇrijatá data, tj. neobsahuje pˇr´ıznak ACK a pole poˇradové ˇc´ıslo pˇrijatého bytu nen´ı platné (bývá vyplnˇeno bin. nulami) navrhované MSS je ≤ MTU, aby se zamezilo IP fragmentaci, pro Ethernet II 1460, Ethernet 802.3 1452 ˇ Í: zachytáván´ı a inspekce TCP segment˚ CVICEN u pˇri navazován´ı spojen´ı, rozbor tˇr´ıfázového handshake

Jan Outrata (KI UP)



14 / 34

Navazov´ an´ı spojen´ı Stavy spojen´ı pˇri jeho navazován´ı: Obrázek: Obrázek pr˚ uvodce 228

LISTEN – stav serveru, ˇcekán´ı na navázán´ı spojen´ı ze strany klienta SYN SENT – na stranˇe klienta, po odeslán´ı prvn´ıho segmentu (s pˇr´ıznakem SYN), tj. navazován´ı spojen´ı SYN RCVD – na stranˇe serveru, po obdrˇzen´ı prvn´ıho segmentu (s pˇr´ıznakem SYN), tj. obdrˇzena ˇzádost o spojen´ı ESTABLISHED – na obou stranách, po obdrˇzen´ı prvn´ıho segmentu s pˇr´ıznakem ACK, tj. spojen´ı navázáno (ve smˇeru od strany, která segment obdrˇzela) Vˇsechna spojen´ı a jejich stavy lze zobrazit napˇr. programem netstat. ˇ Í: výpis vˇsech spojen´ı na z/do poˇc´ıtaˇce, identifikace IP adres a CVICEN port˚ u (aplikac´ı) stran a stav˚ u spojen´ı, napˇr. pomoc´ı programu netstat Jan Outrata (KI UP)



15 / 34

Ukonˇ cov´ an´ı spojen´ı ukonˇcit/uzavˇr´ıt spojen´ı m˚ uˇze libovolná strana, klient i server

Obrázek: Obrázek pr˚ uvodce 229

1

1. strana odeˇsle segment (moˇzno i s daty) s pˇr´ıznakem FIN (vedle ACK), tzv. aktivn´ı uzavˇren´ı spojen´ı, pak jiˇz nem˚ uˇze odes´ılat datové segmenty (s pˇr´ıznakem PSH)

2

2. strana odeˇsle segment (potvrzovac´ı, moˇzno i s daty) bez pˇr´ıznaku FIN (jen s ACK), tzv. pasivn´ı uzavˇren´ı spojen´ı, m˚ uˇze dál odes´ılat datové segmenty 1. stranˇe tzv. polouzavˇren´ ym spojen´ım

3

2. strana odeˇsle segment (moˇzno i s daty) s pˇr´ıznakem FIN (vedle ACK), tzv. u ´pln´ e uzavˇren´ı spojen´ı

4

1. strana odeˇsle potvrzovac´ı segment (bez dat, s pˇr´ıznakem ACK) Jan Outrata (KI UP)



16 / 34

Ukonˇ cov´ an´ı spojen´ı 2. krok je moˇzné vynechat, pˇri oboustranném uzavˇren´ı spojen´ı segment s pˇr´ıznakem FIN bez dat se potvrzuje (ACK) jakoby mˇel 1 B dat ˇ Í: zachytáván´ı a inspekce TCP segment˚ CVICEN u pˇri ukonˇcován´ı spojen´ı, rozbor sekvence segment˚ u ukonˇcuj´ıc´ıch spojen´ı Stavy spojen´ı pˇri jeho ukonˇcován´ı: Obrázek: Obrázek pr˚ uvodce 230

FIN WAIT1 – na 1. stranˇe, po odeslán´ı segmentu s pˇr´ıznakem FIN, tj. aktivn´ı uzavˇren´ı spojen´ı CLOSE WAIT – na 2. stranˇe, po obdrˇzen´ı segmentu s pˇr´ıznakem FIN, tj. pasivn´ı uzavˇren´ı spojen´ı Jan Outrata (KI UP)



17 / 34

Ukonˇ cov´ an´ı spojen´ı FIN WAIT2 – na 1. stranˇe, po obdrˇzen´ı (potvrzovac´ıho) segmentu bez pˇr´ıznaku FIN, po 11,25 min. neˇcinnosti polouzavˇreného spojen´ı (tj. bez pˇrijet´ı segmentu) pˇrecház´ı do stavu CLOSED LAST ACK – na 2. stranˇe, po odeslán´ı segmentu s pˇr´ıznakem FIN, tj. u ´plné uzavˇren´ı spojen´ı TIME WAIT – na 1. stranˇe, po obdrˇzen´ı segmentu s pˇr´ıznakem FIN, protoˇze potvrzovac´ı segment nen´ı potvrzován, po 30 s – 2 min. pˇrecház´ı do stavu CLOSED, kv˚ uli moˇznosti opakován´ı potvrzovac´ıho segmentu po jeho vyˇzádán´ı 2. stranou (pˇri neobdrˇzen´ı) CLOSED – na obou stranách, na 2. stranˇe po obdrˇzen´ı potvrzovac´ıhoh segmentu ˇ Í: výpis vˇsech spojen´ı na z/do poˇc´ıtaˇce, identifikace IP adres a CVICEN port˚ u (aplikac´ı) stran a stav˚ u spojen´ı, napˇr. pomoc´ı programu netstat

Jan Outrata (KI UP)



18 / 34

Odm´ıtnut´ı spojen´ı pokud na c´ılovém portu pˇr´ıjemce nebˇeˇz´ı aplikace serveru (tj. port nen´ı otevˇren, nebo jsou segmenty zahazovány firewallem), klient, bez odpovˇedi serveru, periodicky opakuje poˇzadavek na navázán´ı spojen´ı (segment se SYN pˇr´ıznakem) odm´ıtnut´ı pokraˇcován´ı v jiˇz navázaném spojen´ı – zaslán´ım segmentu s pˇr´ıznakem RST (bez dat) → okamˇ zit´ e uzavˇren´ı spojen´ı v obou smˇerech a pˇrechod do stavu CLOSED na obou stranách, napˇr. u SSL/TLS pouˇzit´ı také pro rychlejˇs´ı ukonˇ cen´ı spojen´ı: nastaven´ı pˇr´ıznaku RST m´ısto FIN v 3. (nebo i 1.) segmentu pˇri ukonˇcován´ı spojen´ı, nebo po 4. segmentu jeˇstˇe 2. strana odeˇsle potvrzovac´ı segment s pˇr´ıznakem RST, pro uˇsetˇren´ı 1. stranˇe ˇcekán´ı ve stavu TIME WAIT

Jan Outrata (KI UP)



19 / 34

Ztr´ ata segmentu (ˇr´ızen´ı toku dat) Odes´ılatel: má definovaný ˇcasový interval pro pˇr´ıjem potvrzovac´ıho segmentu od pˇr´ıjemce (retransmission timeout) pˇri ztrátˇe nebo poˇskozen´ı segmentu (odeslaného nebo potvrzovac´ıho) po vyprˇsen´ı intervalu nebo pˇr´ıjmu tˇr´ı opakovaných stejných potvrzen´ı od pˇr´ıjemce (viz dále) opakuje odesl´ an´ı segmentu hodnota intervalu se dynamicky mˇen´ı podle stavu s´ıtˇe (linky) – na základˇe pˇredpokládané doby odezvy (vypoˇc´ıtané z RTT), Karn-Jacobson˚ uv algoritmus Pˇr´ıjemce: má definovaný interval pro pˇr´ıjem segmentu s následuj´ıc´ımi daty v toku dat (podle poˇrad´ı) pˇri neobdrˇzen´ı segmentu s následuj´ıc´ımi daty po vyprˇsen´ı intervalu nebo obdrˇzen´ı segmentu s dalˇs´ımi daty mimo poˇrad´ı opakuje potvrzen´ı pˇrijet´ı pˇredchoz´ıch dat ukládá si i data mimo poˇrad´ı do vstupn´ıho bufferu, po obdrˇzen´ı ztraceného segmentu potvrd´ı pˇr´ıjem vˇsech, tzv. rychlé zopakován´ı Jan Outrata (KI UP)



20 / 34

Ztr´ ata segmentu (ˇr´ızen´ı toku dat) ˇ Í: simulace ztráty segmentu (pˇreruˇsen´ım linky) a pozorován´ı CVICEN chován´ı protokolu TCP pˇri opakován´ı odes´ılán´ı a potvrzován´ı dat

Jan Outrata (KI UP)



21 / 34

Zpoˇ zdˇ en´ı odpovˇ edi výhodná u (konzolov´ ych) interaktivn´ıch aplikac´ı, napˇr. Telnet, FTP (pˇr´ıkazový kanál), SSH apod., vymˇen ˇuj´ıc´ıch mal´ e segmenty (napˇr. 1 B dat) Obrázek: Obrázek pr˚ uvodce 233

klasický pr˚ ubˇeh: uˇzivatel stiskne klávesu, klient odeˇsle znak serveru (v segmentu v IP paketu v rámci), server potvrd´ı pˇr´ıjem, zpracuje znak, odeˇsle znak klientovi pro jeho zobrazen´ı (interaktivita), klient potvrd´ı pˇr´ıjem a zobraz´ı, tj. min. 117 byt˚ u v kaˇzdém smˇeru – velk´ a reˇ zie snaha zmenˇsit objem pˇrenáˇsených dat a nebezpeˇc´ı zahlcen´ı s´ıtˇe (linky) ˇ Í: pozorován´ı zpoˇzdˇen´ı odpovˇedi u aplikace Telnet (viz dále) CVICEN

Jan Outrata (KI UP)



22 / 34

Zpoˇ zdˇ en´ı odpovˇ edi Potvrzov´ an´ı pˇr´ıjmu dat ne hned, ale se zpoˇ zdˇ en´ım, bˇehem kterého se mohou nahromadit data k odeslán´ı: Obrázek: Obrázky pr˚ uvodce 234

odes´ılán´ı dat (vˇcetnˇe potvrzen´ı, “delayed ACK”) v intervalech napˇr. 200 ms (≤ 500 ms) Nagle˚ uv algoritmus: odes´ılán´ı dat (vˇcetnˇe potvrzen´ı) najednou aˇz po potvrzen´ı pˇredchoz´ıch odeslaných dat druhou stranou nebo aˇz je objem dat k odeslán´ı ≥ MSS, vyrovnává dobu odezvy v˚ uˇci kapacitˇe pˇrenosové cesty (linky) kombinace zp˚ usobuje konstantn´ı zpoˇzdˇen´ı potvrzován´ı (“ACK delay”) → zakázán´ı Nagleova algoritmu pomoc´ı volby TCP NODELAY s´ıt’ového API OS, napˇr. u XProtocol Jan Outrata (KI UP)



23 / 34

Posuvn´ e okno (sliding window) Obrázek: Obrázek pr˚ uvodce 235

vyuˇzit´ı pˇri odes´ılán´ı vˇ etˇs´ıho mnoˇ zstv´ı dat, zamezen´ı zahlcen´ı pˇrij´ımaˇ ce segmenty se odes´ılaj´ı bez potvrzen´ı kaˇzdého zvláˇst’ aˇz do poˇctu odeslaných byt˚ u rovno d´ elce posuvn´ eho okna (v poloˇzce délka okna v TCP segmentu, pak se ukládaj´ı do výstupn´ıho bufferu) délka okna vyjadˇruje poˇcet byt˚ u, které je pˇr´ıjemce schopen pˇrijmout (má plný vstupn´ı buffer) ˇci (v definovaném ˇcase) zpracovat pˇri navazován´ı spojen´ı pˇr´ıjemce navrhne poˇcáteˇcn´ı délku (stejnˇe jako MSS, typicky 6–8 MSS) a pak ji m˚ uˇze v potvrzovac´ıch segmentech mˇ enit (inzerovat) nebo i vynulovat, tj. zakázat odes´ılateli odes´ılat dalˇs´ı data, pokud “nest´ıhá” Jan Outrata (KI UP)



24 / 34

Posuvn´ e okno (sliding window) poloˇzka délka okna má 2 B, tzn. okno m˚ uˇze být dlouhé max. 64 kB, malé u rychlých s´ıt´ı → volitelná poloˇzka zvˇ etˇsen´ı okna, n = 0 aˇz 14, n délka okna je potom násobena 2 (posun o n bit˚ u doleva), tj. aˇz témˇeˇr 1 GB, moˇzno pouˇz´ıt jen u segment˚ u s pˇr´ıznakem SYN pˇri navazován´ı spojen´ı, nastavováno parametrem OS potvrzován´ım pˇr´ıjmu dat se okno odes´ılatele po datech k odeslán´ı “posouvá” a mˇen´ı velikost – ˇr´ızen´ı toku dat (flow control) ˇ Í: identifikace a pozorován´ı posuvného okna pˇri pˇrenosu dat CVICEN

Jan Outrata (KI UP)



25 / 34

Zahlcen´ı s´ıtˇ e (congestion control) posuvné okno udává mnoˇzstv´ı dat akceptované pˇr´ıjemcem pokud je pˇr´ıliˇs velké a s´ıt’ na stranˇe pˇr´ıjemce plnˇe vyuˇzitá nebo pomalá, odes´ılatel m˚ uˇze s´ıt’ zahltit a ta (smˇerovaˇce) zaˇcne data zahazovat → okno i na stranˇe odes´ılatele, okno zahlcen´ı (congestion window), udávaj´ıc´ı, jaké mnoˇ zstv´ı nepotvrzen´ ych dat je moˇ zn´ e odeslat aniˇ z by doˇslo k zahlcen´ı s´ıtˇ e, c´ıl: nejvˇetˇs´ı moˇzné odes´ılatel odes´ılá data do velikosti menˇs´ıho z posuvného okna a okna zahlcen´ı dvˇe fáze: pomalý start a pˇredcházen´ı zahlcen´ı

Obrázek: Obrázky pr˚ uvodce 238

Jan Outrata (KI UP)



26 / 34

Zahlcen´ı s´ıtˇ e (congestion control) Pomal´ y start (slow start) od navázán´ı spojen´ı (po prodlevˇe) se velikost okna zahlcen´ı (CWND) poˇc´ınaje MSS nebo 2×MSS s kaˇzdým potvrzen´ım zvyˇsuje o MSS (ˇc´ımˇz se po kaˇzdém round trip zdvojn´ asobuje), aˇz do pˇrekroˇcen´ı velikosti posuvného okna nebo parametru SSTHRESH (hranice pravdˇepodobnosti zahlcen´ı, prvn´ı hodnota je parametr OS, typicky 64 kB) pˇri ztrátˇe segmentu se nastav´ı SSTHRESH na polovinu aktu´ aln´ı CWND (mininálnˇe 2×MSS) a inicializuje se CWND

Jan Outrata (KI UP)



27 / 34

Zahlcen´ı s´ıtˇ e (congestion control) Pˇredch´ azen´ı zahlcen´ı (congestion avoidance) následuje po pomalém startu, pomal´ e zvˇ etˇsov´ an´ı okna s kaˇzdým potvrzen´ım, napˇr. o MSS, MSS2 /CWND apod. algoritmy vyhýbán´ı se zahlcen´ı (congestion avoidance algorithms): prvn´ı Tahoe (po vyprˇsen´ı ˇcasového intervalu pˇred potvrzen´ım pomalý start), pak Reno – po tˇret´ım duplikovaném potvrzen´ı zmenˇsen´ı CWND, rychlé zopakován´ı segmentu a ˇcekán´ı na potvrzen´ı celého okna zahlcen´ı (tzv. rychlé zotaven´ı), pˇri neobrˇzen´ı potvrzen´ı pomalý start dalˇs´ı New Reno (lepˇs´ı rychlé zotaven´ı), Hybla (pro rádiové spoje), BIC (hodnota CWND se hledá p˚ ulen´ım intervalu, rychlejˇs´ı adaptace pro rozsáhlé rychlé s´ıtˇe), CUBIC (CWND je kubická funkce ˇcasu od posledn´ıho zahlcen´ı) aj.

selektivn´ı potvrzov´ an´ı (selective ACK, SACK): potvrzován´ı i segment˚ u mimo poˇrad´ı, pomoc´ı volitelných poloˇzek záhlav´ı (s dohodou pˇri navazován´ı spojen´ı) Jan Outrata (KI UP)



28 / 34

Zahlcen´ı s´ıtˇ e (congestion control) odes´ılatel udrˇzuje pro kaˇzdé spojen´ı velikosti MSS, posuvného okna, okna zahlcen´ı (CWND) a parametru SSTHRESH nalezená hodnota SSTHRESH pro daný smˇer se i po ukonˇcen´ı spojen´ı pouˇzije jako výchoz´ı u dalˇs´ıch spojen´ı, uloˇzená ve smˇerovac´ı tabulce

Jan Outrata (KI UP)



29 / 34

User Datagram Protocol (UDP) RFC 768 poskytuje nespojovanou (datagramovou) “nespolehlivou” sluˇzbu: data odeslána, nezaruˇ cuje se doruˇ cen´ı ani znovuzas´ıl´ an´ı ztracen´ ych nebo poˇskozen´ ych dat – ponecháno na vyˇsˇs´ım protokolu vyˇsˇs´ı v´ ykon a rychlost pˇrenosu dat neˇz u TCP, za cenu “nespolehlivosti” – vyuˇzit´ı u streamován´ı multimediáln´ıho obsahu nezávislý rozsah port˚ u pro TCP a UDP, UDP porty oznaˇceny ˇ c´ıslo/udp snaha vyhnout se IP fragmentaci datagram˚ u – velikost datagramu ≤ MTU linky (napˇr. u DNS delˇs´ı odpovˇed’ zkrácena na 512 B a na vyˇzádán´ı poslána celá pomoc´ı TCP) oproti TCP m˚ uˇze být pˇr´ıjemcem skupina uzl˚ u, tj. IP adresa pˇr´ıjemce m˚ uˇze být vˇsesmˇ erov´ a (napˇr. u DHCP) nebo skupinov´ a (multicast, typicky u streamován´ı multimediáln´ıho obsahu) – jak doˇzádat nedoruˇcená data (napˇr. u pˇrenosu soubor˚ u pomoc´ı Multicast FTP)? → od nejbliˇzˇs´ıho smˇerovaˇce (protokolem pro multicast) Jan Outrata (KI UP)



30 / 34

UDP datagram Obrázek: Obrázek pr˚ uvodce 241

záhlav´ı 8 B d´ elka dat: délka datagramu, tj. záhlav´ı a dat kontroln´ı souˇ cet: stejnˇe jako u TCP poˇc´ıtán z tzv. pseudozáhlav´ı (nˇekteré poloˇzky IP záhlav´ı, UDP záhlav´ı a data), nemus´ı být povinnˇe vyplnˇený, pro zrychlen´ı (napˇr. u NFS), ale m˚ uˇze být nebezpeˇcné (napˇr. u DNS, pak poˇc´ıtán jen z rámce, ale napˇr. SLIP nepoˇc´ıtá) ˇ Í: zachytáván´ı a inspekce UDP datagram˚ CVICEN u

Jan Outrata (KI UP)



31 / 34

Bezpeˇ cnost protokol˚ u TCP a UDP TCP “spolehlivá sluˇzba” – potvrzován´ı pˇr´ıjmu dat a znovuzaslán´ı ztracených a poˇskozených pouze kontroln´ı souˇcet (i kdyˇz i z ˇcásti IP záhlav´ı a dat) – lze pˇrepoˇc´ıtat náhodné 1. poˇradové ˇc´ıslo odes´ılaného bytu spojen´ı (ISN) – pouze pro zaruˇcen´ı správného poˇrad´ı dat (napˇr. také zahozen´ı zatoulaných segment˚ u z pˇredchoz´ıho pˇreruˇseného spojen´ı ze stejného portu) u ´toky: pˇrevzet´ı spojen´ı (connection hijaking, autentizovaného a dále nezabezpeˇceného), odepˇren´ı sluˇzby (Denial of Service, vyˇcerpán´ı zdroj˚ u systému pro spojen´ı, maximum pˇr´ıznak˚ u v záhlav´ı), zjiˇst’ován´ı otevˇrených (s ˇcekaj´ıc´ım serverem) port˚ u (port scanning) a u ´tok na aplikaci ˇreˇsen´ı: ˇsifrován´ı spojen´ı pomoc´ı SSL, S/MIME apod. nebo vytvoˇren´ım (ˇsifrovaných) tunel˚ u na jiných portech, omezován´ı poˇctu spojen´ı za daný ˇcas, sledován´ı (sekvenˇcn´ıho) skenován´ı port˚ u Jan Outrata (KI UP)



32 / 34

Bezpeˇ cnost protokol˚ u TCP a UDP UDP vyplnˇen´ı kontroln´ıho souˇctu je nepovinné, jinak lze pˇrepoˇc´ıtat mus´ı jej pouˇz´ıvat aplikace pˇrenáˇsej´ıc´ı data na skupinové nebo vˇsesmˇerové adresy, napˇr. streamovaná multimedia nebo DHCP napˇr. jej pouˇz´ıvá program traceroute na unixových systémech a na smˇerovaˇc´ıch bývaj´ı povoleny porty DNS (53/udp) Firewall filtrace paket˚ u a segment˚ u/datagram˚ u na základˇe TCP/UDP záhlav´ı zejména “bránˇen´ı” navázán´ı TCP spojen´ı nebo pˇrenosu dat pomoc´ı UDP na vybraných portech (“blokován´ı” aplikac´ı) – filtrován´ı TCP segment˚ u s pˇr´ıznakem SYN (prvn´ıho pˇri navazován´ı spojen´ı) a UDP datagram˚ u na c´ılový port TCP záhlav´ı jen v prvn´ım IP fragmentu – nutné sledovat fragmenty a filtrovat i dalˇs´ı Jan Outrata (KI UP)



33 / 34

Bezpeˇ cnost protokol˚ u TCP a UDP Pˇreklad adres (NAT) pˇreklad IP adres paket˚ u z vnitˇrn´ı s´ıtˇe na IP adresu hraniˇcn´ıho smˇerovaˇce ve vnˇejˇs´ı s´ıti (skryt´ı vnitˇrn´ı s´ıtˇe za smˇerovaˇcem), tzv. maˇskaráda – pˇreklad IP adres (adres socketu) pˇrenosu na zdrojové porty nového pˇrenosu ze smˇerovaˇce pˇreklad port˚ u u transparentn´ıch proxy (typicky v DMZ nebo pˇr´ımo hraniˇcn´ı smˇerovaˇc) zasahuje i do aplikaˇcn´ı vrstvy, v pˇr´ıpadˇe nutnosti porozumˇet aplikaˇcn´ımu protokolu, napˇr. FTP

Jan Outrata (KI UP)



34 / 34

34

Recommend Documents