?? rfc2873.txt
字號(hào):
組織:中國互動(dòng)出版網(wǎng)(http://www.china-pub.com/)
RFC文檔中文翻譯計(jì)劃(http://www.china-pub.com/compters/emook/aboutemook.htm)
E-mail:ouyang@china-pub.com
譯者:盧伍春(spacelu wuchun_lu@163.net)
譯文發(fā)布時(shí)間:2001-5-24
版權(quán):本中文翻譯文檔版權(quán)歸中國互動(dòng)出版網(wǎng)所有。可以用于非商業(yè)用途自由轉(zhuǎn)載,但必須
保留本文檔的翻譯及版權(quán)信息。
RFC2873
Network Working Group X. Xiao
Request for Comments: 2873 Global Crossing
Category: Standards Track A. Hannan
iVMG
V. Paxson
ACIRI/ICSI
E. Crabbe
Exodus Communications
June 2000
在Ipv4優(yōu)先域中的TCP過程
(RFC2873 TCP Processing of the IPv4 Precedence Field)
備忘錄狀態(tài)
這個(gè)文檔詳細(xì)說明了跟蹤協(xié)議的網(wǎng)絡(luò)標(biāo)準(zhǔn),以及要求討論和提高建議。根據(jù)目前版本的
“正式因特網(wǎng)協(xié)議標(biāo)準(zhǔn)”(STD1)來標(biāo)準(zhǔn)化這個(gè)協(xié)議。這個(gè)備忘錄的發(fā)行不受限制。
版權(quán)事項(xiàng)
Copyright (C) The Internet Society (2000). All Rights Reserved.
摘要
這個(gè)備忘錄描述了TCP[RFC793]和DiffServ[RFC2475]在Ipv4包頭{RFC791}中TOS8
位中前3位的使用沖突。包含DiffServ-capable節(jié)點(diǎn)的網(wǎng)絡(luò)中,如此沖突可能引起TCP連接
建立失敗或已經(jīng)建立的TCP連接意外重設(shè)。這個(gè)備忘錄主要是提出解決沖突問題的變化。
因?yàn)樵贗PV6中,傳輸8位組除了在RFC2474中定義的外沒有任何意義,還有沒有定義過程
或安全參數(shù)位,因此在TCP和DiffServ的使用位上沒有沖突。
1. 介紹
在TCP傳輸中,每個(gè)連接有一系列的狀態(tài)。那些狀態(tài)在兩端TCP控制塊(TCB)中的系列
變量反映出來。那些變量包括本地和遠(yuǎn)程套接字?jǐn)?shù),連接優(yōu)先級(jí),安全等級(jí)和間隔,等等。
兩端必須在優(yōu)先級(jí)和安全登記參數(shù)設(shè)置上保持一直,以便建立一個(gè)連接并保持。
在TCP報(bào)頭中沒有域指示優(yōu)先級(jí)段。而是,在IP報(bào)頭中的優(yōu)先級(jí)域用來指明。同樣的,安
全等級(jí)和間隔也是在IP報(bào)頭中,但是作為一個(gè)可選項(xiàng)而不是必須的報(bào)頭域。因?yàn)檫@些差異,
在這個(gè)備忘錄中討論的優(yōu)先域問題不適合它們。
TCP要求一個(gè)連接的優(yōu)先級(jí)(和安全參數(shù))必須在連接的生存期間保持一致。因此,對(duì)于
一個(gè)已經(jīng)建立的有優(yōu)先級(jí)的連接,收到的數(shù)據(jù)中有不同的優(yōu)先級(jí),這個(gè)連接必須進(jìn)行重置。
(RFC793,pp,36,37,40,66,67,71).
隨著DiffServ的出現(xiàn),中間節(jié)點(diǎn)可能改變IP報(bào)頭中的區(qū)分服務(wù)代碼點(diǎn)(DSCP)[RFC2474]
來表示將到達(dá)的下一跳的表現(xiàn)(PHB)[RFC2474,RFC2597,RFC2598[。DSCP包括前面認(rèn)
為是優(yōu)先域的3位。因?yàn)閷?duì)端節(jié)點(diǎn)來說,那三位的改變是非法的,可能引起建立連接失敗或
引起以建立連接重置。
2. 術(shù)語
段:TCP發(fā)送給IP的數(shù)據(jù)單元
優(yōu)先域:在Ipv4報(bào)頭TOS8位段中的最左3位。注意,在DiffServ中,這三位有可能被用
作指示IP包的優(yōu)先級(jí)。在IPV6中沒有相關(guān)域來指示優(yōu)先級(jí)。
TOS域:在IPV4報(bào)頭中TOS8位中的3-6位[RFC1349]
MBZ域:必須為0。
TOS的結(jié)構(gòu)如下:
DS域:IPV4報(bào)頭中的TOS8位域被DiffServ該名成區(qū)分服務(wù)(DS)。
DS域的結(jié)構(gòu)為:
DSCP:區(qū)分服務(wù)代碼點(diǎn),在DS域中的左6位。
CV:當(dāng)前未使用。
下一跳表現(xiàn)(PHB):應(yīng)用在區(qū)分服務(wù)相兼容節(jié)點(diǎn)表現(xiàn)集合的外部觀察描述
3. 問題闡述
操作DSCP用DiffServ-capable節(jié)點(diǎn)來獲得想要的PHB可能和優(yōu)先域的TCP應(yīng)用沖突。這
個(gè)沖突可能引起和RFC793一致的TCP執(zhí)行問題。首先,RFC793的36頁狀態(tài):
如果連接在任何非同步狀態(tài)(偵聽,SYN-發(fā)送,SYN-接收),有些確認(rèn)偵沒有發(fā)送(段包
含不可接收ACK),或則有和要求建立連接的安全層和時(shí)間間隔不符的輸入段,必須重置。
如果SYN連接請(qǐng)求包沒有確認(rèn)以及輸入段的優(yōu)先級(jí)高于要求的優(yōu)先級(jí),那么或者增加本地
優(yōu)先級(jí)(如果系統(tǒng)和用戶允許)或發(fā)送重置請(qǐng)求;或則如果輸入段的優(yōu)先級(jí)低于要求則繼續(xù),
此時(shí)認(rèn)為優(yōu)先級(jí)相符(如果遠(yuǎn)地TCP不能增加優(yōu)先級(jí)來匹配,那么在它發(fā)送的下一個(gè)段來
檢測(cè),然后連接將中斷)。如果我們的SYN連接請(qǐng)求包已經(jīng)確認(rèn)(可能在輸入段),輸入段
的優(yōu)先級(jí)必須和本地優(yōu)先級(jí)剛好相配,否則必須發(fā)送重置信息。
這將導(dǎo)致問題1:對(duì)一個(gè)優(yōu)先級(jí)敏感TCP模型,如果在TCP同步過程,SYN或則ACK包
的優(yōu)先級(jí)在中間節(jié)點(diǎn)被改變,將導(dǎo)致有一個(gè)和原先的TCP模塊中優(yōu)先級(jí)不一樣接收ACK包,
這樣TCP連接不能建立,即使兩個(gè)模塊確實(shí)在連接優(yōu)先級(jí)上一致。
然后,看RFC793的狀態(tài):
如果一個(gè)連接在同步狀態(tài)(已經(jīng)建立,F(xiàn)IN- WAIT-1, FIN-WAIT-2, CLOSE-WAIT, CLOSING,
LAST-ACK, TIME-WAIT),安全層,時(shí)間間隔,優(yōu)先級(jí)分別和建立連接的不同,將發(fā)一個(gè)
重置信息,并且連接將關(guān)掉。
這個(gè)導(dǎo)致問題2:對(duì)一個(gè)優(yōu)先級(jí)敏感的TCP模塊,如果如果一個(gè)已經(jīng)建立的TCP連接,接
收到段的優(yōu)先域和建立時(shí)的優(yōu)先域不同,TCP連接將被重置。
問題1和2有一個(gè)實(shí)際的問題。他們引起依據(jù)RFC793必須重置的TCP連接不必重置。
問題3:有可能在不同的優(yōu)先級(jí)上的兩個(gè)TCP建立連接,因?yàn)镾YN和ACK包在中間節(jié)點(diǎn)
會(huì)被改變,這樣可以使兩個(gè)模塊默認(rèn)為在相同的優(yōu)先級(jí)上。
問題4:兩個(gè)具有相同優(yōu)先級(jí)的TCP模塊能夠正常建立。但是在數(shù)據(jù)傳輸過程中,其中一
個(gè)TCP模塊有可能改變其優(yōu)先級(jí)。依據(jù)RFC793,TCP連接必須被重置。在DiffServ-capable,
如果優(yōu)先級(jí)段被中間節(jié)點(diǎn)改變,但在另外一個(gè)TCP模塊中獲得期望值,連接不會(huì)被重置。
4. TCP的建議修正
TCP的建議修正為TCP必須忽略所有接收段的優(yōu)先級(jí)。詳細(xì)的:
(1)。 在TCP同步過程,兩端的TCP模塊必須忽略SYN和SYN ACK包的優(yōu)先域。TCP
應(yīng)該能建立連接如果除了優(yōu)先級(jí)外的滿足RFC793條件的TCP連接。
(2) 在一個(gè)連接建立后,每一端發(fā)送自己要求段。兩端的TCP數(shù)據(jù)發(fā)送過程中的優(yōu)先級(jí)
可以和另外一端不一致,也可以一致(因?yàn)樵谶B接建立時(shí)間優(yōu)先級(jí)被忽略)。優(yōu)先域可能被
中間節(jié)點(diǎn)改變。在每一種情況下,接收段的優(yōu)先級(jí)將被忽略。這樣,TCP連接也就不要進(jìn)
行重置。
問題1和2將因?yàn)檫@個(gè)提議得到解決。問題3和4則不是個(gè)問題因?yàn)樵贒iffServ-capable環(huán)
境下TCP必須忽略優(yōu)先級(jí)。
5. 安全考慮
不管報(bào)頭的系列號(hào)是否正確,在收到不正確優(yōu)先域而終止連接的TCP執(zhí)行將造成嚴(yán)重拒絕
服務(wù)攻擊隱患,還有所有的攻擊者必須猜出端口然后發(fā)送兩個(gè)不同優(yōu)先級(jí)的數(shù)據(jù)報(bào);它們中
的任一個(gè)都肯定導(dǎo)致連接終止。相應(yīng)地,在這個(gè)備忘錄中的TCP處理過程的改變將獲得TCP
執(zhí)行彈性的重大收獲。
另一方面,RFC793中嚴(yán)格的處理規(guī)則將使TCP哄騙攻擊變得更加困難,隨著攻擊者必須猜
出受害方的TCP初始系列號(hào)而且是優(yōu)先級(jí)設(shè)置。
最后,每個(gè)PHB組的安全問題在RFC2597,RFC2598中特別描述。
6.確認(rèn)
感謝AI Smith的仔細(xì)檢驗(yàn)和注解。
6. 參考書
[RFC791] Postel, J., "Internet Protocol", STD 5, RFC 791, September
1981.
[RFC793] Postel, J., "Transmission Control Protocol", STD 7, RFC
793, September 1981.
[RFC1349] Almquist, P., "Type of Service in the Internet Protocol
Suite", RFC 1349, July 1992.
[RFC2460] Deering, S. and R. Hinden, "Internet Protocol, Version 6
(IPv6) Specification", RFC 2460, December 1998.
[RFC2474] Nichols, K., Blake, S., Baker, F. and D. Black, "Definition
of the Differentiated Services Field (DS Field) in the IPv4
and IPv6 Headers", RFC 2474, December 1998.
[RFC2475] Blake, S., Black, D., Carlson, M., Davies, E., Wang, Z. and
W. Weiss, "An Architecture for Differentiated Services",
RFC 2475, December 1998.
[RFC2597] Heinanen, J., Baker, F., Weiss, W. and J. Wroclawski,
"Assured Forwarding PHB Group", RFC 2587, June 1999.
[RFC2598] Jacobson, V., Nichols, K. and K. Poduri, "An Expedited
Forwarding PHB", RFC 2598, June 1999.
8. Authors' Addresses
Xipeng Xiao
Global Crossing
141 Caspian Court
Sunnyvale, CA 94089
USA
Phone: +1 408-543-4801
EMail: xipeng@gblx.net
Alan Hannan
iVMG, Inc.
112 Falkirk Court
Sunnyvale, CA 94087
USA
Phone: +1 408-749-7084
EMail: alan@ivmg.net
Edward Crabbe
Exodus Communications
2650 San Tomas Expressway
Santa Clara, CA 95051
USA
Phone: +1 408-346-1544
EMail: edc@explosive.net
Vern Paxson
ACIRI/ICSI
1947 Center Street
Suite 600
Berkeley, CA 94704-1198
USA
Phone: +1 510-666-2882
EMail: vern@aciri.org
9. 版權(quán)
Copyright (C) The Internet Society (2000). All Rights Reserved. This document and
translations of it may be copied and furnished to others, and derivative works that comment on or
otherwise explain it or assist in its implementation may be prepared, copied, published and
distributed, in whole or in part, without restriction of any kind, provided that the above copyright
notice and this paragraph are included on all such copies and derivative works. However, this
document itself may notbe modified in any way, such as by removing the copyright notice or
references to the Internet Society or other Internet organizations, except as needed for the purpose
of developing Internet standards in which case the procedures for copyrights defined in the
Internet Standards process must be followed, or as required to translate it into languages other
than English. The limited permissions granted above are perpetual and will not be revoked by the
Internet Society or its successors or assigns.
This document and the information contained herein is provided on an
"AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING
TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING
BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION
HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF
MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
確認(rèn)
Funding for the RFC Editor function is currently provided by the
Internet Society.
RFC2873 TCP Processing of the IPv4 Precedence Field 在Ipv4優(yōu)先域中的TCP過程
1
RFC文檔中文翻譯計(jì)劃
?? 快捷鍵說明
復(fù)制代碼
Ctrl + C
搜索代碼
Ctrl + F
全屏模式
F11
切換主題
Ctrl + Shift + D
顯示快捷鍵
?
增大字號(hào)
Ctrl + =
減小字號(hào)
Ctrl + -