Птс не оригинал что значит: что значит, чего бояться при покупке, как отличить от оригинала

Протокол дейтаграмм пользователя (UDP)

Поле LENGTH — это длина дейтаграммы пользователя, включая заголовок, то есть минимальное значение LENGTH составляет 8 байтов. Источник ПОРТ и ПОРТ НАЗНАЧЕНИЯ — это связь между IP-адресом и процесс, запущенный на хосте.Сетевой порт обычно обозначается целое число. Однако дейтаграмма пользователя не содержит IP-адреса. Итак, как протокол UDP знает, когда конечный пункт назначения достиг?

При вычислении заголовка CHECKSUM протокол UDP добавляет 12-байтовый псевдозаголовок, состоящий из ИСТОЧНИКА IP-АДРЕСА, IP-АДРЕС НАЗНАЧЕНИЯ и некоторые дополнительные поля. Когда хозяин получает дейтаграмму UDP, принимает заголовок UDP и создает новый псевдо-заголовок с использованием собственного IP-адреса в качестве IP-АДРЕСА НАЗНАЧЕНИЯ и ИСТОЧНИК IP-АДРЕС, извлеченный из дейтаграммы IP.Затем это вычисляет контрольную сумму, и если она равна контрольной сумме UDP, то дейтаграмма получила конечный пункт назначения.

Как указано в стеке Интернет-протокола Рисунок Протокол UDP часто используется в качестве основного протокола в протоколы клиент-серверных приложений, такие как TFTP, DNS и т. д., где накладные расходы на обеспечение надежной передачи с установлением соединения значительный. Эта проблема будет рассмотрена далее в следующих двух. разделы.

Протокол управления передачей (TCP)

Протокол TCP — это поточно-ориентированный протокол. Он предназначен для предоставить программному обеспечению прикладного уровня услугу для передачи большой объем данных надежным способом. Устанавливает полный дуплекс виртуальный канал между двумя передающими хостами, так что оба хоста одновременно может размещать данные в Интернете без указания целевой хост после установления соединения.В протоколе управления транзакционной передачей (T / TCP) раздел клиент-серверное расширение протокола TCP представлена ​​как альтернатива потоковой архитектуре.

Формат сегмента TCP

ПОРТ ИСТОЧНИКА, ПОРТ НАЗНАЧЕНИЯ

Протокол TCP использует тот же трюк с использованием псевдозаголовка. вместо передачи IP-адреса источника и пункта назначения IP-адрес уже включен в IP-дейтаграмму.Поэтому только номера портов необходимы для однозначного определения взаимодействующего хосты.

КОД

Это поле используется, чтобы указать содержимое сегмента и если необходимо предпринять определенные действия, например, если отправитель достиг EOF в потоке.

ОПЦИИ

Протокол TCP использует поле OPTIONS для обмена информацией например, максимальный размер сегмента принимается между уровнями TCP на два хозяина. В настоящее время определены следующие флаги:

• URG Поле указателя срочности является действительным
• ACK Поле подтверждения действительно
• PSH Этот сегмент запрашивает push
• RST Сбросить соединение
• SYN Синхронизация порядковых номеров
• FIN Отправитель достиг конца своего байтового потока

СМЕЩЕНИЕ

Это целое число указывает смещение пользовательских данных в пределах сегмент.Это поле требуется только потому, что количество битов, используемых в Поле OPTIONS может отличаться

СРОЧНЫЙ УКАЗАТЕЛЬ

Это поле может быть инициализировано, чтобы указывать на место в пользовательском данные, в которых размещена срочная информация, такая как escape-коды и т. д. Тогда принимающий хост может обработать эту часть немедленно, когда он получает сегмент.

Надежная трансмиссия

Хост A передает пакет данных Host B , но пакет теряется до того, как достигнет места назначения. Однако, Host A установил таймер, когда ожидать ACK от Host B , поэтому, когда этот таймер заканчивается, пакет передается повторно. В сложная часть метода — найти значение периода тайм-аута поскольку сегмент TCP может перемещаться по разным скоростным сетям с разные нагрузки.Это означает, что Время приема-передачи (RTT) может варьироваться от сегмента к сегменту. Простой способ расчета RTT заключается в использовании рекурсивного среднего значения с экспоненциальным окном для уменьшить важность старых ценностей.

Как упоминалось во введении к TCP раздел, протокол является потоковым протоколом. Оно использует неструктурированные потоки без метода индексации пользовательских данных, например в виде записи и т. д. Кроме того, длина сегмента TCP может варьироваться в зависимости от случай для IP-дейтаграммы и пользовательской дейтаграммы UDP.Следовательно подтверждение не может быть основано на номере сегмента, но должно быть на основе успешно переданных байтов.

Однако принцип PAR очень неэффективен, поскольку передающий хост должен дождаться подтверждения, прежде чем он сможет отправить следующий сегмент. Это означает, что минимальное время между двумя сегментами составляет 1 RTT. плюс время, необходимое для обслуживания сегментов с обоих концов. ПТС Протокол решает эту проблему, используя скользящие окна на обоих концах.

Этот метод позволяет передающему узлу отправлять столько байтов, сколько может. быть сохранены в окне отправки, а затем ждать подтверждения, как удаленный хост получает сегменты и отправляет данные в другой направление.Подтверждение, отправленное обратно, является кумулятивным, так что оно в все время показывает следующий байт , который ожидает принимающий хост увидеть. Пример с большим размером окна и выборочной ретрансляция показана на рисунке:

Байт номер 1 потерян, поэтому Host B никогда не отправляет положительный результат. подтверждение. Когда Хост A тайм-аут на байте 1, он повторно передает Это. Однако, поскольку остальные байты от 2 до 5 передаются успешно следующее подтверждение может сразу перейти к 6, что следующий ожидаемый байт.Байт 2 также повторно передается как хост не знает точно, сколько байтов ошибочно. Хост B просто отбрасывает байт 2, поскольку он уже загружен.

Технику окна также можно использовать для контроля перегрузки. механизм. Как указано в сегменте TCP Форматирование Рисунок каждый сегмент имеет поле ОКНО, в котором указывается, как много данных, которые хост готов получить. Если хост сильно загружен, это может уменьшить параметр WINDOW и, следовательно, скорость передачи капли.

Однако, поскольку протокол TCP является сквозным протоколом, он не может видеть если возникла проблема перегрузки в промежуточном интерфейсе Процессор сообщений (IMP) (часто называемый пакетной коммутацией ). узел ) и, следовательно, у него нет средств управлять им, регулируя размер окна. TCP решает эту проблему с помощью контрольного сообщения Интернета. Сообщения о блокировке источника протокола (ICMP).

Установление соединения

Блоки посередине символизируют соответствующую часть TCP. сегмент, то есть НОМЕР ПОСЛЕДОВАТЕЛЬНОСТИ, НОМЕР ПОДТВЕРЖДЕНИЯ и код. Активный Host A отправляет сегмент, указывающий, что он НОМЕР ПОСЛЕДОВАТЕЛЬНОСТИ начинается с x. Хост B отвечает ACK и указывает, что он начинается с НОМЕР ПОСЛЕДОВАТЕЛЬНОСТИ y.На третьем сегмент: оба хоста согласны с порядковыми номерами и что они готов к передаче данных.

На рисунке только Host A делает активное открытие. На самом деле два хосты могут открывать одновременно, и в этом случае оба хоста выполняют SYN-RECEIVED, а затем синхронизируйте соответственно. Основная причина для 3WHS заключается в предотвращении инициирования старых дублирующих подключений вызывая замешательство.

Обратите внимание, что НОМЕР ПОСЛЕДОВАТЕЛЬНОСТИ сегментов 3 и 4 одинаков, потому что ACK не занимает пространство порядковых номеров (если это так, протокол закончится ACKing ACK!).

Однако установка TCP-соединения довольно долгая и трудоемкая задача. во многих приложениях, особенно в клиент-серверных приложениях например, во всемирной паутине. В следующем разделе представлена ​​альтернатива, имеющая представлено более легкое установление соединения.

Протокол управления транзакционной передачей (T / TCP)

• Взаимодействие между клиентом и сервером основано на запрос, за которым следует ответ, то есть подход без сохранения состояния.
• Протокол должен гарантировать, что транзакция выполняется на один раз, и любые повторяющиеся пакеты, полученные сервером, должны быть отброшенным.
• Нет явной процедуры открытия или закрытия соединения. Это напротив TCP и 3WHS, как описано выше.
• Минимальная задержка транзакции для клиента должна быть Round Время отключения (RTT) + Время обработки сервера (SPT) . Это в основном такое же требование, как отсутствие явной процедуры открытия или закрытия.
• Протокол должен поддерживать надежный минимум сделка ровно 1 сегмента в обе стороны.

Неявное установление соединения

3HWS был введен для предотвращения старых дубликатов инициирование соединения от причинения путаницы. Однако T / TCP предоставляет альтернативой этому путем введения трех новых параметров в Поле OPTION в сегменте TCP:

СЧЕТЧИК СОЕДИНЕНИЙ (CC)

Это 32-битный номер воплощения, где отдельное значение присваивается всем сегментам, отправляемым от Host A к Host B и другое отличное число наоборот. Ядро на обоих хостах держит кэш всех номеров CC, которые в настоящее время используются подключениями к удаленному хосты.При каждом новом подключении номер CC клиента монотонно увеличивается на 1, чтобы сегмент, принадлежащий новому соединению, мог быть отделенными от старых дубликатов от предыдущих подключений.

СЧЕТЧИК СОЕДИНЕНИЙ НОВЫЙ (CC.NEW)

В некоторых ситуациях принцип монотонно возрастающего значение CC может быть нарушено либо из-за сбоя хоста, либо из-за максимальное число, то есть 4G, достигается, и счетчик возвращается к 0. Это возможно на практике, потому что один и тот же номер CC является глобальным для все соединения.В этой ситуации отправляется CC.NEW и удаленный хост сбрасывает свой кеш и возвращается к обычному TCP-соединению 3WHS учреждение. Этот сигнал всегда будет посылаться с клиент и с по сервер.

ПОДКЛЮЧЕНИЕ СЧЕТЧИКА ECHO (CC.ECHO)

В ответе сервера поле CC.ECHO содержит значение CC отправить клиентом, чтобы клиент мог проверить ответ как принадлежность к конкретной сделке.

В этом примере два сегмента отправляются в обоих направлениях.Связь устанавливается, когда первый сегмент достигает сервера. Клиент остается в Состояние ВРЕМЯ-ОЖИДАНИЕ, которое объясняется в следующем разделе.

Подключение Shotdown

• Протокол (UDP, TCP)
• IP-адрес хоста A
• Номер порта хоста A
• IP-адрес хоста B
• Номер порта хоста B

Однако номера CC T / RCP дают уникальную идентификацию каждого транзакция, поэтому протокол T / TCP может обрезать WAIT-STATE, сравнивая номера CC. Этот принцип можно посмотреть при расширении конечного автомата одной транзакции, чтобы также включить информация о предыдущих и будущих транзакциях с использованием одного и того же 5-кортежа.

TTCP и Интернет

TCP / IP и OSI / RM

Физический уровень

Определяет физическое соединение между хост-компьютерами и IMP и как биты передаются по каналу связи.

Канальный уровень данных

Этот уровень определяет, как данные передаются между IMP с использованием рамки . Его основная задача — сменить сервис из физический уровень в пакетно-ориентированную безошибочную передачу.

Сетевой уровень

Кадры с уровня канала данных организованы в Пакеты и направляются по сети. Связи все еще между IMP.

Транспортный уровень

Первый уровень, обеспечивающий сквозную транспортную службу.Это гарантирует, что переданные данные правильно поступят на другой конец.

Сессионный уровень

Этот уровень определяет, как два хоста могут устанавливать сеансы, где данные могут передаваться в обоих направлениях по виртуальному соединению между двумя хозяевами.

Уровень презентации

Уровень представления представляет набор синтаксиса и семантики информация, передаваемая через нижние уровни протокола.

Уровень приложения

Этот уровень определяет виртуальную сеть, не зависящую от платформы. терминал, чтобы прикладные программы могли обмениваться данными независимо от используемое внутреннее представление данных.

Еще одно отличие состоит в том, где находится интеллект. наслоение. OSR / RM представляет надежный сервис на уровне канала передачи данных тогда как TCP / IP имеет интеллект только на транспортном уровне. Оба решения имеют преимущества и недостатки. Когда достоверные данные услуга передачи размещена на нижних уровнях, клиенты, использующие сеть для связи может быть очень простой, поскольку у них нет для обработки сложных ошибочных ситуаций. Недостаток в том, что производительность снижается из-за чрезмерного количества управляющей информации передается и обрабатывается на каждом хосте.

Различия между TCP и UDP

Предварительное условие — обязанности транспортного уровня, TCP, UDP

Краткий пример, чтобы четко понять различия:
Предположим, есть два дома, h2 и h3, и письмо должно быть отправлено от h2 к h3. Но между этими двумя домами протекает река. Как теперь отправить письмо?
Решение 1. Постройте мост через реку, и тогда его можно будет доставить.
Решение 2. Доставьте его через голубя.

Рассмотрим первое решение как TCP.Для доставки данных (письма) необходимо установить соединение (мост).
Данные надежны, потому что они напрямую достигнут другого конца без потери данных или ошибок.
И второе решение — UDP. Для отправки данных соединение не требуется.
Процесс быстр по сравнению с TCP, где нам нужно установить соединение (мост). Но данные ненадежны: мы не знаем, пойдет ли голубь в правильном направлении, или он уронит письмо по пути, или возникла какая-то проблема в середине путешествия.типы

Вниманию читателя! Не прекращайте учиться сейчас. Практикуйте экзамен GATE задолго до самого экзамена с помощью предметных и общих викторин, доступных в курсе серии тестов GATE .

Изучите все концепции GATE CS с бесплатными живыми классами на нашем канале YouTube.

Флаги TCP — GeeksforGeeks

В TCP-соединении флаги используются для обозначения определенного состояния соединения или для предоставления некоторой дополнительной полезной информации, например, целей устранения неполадок или управления определенным соединением.Чаще всего используются флаги «SYN», «ACK» и «FIN» . Каждый флаг соответствует 1-битной информации.

Типы флагов:

• Синхронизация (SYN) — Используется на первом этапе фазы установления соединения или в процессе трехстороннего установления связи между двумя хостами. Этот флаг должен быть установлен только для первого пакета от отправителя и получателя. Это используется для синхронизации порядковых номеров, то есть для того, чтобы сообщить другой стороне, какой порядковый номер они должны принять.
• Подтверждение (ACK) — Он используется для подтверждения пакетов, успешно принятых хостом. Флаг устанавливается, если поле номера подтверждения содержит действительный номер подтверждения.
  На приведенной ниже диаграмме получатель отправляет ACK = 1, а также SYN = 1 на втором этапе установления соединения, чтобы сообщить отправителю, что он получил свой начальный пакет.
  
• Finish (FIN) — Используется для запроса на прекращение соединения i.е. когда от отправителя больше нет данных, он запрашивает разрыв соединения. Это последний пакет, отправленный отправителем. Он освобождает зарезервированные ресурсы и корректно завершает соединение.
  
• Сброс (RST) — Он используется для разрыва соединения, если отправитель RST считает, что с TCP-соединением что-то не так или диалог не должен существовать. Он может быть отправлен со стороны получателя, когда пакет отправляется определенному хосту, который его не ожидал.
  

Finish (FIN) v / s Reset (RST) —

• Push (PSH) — Транспортный уровень по умолчанию ожидает некоторое время, пока уровень приложения отправит достаточно данные равны максимальному размеру сегмента, так что количество пакетов, передаваемых по сети, сводится к минимуму, что нежелательно для некоторых приложений, таких как интерактивные приложения (чат).Точно так же транспортный уровень на стороне получателя буферизует пакеты и передает их на прикладной уровень, если он соответствует определенным критериям.

  Эта проблема решается с помощью PSH. Транспортный уровень устанавливает PSH = 1 и немедленно отправляет сегмент на сетевой уровень, как только он получает сигнал от прикладного уровня. Транспортный уровень приемника, увидев PSH = 1, немедленно пересылает данные на уровень приложения.
  Обычно он сообщает получателю обрабатывать эти пакеты по мере их поступления, а не буферизовать их.
  

• Срочно (URG) — Данные внутри сегмента с флагом URG = 1 немедленно перенаправляются на уровень приложения, даже если на уровень приложения нужно передать больше данных. Он используется для уведомления получателя о необходимости обработки срочных пакетов перед обработкой всех остальных пакетов. Получатель будет уведомлен, когда будут получены все известные срочные данные.

Push (PSH) v / s Urgent (URG) —

Внимание, читатель! Не прекращайте учиться сейчас.Практикуйте экзамен GATE задолго до самого экзамена с помощью предметных и общих викторин, доступных в курсе серии тестов GATE .

Изучите все концепции GATE CS с бесплатными живыми классами на нашем канале YouTube.

Устранение неполадок подключения TCP / IP — Windows Client Management

• 06.12.2018
• 5 минут на чтение

В этой статье

Вы можете столкнуться с ошибками подключения при завершении приложения или ошибками тайм-аута.Ниже приведены наиболее распространенные сценарии:

• Подключение приложения к серверу базы данных
• Ошибки тайм-аута SQL
• Ошибки тайм-аута приложения BizTalk
• Ошибки протокола удаленного рабочего стола (RDP)
• Сбои доступа к общей папке
• Общие возможности подключения

Если вы подозреваете, что проблема в сети, вы собираете трассировку сети. Затем сетевая трассировка будет отфильтрована. Во время устранения ошибок подключения вы можете столкнуться с сбросом TCP в захвате сети, который может указывать на проблему с сетью.

• TCP определяется как надежный протокол с установлением соединения. Одним из способов обеспечения надежности TCP является процесс установления связи. Установление сеанса TCP начнется с трехстороннего рукопожатия, за которым следует передача данных, а затем четырехстороннее закрытие. Четырехстороннее закрытие, при котором отправитель и получатель соглашаются на закрытие сеанса, называется постепенным закрытием . После четырехстороннего закрытия сервер предоставит 4 минуты времени (по умолчанию), в течение которых любые ожидающие пакеты в сети должны быть обработаны, это состояние TIME_WAIT.После завершения состояния TIME_WAIT все ресурсы, выделенные для этого соединения, освобождаются.

• Сброс TCP — это внезапное закрытие сеанса; это приводит к немедленному освобождению ресурсов, выделенных для соединения, и стиранию всей остальной информации о соединении.

• Сброс TCP идентифицируется флагом RESET в заголовке TCP, установленным на 1 .

Сетевая трассировка источника и пункта назначения помогает определить поток трафика и увидеть, в какой точке наблюдается сбой.

В следующих разделах описаны некоторые сценарии, когда вы увидите СБРОС.

Пакетные капли

Когда один TCP-узел отправляет TCP-пакеты, для которых нет ответа, полученного с другого конца, TCP-одноранговый узел в конечном итоге повторно передает данные, а если ответ не получен, он завершает сеанс, отправив ACK RESET ( это означает, что приложение подтверждает любые данные, которыми обмениваются до сих пор, но из-за отбрасывания пакета соединение закрывается).

Одновременные сетевые трассировки источника и пункта назначения помогут вам проверить это поведение, когда на стороне источника вы увидите повторно передаваемые пакеты, а в пункте назначения ни один из этих пакетов не виден. Это будет означать, что сетевое устройство между источником и получателем отбрасывает пакеты.

Если первоначальное установление связи TCP не удается из-за отбрасывания пакетов, вы увидите, что пакет TCP SYN повторно передается только три раза.

Подключение на стороне источника к порту 445:

Сторона назначения: применяя тот же фильтр, вы не видите никаких пакетов.

Для остальных данных TCP будет повторно передавать пакеты пять раз.

Источник 192.168.1.62 боковой след:

Назначение 192.168.1.2 боковая трассировка:

Вы не увидите ни одного из вышеперечисленных пакетов. Привлекайте свою сетевую команду для исследования различных переходов и выяснения, не вызывает ли какой-либо из них потенциально обрывы в сети.

Если вы видите, что пакеты SYN достигают пункта назначения, но пункт назначения по-прежнему не отвечает, проверьте, находится ли порт, к которому вы пытаетесь подключиться, в состоянии прослушивания.(Вывод Netstat поможет). Если порт прослушивает, но ответа по-прежнему нет, возможно, произошел сбой wfp.

Неверный параметр в заголовке TCP

Такое поведение наблюдается, когда пакеты изменяются в сети промежуточными устройствами, а TCP на принимающей стороне не может принять пакет, например, изменяемый порядковый номер или пакеты, воспроизводимые промежуточным устройством, путем изменения порядкового номера. Опять же, одновременная сетевая трассировка на источнике и получателе сможет сказать вам, изменен ли какой-либо из заголовков TCP.Начните с сравнения трассировки источника и трассировки пункта назначения, и вы сможете заметить, есть ли изменения в самих пакетах или какие-либо новые пакеты достигают пункта назначения от имени источника.

В этом случае вам снова понадобится помощь сетевой группы, чтобы идентифицировать любое устройство, которое изменяет пакеты или воспроизводит пакеты по назначению. Наиболее распространены устройства RiverBed или ускорители WAN.

Сброс на стороне приложения

Когда вы определили, что сбросы не связаны с повторной передачей или неправильным параметром или пакетами, измененными с помощью сетевой трассировки, вы сузили его до сброса на уровне приложения.

Сброс приложений — это те, где вы видите, что флаг подтверждения установлен на 1 вместе с флагом сброса. Это будет означать, что сервер подтверждает получение пакета, но по какой-то причине не принимает соединение. Это когда приложению, получившему пакет, что-то не понравилось.

На приведенных ниже снимках экрана вы видите, что пакеты, видимые в источнике и в пункте назначения, одинаковы без каких-либо изменений или отбрасываний, но вы видите явный сброс, отправленный пунктом назначения источнику.

Сторона источника

На трассе на стороне назначения

Вы также видите пакет флага ACK + RST в случае отправки пакета SYN установления TCP. Пакет TCP SYN отправляется, когда клиент хочет подключиться к определенному порту, но если пункт назначения / сервер по какой-либо причине не хочет принимать пакет, он отправит пакет ACK + RST.

Приложение, вызывающее сброс (идентифицируемое номерами портов), должно быть исследовано, чтобы понять, что вызывает сброс соединения.

Примечание

Приведенная выше информация относится к сбросам с точки зрения TCP, а не UDP. UDP — это протокол без установления соединения, и пакеты отправляются ненадежно. Вы не увидите повторной передачи или сброса при использовании UDP в качестве транспортного протокола. Однако UDP использует ICMP как протокол сообщений об ошибках. Если у вас есть пакет UDP, отправленный на порт, а в пункте назначения нет порта в списке, вы увидите, что пункт назначения отправляет сообщение ICMP Destination host unreachable: Port unreachable сразу после пакета UDP

  10.10.10.1 10.10.10.2 UDP UDP: SrcPort = 49875, DstPort = 3343
 
10.10.10.2 10.10.10.1 ICMP ICMP: сообщение о недоступности пункта назначения, порт недоступен, 10.10.10.2: 3343
  

В ходе устранения неполадок с подключением вы также можете увидеть в сетевой трассировке, что машина получает пакеты, но не отвечает. В таких случаях может произойти сбой на уровне сервера. Чтобы понять, отбрасывает ли пакет локальный брандмауэр, включите аудит брандмауэра на машине.

  auditpol / set / subcategory: «Отброс пакетов платформы фильтрации» / успех: включить / сбой: включить
  

Затем вы можете просмотреть журналы событий безопасности, чтобы увидеть отбрасывание пакетов на определенном IP-адресе порта и связанный с ним идентификатор фильтра.

Теперь запустите команду netsh wfp show state , это сгенерирует файл wfpstate.xml. После того, как вы откроете этот файл и отфильтруете идентификатор, который вы найдете в указанном выше событии (2944008), вы сможете увидеть имя правила брандмауэра, связанное с этим идентификатором, который блокирует соединение.

Номер подтверждения — обзор

Транспортный режим — обзор

2.1 IPsec

Безопасность Интернет-протокола (IPsec) — это набор протоколов для безопасного обмена данными по Интернет-протоколу (IP), который работает путем аутентификации и шифрования каждого IP-пакета сеанса связи.IPsec включает протоколы для установления взаимной аутентификации между агентами в начале сеанса и согласования криптографических ключей, которые будут использоваться во время сеанса. IPsec может использоваться для защиты потоков данных между парой устройств (устройство-устройство), между парой шлюзов безопасности (сеть-сеть) или между шлюзом безопасности и устройством (сеть-устройство). .

IPsec поддерживает аутентификацию однорангового узла на уровне сети, аутентификацию источника данных, целостность данных, конфиденциальность данных (шифрование) и защиту от воспроизведения.Это механизм сквозной безопасности, работающий на Интернет-уровне Internet Protocol Suite, в то время как некоторые другие широко используемые системы Интернет-безопасности, такие как Transport Layer Security (TLS) и Secure Shell (SSH), работают на верхнем уровне. слои на прикладном уровне. Это важно, потому что только IPsec защищает весь трафик приложений в IP-сети.

IPsec может быть реализован в двух режимах: транспортном режиме от устройства к устройству (где любой из них может быть хост) и режиме сетевого туннелирования, как будет описано ниже.

2.1.1 Транспортный режим

В транспортном режиме обычно шифруется и / или аутентифицируется только полезная нагрузка IP-пакета. Маршрутизация остается неизменной, поскольку заголовок IP не модифицируется и не зашифровывается; однако, когда используется заголовок аутентификации, IP-адреса не могут быть преобразованы, так как это всегда делает недействительным значение хеш-функции. Транспортный и прикладной уровни всегда защищены хешем, поэтому они не могут быть изменены каким-либо образом (например, путем преобразования номеров портов).

2.1.2 Туннельный режим

В туннельном режиме весь IP-пакет зашифрован и / или аутентифицирован. Затем он инкапсулируется в новый IP-пакет с новым IP-заголовком. Туннельный режим используется для создания виртуальных частных сетей для связи между сетями (например, между маршрутизаторами для связывания сайтов), связи между устройствами (например, удаленный доступ пользователей) и связи между устройствами (например, частный чат). .

Поддержка IPsec обычно реализована в ядре операционной системы. Первоначально он был разработан вместе с IPv6 и изначально должен был поддерживаться всеми совместимыми со стандартами реализациями IPv6, но позже это было сделано только в качестве рекомендации.IPsec также является необязательным для реализаций IPv4. Стек OpenBSD IPsec был первой реализацией, которая была доступна по разрешительной лицензии с открытым исходным кодом, и поэтому широко копировалась.

В 2013 году в рамках утечки информации о Сноудене было обнаружено, что АНБ США активно работало над «вставкой уязвимостей в коммерческие системы шифрования, ИТ-системы, сети и устройства связи конечных точек, используемые целями» в рамках программы Bullrun. . Есть утверждения, что IPsec был целевой системой шифрования, но никаких доказательств обнаружено не было.

2.1.3 VPN

VPN расширяет частную сеть через общедоступную сеть, такую ​​как Интернет. Он позволяет пользователям отправлять и получать данные через совместно используемые или общедоступные сети, как если бы их вычислительные устройства были напрямую подключены к частной сети и, таким образом, извлекали выгоду из функциональности, безопасности и политик управления частной сети. VPN создается путем установления виртуального двухточечного соединения с использованием выделенных соединений, протоколов виртуального туннелирования или шифрования трафика.

VPN, охватывающая Интернет, похожа на глобальную сеть (WAN). С точки зрения пользователя доступ к расширенным сетевым ресурсам осуществляется так же, как и к ресурсам, доступным в частной сети. Традиционные VPN характеризуются топологией «точка-точка», и они не стремятся поддерживать или соединять широковещательные домены. Поэтому связь, программное обеспечение и сеть, которые основаны на уровне 2 OSI и широковещательных пакетах, таких как NetBIOS, используемые в сети Windows, могут не полностью поддерживаться или работать не так, как в локальной сети (LAN).

VPN безопасно соединяют географически разделенные офисы организации, создавая единую сеть. Технология VPN также используется отдельными пользователями Интернета для защиты своих беспроводных транзакций, обхода географических ограничений и цензуры, а также для подключения к прокси-серверам с целью защиты личных данных и местоположения. VPN — это технология безопасности, наиболее подходящая для индивидуальных пользовательских подключений, а не для безопасных подключений множества встроенных устройств. Для безопасного туннелирования к встроенным устройствам и от них более подходит режим туннелирования IPsec, описанный в предыдущем разделе.

2.1.4 TLS / SSL

TLS и его предшественник, SSL, представляют собой криптографические протоколы, предназначенные для обеспечения безопасности связи в компьютерной сети. Несколько версий протоколов широко используются в таких приложениях, как просмотр веб-страниц, электронная почта, отправка факсов через Интернет, обмен мгновенными сообщениями и передача голоса по IP (VoIP). Основные веб-сайты (включая Google, YouTube, Facebook и многие другие) используют TLS для защиты всей связи между своими серверами и веб-браузерами.

Основная цель протокола TLS — обеспечить конфиденциальность и целостность данных между двумя взаимодействующими компьютерными приложениями.При защите с помощью TLS соединения между клиентом (например, веб-браузером) и сервером (например, wikipedia.org) будут иметь одно или несколько из следующих свойств:

•

Соединение является частным, поскольку симметричная криптография используется для шифрования передаваемых данных. Ключи для этого симметричного шифрования генерируются уникально для каждого соединения и основаны на секрете, согласованном в начале сеанса с использованием шифрования RSA общих симметричных ключей при их передаче по сети.Сервер и клиент согласовывают детали того, какой алгоритм шифрования и криптографические ключи использовать, прежде чем будет передан первый байт данных. Согласование общего секрета является одновременно безопасным (согласованный секрет недоступен для подслушивающих и не может быть получен даже злоумышленником, который находится в середине соединения) и надежным (ни один злоумышленник не может изменить обмен данными во время согласования, не будучи обнаружен).

•

Идентификационные данные взаимодействующих сторон могут быть аутентифицированы с использованием криптографии с открытым ключом.Эту аутентификацию можно сделать необязательной, но обычно она требуется по крайней мере для одной из сторон (обычно для сервера).

•

Соединение является надежным, поскольку каждое переданное сообщение включает проверку целостности сообщения с использованием кода аутентификации сообщения для предотвращения необнаруженной потери или изменения данных во время передачи.

TLS поддерживает множество различных методов обмена ключами, шифрования данных и проверки целостности сообщений.В результате безопасная конфигурация TLS включает в себя множество настраиваемых параметров, и не все варианты обеспечивают все свойства, связанные с конфиденциальностью, описанные в списке выше.

Были предприняты попытки подорвать аспекты безопасности связи, которые TLS стремится обеспечить, и протокол несколько раз пересматривался для устранения этих угроз безопасности. Веб-браузеры также были переработаны их разработчиками для защиты от потенциальных слабых мест в системе безопасности после их обнаружения.