Транзакции TCP Cookie - TCP Cookie Transactions

Транзакции TCP Cookie (TCPCT) указано в RFC 6013 (исторический статус, ранее экспериментальный) как продолжение Протокол управления передачей (TCP) предназначен для защиты от атаки отказа в обслуживании, например, исчерпание ресурсов SYN флуд и злонамеренное завершение соединения третьими лицами.[1] В отличие от оригинала SYN файлы cookie подход,[2] TCPCT не конфликтует с другими расширениями TCP, но требует поддержки TCPCT в стеке TCP клиента (инициатора), а также сервера (ответчика).[3]

Непосредственной причиной расширения TCPCT является развертывание DNSSEC протокол. До DNSSEC DNS запросы в основном используются короткие UDP пакетов, но из-за размера обменов DNSSEC и недостатков Фрагментация IP, UDP менее практичен для DNSSEC.[4][5] Таким образом, запросы с поддержкой DNSSEC создают большое количество недолговечных TCP-соединений.[3][6]

TCPCT предотвращает исчерпание ресурсов на стороне сервера, не выделяя любой ресурсы до завершения трехстороннее рукопожатие. Кроме того, TCPCT позволяет серверу освобождать память сразу после закрытия соединения, пока он остается в состоянии TIME-WAIT.[3]

Поддержка TCPCT была частично включена в Ядро Linux в декабре 2009 г.,[7][8] но был удален в мае 2013 года, потому что он так и не был полностью реализован и требовал снижения производительности.[9]

TCPCT устарел в 2016 году в пользу TCP Fast Open. Статус исходного RFC был изменен на «исторический».[10]

Смотрите также

Рекомендации

  1. ^ Симпсон, В. (январь 2011 г.). Транзакции TCP Cookie. IETF. Дои:10.17487 / RFC6013. RFC 6013. Получено 16 марта, 2012.
  2. ^ Дэниел Дж. Бернштейн. "SYN cookie". Файлы cookie SYN «не позволяют использовать расширения TCP», такие как большие окна. [...] Соединение, сохраненное с помощью файлов cookie SYN, не может использовать большие окна
  3. ^ а б c Перри Э. Метцгер, Уильям Аллен Симпсон, Пол Викси (Декабрь 2009 г.). «Повышение безопасности TCP с помощью надежных файлов cookie» (PDF). Цитировать журнал требует | журнал = (помощь)CS1 maint: несколько имен: список авторов (связь)
  4. ^ Б. Карпентер и С. Брим, «Мидлбоксы: таксономия и проблемы». RFC 3234, Февраль 2002 г.
  5. ^ П. Срисуреш и К. Эгеванг, «Традиционный преобразователь сетевых адресов IP (традиционный NAT)», RFC 3022, Январь 2001 г.
  6. ^ Д. Весселс (июнь 2009 г.). «DNSSEC, EDNS и TCP» (PDF). DNS-OARC. Цитировать журнал требует | журнал = (помощь)
  7. ^ Джейк Эдж (16 декабря 2009 г.). «Транзакции TCP cookie». LWN.net.
  8. ^ "Linux_2_6_33 - новички в ядре Linux".
  9. ^ Джонатан Корбет (8 мая 2013 г.). «Что будет в 3.10, часть 2». LWN.net.
  10. ^ «Переход к« историческому »статусу». Перемещение устаревших расширений TCP и связанных с TCP документов в исторический или информационный статус. IETF. 2016. с. 4. сек. 2.1. Дои:10.17487 / RFC7805. RFC 7805.