运输与网络

2021-05-12 02:46:15

网络设计中的一个基本工具是所谓的"堆叠"协议模型。该模型是在20世纪70年代后期开发的,作为开发一般标准和网络方法的更广泛努力的一部分。 1983年,合并了CCITT和ISO的努力,以形成开放系统互连的基本参考模型,通常称为开放系统互连参考模型或“OSI模型”。该模型包括一个七层抽象模型的网络,该模型定义了整体网络功能的标准行为,而是网络的各个组件。

模型分段功能分为两个部分:处理二进制数据的编码到物理传输介质中的媒体层,数据链路层描述了两个连接的两个连接和#34之间使用的数据帧;节点"和管理多节点网络的网络层,包括寻址和路由行为,管理连接主机之间的数据传输。

主机层关注结束主机上的函数。这包括将数据分段执行数据分段,端到端流量控制,分组丢失恢复和复用的传输层。 OSI模型中的传输层上方的层是会话层,呈现层和应用程序本身。

在网络的模型中作为内部节点的集合和一组连接主机,内部节点仅使用网络层来为处理的每个数据包进行转发决策,而主机使用传输层管理数据流程在沟通主机之间。

该模型的含义是节点和主机函数之间存在删除,并且清楚地描绘他们需要执行其功能的数据。节点不需要对传输级别使用的设置知识,并且同样,主机无需访问网络层(图2)

在Internet协议套件的上下文中,网络层函数被编码为数据包的IP报头,并且传输层函数被编码为传输标题,传统上作为TCP或UDP报头(尽管其他报头也由IP定义)。在互联网架构模型方面,无论它可能已附加到哪个传输标头,都应通过互联网传递数据包。

因此,它在IP数据包标题中的IP协议字段中输入的丝毫不关器。这真的没有一个网络'业务!

同样的几乎适用于IPv6中的扩展标题字段,尽管这是一个区域,莫名其妙地,IPv6扰乱鸡蛋和一些扩展标题被寻址到网络元素,即逐跳和路由扩展标题,而其余的跳跃表面上以致密地处理到目标主机。如果仅作为主机(或目的地)扩展名的扩展标题,则IPv6网络应该忽略它们,而如果它们旨在成为网络选项,则主机应忽略它们。也许这是一个理论和实践的地区的另一个领域,这是不好的。

在严格的感法中,IPv4数据包标题中的协议字段必须首先放置在IPv4标题中。在理论上,通信主机使用的特定传输协议不属于网络的业务。这也意味着如果两个通信主机决定故意从网络中忽略传输协议控制设置,那么这在最轻微的网络中就不重要。

在当今的公共互联网中,它似乎很重要,即网络传输协议标题是可见的。实际上,不仅应该对网络可见传输协议,但主机选择的特定传输协议也很重要。其原因是今天有许多元素'网络不仅可以偷看他们携带的数据包的传输标题,而且还依赖于此传输标题中的信息。防火墙是这种依赖的经典示例,但还有网络地址转换器,相等的成本多路径负载均衡器和服务质量策略引擎,名称为几个。这些网络功能假设IP数据包中传输报头的可见性,以便对单个传输流中的所有分组进行一致的决定。通常,这些网络功能更进一步,并且它们使用众所周知的传输标题(通常限制为TCP和UDP)来处理数据包并丢弃所有其他网络数据包。它甚至比这更好,我们已经达到了今天'拇指的重点是包含一个包含一个端口443的TCP传输标题的未分发IP数据包,以及包含UDP传输的未经用的IP数据包头部使用端口53的标题是将数据有效载荷达到预定目的地的最佳机会。每次增加这种显着约束的数据包配置文件都会增加基于网络的沟通的概率。

如果它'是在公共互联网中使用新颖的传输协议的自我限制动作,那么为什么我们甚至考虑选择加密传输协议,以使所有传输标头都透明到网络?

一个答案是“爱德华斯诺登”。为了响应这些普遍监测启示[RFC 7624]互联网工程工作组(IETF)在可能被称为“喜欢”反应的情况下响应,并达成了"普遍监测是一种攻击&#34 ; [RFC 7258]。对这种神秘攻击形式的一般反应是增加互联网流量加密水平,以提升基于网络的监视的难度。此IETF响应不仅包含用于在Internet上加密会话有效载荷的情况,可以随时随地移动应用程序行为配置文件以使此默认动作进行默认操作,但我们的注意力已转移到其他互联网通信领域,其中妥协信任模特被认为是一个问题。

已将DNS协议的操作绘制到此IETF通用混淆工作中,同时传输传输协议标题。我们长期以来持有托管的时间不适用于执行加密功能,并且这些天使用强大的加密不是具有有限使用的豪华选项,但每个用户应该合理地期望使用的东西作为最低要求。如果目标是限制互联网通信环境的所有方面的信息泄漏,则控制元数据与数据本身一样重要。将机密性应用于运输标题字段肯定会改善用户的隐私,并可以帮助通过网络路径[RFC 8404]在网络路径上的设备进行某些攻击或操纵数据包。

但是,我怀疑这个隐私争论只是故事的一部分,而这些措施加密互联网流量的措施以大量未经检查的方式运作的监视状态的流行关注,而且它可能不会躺在为什么遮挡的核心来自网络的主机函数是一条互联网生态系统的某些部分的路径,今天正在与运输头加密进行运输。

Warning: Can only detect less than 5000 characters

浏览这条路径,我们可能希望从互联网上的主机和网络之间的紧张局势开始。

在电话世界中,网络运营商控制了所有流量。您从网络租用的是一个能够传递实时语音对话的虚拟电路,或者您可以在两个端点之间租用固定容量通道。如果您使用了这些渠道中的一个,您可以比承包速度更快地走,如果您进入速度,那么您没有为其他人使用常见容量。显然,网络充电更多的租赁能力更高。数据包网络更改了所有这些。该网络没有强制和各种应用程序(或流量流量)彼此竞争的公共传输资源。想要控制共享公共通信资源对客户端的网络的网络存在问题。

这是互联网上大量工作的动机1990年' s和2000,在被叫和#34;服务质量" (或QoS)。网络运营商希望为某些客户和一些交通档案提供(毫无疑问)“更高质量”服务。但是,如果一个网络具有固定的容量,为某些客户提供了更大的网络资源,不可避免地意味着向其他客户提供更少的意义。其中大部分工作的一个共同主题是,虽然网络可以以各种方式扰乱通信会话,但是在许多方面有很多挑战性(甚至在许多方面)进行会议快点。这意味着为了向一类交通流动提供优惠待遇,是一个良好的答案是让所有其他流量变慢!预期的效果是清除一些空间,以便旨在拓展他们的发送窗口并占据这种清除网络空间。所谓的"性能增强代理"本身并不是真正能够使所选的TCP会话更快,但能够使其他并发TCP会话变慢,从而为所选会话进行一些空间,以具有较低的数据包丢失概率,因此实现更高的数据吞吐率。此表单的一种方式是会话限制是删除数据包。一种更微妙的方式,但也非常有效是改变TCP控制参数。如果提供的TCP窗口大小参数减少,则发件人将方便地为其发送速率进行相应的。

很明显,这种通过网络限制活跃的TCP会话的这种选择性行为不是应用程序被视为一个交感神经行为的东西,并且有两个主要反应来自应用规模。首先,使用不同的拥塞控制算法,对数据包丢失和更敏感的数据包丢失更敏感,而不是网络路径的端到端带宽延迟产品的变化。这是BBR TCP控制协议,它是一个相对较新的TCP发件人侧控制算法。但BBR仍然易于对TCP窗口大小的路径操纵,并保护会议免受这种形式的网络干扰,是加密传输标题所出现的重要目标。这是第二响应,即通过模糊在数据包中实际携带的TCP控制信息的位置。

正如我们已经注意到的那样,您只能从公共Internet中的IP数据包中删除可见传输标题,甚至加密TCP标题可能会产生来自网络的相同丢弃响应。但主机可以选择忽略这些传输标题设置。因此,虽然主机无法删除可见传输标题,但主机可以使它们毫无意义。

一个选择是使用A"假人"外部TCP包装器作为想要在运输中窥视并操纵会话设置的网络的饲料,同时在加密的有效载荷内隐藏真实的TCP控制标题。除了观察到的观察中,这是一个可见的网络签名,这会发生这种情况,除了观察到,TCP结束主机似乎对操纵其窗口参数似乎没有响应。

然而,这种方法的问题是这些天的应用实际上不仅尝试从中长期的网络控制其传输会话参数,而且它还试图在托管应用程序的平台上断言相同的控制。理论上,应用程序可以使用"原始IP"接口进入平台' s I / O例程,但在部署系统中的实践中,这接近不可能。生产系统中使用的平台倾向于处理怀疑的应用。 (鉴于恶意软件的扩散,该平台部分的偏执级级别可能有必要保证。)禁用所有形式的平台和运输协议处理和传输协议的控制权,禁用所有形式是一项挑战。内核进入应用程序空间。

因此,符合Quic使用的方法是逻辑的,其中查询的Shim包装器使用UDP作为可见传输报头,并将TCP标题推入IP数据包的加密有效载荷部分。在这种情况下,UDP接近理想,因为协议中没有传输控制,只是本地端口号。如图所示,Quic将类似于使用TLS的会话加密的UDP会话,因为在这么多方面,它是使用TLS的UDP会话。变化是,端到端的TCP流量控制现在真正是端到端的流量,因为只有&#34的两个应用程序;结束" Quic传输可以看到嵌入在端到端加密UDP有效载荷中的端到端传输控制参数。对UDP数据包的主机平台控制是敷衍的,然后允许应用程序对会话进行完全控制' S传输行为。

也许这转移到不透明的传送标题的转变比仅仅是对应用程序更大的受保护自主控制的愿望。 Quic所代表的转变可以被视为内容提供商通过网络运营商通过网络运营商通过将其内容流量纳入赎金来从内容提供商中提取税项的逆转录,或者已知,争吵"网络中立"

有时网络运营商已经实施了措施,以提示他们所称的某些形式的流量,以便以一些模糊的未指明方式使用他们的网络,这些方式是"不公平的方式;某种程度上来说。所有这一切的模糊可能归因于马车运营商的基础欲望,这是以粗略的勒索:"我的网络,我的规则挪用内容提供商的内容提供商。你的客户,你付钱!"

我怀疑这个行业的许多马车提供者,他们目睹内容提供商将所有的钱从桌面上取下,相信他们是这里的受害者。他们努力恢复他们失去一些收入的基础意味着他们希望恢复A" Fair Sh

......