Оригинал птс и дубликат в чем разница: Как отличить дубликат ПТС от оригинала: как его проверить и распознать

Содержание

Птс оригинал и дубликат отличие


Чем отличается оригинал птс от дубликата

Очень важной деталью при покупке транспортного средства является паспорт транспортного средства. Он может передаваться вам в виде оригинала, либо в виде дубликата. Опытные автолюбители настоятельно рекомендуют не полениться выполнить ряд предосторожностей, которые помогут вам избежать неприятностей в случае, если вам на руки передают лишь дубликат ПТС.

Какую информация содержится в ПТС?

ПТС состоит из 24-х граф, которые наделены следующими фактами о автомобиле:

  • VIN код автомобиля. Он состоит из порядка 17-ти цифр, которые должны совпадать с цифрами, что расположены на кузове авто.
  • Страна-производитель.
  • Объем двигателя.
  • Тип двигателя.
  • Тип конструкции.
  • Марка транспортного средства.
  • Год выпуска и тд.

Оригинал ПТС

Чем может быть опасен дубликат ПТС и в чем его главное отличие от оригинала?

Неоднократные случаи говорят о том, что с помощью одного лишь дубликата ПТС мошенникам удается реализовывать автомобили, которые имеют непогашенный кредит. Дело в том, что при покупке авто в кредит, банк оставляет за собой право сберегать оригинал ПТС до момента полного погашения тела кредита. И самые находчивые придумали следующий выход из сложившейся ситуации: они обращаются с заявлением в ГИБДД, где говориться, что оригинал ПТС был утерян, а ГИБДД в свою очередь должно выдать им ПТС с пометкой «дубликат».

Как вы видите, процедура получения дубликата ПТС оказалась довольно простой и к ней часто прибегают мошенники. Легкость получения дубликата и есть главным его отличием от оригинального паспорта.

Но не стоит драматизировать и обвинять в мошенничестве всех, кто располагает исключительно копией оригинального паспорта. Предостеречь себя можно довольно простым способом. Достаточно просто позвонить в сервис, который производил продажу автомобиля и уточнить все условия сделки.

Какие предпосылки могут способствовать выдаче дубликата ПТС?

  • Износ или утеря транспортного документа.
  • Отсутствие свободных граф для новых записей — любой паспорт исчерпаем, поэтому владелец может заказать дубликат, если все графы оригинала уже были исписаны, но этот случай, как правило, предполагает сохранение оригинала.
  • Смена прописки владельца автомобиля.

Иногда с помощью дубликата пытаются продать автомобиль, который ранее числился в угоне.

Как выглядит дубликат ПТС?

Документ изготавливается на бланке, форма которого законодательно утверждена. Вдобавок к этому, бланк дубликата распечатывают на предприятии «Госзнака», он обладает защитной полосой и специальными водяными изображениями, которые крайне затруднительно подделать. При просмотре через лупу на документе можно обнаружить ряд специфических изображений и знаков, которые свидетельствуют о его подлинности. Чтобы обезопасить себя окончательно, вы можете обратиться в любой стационарный пункт ГИБДД. Там вам предоставят всю информацию по автомобилю. Например, не числится ли он в угоне.

Дубликат ПТС

Если вы все же выражаете неуверенность по поводу грядущей покупки, то следует помнить, что кредитный, либо ворованный автомобиль обладает ключевыми «приметами»:

  1. Сравнимо недавняя покупка и необъяснимо быстрая продажа.
  2. Заниженная стоимость.
  3. Необоснованная срочность продажи.
  4. Транзитные номера на авто.

На что следует обратить внимание, сталкиваясь с дубликатом ПТС?

  • Большое число владельцев транспортного средства.
  • Продажа автомобиля происходит очень часто и с коротким интервалом (2-3 месяца).
  • Отметка, которая свидетельствует о причастности авто к уголовному делу (например, дело о перебитых номерах).

Как правило, большое число владельцев за незначительный промежуток времени накапливается для того, чтобы замести следы. Поэтому автомобиль часто продается с таким коротким интервалом. А наличие всяких дополнительных отметок и сведений в ПТС стоит тщательно проверять.

Напоследок следует заметить, что даже если вам удалось избежать встречи с мошенниками и машина с дубликатом ПТС оказалась «чистой». Стоит помнить, что при следующей продаже этого авто вы столкнетесь с таким же недоверчивым отношением к вам.

Как отличить дубликат ПТС от оригинала

Паспорт транспортного средства (ПТС) — важный документ для автомобиля, который содержит в себе много полезной информации. К сожалению сегодня подделка ПТС нередкое явление, поэтому нужно знать основные отличия оригинала и дубликата.

Как отличить дубликат ПТС?

Итак, вам необходимо знать основные отличия:

  • в графе «особые отметки» на копии документа будет находиться штамп «дубликат»;
  • если вы покупаете подержанный автомобиль, то обычно вид его ПТС не может быть «новым» — царапины, потертости и другие признаки указывают, что документ является оригинальным;
  • наличие защиты — объемный текст, водяные знаки, голографическая наклейка и другие.

Вдобавок, чтобы избежать возможности купить кредитное авто или другое транспортное средство с перебитыми номерами, уголовный автомобиль, угнанный и т.д. Необходимо проявить максимальную внимательность и обратить внимание на

такие моменты:

  • большой список предыдущих владельцев авто должно насторожить, так как это распространенный способ запутать следы;
  • отдаленный регион регистрации машины — один из признаков мошенничества;
  • определенно должны быть таможенные отметки для автомобилей иностранного производства;
  • старайтесь не приобретать авто с дубликатом документов, если оно самое новое.
Методы определения поддельных ПТС

Если у вас нет специально оборудования, то вы можете использовать:

  • простой фонарик;
  • мощная лупа с увеличением от х10.

Когда у вас есть в руках ПТС, то посмотрите дубликат это или нет. Если он является дубликатом, то рекомендуется расспросить о причине дубляжа. Если вы доверяете доводам хозяина, то можно

продолжать осмотр:

  1. Проведите по голограмме большим пальцем: основное тело документа и голограмма должна составлять ощущение единого целого, без лишних границ перехода.
  2. Бумага бланка ПТС на ощупь и визуально должна соответствовать всем похожим продуктам от Госзнака.
  3. Возьмите фонарик и наклоните ПТС под углом 25-35 градусов. Посветите на левый верхний угол, там вы должны заметить надпись «ПТС».
  4. Лупой наведите на голограмму: посередине изображен автомобиль, а на её лобовом стекле имеется надпись «Россия. Россия».
  5. Обратите внимание на качество бумаги. Как правило, подделку изготавливают из более плотной и гладкой бумаги, а оригинальный ПТС отличается шероховатостью.
  6. Посмотрите на левый нижний угол и год изготовления бланка: если дата будет меньше, чем год выдачи ПТС, то это главный признак подделки.

Полезные советы для владельцев и покупателей
  1. Смотрите на водяные знаки ПТС, настоящие будут легко размытые, а подделки идеально ровными и четкими.
  2. Учитывайте то, что бывает, в региональных ГИБДД небольших населенных пунктов в штате на некоторое время отсутствуют специалисты, и вы можете получить авто, который успешно прошел перерегистрацию органами с «успешной» экспертизой поддельного ПТС.
  3. Существуют фотоаппараты и смартфоны, у которых имеется встроенный ультрафиолет или инфракрасный фильтр. Они могут помочь вам в определении поддельных документов.

Возможно вас это заинтересует — Как продать подержанный автомобиль — основные советы и способы

Как определить ПТС дубликат — видео

Дубликат ПТС — как отличить, чего бояться и стоит ли покупать?

Что значит дубликат ПТС, как он выглядит, чего бояться и вообще стоит ли покупать машину, если ПТС – дубликат? Обо всем этом мы сегодня и поговорим.

  • Дубликат ПТС

ПТС дубликат — что это значит?

Для начала давайте разберемся, что значит ПТС дубликат и почему он появляется у машины?

Как вы знаете, ПТС – это паспорт автомобиля, его основной документ. Помимо прочего, в паспорте отражаются записи о регистрации в ГИБДД. Но что делать, когда закончатся места в ПТС, ведь их там всего шесть? Или как быть, в случае потери этого важного документа, или когда он, просто порвется? Такое, нечасто, но все-таки случается.

С 2019 года, в этой ситуации оформляется электронный ПТС, но прежде, ГИБДД выдавали дубликат ПТС. По сути, это обычный бланк ПТС, со своим уникальным номером. Он полностью заменяет исходный документ и позволяет выполнять все те же операции с автомобилем. Однако, знающие люди стараются избегать дубликатов при покупке машины. Почему?

Как выглядит дубликат ПТС?

Для грамотного покупателя очень важно знать, как отличить дубликат ПТС от оригинала. Пожалуй, самый очевидный признак – это здоровенный штемпель «ДУБЛИКАТ» где-нибудь на видном месте.

Он позволяет отличить дубликат, вообще не напрягаясь – его очень трудно не заметить. По правилам МВД, такой штамп должен ставиться при выдаче дублера ВСЕГДА! Но, как обычно, правила у нас работают с перебоями. Поэтому многие дубликаты остаются непомеченными, а нам, покупатлям, приходится искать вторичные признаки.

И второе отличие дубликата ПТС содержится в «Особых отметках». Это свободное поле в левой части каждой страницы паспорта. Сюда, отметку о выдаче дубликата оператор ГИБДД выводит практически всегда.

Плохо то, что эти отметки нестандартны, поэтому органы заполняют их по своему усмотрению. В итоге, разобраться в этих сокращениях, часто бывает нелегко.

Но главное отличие дубликата ПТС – это организация, выдавшая документ. Дело в том, что оригинальные паспорта выдает таможня и автопроизводители. Для машин, собранных в России, ПТС выдает завод изготовитель, а для ввезенных из-за границы – таможня. А вот дубликаты ПТС всегда выдает ГИБДД

!

Итак, ребята, если напротив выдавшей организации стоит печать ГИБДД, значит это точно дубликат. А вы теперь знаете, как отличить ПТС оригинал от дубликата.

Дубликат ПТС — чего бояться?

Но что если вам попался дубликат ПТС – чего бояться при покупке авто? Главный минус машины с дубликатом – это то, что оригинал может попасть в руки третьих лиц. Поэтому, имея дело с дубликатом, всегда есть шанс потерять машину.

Как это работает? Например, это может оказаться залоговый авто. ПТС находится у залогодержателя, а предприимчивый владелец получает в ГИБДД дубликат и продает машину. Для покупателя эта ситуация – патовая. Если он не позаботился о нотариально заверенной выписке из реестра залогов, сохранить машину не получится.

Чего еще стоит бояться, так это того, что оригинальный ПТС пустят по одной из криминальных схем. Если настоящий ПТС будет продан на черном рынке, под него сделают машину с перебитыми номерами. Как только двойник «всплывет» — возбуждается уголовное дело. В итоге, следствие может инициировать экспертизу маркировки обоих автомобилей, включая химическое травление ВИН-номеров. Одним словом это реальный гемор, да и цена машины после такой экспертизы точно не возрастет.

Но главный косяк дубликата в том, что он скрывает всю предысторию автомобиля. Честно говоря, история машины у нас непрозрачна даже с оригинальным ПТС, но там хотя-бы видно:

1)Историю владельцев. Нет ли среди них юр.лиц.
2)Задерживался ли автомобиль у владельцев хотя бы на пару лет. Если меньше – вряд ли машину берегли.
3)Ставил ли первый владелец (дилер), машину на учет. Если ставил – значит на машине ездили, то есть она использовалась для тест-дрейва или как подменная.
4)Бывает наоборот, когда дотошный и НЕхитрый владелец израсходует много мест в ПТС, меняя СТС каждый раз при смене прописки. На деле же машина, пребывая в одних руках, обычно сохраняется намного лучше.

Грубо говоря, дубликат – это шляпа. Он практически стирает историю машины, поэтому его, кстати, намеренно получают, когда надо скрыть прошлое автомобиля.

Стоит ли покупать машину с дубликатом?

Итак, допустим вам попалась машина, у которой ПТС дубликат – стоит ли покупать такой авто? Здесь важно понимать, что дубликат – это всегда риск, но с годами этот риск снижается. Если дубликат и вызовет проблемы, то это произойдет в первые 2-3 года после его выдачи. А лет через 5-7 дубликат становится ничуть не опасней оригинала. Поэтому, друзья, в первую очередь смотрите на дату выдачи дублера.

Кроме того, в особых отметках дубликата, иногда пишут «выдан взамен утилизированного» или «выдан взамен утраченного».

Так вот «выдан взамен утраченного» — это и есть самый опасный вариант, которого лучше избегать. Но, как я уже говорил выше, особые отметки не стандартизированы. Иногда их вообще не заполняют, а чаще всего там указано просто «выдан взамен».

Так стоит ли покупать машину, если у нее дубликат ПТС? Осторожный покупатель такой авто не станет рассматривать в принципе – для него это не вариант. Если же рисковать вам по душе – это неплохой способ испытать свою удачу. В любом случае, покупая автомобиль с дубликатом, надо быть готовым к возможным потерям. Все-таки, риск – это неизбежная плата за более низкую цену, которой отличаются машины с дубликатом.

© Kak-Kupit-Auto.ru

Ссылки: zr.ru

фото, как выглядит оригинальный документ и в чем отличие от копии, а также возможно ли проверить по базе ГИБДД?

Использование дубликата ПТС является весьма распространенной мерой, так как закон гласит, что и официально выданная копия, и оригинал являются равноценными документами.

Когда при покупке подержанного авто, продавец вместо оригинальных документов предъявляет дубликат, это настораживает большинство добросовестных автолюбителей.

Однако каждый автолюбитель должен владеть информацией о том, как отличить дубликат ПТС от оригинала.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.
 
Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону 8 (800) 350-29-87. Это быстро и бесплатно!

что это значит, чем плох такой документ, его фото, а также как узнать, сколько хозяев было у машины?

Любая вещь может быть потеряна или испорчена. Паспорт технического средства на автомобиль не является исключением. При его утере и еще ряде случаев ему на замену выдают дубликат ПТС. Этот документ нужен для продажи автомобиля и других действий, связанных с юридическими вопросами. При покупке транспортного средства, продавец вместо оригинальных документов предъявляет дубликат, это настораживает большинства добросовестных автолюбителей.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.
 
Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону 8 (800) 350-29-87. Это быстро и бесплатно!

обман или просто замена утерянного?

В этот раз отвлечёмся от технических тем и поговорим о документах, ПТС дубликат что значит и какие нюансы с ним связаны.

Каждый автовладелец знает, что такое паспорт транспортного средства (ПТС) – это важная бумага, которая выдаётся машине при «рождении» (если она выпущена на территории России) или же органами таможни при ввозе из другой страны.

В повседневной жизни ПТС обычно пылится себе на полочке. О нем вспоминают, когда нужно продать авто.

И тут могут возникать подводные камни, о которых надо поговорить.

Какие махинации возможны с данной бумагой? Что делать при утере ПТС?

ПТС дубликат что значит

Итак, друзья, для автомобиля ПТС является очень важным документом – это как паспорт для человека.

В этот документ заносятся данные о самой машине и о её владельцах. Именно с последним пунктом возможны махинации.

Юристы советуют насторожиться, когда при планируемой сделке по приобретению транспортного средства вам преподносят ПТС дубликат.

Как быть?

Для начала внимательно рассмотрите этот дубликат ПТС, а особенно пункт «особые отметки», где должна быть указана причина выдачи дублёра.

Теперь о главном, чем опасен дубликат ПТС, а когда он является нормой. Что может быть указано в особых отметках:

  • выдан взамен утилизированного паспорта транспортного средства – обычно это означает, что старый документ уже не может быть использован по причине своей ветхости или же, что в нём просто закончилось свободное место для внесения хозяев авто. Как правило, в таком случае опасаться афер особо не стоит, разве что, при покупке машины, больше внимания уделите её техническому состоянию;
  • утеря прежнего документа. Конечно же, документ может быть действительно утерян, но есть повод насторожиться. (Далее рассмотрим, что делать, если вы потеряли ПТС, но сейчас не об этом).

Увидев дубликат ПТС чего бояться? Того, что машина находилась на балансе какой-нибудь организации, а значит она крайне изношена, или же, что ещё хуже, за неё не выплачен кредит.

При покупке автомобиля с таким документом, ВНИМАТЕЛЬНО! рассмотрите дату выдачи ПТС дубликата. Вполне вероятно, что продавец специально его получил перед сделкой, пытаясь скрыть прошлое автомобиля.

Историю жизни транспортного средства проверить можно, даже на ближайшем посту ГИБДД, а вот в залоге он или нет, увы, узнать пока не всегда удаётся.

Чтобы обезопасить себя в этом случае, попросите продавца предъявить документ, который свидетельствует о купле авто.

Договор купли-продажи снимет подозрения, а вот если продавец отказался показывать этот документ или имеет только договор залога, то прекращайте всякие отношения с этим типом.

Что делать, если оригинал ПТС утерян?

Друзья, мы немного пролили свет на вопрос: ПТС дубликат что значит его наличие у продавца автомобиля.

Конечно, дубликат ПТСа совсем не означает, что вас хотят обмануть. Возможно, оригинал в самом деле был утерян. Он большую часть своего времени проводит дома на полке, где вполне может затеряться среди других бумаг или вообще случайно отправиться в пункт сдачи макулатуры. Пожар, наводнение, ограбление, все может быть.

Так как получить дубликат ПТС?

Предположим, вы планируете пересесть на новое авто, а своё старое – продать. Собрав документы, вы вдруг обнаруживаете, что отсутствует один из самых основных – паспорт транспортного средства. Что делать? В случае утери следует предпринять такие шаги:

  • подготовить документы: страховой полис, все бумаги, которые были выданы вам при приобретении машины, свидетельство, объяснительную записку на имя начальника МРЭО, где будут описаны подробности утери ПТС, заявление, оформленное по строгой форме, квитанцию по оплате пошлины. В случае кражи паспорта ТС, необходимо приложить справку ГОВД об уголовном деле;
  • предоставить авто в МРЭО на осмотр, паспорт которого был утерян;
  • пройти осмотр машины, после чего он должен расписаться в заявлении;
  • отдать приготовленные документы в ГИБДД;
  • вам скажут, где получить дубликат ПТС и когда он будет готов.

Вот и всё, уважаемые читатели, перед вами тот нехитрый свод основных сведений, которые помогут ответить на вопрос: ПТС дубликат что значит и можно ли ему доверять.

Надеюсь, вы теперь информационно вооружены и не попадёте впросак при приобретении автомобиля. А при утере не будете сокрушаться и спокойно получите дубликат ПТС.

До скорых встреч!

Анализ

TCP и кортеж из пяти | Пакет-Фу

Эксперт по TCP из Wireshark неплохо справляется с выявлением проблем, помогая аналитикам находить пакеты, в которых что-то идет не так. К сожалению, есть некоторые вещи, которые могут сильно сбить с толку эксперта, что может обмануть неопытных аналитиков, полагая, что в сети есть большие проблемы. Я говорил о некоторых из этих проблем на Sharkfest 2013 под названием «Топ 5 ложных срабатываний», и этот пост будет о одной из них: Дублирующиеся пакеты.

Кортеж из пяти

Рисунок 1: 5 Пример кортежа

Первое, что должно произойти, когда Wireshark обрабатывает тонны пакетов, — это определить, к какому протоколу и диалогу принадлежит каждый пакет. Он делает это путем создания так называемого «кортежа из пяти» (или кортежа из пяти) из пакета, который он в настоящее время просматривает, который содержит IP-адрес источника, порт источника, IP-адрес назначения, порт назначения и протокол уровня 4. Например, 192.168.124.100/50272/81.209.179.69 / 80/6 ”для пакета, поступающего из порта 50272 IP 192.168.124.100, идущего на порт 80 IP 81.209.179.69, с использованием протокола IP 6, который является TCP:

Такая же комбинация IP-адреса и порта с IP-протоколом 17 указывает на диалог UDP. UDP и TCP являются наиболее распространенными протоколами, для которых доступен кортеж, хотя вы не можете создать его для пакетов ICMP — просто потому, что ICMP не использует порты, поэтому вы застрянете с «3-кортежем» 😉

Отслеживание поведения TCP-разговора

После того, как был определен кортеж из 5 для TCP-диалога, есть два возможных способа продолжить (упрощенный до очень простого процесса; на самом деле процесс намного сложнее в своих деталях):

  1. Нет существующего диалога с тем же 5-кортежем, поэтому это первый пакет нового диалога, обнаруженный в трассировке. В список разговоров добавляется новая запись и записывается ее состояние TCP
  2. соответствующая запись в списке разговоров существует, поэтому мы можем проанализировать новый пакет относительно существующего состояния TCP-разговора

Одна из наиболее важных вещей, на которую следует обратить внимание, — это порядковый номер по отношению к порядковому номеру предыдущего пакета от того же узла. Для каждого пакета рассчитывается «Следующий ожидаемый порядковый номер», который вы также можете увидеть в Wireshark (если в пакете есть полезные данные TCP, иначе порядковый номер не изменится):

Рисунок 2: Следующий ожидаемый порядковый номер TCP

Для проверки: порядковый номер 4194561624 плюс 498 байтов полезной нагрузки TCP равняется 419452122.Поэтому, когда будет найден следующий пакет этого разговора, он должен иметь порядковый номер 419452122, иначе что-то не так (сообщения Wireshark Expert в кавычках):

  1. последовательность на ниже , чем ожидалось, что означает, что это запоздавший («вне очереди») или повторно переданный пакет («Повторная передача» / «Быстрая повторная передача»). Разница в основном заключается в том, насколько поздно приходит пакет — повторная передача не может прибыть раньше, чем продолжительность одного времени приема-передачи после того, как получатель сообщил о потере пакета.Если новый пакет прибывает значительно быстрее, он неисправен. Разница между «повторной передачей» и «быстрой повторной передачей» заключается в способе сигнализации или обнаружения потери пакета. Прочтите сообщение Криса на LoveMyTool о различных вкусах.
  2. последовательность на выше , чем ожидалось, что означает, что по крайней мере один сегмент TCP отсутствует («предыдущий сегмент не захвачен») либо потому, что он действительно был потерян при передаче, либо просто не был захвачен, потому что устройство захвата было размещено неправильно. или производительность записи была слишком низкой.

«Скидывание» эксперта TCP

Поскольку эксперт TCP сопоставляет пакеты с разговорами на основе 5-кортежа, некоторые файлы трассировки могут превратиться в беспорядок TCP-симптомов, которые представляют собой не что иное, как ложное срабатывание для большей части из них. Проблема в этих случаях заключается в том, что файл трассировки содержит один и тот же сегмент TCP дважды (или даже больше), что обычно связано с тем, как был выполнен захват. Одна из наиболее распространенных проблем захвата — это действительно повторяющиеся пакеты — пакеты, которые были захвачены несколько раз при настройке порта SPAN.

SPAN неисправность

Представьте, что вы хотите сделать захват двух серверов, к которым подключаются несколько клиентов, поэтому вы настраиваете сеанс SPAN, например как это:

 Switch (config) #monitor session 1 source interface gigabitEthernet 1/10 оба Switch (config) #monitor session 1 source interface gigabitEthernet 1/11 оба Switch (config) #monitor session 1 destination interface gigabitEthernet 1/24 

Когда клиент разговаривает с сервером через порт 10 или 11, проблем нет.Но когда — по какой-либо причине — сами серверы общаются друг с другом, вы получаете один и тот же пакет дважды: один раз, когда он входит в коммутатор на порту 10, и второй раз, когда он выходит на порт 11 (или наоборот, конечно). :

Рисунок 3: Сеанс SPAN, приводящий к дублированию

Это то, что Wireshark покажет для захвата трассировки, если возникнут дубликаты:

Рисунок 4: SPAN дублирует

Взгляните на порядковые номера, и вы увидите, что каждый пакет просматривается дважды — и эксперт TCP сходит с ума, потому что думает, что видит тонны повторных передач или (в зависимости от захвата) «Дубликаты ACK» при подтверждении. пакеты дублируются.Теперь проблема в том, что при такой настройке захвата, как показано выше, просто невозможно избежать дублирования с помощью . И вторая проблема заключается в том, что вы не можете отфильтровать второе вхождение каждого пакета с помощью фильтра отображения в Wireshark, потому что фильтр должен найти что-то, чтобы отличить две копии друг от друга. Что не может работать, потому что они идентичны до последнего бита. Кроме того, в большинстве случаев вы не можете выполнить сеанс SPAN другим способом, потому что вам нужны оба направления обоих портов для нормального взаимодействия с клиентом.Иногда вы можете попробовать настроить трюк, например, отслеживать только направления получения SPANned VLAN — например, если вы перехватываете только входящие пакеты для VLAN, вы получите их только один раз, но это работает только для перехватов VLAN, а не для нескольких портов.

Борьба с истинными дубликатами

К счастью, есть помощь в избавлении от настоящих дубликатов: вы можете использовать инструмент командной строки « editcap » для удаления дубликатов из файлов трассировки. Editcap устанавливается вместе с Wireshark, и типичное приложение будет выглядеть так:

 D: \ Traces \ blog> editcap -d -D 50 дубликатов.pcapng no-duplicates.pcapng 15238 пакетов просмотрено, 7570 пакетов пропущено с повторяющимся окном из 50 пакетов. 

Параметр «-D 50» имеет editcap для сравнения окна истории из 50 кадров, чтобы увидеть, точно ли они совпадают с текущим кадром. При совпадении текущий кадр отбрасывается. Как видите, 7570 пакетов из 15238 оказались дублированными, что чуть меньше 50%. После процесса пример сверху выглядит так:

Рисунок 5: Дедуплицированные пакеты

Видите? Те же пакеты, что и раньше, но больше нет проблем.

Практическое правило: , если трассировка выглядит действительно очень плохо, с тоннами экспертных сообщений TCP и отсутствием — или всего несколькими — симптомами «предыдущий пакет не захвачен», сначала проверьте наличие дублированных кадров.

Неисправность маршрутизации

Маршрутизированные пакеты также могут сбивать с толку эксперта по TCP, даже если пакеты не являются точными дубликатами. Вот образец, взятый из вопроса на сайте вопросов и ответов Wireshark (на самом деле заданный вопрос является хорошим примером того, как пользователя Wireshark смущают ложные срабатывания):

Рисунок 6: Дубликаты пакетов после маршрутизации

Опять же, проверьте, есть ли сообщения «пакет не захвачен» — потому что, если действительно есть потеря пакета, вы увидите два симптома: один для потерянного пакета, а второй — для повторной передачи этого пакета. Если вы видите только повторные передачи или дублирующиеся ACK, высока вероятность того, что у вас есть дубликаты в захвате.

Если мы посмотрим на детали пакетов, например, пакет 103 и пакет 104, это выглядит как на следующих снимках экрана. Первый — это пакет до процесса маршрутизации с TTL 128:

.

Рисунок 7: TTL до маршрутизации

После выполнения маршрутизации пакет выглядит так:

Рисунок 8: TTL после маршрутизации

Различия заключаются в уровне Ethernet, потому что после маршрутизации MAC-адреса должны измениться для нового сегмента сети — но эксперта по TCP не волнуют изменения MAC-адресов.Кроме того, TTL , конечно, уменьшается на один переход, но, опять же, эксперт по TCP также не обращает внимания на эту деталь. Остальная часть пакета такая же, особенно две вещи, от которых зависит эксперт TCP:

  1. кортеж из 5 по-прежнему 192.168.1.36/19813/192.168.2.9/1196/6
  2. уровень TCP плюс полезная нагрузка TCP, потому что маршрутизатор не меняет его.

Специалисту по TCP в Wireshark не важно, захвачен ли один и тот же пакет в разных сегментах сети, используются ли теги VLAN или туннелирование.Если он увидит тот же самый кортеж из пяти и ту же информацию TCP (особенно порядковый номер и длину полезной нагрузки), он снова будет считать, что это тот же самый пакет: «О, повторная передача!».

Удалить маршрутизированные дубликаты на самом деле просто: вы можете отфильтровать дубликаты в Wireshark и сохранить оставшиеся пакеты в новом файле перед их анализом (не забудьте использовать « Export Specified Packets as » в меню файла, а не « Сохранить как»). Я обычно использую для этого тег VLAN (если он доступен) или TTL, потому что он другой — вы также можете сосредоточиться на адресах Ethernet, но идентификаторы VLAN / TTL обычно быстрее (введите в поле фильтра :-)).

Как удалить дубликаты маршрутизации

Чтобы удалить дубликаты маршрутизации, нам нужно определить, какие пакеты мы хотим сохранить в первую очередь. В зависимости от того, как был настроен захват, вы можете увидеть повторяющиеся пакеты, приходящие с одного IP-адреса или даже с обоих. В примере на рисунке 6 вы можете видеть, что только пакеты из 192.168.1.36 дублируются, а из 192.168.2.29 — нет. Это означает, что нам нужно определить, какой из двух TTL мы сохраняем и какие два TTL мы удаляем (два TTL, потому что отправитель и получатель часто имеют разные значения, поэтому с дубликатами у вас есть четыре TTL).Обычно это можно сделать, глядя на MAC-адреса и сохраняя пакеты на основе совпадающих пар MAC-адресов. Затем отфильтруйте соответствующие TTL и сохраните результат:

Рисунок 9: Дедупликация VLAN с помощью Wireshark

Контрмеры

Теперь, когда мы знаем, почему эксперт Wireshark диагностирует ненастоящие симптомы, мы можем найти способ очистить след перед его анализом. Первый шаг здесь может быть неочевидным: вам нужно сначала понять , что дубликаты мешают эксперту TCP.Для этого вы всегда должны следить за количеством и атрибутами повторных передач, дублированных ACK и невыполненных заказов:

  • проверяет, есть ли больше пакетов, чем обычно, с признаком повторной передачи TCP, нарушением порядка или дублированием ACK. Это требует некоторого опыта в том, что является нормальным, так что делайте ваши исходные данные (здесь я немного похож на Тони ;-))
  • проверьте, можете ли вы также найти в трассировке симптомы «Предыдущий сегмент не зафиксирован» — если вы видите не эти симптомы потерянных сегментов, а их повторные передачи, это часто (но не всегда!) Просто дубликат, потому что у вас есть две копии того же сегмента, но без сообщения «Ой, что-то потеряно»
  • , если вы считаете, что у вас есть дубликаты, сравните два пакета, быстро нажимая на них один за другим в списке пакетов, наблюдая за шестнадцатеричным представлением.Если байты не меняются заметно, пакеты идентичны.
  • финальная проверка: разница времени между двумя пакетами. Дубликаты обычно находятся на расстоянии менее нескольких микросекунд друг от друга, потому что это всего лишь две копии, сделанные на одном устройстве одновременно. Для реальных ретрансляций требуется как минимум полное время в оба конца, чтобы добраться до пункта назначения.
  • Совет: вы также можете просто запустить editcap для файла трассировки, чтобы увидеть, удаляет ли он дубликаты. Если это так, то, вероятно, были некоторые («вероятно», потому что есть некоторые типы кадров, идентичные до байта, которые не являются дубликатами, e.грамм. Кадры BPDU. Но у них дельта-время в секундах, а не в миллисекундах)

Если вы определили, что ваш файл трассировки содержит дубликаты, удалите их перед продолжением. Либо используйте editcap, как показано (для полных кадров, побайтовых дубликатов), либо отфильтруйте один экземпляр в Wireshark для перенаправленных дубликатов.

.

Почему при захвате wirehark видны дублирующиеся TCP Acks?

Дублирующиеся ACK отправляются, когда получатель видит пропуск в принимаемых пакетах. Они используются не только для быстрых повторных передач, это наоборот (вроде): в быстрых повторных передачах используется счетчик для повторяющихся ACK, чтобы инициировать повторную передачу быстрее, чем при Retransmission TimeOut (RTO).

Если вы видите повторяющиеся входящие ACK и отсутствие пропусков в исходящих пакетах, это означает, что вы захватываете данные в источнике (а не на принимающей стороне).Это вполне нормально, если потеря пакета происходит где-то на пути к получателю. Однако вы должны увидеть ретрансляцию; если вы этого не сделаете, у вас, вероятно, есть случай, когда пакеты переупорядочиваются в пути и прибывают не в порядке, что также приводит к дублированию ACK. Разница между потерей пакетов и нарушением порядка состоит в том, что количество дублирующихся ACK очень мало для неупорядоченных (часто только до «Дублированного ACK №1»), тогда как при потере пакетов они могут достигать счетчиков выше 100 в очень плохих случаях.

.

RFC 3708 — Использование TCP Duplicate Selective Acknowledgment (DSACK) и Stream Control Transmission Protocol (SCTP) с дублированными порядковыми номерами передачи (TSN) для обнаружения ложных повторных передач

[Docs] [txt | pdf] [draft-ietf-tsvw . ..] [Tracker] [Diff1] [Diff2]

ЭКСПЕРИМЕНТАЛЬНАЯ ИНФОРМАЦИЯ

 Сетевая рабочая группа E.Blanton Запрос комментариев: 3708 Purdue University Категория: Экспериментальная М. Оллман ICIR Февраль 2004 г. Использование TCP Duplicate Selective Acknowledgment (DSACK) и Протокол передачи управления потоком (SCTP) Дубликат Порядковые номера передачи (TSN) для обнаружения ложных Повторные передачи Статус этой памятки Этот меморандум определяет экспериментальный протокол для Интернета. сообщество.Он не определяет никаких стандартов Интернета. Требуются обсуждения и предложения по улучшению. Распространение памятки не ограничено. Уведомление об авторских правах Авторское право (C) The Internet Society (2004). Все права защищены. Аннотация TCP и протокол передачи управления потоком (SCTP) обеспечивают уведомление о получении дубликата сегмента через Duplicate Selective Подтверждение (DSACK) и повторяющийся порядковый номер передачи (TSN) соответственно.В этом документе представлены консервативные методы использования этой информации для выявления ненужные повторные передачи для различных приложений. 1. Введение TCP [RFC793] и SCTP [RFC2960] предоставляют уведомление о дублировании получение сегмента посредством дублированного выборочного подтверждения (DSACK) [RFC2883] и повторяющиеся уведомления TSN соответственно. Используя это информации, отправитель TCP или SCTP обычно может определить, когда повторная передача была отправлена ​​по ошибке. В этом документе представлены два метода для использования повторяющихся уведомлений.Первый способ прост и может использоваться для бухгалтерских приложений. Второй метод - это консервативный алгоритм для устранения неоднозначности ненужных повторных передач от событий потери с целью устранения ненужной перегрузки контролировать изменения. Blanton & Allman Experimental [Страница 1] 

 RFC 3708 TCP DSACK и SCTP Duplicate TSN, февраль 2004 г. Этот документ предназначен для описания разумных и безопасных алгоритмов.  для обнаружения ложных повторных передач и обсудить некоторые из соображения вовлечены.Он не предназначен для описания единственного возможный метод достижения цели, хотя рекомендации в этот документ следует учитывать при проектировании альтернативные алгоритмы. Кроме того, этот документ не описывает что может сделать отправитель TCP или SCTP после ложной повторной передачи обнаружен. Был разработан ряд предложений (например, [RFC3522], [SK03], [BDA03]), но пока неясно, какие из них предложения уместны. Кроме того, все они полагаются на обнаружение ложные повторные передачи и поэтому могут использовать алгоритм, указанный в этом документ.Наконец, отметим, что для упрощения текста большая часть следующего обсуждение ведется с точки зрения TCP DSACK, а также применяется к TCP и SCTP. Терминология Ключевые слова «ДОЛЖНЫ», «НЕ ДОЛЖНЫ», «ОБЯЗАТЕЛЬНО», «ДОЛЖНЫ», «НЕ ДОЛЖНЫ», «ДОЛЖЕН», «НЕ ДОЛЖЕН», «РЕКОМЕНДУЕТСЯ», «МОЖЕТ» и «ДОПОЛНИТЕЛЬНО» в этом документ следует интерпретировать, как описано в RFC 2119 [RFC2119]. 2. Подсчет повторяющихся уведомлений Для определенных приложений прямой подсчет повторяющихся уведомлений будет достаточно.Например, если стек просто хочет знать (для по какой-то причине) количество ложно повторно переданных сегментов, подсчет всех повторяющихся уведомлений для повторно переданных сегментов должно работать хорошо. Еще одно применение этой стратегии - мониторинг и адаптировать транспортные алгоритмы, чтобы транспорт не отправлял большие объемы ложных данных в сети. Например, мониторинг повторяющихся уведомлений может быть использован Ранним Алгоритм повторной передачи [AAAB03], чтобы определить, быстро ли повторная передача сегментов [RFC2581] с более низким, чем обычно, дубликатом Порог ACK работает, или если переупорядочение сегментов вызывает ложные ретрансляции.Говоря более предположительно, повторное уведомление было предложено в качестве неотъемлемая часть оценки общего коэффициента потерь TCP [AEO03] для в целях снижения воздействия коррупционных потерь на производительность транспортного протокола.  [EOA03] предлагает изменить реакция транспорта на перегрузку на долю потерь, которые фактически из-за перегрузки, требующей от сети предоставления уровень потерь на основе коррупции и оценка отправителя транспорта общий коэффициент потерь.Повторяющиеся уведомления - ключевая часть точная оценка общего уровня потерь [AEO03]. Blanton & Allman Experimental [Страница 2] 

 RFC 3708 TCP DSACK и SCTP Duplicate TSN, февраль 2004 г. 3. Перегрузка / алгоритм устранения повторяющейся неоднозначности Когда цель обнаружения ложных повторных передач - "отменить" ненужные изменения, внесенные в состояние контроля перегрузки, так как предложено в [RFC2883], отправитель данных в идеале должен определить: а) ложные повторные передачи в определенном окне данных не маскировать реальную потерю сегмента (перегрузку).Например, предположим, что сегменты N и N + 1 передаются повторно даже хотя только сегмент N был удален сетью (таким образом, сегмент N + 1 было повторно передано без необходимости). Когда отправитель получает уведомление о том, что сегмент N + 1 прибыл более одного раза, он может сделать вывод, что сегмент N + 1 был напрасно повторен. Однако это не могу сделать вывод о целесообразности устранения перегрузки состояние управления, потому что окно данных содержало хотя бы один действительный индикатор перегрузки (т.е.е., сегмент N был утерян). (б) Это дублирование сети не является причиной дублирования уведомление. Определение того, вызвано ли повторяющееся уведомление сетью дублирование пакета или ложная повторная передача - это почти теоретически невыполнимая задача. Поскольку [Pax97] показывает этот пакет дублирование по сети встречается редко, алгоритм в этом разделе просто перестает функционировать при обнаружении дублирования сети (получив уведомление о дублировании для сегмента, который был отправитель не ретранслирует).Приведенный ниже алгоритм дает разумные, но неполные, защита от обоих этих случаев. Мы предполагаем, что отправитель TCP имеет структуру данных для выборочного информация о подтверждении (например, как указано в [RFC3517]). В следующие шаги требуют расширения такого «табло» до включать немного более длинную историю повторных передач, чем называется для в [RFC3517]. После получения ДОЛЖНЫ быть предприняты следующие шаги. каждого DSACK или дублированного уведомления TSN: (A) Проверьте соответствующий диапазон последовательности или TSN, чтобы определить был ли сегмент передан повторно.(A.1) Если таблица результатов SACK пуста (т. Е. Отправитель TCP имеет не получил информации SACK от получателя) и левый край входящего DSACK равен SND.UNA, обработка этого DSACK ДОЛЖНА быть прекращена и состояние управления перегрузкой НЕ ДОЛЖНО возвращаться во время текущее окно данных. Этот пункт предназначен для охвата Blanton & Allman Experimental [Страница 3] 

 RFC 3708 TCP DSACK и SCTP Duplicate TSN, февраль 2004 г. случай, когда было обработано целое окно благодарностей заскочил по сети.В таком случае обратный путь кажется, находится в перегруженном состоянии и поэтому сокращает TCP скорость отправки - консервативный подход. (A.2) Если сегмент был повторно передан ровно один раз, отметьте его. как дубликат. (A.3) Если сегмент был повторно передан более одного раза, обработка этого DSACK ДОЛЖЕН быть прекращен, а контроль перегрузки состояние НЕ ДОЛЖНО возвращаться к предыдущему состоянию во время текущее окно данных.(A.4) Если сегмент не был повторно передан, входящий DSACK указывает, что сеть продублировала сегмент в вопрос. Обработка этого DSACK ДОЛЖНА быть прекращена. В кроме того, алгоритм, указанный в этом документе, НЕ ДОЛЖЕН будет использоваться для оставшейся части соединения, в будущем Отчеты DSACK могут скорее указывать на дублирование сети. чем ненужная ретрансляция. Обратите внимание, что некоторые методы для дальнейшего устранения неоднозначности дублирования сети от ненужная ретрансляция (например,g., параметр отметки времени TCP [RFC1323]) можно использовать для уточнения алгоритма в этом документ далее. Использование такой техники в сочетании с алгоритмом, аналогичным представленному здесь, может позволяют продолжать использовать алгоритм перед лицом дублированные сегменты. Мы не вникаем в такой алгоритм в этом документе из-за текущей редкости дублирование сети. Однако будущая работа должна включать решение этой проблемы.(B) Предполагая, что обработка может продолжаться (согласно правилам (A)), проверьте все повторно переданные сегменты в предыдущем окне данных. (B.1) Если все сегменты или фрагменты, отмеченные как повторно переданные, также были отмечены как подтвержденные и продублированные, заключаем что все повторные передачи в предыдущем окне данных были ложными, и потери не произошло. (B.2) Если какой-либо сегмент или фрагмент все еще помечен как повторно переданный но не отмечены как повторяющиеся повторные передачи, которые могут указывать на потерю в этом окне данных.На основании этого мы не можем делать никаких выводов конкретное уведомление DSACK / дублированный TSN. В дополнение к сохранению состояния, упомянутого в [RFC3517] (для TCP) и [RFC2960] (для SCTP) реализация этого алгоритма должна отслеживать Blanton & Allman Experimental [Страница 4] 

 RFC 3708 TCP DSACK и SCTP Duplicate TSN, февраль 2004 г. все порядковые номера или TSN, которые были подтверждены как дубликаты.4. Сопутствующие работы В дополнение к механизму обнаружения ложных повторных передач изложены в этом документе, несколько других предложений по поиску были разработаны ненужные ретрансляции. [BA02] использует алгоритм, описанный в этом документе, как основу для изучение нескольких методов повышения устойчивости TCP к изменению порядка пакеты. Алгоритм обнаружения Eifel [RFC3522] использует параметр отметки времени TCP. [RFC1323], чтобы определить, предназначен ли ACK для данной повторной передачи для исходная передача или ретрансляция.В более общем смысле, [LK00] описывает преимущества обнаружения ложных повторных передач и возврат от ненужных изменений управления перегрузкой с помощью схема на основе временных меток или механизм, который использует «бит повторной передачи» для флаг повторных передач (и ACK повторных передач). Обнаружение Эйфеля алгоритм может обнаруживать ложные повторные передачи быстрее, чем DSACK- основанная схема. Однако компромисс в том, что накладные расходы на 12- опция байтовой отметки времени должна присутствовать в каждом переданном пакете для работы Эйфеля.Схема F-RTO [SK03] немного изменяет шаблон отправки TCP. сразу после тайм-аута повторной передачи, а затем шаблон возвращаемых ACK. Этот шаблон может указывать на то, был необходим ретранслируемый сегмент. Преимущество F-RTO в том, что алгоритм должен быть реализован только на стороне отправителя TCP соединение и что ничего лишнего не нужно пересекать сеть (например, DSACK, отметки времени, специальные флаги и т. Д.). Обратной стороной является то, что алгоритм - это эвристика, которую можно запутать из-за сетевых патологий (е.g., дублирование или изменение порядка пакетов ключей). Наконец, обратите внимание, что F-RTO работает только для ложных повторных передач, инициированных таймер ретрансляции транспорта. Наконец, [AP99] кратко исследует использование времени между повторная передача сегмента через тайм-аут повторной передачи и прибытие следующего ACK в качестве индикатора того, была ли повторная передача необходимо. Схема сравнивает эту временную дельту с долей (f) минимальный RTT, наблюдаемый до сих пор для соединения. Если время delta меньше f * minRTT, тогда повторная передача помечается как ложная.При f = 1/2 алгоритм выявляет примерно 59% ненужных таймауты повторной передачи и определяет необходимые повторные передачи только 2,5% времени. Как и F-RTO, эта схема обнаруживает только ложные повторные передачи, отправленные таймером повторной передачи транспортного средства. Blanton & Allman Experimental [Страница 5] 

 RFC 3708 TCP DSACK и SCTP Duplicate TSN, февраль 2004 г. 5. Соображения безопасности Получатель может ошибочно указать ложные повторные передачи в случае реальной потери, потенциально вызывающие TCP или отправитель SCTP, чтобы сделать неточный вывод об отсутствии потери (и может вызвать несоответствующие изменения в перегрузке отправителей состояние контроля).Рассмотрим следующий сценарий: приемник просматривает каждый сегмент или блок, который прибывает и подтверждает любой сегмент, который прибывает из заказать дубликат на сумму, превышающую некоторую пороговую, при условии, что что это ретрансляция. Отправитель, использующий вышеуказанный алгоритм, будет Предположим, что повторная передача была ложной. Предложение ECN nonce sum [RFC3540] могло бы помочь смягчить способность получателя скрыть от отправителя реальные убытки скромное расширение. В обычном случае получения оригинала передача и ложная ретрансляция приемник получит одноразовый номер из исходной передачи и, следовательно, может «доказать» отправителю, что уведомление о дублировании действительно.В случае когда получатель не получил оригинал и пытается ненадлежащим образом побудить отправителя к передаче в ненадлежащем высокая скорость, получатель не узнает одноразовый номер ECN от оригинала сегмент и, вероятно, не сможет обмануть отправитель на долго. [RFC3540] призывает к отключению сумм nonce на дублирующиеся ACK, что означает, что сумма nonce напрямую не подходит для использования в качестве смягчения проблемы лежания приемников об информации DSACK.Однако в будущих усилиях можно будет использовать [RFC3540] в качестве отправной точки для защиты зданий, если она необходимо. 6. Благодарности Сураб Ладха и Райнер Людвиг сделали несколько полезных комментариев по поводу более ранняя версия этого документа. Второй автор благодарит BBN Technologies и Исследовательский центр Гленна НАСА за поддержку этого Работа. 7. Ссылки 7.1. Нормативные ссылки [RFC793] Постел, Дж., «Протокол управления передачей», STD 7, RFC 793, сентябрь 1981 г.[RFC2119] Брэднер, С. "Ключевые слова для использования в RFC для обозначения Уровни требований », BCP 14, RFC 2119, март 1997 г. Blanton & Allman Experimental [Страница 6] 

 RFC 3708 TCP DSACK и SCTP Duplicate TSN, февраль 2004 г. [RFC2883] Флойд, С., Махдави, Дж., Матис, М. и М. Подольски, "An Расширение опции выборочного подтверждения (SACK) для TCP », RFC 2883, июль 2000 г. [RFC2960] Стюарт Р., Се, К., Морно, К., Шарп, К., Шварцбауэр, Х., Тейлор, Т., Ритина, И., Калла, М., Чжан, Л. и В. Паксон, "Протокол передачи управления потоком", RFC 2960, октябрь 2000 г. 7.2. Информативные ссылки [AAAB03] Оллман, М., Авраченков, К., Айеста, У. и Дж. Блэнтон, «Early Retransmit for TCP», Работа в процессе, июнь 2003 г. [AEO03] Оллман, М., Эдди, Э. и С. Остерманн, "Оценка потерь Rates With TCP », Работа в процессе, август 2003 г.[AP99] Оллман, М. и В. Паксон, "Об оценке сквозной сети Свойства пути », SIGCOMM 99. [BA02] Блэнтон, Э. и М. Оллман. О повышении устойчивости TCP к Переупорядочивание пакетов. Обзор компьютерных коммуникаций ACM, 32 (1), январь 2002 г. [BDA03] Блэнтон, Э., Даймонд, Р. и М. Оллман, "Практики TCP Отправители перед лицом переупорядочения сегментов », Работа в Прогресс, февраль 2003 г. [EOA03] Эдди, В., Остерманн, С.и М. Оллман, "Новые методы для Повышение устойчивости транспортных протоколов к коррупции Потеря », Работа в процессе, июль 2003 г. [LK00] Р. Людвиг, Р. Х. Кац. Алгоритм Эйфеля: создание TCP Устойчивость к ложным повторным передачам. ACM Компьютер Communication Review, 30 (1), январь 2000 г. [Pax97] В. Паксон. Сквозная динамика интернет-пакетов. В ACM SIGCOMM, сентябрь 1997 г. [RFC1323] Якобсон, В., Брейден, Р. и Д. Борман, "Расширения TCP для высокой производительности », RFC 1323, май 1992 г.[RFC3517] Блэнтон, Э., Оллман, М., Фолл, К. и Л. Ван, "A Потеря, основанная на консервативном выборочном подтверждении (SACK) Алгоритм восстановления для TCP », RFC 3517, апрель 2003 г. [RFC3522] Людвиг, Р. и М. Майер, "Алгоритм обнаружения Эйфеля для TCP, RFC 3522, апрель 2003 г. Blanton & Allman Experimental [Страница 7] 

 RFC 3708 TCP DSACK и SCTP Duplicate TSN, февраль 2004 г. [RFC3540] Spring, N., Wetherall, D. и D. Ely, "Robust Explicit Уведомление о перегрузке (ECN), сигнализация с одноразовыми номерами », RFC 3540, июнь 2003 г. [SK03] Саролахти, П. и М. Коджо, "F-RTO: алгоритм для Обнаружение ложных таймаутов повторной передачи с помощью TCP и SCTP », Работа в процессе, июнь 2003 г. 8. Адреса авторов. Итан Блэнтон Университет Пердью Компьютерные науки 1398 Здание компьютерных наук West Lafayette, IN 47907 Электронная почта: [email protected] Марк Оллман Центр интернет-исследований ICSI 1947 Центральная улица, офис 600 Беркли, Калифорния 94704-1198 Телефон: 216-243-7361 Электронная почта: [email protected] http://www.icir.org/mallman/ Blanton & Allman Experimental [Страница 8] 

 RFC 3708 TCP DSACK и SCTP Duplicate TSN, февраль 2004 г. 9. Полное заявление об авторских правах Авторское право (C) The Internet Society (2004). Этот документ подлежит к правам, лицензиям и ограничениям, содержащимся в BCP 78 и за исключением случаев, указанных в настоящем документе, за авторами сохраняются все свои права.Этот документ и содержащаяся в нем информация размещены на "КАК ЕСТЬ" и СОСТАВНИК, ОРГАНИЗАЦИЯ ОН / ОНА ПРЕДСТАВЛЯЕТ ИЛИ СПОНСИРУЕТСЯ (ЕСЛИ ЕСТЬ) ИНТЕРНЕТ-ОБЩЕСТВОМ И ИНТЕРНЕТ-ИНЖИНИРИНГ ОТКАЗЫВАЕТСЯ ОТ ВСЕХ ГАРАНТИЙ, ЯВНЫХ ИЛИ ПОДРАЗУМЕВАЕТСЯ, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ​​НИКАКОЙ ГАРАНТИЕЙ, ЧТО ИСПОЛЬЗОВАНИЕ ПРИВЕДЕННАЯ ИНФОРМАЦИЯ НЕ НАРУШАЕТ НИКАКИХ ПРАВ ИЛИ ПОДРАЗУМЕВАЕМЫХ ГАРАНТИИ КОММЕРЧЕСКОЙ ЦЕННОСТИ ИЛИ ПРИГОДНОСТИ ДЛЯ ОПРЕДЕЛЕННОЙ ЦЕЛИ. Интеллектуальная собственность IETF не занимает никакой позиции относительно действительности или объема любых Права интеллектуальной собственности или другие права, которые могут быть заявлены относиться к реализации или использованию технологии описанные в этом документе, или степень, в которой любая лицензия в соответствии с такими правами может быть или не быть доступным; и не заявляют, что он предпринял какие-либо независимые усилия для выявления любых такие права.Информация о процедурах в отношении права в документах RFC можно найти в BCP 78 и BCP 79. Копии разглашения прав интеллектуальной собственности в секретариат IETF и гарантии предоставления лицензий или результат предпринята попытка получить генеральную лицензию или разрешение на использование таких имущественных прав разработчиками или пользователями этого спецификацию можно получить в он-лайн репозитории IETF IPR на http://www.ietf.org/ipr. IETF приглашает любую заинтересованную сторону довести до ее сведения любые авторские права, патенты или заявки на патенты или другие права собственности, которые могут распространяться на технологии, которые могут потребоваться для реализации этого стандарта.Пожалуйста, адресуйте информацию в IETF по адресу [email protected] Подтверждение Финансирование функции редактора RFC в настоящее время обеспечивается Интернет-общество. Blanton & Allman Experimental [Страница 9] 

Разметка HTML, созданная rfcmarkup 1.129d, доступная по адресу https://tools.ietf.org/tools/rfcmarkup/ .

TCP против HTTP: объяснения определений и различий

Вы, наверное, слышали о TCP и могли знать, что он как-то связан с отправкой и получением информации через Интернет. Вы, несомненно, видели HTTP перед URL-адресами почти каждый раз, когда они появляются в вашем браузере.

Но когда дело доходит до понимания того, как эти два протокола взаимодействуют, а также роли, которую они играют в общей головоломке передачи данных, все может запутаться.Давайте разберемся, что такое TCP и HTTP, что их отличает и как они работают вместе.

Что такое TCP?

Потоковая передача данных от источника к месту назначения разделяется на блоки, известные как «пакеты», для более управляемой передачи. Всякий раз, когда вы отправляете или получаете пакет данных, передается масса информации об этих данных. Это включает информацию, добавленную протоколом управления передачей или TCP.

Задача

TCP — гарантировать, что все данные, отправляемые в потоке, перемещаются из точки A в точку B в правильном порядке и без изменений.Такие протоколы, как TCP, сообщают конечному компьютеру, какое приложение должно получать указанные данные. TCP, в частности, жертвует чистой скоростью, чтобы гарантировать надежность передаваемых данных. Обратите внимание, что некоторые формы передачи данных, такие как потоковое видео, где идеальная точность имеет гораздо меньшее значение, чем скорость, лучше использовать различные протоколы, которые оптимизируют скорость, а не точность.

Передача пакетов, если ее оставить на собственное усмотрение, не будет полностью надежной. Вот почему TCP использует метод, известный как положительное подтверждение с повторной передачей, требующий от принимающей стороны передачи ответа о том, какие данные были получены.Благодаря этому отправитель знает, какие пакеты отправлять дальше или, возможно, повторно отправить, чтобы поддерживать безупречный поток данных. Таким образом, отправленные байты могут точно соответствовать полученным байтам. Никакие данные не изменяются и не теряются в процессе.

Если вы хотите узнать больше о том, как работает этот процесс проверки, щелкните здесь.

Что такое HTTP?

В то время как TCP содержит информацию о том, какие данные были или еще не получены, HTTP содержит конкретные инструкции о том, как читать и обрабатывать эти данные после их поступления.Перед тем, как данные будут отправлены из одного узла в Интернет в другой, они упаковываются в информацию, подробно описывающую характер отправляемого запроса или ответ на указанный запрос. Это делается с помощью HTTP или протокола передачи гипертекста.

Когда вы вводите URL-адрес в свой веб-браузер, вы отправляете HTTP-запрос на веб-сервер. Затем этот сервер ответит, снова используя форматирование HTTP. (Если вас интересует HTTPS, который вы могли заметить на самых популярных в наши дни сайтах, буква «S» означает «безопасный» — это означает, что эти пакеты зашифрованы.)

Двумя наиболее распространенными примерами HTTP-запросов являются: 1. «POST» означает, что он содержит данные, которые нужно отправить на сервер. 2. «ПОЛУЧИТЬ», запрашивая выборку ресурса с сервера

Итак: TCP управляет потоком данных, а HTTP описывает, что данные в этом потоке содержат.

TCP против HTTP: Семислойный лук

Огры подобны луку; так и пакеты данных.

HTTP расположен на уровне 7 модели взаимодействия открытых систем (модель OSI), также известном как самый внутренний и вызывающий слезы кусок лука.TCP находится на L4. Вы также можете думать об этом как об уровнях абстракции от самих данных, содержащихся в пакете. L1, физический уровень, представляет собой материальные электрические сигналы (или, возможно, радиосигналы или другую физическую среду), в которые данные преобразуются для передачи. Таким образом, L1 — самый дальний уровень от внутренних данных.

Почему существуют эти отдельные слои? Скажем, например, что данные поступают с веб-сервера на наш компьютер для загрузки веб-сайта. Наш компьютер улавливает физическое электричество, которое в некотором смысле «оборачивает» пакет нематериальных данных для транспортировки.По мере продвижения к L4 без TCP компьютер не знал бы, в какое приложение направить пакет. Здесь TCP может указать компьютеру направить пакет в наш веб-браузер.

В приложении, таком как Firefox или Chrome, читаются инструкции HTTP. Браузер узнает природу входящих данных и, наконец, может правильно загружать содержимое веб-страницы.

Итак, распутывающие слои действуют как сборочная линия, работая последовательно, чтобы привести исходные материалы в пакете данных в пригодное для использования состояние.

Улучшение использования вами интернет-протоколов также улучшает опыт пользователей. Ознакомьтесь с нашим техническим документом о том, как оптимизировать производительность TCP, и получите множество ценных советов!

.

ios — Плохое TCP-соединение из-за дублирования TCP SYN

Переполнение стека
  1. Около
  2. Товары
  3. Для команд
  1. Переполнение стека Общественные вопросы и ответы
  2. Переполнение стека для команд Где разработчики и технологи делятся частными знаниями с коллегами
.

повторяющихся сегментов в TCP — qaruQaruSite Переполнение стека

  1. Около
  2. Товары
  3. Для команд
  1. Переполнение стека Общественные вопросы и ответы
  2. Переполнение стека для команд Где разработчики и технологи делятся частными знаниями с коллегами
  3. Вакансии Программирование и связанные с ним технические возможности карьерного роста
  4. Талант Нанимайте технических специалистов и создавайте свой бренд работодателя
.

что значит, стоит ли покупать машину с ним

Что вас больше всего тревожит при покупке подержанной машины с рук: техническое состояние, хорошая история или чистота документов? Сделать диагностику понравившегося б/у автомобиля сейчас несложно, историю можно проверить онлайн даже на сайте с объявлениями, а вот документы остаются популярным у мошенников способов обмануть потенциального покупателя.

И один из главных поводов насторожиться – это невинный на первый взгляд дубликат ПТC

Что такое ПТС, кто его выдает и зачем он нужен

Паспорт транспортного средства – это основной документ автомобиля (как, собственно, и у человека). Правда, он практически всегда спокойно лежит в дальнем ящике комода с документами. ПТС нужен по сути всего два раза в жизни автомобиля: когда вы приобретаете машину и когда продаете ее. Но без него в этих ситуациях не обойтись.

ПТС содержит в себе всю ключевую информацию о машине, точнее почти всю. В эту бумагу вписаны марка и модель машины, дата ее изготовление, таможенные отметки, идентификационные номера, характеристики, а также собственники.
  • Если автомобиль был выпущен на иностранном заводе, а затем импортирован в Россию, то ПТС выдается таможенными органами
  • Если транспортное средство произвели в России, то первым будет указан отечественный завод-изготовитель

Следующим владельцем, скорее всего, станет представительство-импортер, либо автосалон, либо частник, который ввез машину из другого государства для собственных нужд. Все сделки, в результате которых автомобиль меняет собственника, прописываются в ПТС в специальных графах. Также ПТС может содержат ограничения по таможенному оформлению.

Продавец подержанной машины может иметь на руках дубликат ПТС вместо оригинала. Почему?

Если ПТС — дубликат, что это значит?

Дубликат — это выданный заново документ. Законных и честных причин, по которым может появиться дубликат ПТС вместо оригинального документа, всего четыре:

  • Взамен испорченного (облили водой, порвали, дети разрисовали)
  • Взамен заполненного
  • Взамен потерянного
  • Взамен украденного

С испорченным документом все просто: собственник ТС или доверенное лицо обращаются в отделение ГИБДД, печально демонстрируют поврежденную бумагу и оформляют заявление с просьбой выдать новый ПТС, то есть его дубликат.

Аналогично приходится действовать с паспортом, в котором закончилось свободное место. Обычно это происходит, когда у машины было много собственников или у ее хозяина менялись жизненные обстоятельства: смена фамилии, прописки, украденные или потерянные государственные регистрационные знаки и пр.

Негодный документ сдается в ГИБДД — утилизируется, на руки выдается дубликат

С потерянным паспортом процедура не отличается — за исключением того, что юристы рекомендуют сразу же сообщить в ГИБДД об утере и «аннулировании» документа. Это как с блокировкой потерянной банковской карты — с целью исключить возможные мошеннические манипуляции с пропавшим документом.

В случае с кражей (только одного ПТС или пакета документов, в котором был и ПТС) по букве закона надо сначала написать заявление в полицию, дождаться, пока сотрудники найдут (или, скорее всего, не найдут) преступников, а только затем получить дубликат документа. Большинство автовладельцев предпочитают не ждать положенного месяца на прекращение уголовного дела и заявить о потере ПТС, чтобы быстро оформить дубликат.

Как понять, что вам предъявляют дубликат ПТС

Оригинал ПТС и его дубликат – в чем между ними разница? Чаще всего вычислить дубликат паспортного средства несложно – на нем ставят штамп «Дубликат».

Если этого по какой-то причине не сделали, то все равно догадаться нетрудно: органом, выдавшим ПТС, будет указано отделение ГИБДД. Как вы помните, в оригинале должны быть прописаны таможенные органы или завод-изготовитель. В ГИБДД же обращаются только для замены ПТС.

Наконец, самое очевидное свидетельство дубликата ПТС – это дата его выдачи. Если она намного более свежая, чем дата выпуска автомобиля, то перед вами дубликат паспорта.

Если ПТС — дубликат, стоит ли покупать машину?

Чего бояться при покупке с дубликатом ПТС? Конечно, нет ничего страшного, если нерадивому автовладельцу пришлось заменить главный документ машины из-за утери или порчи. Все выглядит чисто, вот и штамп из ГИБДД на бумаге…

Но если есть возможность, лучше поискать другую машину!

И вот почему. Вы никак не сможете проверить, почему человек в действительности предлагает вам машину с дубликатом ПТС. А мошеннических или просто невыгодных для покупателя подержанного автомобиля схем с неоригинальными документами может быть немало:

  • машина часто меняла владельцев
  • автомобиль куплен в кредит, который еще не погасили
  • машина находится в залоге в ломбарде
  • оригинал документа был украден, его успели применить в незаконных сделках

Вот чем опасен дубликат ПТС при покупке автомобиля на вторичном рынке.

Множество владельцев

Это самая невинная причина, по которой могут выдать новый ПТС. И машину это, как вы понимаете, не красит. Во-первых, это означает, что автомобиль эксплуатировало множество разных людей. Во-вторых, что машину по каким-то причинам часто перепродавали. В-третьих, в паспорте, выданном взамен переполненного, не будут указаны все эти владельцы, и вы не узнаете, кем они были – возможно, в оригинальном ПТС были перечислены таксопарки и логистические компании. Скорее всего, именно это хотел скрыть продавец, спешно получивший дубликат перед продажей машины.

Кредитный автомобиль

При приобретении машины в кредит банк, выдающий часть суммы на его покупку, берет в залог основной документ машины – паспорт транспортного средства. Он хранится там до полной выплаты кредита, что не позволяет собственнику продать машину. Человек, который решил прекратить выплачивать кредит (или планировал нечестную сделку изначально), заявляет в ГИБДД об утере – и получает дубликат! Инспекторы до сих пор не имеют полноценного доступа к базам банка и зачастую не могут проверить, не находится ли машина в залоге.

Что будет дальше, предположить несложно. Продавец исчезает вместе с деньгами, а покупатель остается один на один с банком, который имеет полное право конфисковать кредитомобиль.

Оригинал ПТС находится в ломбарде

Но «пробить» машину на предмет залога в банке еще можно через нотариальные конторы или некоторые базы данных. А вот если автомобиль заложен в ломбард, то проверить это практически невозможно, и дубликат ПТС продавец может предлагать как раз потому, что сам документ находится в ломбарде.

Стоит ли брать машину с дубликатом ПТС

Если это не «та самая машина всей моей мечты», то проще отказаться от покупки и поискать на вторичке другой вариант. Не забывайте, что даже при условии полной чистоты машины вам в дальнейшем придется иметь дело именно с дубликатом ПТС, в частности — продавать машину со сложностями и возможным демпингом.

Дубликат ПТС – что это значит?

Словосочетание «Дубликат ПТС» знают все автомобилисты, которые когда-либо задумывались о покупке подержанного автомобиля. Все знают, что покупать машину с дубликатом ПТС не стоит, но о причинах догадываются далеко не все. Итак, что же значит «дубликат ПТС», как он выглядит и можно ли покупать с ним автомобиль. 

Дубликат ПТС – что это значит?

Паспорт транспортного средства – это документ, который обязательно должен быть у каждого автомобиля. Естественно, как и любой другой документ, ПТС со временем может прийти в негодность или потеряться. Есть несколько случаев, в которых владельцу автомобиля выдают копию ПТС:

  • ПТС был утерян или испорчен,
  • изменился владелец автомобиля,
  • изменилось место прописки владельца автомобиля,
  • в ПТС закончилось место для заполнения.

Как выглядит дубликат ПТС?

Дубликат ПТС содержит точно такую же информацию, как и основной паспорт транспортного средства, да и выглядит так же, как и оригинал. Единственное отличие – это надпись ДУБЛИКАТ. Дубликат ПТС, как и оригинал, это бланк строгой отчетности, он печатается на Гознаке и имеет все необходимые признаки подлинности.

Почему дубликат ПТС – это повод насторожиться при покупке автомобиля?

Дело в том, что почти все банки, выдающие автомобильные кредиты, оставляют у себя ПТС до полного погашения долга. Нечистые на руку автовладельцы частенько идут в ГИБДД, пишут заявление об утере ПТС и спокойно получают его дубликат. А потом машину можно продавать доверчивому покупателю. Последствия такой покупки могут быть очень плачевными!

Итак, дубликат ПТС сам по себе не является причиной отказываться от покупки автомобиля. Бывают ситуации, когда машина совершенно чиста с юридической точки зрения, а дубликат ПТС был выдан законно и по объективной причине. Однако дубликат ПТС вместо оригинала – это повод задуматься и внимательно присмотреться к продавцу, автомобилю и документам. 

И не забывайте, что покупка автомобиля с дубликатом ПТС – это дополнительная сложность при последующей перепродаже авто. Не забывайте, что рано или поздно уже вы будете продавцом автомобиля с дубликатом ПТС, и тогда уже вам придется доказывать, что с автомобилем все в порядке. 

ПТС — оригинал или дубликат? | подборавтоспб.рф — подбор авто

Сегодня хочу поговорить на тему, которая беспокоит многих.

Можно ли покупать машину с дубликатом ПТС, чем это опасно и как отличить оригинал от дубликата? Это самые распространённые вопросы у клиентов, которые обращаются ко мне за помощью в покупке автомобиля. Давайте попробуем разобраться.

Все знают, что есть 2 типа ПТС: оригинал и дубликат.

С оригиналом всё ясно и понятно. Оригиналом является ПТС, который был выдан заводом-изготовителем (в случае если машина была собрана на территории России) или таможней (если машина была ввезена из-за границы)

ПТС дубликат всегда будет выдан подразделением МРЭО, и по этой записи сразу можно определить, дубликат у вас в руках или оригинал. Также на полях пишется, в связи с чем был выдан дубликат. Распространённых варианта два — либо взамен сданного, либо взамен утерянного. Надпись «взамен сданного» означает, что оригинал был сдан в МРЭО (причин несколько, но самые распространённые — закончилось место, или ПТС пришёл в негодность) и хранится в архиве, а надпись «взамен утерянного» соответственно означает, что оригинал был утерян и человек получил дубликат.

В первом случае никакого криминала нет. Единственное, что сказывается негативно, это ликвидность при продаже, так как 90% людей хотят именно оригинал. А вот в случае дубликата взамен утерянного есть много нюансов. В своё время было очень распространено мошенничество с кредитными автомобилями. Кредит оформлялся на подставное лицо, банк ПТС забирал, и мошенники получали дубликат и продавали машины, которые находились в залоге у банка. Сейчас этот вариант не очень актуален, так как почти никакие банки ПТС не забирают и он находится на руках у владельца. Второй распространённый случай — это «тоталеная» тачка, которую выкупили у страховой, и чтобы это скрыть, получали дубликат ПТС. Восстанавливали этот хлам и продавали. Также есть ещё разные случаи получения дубликата взамен утерянного, и все они несут определённые риски. Поэтому, если на дубликате ПТС написано «выдан взамен утерянного», я бы рекомендовал несколько раз подумать, прежде чем купить такой авто.

Уже долго ходят разговоры об электронном ПТС, но лично я их ещё не встречал. Но думаю скоро все эти истории с оригиналом или дубликатом ПТС потеряют свою актуальность и появятся новые нюансы, на которые надо будет обращать внимание.

P.S: в последнее время несколько клиентов столкнулись с такой ситуацией: если на машину была приостановлена регистрация, то в некоторых МРЭО тупо выдают дубликат ПТС, даже если в оригинале место ещё было. Адекватного объяснения такому действию никому не дали, говорят, типа есть приказ, но никто его не видел. Лично я слышал такую версию, что просто напечатали много бланков ПТС, и от них надо избавиться перед переходом на электронный. Но подтверждения этой версии тоже нет, только разговоры.

Если у вас были какие-то интересные, необычные или криминальные случаи с ПТС — пишите в комментариях.

Как проверить ПТС перед покупкой на подлинность и дубликат? По номеру, по базе ГИБДД

Покупка подержанного автомобиля имеет несомненный плюс — адекватная стоимость. Однако при этом можно наткнуться на множество подводных камней — скрытые повреждения, износ деталей вследствие большого пробега, проблемы с документами.

Последнее встречается чаще всего. В статье мы разберёмся, как проверить ПТС перед покупкой — самый главный документ на автомобиль. Данные ПТС Паспорт транспортного средства хранит в себе множество различных данных об автомобиле.

Первое, что необходимо проверить — это совпадение VIN-номера в паспорте и на автомобиле. Это 17-значное число, размещается на автомобиле в нескольких местах — под капотом, на металлической раме автомобиля.

В зависимости от модели, номера могут расположить ещё в других местах. В ПТС также указан номер двигателя — в самом ТС он располагается соответственно на шильдике силового агрегата.

Кроме таких основных данных необходимо сравнить следующие данные, указанные в ПТС:

  • цвет автомобиля;
  • модель и марка;
  • госномер;
  • объём двигателя — обычно указывается на шильдике на задней стороне авто;
  • дата выпуска — также может указываться на шильдике под капотом;
  • масса автомобиля — можно проверить в ближайшем автосервисе;
  • номер шасси.

Как проверить ПТС на подлинность

Паспорт должен содержать следующие элементы:

  1. Орнамент паспорта — специфический узор, который при детальном рассмотрении не должен терять чёткости;
  2. Голограмма — должна быть чёткой и легко читаемой. Подделка голограммы — самая большая проблема для мошенников;
  3. Объёмный рисунок — на обратной стороне ПТС в углу находится своеобразный объёмный узор — розочка. Его возможно определить наощупь. Также он меняет цвет от зелёного до серого при разных углах обзора;
  4. Водяной знак — если просветить ПТС, на нём можно найти объёмный водяной знак «RUS».

Зарубежные авто

Множество транспортных средств в нашей стране иностранного производства либо же привезены из других стран. В таком случае ПТС может быть выдан только таможенной службой. В данном случае необходимо обратить внимание на страну-производителя — если в этой графе указана Литва или Беларусь, то надо быть крайне осторожным, поскольку это часто означает, что авто могло быть восстановлено после ДТП либо банально собрано из нескольких частей.

В ПТС, выданном таможней, указываются определённые ограничения, например, на отчуждение либо продажу авто. Паспорт, выданный таможней, заверяется подписью таможенника и печатью.

Кредитное авто

Тут надо обратить внимание на следующее:

  • дата выпуска — обычно кредитные авто имеют сравнительно малый возраст;
  • пробег — ввиду первого пункта пробег тоже может быть небольшим, хотя это необязательно;
  • транзитные номера авто.

Также, как показывает практика, если авто является кредитным, то оригинал ПТС остаётся у банка, водителю выдаётся дубликат.

Дубликат ПТС Одна из распространённых схем мошенников — продажа автомобиля не с оригиналом, а с дубликатом ПТС.

Самое безобидное, почему у владельца находится дубликат, а не оригинал, — это если оригинал был утерян или владелец менял регистрационные или личные данные.

Гораздо чаще бывает, что автомобиль является предметом кредитного договора либо же находится в угоне.

Самый простой способ, как проверить дубликат ПТС — посмотреть на его внешний вид. Дубликат ПТС имеет такую же структуру, как и оригинал структуру — водяные знаки, объёмные изображения и прочие отличительные признаки, присущие оригиналу. Единственное отличие — в графе для пометок стоит надпись «Дубликат».

Проверка в ГИБДД

Наиболее верный способ узнать подлинность и прочие данные — проверить ПТС по базе ГИБДД. Там Вам выдадут развернутую информацию — есть ли неоплаченные штрафы за авто, является ли оно в угоне, ДТП с участием автомобиля, актуальность сверки номеров двигателя, кузова, шасси и прочего, запрет на изменение регистрационных данных. Некоторые отделения ГИБДД позволяют выяснить эту информацию в телефонном режиме.

Онлайн-сервисы для проверки ПТС

Кроме личного общения с сотрудниками ГИБДД сейчас есть возможность проверить ПТС автомобиля в режиме онлайн.

http://www.gibdd.ru/check/auto/ — официальная база ГИБДД, работает сравнительно недавно. Достаточно ввести регистрационные данные авто (номер кузова, шасси или VIN-номер).

После этого сайт выдаст Вам следующие данные:

  • неоплаченные штрафы;
  • является ли авто в угоне;
  • есть ли запрет на изменение регистрационных данных;
  • информацию о данных автомобиля.

Кроме официального источника, существуют и другие сервисы, позволяющие узнать историю автомобиля по его ПТС:

http://vinformer.su/ru/ident/title/ — сервис для проверки автомобилей, ввезённых из другой страны после 1996 года.

http://shtrafy-gibdd.ru/ — ещё один сервис, который выдаст всю информацию о неоплаченных штрафах.

Также в сети существует множество других сервисов для проверки авто, но принцип работы практически не отличается. Минусом такой проверки является то, что информация может быть неактуальной (за исключением официального портала ГИБДД). Таким образом, наиболее точную и актуальную информацию Вам смогут предоставить лично в ГИБДД.

Также рекомендуем вам ознакомиться с другими полезными и бесплатными онлайн сервисами для автомобилистов в этой статье —>>

Источник статьи ресурс - pravo-auto.com

Как проверить документы перед покупкой автомобиля. Видео



Cтоит ли покупать машину у которой дубликат ПТС?

Портится или теряется все, так часто бывает. Теряют буквально все: паспорт, техническую документацию и многое другое. Если, предположим, водитель потерял ПТС, то ему категорически нельзя управлять транспортным средством. Он должен в этом случае написать заявление в ГИБДД и попросить выдать ему дубликат этого документа.

Покупатель же автотранспорта с пробегом насторожится при виде дубликата паспорта ТС, ибо с оригиналом иметь дело намного безопаснее, нежели с «копией».

Сложно распознать случай, если с «клоном» ПТС продается авто находящееся в залоге или взятый в автокредит. Это, кстати, самые распространенные мошеннические схемы в нашей стране. Ниже можно узнать, в чем же опасность «копии» ПТС и каким образом избежать рисков.

Что же это — копия ПТС?

Копия одержит графу «Особые отметки», в которой отмечено: «Дубликат. Так же указано, что он является заменой потерянного старого ПТС» с обязательным указанием реквизитов подлинника.

Отличается ли еще чем-то копия ПТС от оригинала?

В нем так же, как и в оригинале 24 графы, в которых указаны: марка транспортного средства, VIN-номер, вид кузова, сведения о силовом агрегате, год выпуска автомобиля, массу, инициалы владельца и иные данные о нем.

Мошенники при продаже автомобиля передают обманутым покупателям поддельные ПТС, которые не так-то просто отличить от оригинальных. Профессионал, может быть и может найти отличия, но простому обывателю это, скорее всего, не «грозит». В любой копии всегда указывается, что документ является заменой утерянного.

На ПТС также имеются водяные знаки. Так как «клоны» изготавливаются кустарно, то, стало быть, и сделаны они неаккуратно.

Копия ПТС выдается при смене хозяина авто, в случае потери/краже оригинальна, смене места жительства владельца автомобиля ТС и при отсутствии для внесения данных свободного места в старом.


Надо ли бояться дубликата ПТС, а если да — то чего опасаться?

В нашей стране мошенники успешно проворачивают разные сомнительные схемы. Чаще они, конечно аферы проворачивают с недвижимостью, нежели с машинами. Но все же, чем же грозит приобретение автомобиля с «клоном» документов?

Прежде чем притупить к реализации своего зловещего плана, владелец-аферист пишет в ГИБДД заявление об утере ПТС и получает копию документа на основании собственника. Затем он выставляет автомобиль на продажу.

Покупатель даже не в курсе, что вскоре его начнет «доставать» банк и ему придется выплачивать кредит старого владельца.

В данном случае никакие документы о купле-продаже здесь банковских служащих не убедят. Даже в суде свою непричастность доказать не получится.

Так что, дабы не оказаться в столь щепетильной ситуации, надо в банке собрать все необходимые сведения о состоянии документов.

Обладатель автомобиля имеющий дубликат ПТС на руках практически не имеет шансов на продажу автомашины. Поэтому они сбавляют стоимость машины до минимума, даже если у паспорта на автомобиль есть копия оригинала, и ПТС заменился только из-за того, что в нем не осталось свободных строчек.

Конечно, у копий ПТС существует и юридическая сила, но они все таки делают мутной историю машины. Если такое авто очень сильно приглянулось, то все имеющиеся документы на него следует изучать очень внимательно.

Надо ли совершать покупку такого транспортного средства?

Имеются случаи, когда сделка по приобретении машины будет совершенно законной, если:

— ТС имело много владельцев. Просто в ПТС однажды при регистрации не хватило «злополучной» строчки. У самого же продавца имеется копия старого ПТС, в которой указана вся история автомашины;

— из-за невнимательности утрачивается или повреждается оригинал.

Самая широко используемая в нашей стране сделка – приобретение машины в кредит. Покупая авто через банк, владелец передает ПТС кредитному учреждению. Часто случается, что впоследствии клиенту банка нечем оплачивать автокредит.

Автовладелец пишет заявление в ГИБДД, получает копию ПТС и выставляет недавнюю покупку на продажу. Такого можно избежать, если посетить автосалон, в котором старый владелец покупал автомобиль. Можно к тому и выяснить, был на автомашину оформлен автокредит или нет.

Дыбы не платить чужой кредит, сделку купли/продажи осуществляют через официального авто дилера в отделе trade-in. Ни в коем случае не следует связываться с перекупщиками, поскольку они взвинчивают цену, но если выхода нет, подыскивают кого-то понадежней.

При приобретении автотранспорта у человека, показавшего генералку от владельца, не редки случаи, когда кредитное учреждение забирает авто в счет уплаты задолженности. Порой автосалонам приходится страдать по причине своей оплошности, ибо они не внимательно работают документами на машину, и потом им просто некому выставить претензии.

В отделе трейд-ин так же не особо настораживаются при виде копии старого ПТС. Получается обезопаситься, совершив сделку через авторизированного дилера.

Плюсы и минусы

Если покупается транспортное средство с копией ПТС плюс лишь один – доступная стоимость авто, а вот что касается минусов, то их предостаточно. Не каждый может себе позволить купить новый автомобиль.

Среднестатистический россиянин приобретает машину с пробегом желая сэкономить. Он даже не может предположить, что он будет вынужден впоследствии либо крупно вложиться в ремонт, или нарваться на мошенников.

Как же минимизировать риски?

Дабы не попасться в «сети» мошенников, не следует покупать автомашину с дубликатом ПТС. Не всегда, конечно дубликат паспорта машины может – свидетельствовать о мошенничестве. Часто такой документ выдается совершенно законно. Жаль, конечно, что такое доходит не до всех. Сложнее всего приходится людям продающим автомашину с дубликатом документа. Здесь даже низкая стоимость автомобиля не всегда спасет. Выходов в данном случае только два: надеяться на то, что найдётся кто не побоится такую машину купить или самому до скончания дней ездить на ней.

03.07.2017

Оформление и проверка документов при покупке поддержанного автомобиля

Каждый автолюбитель хоть раз но сталкивался с выбором и покупкой поддержанного автомобиля, при этом возникает множество вопросов, например, как провести диагностику автомобиля перед покупкой и как выбрать юридически чистый автомобиль. Для проверки последнего пункта необходимо внимательно проверить документы.

Какие документы необходимо проверить перед покупкой автомобиля?

  • паспорт транспортного средства (ПТС) – основной документ, по которому можно хоть как-то проследить историю конкретного автомобиля. В данном документе указывается количество владельцев автомобиля, их данные и срок владения транспортным средством.
  • свидетельство о регистрации транспортного средства – документ, который содержит информацию о владельце, его адресе, а также все характеристики зарегистрированного автомобиля: VIN-номер, цвет, год выпуска, мощность двигателя, масса и т.д.

Дополнительно, если возраст автомобиля 5-7 лет можно также проверить сервисную книжку, по ней можно определить какие были проблемы у машины, но не всегда достоверно, поскольку обслуживаться автомобиль мог и в стороннем сервисе, который не является официальным дилером марки автомобиля и соответственно отметок в сервисной книжке не оставляет.

Проверка документов: дубликат птс риски

Первое на что стоит обратить внимание при покупке поддержанного автомобиля, так это на то, что является ли ПТС оригиналом или сделан дубликат. В чем разница? Оригинальный ПТС выдается вместе с машиной в автосалоне при покупке и в нем хватает места для смены 6 владельцев данного авто. Если человек, приобретающий автомобиль является 7 по счету владельцем, то ему будет выдан дубликат ПТС, где он будет фигурировать как единственный владелец, но на таком ПТС будет отметка, как правило “дубликат выдан от… число и т.д.” или может стоять печать “ДУБЛИКАТ”. Также дубликат может быть выдан по причине утери или порчи оригинального ПТС. Это положительные стороны, при которых может быть выдан дубликат.

Как выглядит дубликат ПТС фото

 

Дубликат с печатью

Рассмотрим отрицательные стороны случая, когда у предыдущего владельца ПТС является не оригинальным. По дублирующему ПТС невозможно определить сколько у автомобиля было владельцев и сколько каждый владелец владел автомобилем, может автомобиль сливали через каждые пол года?

Кроме того, одной из самых опасных случаев при покупке – это покупка кредитного автомобиля. Дело в том, что при оформлении кредита банк забирает себе оригинал ПТС до полной выплаты долга. При этом у владельца есть возможность написать заявление в ГИБДД об утере оригинального ПТС и ему выдадут дубликат. Если вы приобретете такой кредитный автомобиль, то через какое-то время претензии за выплату кредита банк будет предъявлять уже вам. Выбраться из сложившейся ситуации будет не просто.

Оформление документов при покупке поддержанного автомобиля

Оформление документов можно произвести в любом отделении МРЭО и поставить на учет в ГИБДД, как правило все находится рядом.

Алгоритм оформления автомобиля при покупке

  1. Оформление договора купли-продажи авто (оформляется в МРЭО при участии обеих сторон). Как правило тут же новому владельцу предлагают оформить страховку и пройти технический осмотр, если у старого владельца он отсутствует или закончился.
  2. После оформления ДКП (договор купли-продажи) происходит передача ключей, документов и денег. По современным правилам регистрации автомобиля прежний владелец для регистрации больше не требуется.
  3. Далее необходимо оплатить гос. пошлину за регистрацию (как правило в отделениях ГИБДД стоят специализированные терминалы для оплаты) и сдать документы на регистрацию: ПТС, старое свидетельство о регистрации, ДКП, чек об уплате гос пошлины, страховку, документ об успешном прохождении осмотра автомобиля (сверка VIN-номера двигателя и кузова).
  4. Ожидаете оформления, получаете, проверяете – радуетесь!

Понравилась статья?

Поделитесь ссылкой с друзьями в социальных сетях:

А еще у нас интересные e-mail рассылки, подписывайтесь! (1 раз в неделю)

Интересные материалы

Как передачи SACK повышают производительность в Интернете | Цифровой мониторинг опыта

Были ли вы когда-нибудь во время телефонного разговора, когда внезапно пропадает сигнал, и вы не слышите собеседника на другом конце провода? Что ты будешь делать дальше? Сообщите говорящему начало и конец части разговора, которую вы не слышали?

Что ж, компьютеры обмениваются данными таким же образом с опцией подтверждения TCP, называемой выборочным подтверждением.

Протокол

TCP использует повторную передачу при потере или повреждении пакетов.Исходная система подтверждения TCP не может обрабатывать несколько потерянных сегментов; он только подтверждает последний успешно полученный сегмент (до потери), что затем приводит к повторной передаче данных, которые уже были получены получателем. Очевидно, что в этом нет необходимости, поскольку это пустая трата времени и вызывает перегрузку сети, которой можно было бы легко избежать. Вот где выборочное подтверждение или SACK наиболее выгодно.

Вот где выборочное подтверждение, или SACK, наиболее полезно.

SACK — это метод повторной отправки только необходимых пакетов, которые так и не достигли получателя. В свою очередь, это улучшает производительность сети, поскольку меньшее количество повторно передаваемых пакетов означает более эффективное использование полосы пропускания. Это особенно заметно для соединений, использующих большие размеры окна TCP.

Без SACK, в случае потери пакета, получатель отправит Duplicate Acknowledgment (DUP ACK), сообщая, что он получил данные только до определенного сегмента. Затем отправитель повторно отправит все следующие сегменты данных, даже если получатель уже получил большинство из них.Это приведет к тому, что получатель получит дубликаты некоторых данных, что является пустой тратой ресурсов.

Есть два типа опций SACK. Первая, опция SACK-Permitted, присутствует только в SYN-пакете и сообщает обеим сторонам соединения, что они могут получить опцию SACK, которая является частью начального соединения.

Ниже приведено графическое изображение опции, разрешенной SACK, из RFC 2018; это показывает тип и длину TCP, относящуюся к SACK, отправляемому во время начального соединения.

Второй тип SACK — это формат Option. Это когда получатель дает отправителю подробную информацию о том, какие данные были получены, что в свою очередь позволяет отправителю повторно передать недостающие фрагменты данных. Он будет отправлен, если во время пакетной передачи будут потеряны данные.

Здесь мы видим графическое представление формата Option из RFC 2018.

Теперь взгляните на это пошаговое объяснение процесса SACK.

Шаг 1
Отправитель отправляет 10 сегментов данных, каждый из которых содержит 100 байтов данных, получателю, начиная с порядкового номера 1000.

Шаг 2
Приемник принимает сегменты с 1 по 4 и с 6 по 10.

Шаг 3
Затем получатель понимает, что у него отсутствуют некоторые данные, и отправляет сегмент TCP ACK обратно отправителю с опцией SACK, указывающей левый край 1400 и правый край 1500.

Шаг 4
Затем отправитель сам повторно передает сегмент 5 -го обратно получателю.

Шаг 5
Получатель принимает 5-й сегмент и отправляет пакет подтверждения отправителю, информируя его о том, что теперь они получили все сегменты.

Теперь давайте углубимся в концепцию SACK на реальном примере, захваченном Wireshark.Вот пример пакета SYN, показывающего разрешенную опцию SACK с типом 4 и длиной 2. См. Последние две строки захвата ниже.

Это показывает, что мой компьютер, источник, давал серверу, хосту назначения, знать, что у него включен SACK. Следовательно, сервер знает, что источник может запрашивать определенные сегменты данных. Если сервер поддерживает SACK, ему необходимо включить разрешенную опцию SACK в SYN-ACK.

Теперь, вот более поздний пакет от источника (компьютера), показывающий фактическую опцию SACK с левым краем блока данных, который не получен, указан как 18225, а правый край блока данных, который не получен, указан как 18620.См. Последнюю часть строк на снимке ниже:

Как видите, это сообщает хосту назначения о конкретных байтах данных, которые были потеряны. С помощью SACK сервер теперь знает, что ему нужно только повторно отправить порядковые номера с 18225 по 18620, что в результате сэкономило время и ресурсы.

Некоторые проблемы возникли после ранней адаптации SACK. Например, получатель может получать пакеты не по порядку из-за каких-то неизвестных проблем с сетевым подключением.Это приведет к тому, что отправитель повторно отправит пропущенный пакет, что замедлит скорость доставки данных.

С тех пор было реализовано расширение SACK, которое ввело дублирующее избирательное подтверждение, или D-SACK, в RFC 2883. Некоторые из этих улучшений включают надлежащее сообщение о дублированных и / или неупорядоченных сегментах. Это позволяет отправителю выяснить порядок пакетов, полученных получателем, и, в свою очередь, понять, когда он повторно передал ненужный пакет.

К сожалению, опция SACK не является обязательной и используется только тогда, когда ее поддерживают оба конца TCP-соединения. К счастью, все основные последние TCP-стеки теперь поддерживают его.

SACK важен, потому что он обеспечивает более надежную повторную передачу пакетов, позволяя отправлять отправителю информацию о том, какие фрагменты данных попали в получатель, когда происходит потеря пакета, и повторную передачу дублированных пакетов с помощью D-SACK. Это способствует меньшей перегрузке сети и лучшей обработке пакетов, что обеспечивает более высокую скорость доставки данных.

Анализируйте снимки межсетевого экрана Firepower для эффективного устранения сетевых проблем

Введение

В этом документе описываются различные методы анализа перехвата пакетов, направленные на эффективное устранение неполадок в сети. Все сценарии, представленные в этом документе, основаны на реальных пользовательских случаях, замеченных в Центре технической поддержки Cisco (TAC). Документ охватывает захват пакетов с точки зрения межсетевого экрана Cisco следующего поколения (NGFW), но те же концепции применимы и к другим типам устройств.

Предварительные требования

Требования

Cisco рекомендует ознакомиться со следующими темами:

  • Архитектура платформы Firepower
  • Журналы NGFW
  • Трассировщик пакетов NGFW

Кроме того, перед началом анализа перехвата пакетов настоятельно рекомендуется выполнить следующие требования:

  • Знать работу протокола — Бесполезно начинать проверку захвата пакета, если вы не понимаете, как работает захваченный протокол
  • Знать топологию — Вы должны знать транзитные устройства.В идеале сквозной. Если это невозможно, вы должны хотя бы знать восходящие и нисходящие устройства
  • Знать устройство — Вы должны знать, как ваше устройство обрабатывает пакеты, каковы задействованные интерфейсы (например, вход / выход), какова архитектура устройства и каковы различные точки захвата
  • Знать конфигурацию — Вы должны знать, как устройство должно обрабатывать поток пакетов с точки зрения:
    • Интерфейс маршрутизации / выхода
    • Примененные политики
    • Преобразование сетевых адресов (NAT)
  • Знать доступные инструменты — Наряду с захватами рекомендуется также быть готовым к применению других инструментов и методов устранения неполадок, таких как ведение журнала и трассировщики, и, при необходимости, сопоставить их с захваченными пакетами

Используемые компоненты

Информация в этом документе основана на следующих версиях программного и аппаратного обеспечения:

  • Большинство сценариев основано на FP4140 с программным обеспечением FTD 6.5.x.
  • FMC с программным обеспечением 6.5.x.

Информация в этом документе была создана на устройствах в определенной лабораторной среде. Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.

Справочная информация

Захват пакетов — один из наиболее часто игнорируемых инструментов устранения неполадок, доступных сегодня. Центр технической поддержки Cisco TAC ежедневно решает множество проблем клиентов путем анализа собранных данных.Цель этого документа — помочь сетевым инженерам и специалистам по безопасности выявлять и устранять распространенные сетевые проблемы, в основном на основе анализа перехвата пакетов.

Как собирать и экспортировать снимки по семейству продуктов NGFW?

В случае устройства Firepower (1xxx, 21xx, 41xx, 93xx) и приложения Firepower Threat Defense (FTD) обработка пакетов может быть визуализирована, как показано на изображении.

  1. Пакет поступает на входящий интерфейс и обрабатывается внутренним коммутатором шасси.
  2. Пакет поступает в механизм FTD Lina, который в основном выполняет проверки L3 / L4.
  3. Если политика требует, пакет проверяется механизмом Snort (в основном проверка L7).
  4. Механизм Snort возвращает вердикт для пакета.
  5. Механизм LINA отбрасывает или пересылает пакет на основе вердикта Snort.
  6. Пакет выходит на шасси через внутренний коммутатор шасси.

В зависимости от показанной архитектуры захваты FTD могут выполняться в 3 разных местах:

  • FXOS
  • Двигатель FTD Lina
  • Двигатель FTD Snort

Собирать захваты FXOS

Процесс описан в этом документе:

https: // www.cisco.com/c/en/us/td/docs/security/firepower/fxos/fxos271/web-guide/b_GUI_FXOS_ConfigGuide_271/troubleshooting.html#concept_E8823CC63C934A909BBC0DF12F301DED 9000

захвата FXOS могут быть сделаны только во входном направлении с точки зрения внутреннего коммутатора, как показано на изображении здесь.

Как показано на изображении, это две точки захвата в каждом направлении (из-за внутренней архитектуры коммутатора).

Перехваченные пакеты в точках 2, 3 и 4 имеют виртуальный сетевой тег (VNTag).

Примечание : Захваты FXOS на уровне шасси доступны только на платформах FP41xx и FP93xx. FP1xxx и FP21xx не предоставляют такой возможности.

Включение и сбор снимков FTD Lina

Основные точки захвата:

  • Входной интерфейс
  • Выходной интерфейс
  • Ускоренный путь безопасности (ASP)

Вы можете использовать либо пользовательский интерфейс Центра управления огневой мощью (FMC UI), либо FTD CLI, чтобы включить и собрать захваты FTD Lina.

Включить захват из CLI на интерфейсе INSIDE:

 firepower #  захват интерфейса CAPI ВНУТРИ соответствие хосту icmp 192.168.103.1 хост 192.168.101.1  

Этот захват соответствует трафику между IP-адресами 192.168.103.1 и 192.168.101.1 в обоих направлениях.

Включите захват ASP, чтобы увидеть все пакеты, отброшенные механизмом FTD Lina:

 огневая мощь #  захват ASP тип asp-drop все  

Экспорт захвата FTD Lina на FTP-сервер:

 firepower #  copy / pcap capture: CAPI ftp: // ftp_username: ftp_password @ 192.168.78.73 / CAPI.pcap  

Экспорт захвата FTD Lina на сервер TFTP:

 firepower #  copy / pcap capture: CAPI tftp: //192.168.78.73  

Начиная с версии FMC 6.2.x, вы можете включать и собирать захваты FTD Lina из пользовательского интерфейса FMC.

Другой способ сбора данных FTD от межсетевого экрана, управляемого FMC, — это.

Шаг 1

В случае захвата LINA или ASP скопируйте захват на диск FTD, например.

 firepower #  copy / pcap capture: capin disk0: capin.pcap 

Имя захвата источника [capin]?

Целевое имя файла [capin.pcap]?
!!!!
 

Шаг 2

Перейдите в экспертный режим, найдите сохраненный снимок и скопируйте его в / ngfw / var / common location:

 огневой мощи #

Консольное соединение отключено.

>  эксперт
  admin @ firepower: ~  долларов sudo su 
Пароль:
корень @ огневая мощь: / home / admin #  cd / mnt / disk0 
root @ firepower: / mnt / disk0 #  ls -al | grep pcap 
-rwxr-xr-x 1 корень root 24 апр 26 18:19 CAPI.pcap
-rwxr-xr-x 1 корневой корень 30110 8 апреля 14:10  capin.pcap 
-rwxr-xr-x 1 корневой корень 6123 8 апр, 14:11 capin2.pcap
корень @ firepower: / mnt / disk0 #  cp capin.pcap / ngfw / var / common
  

Шаг 3

Войдите в FMC, который управляет FTD, и перейдите к Devices> Device Management. Найдите устройство FTD и выберите значок Устранение неполадок :

Шаг 4

Выберите Расширенное устранение неполадок:

Укажите имя файла захвата и выберите Загрузить:

Дополнительные примеры включения / сбора снимков из пользовательского интерфейса FMC см. В этом документе:

https: // www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html

Включение и сбор перехватов FTD Snort

Точка захвата показана на изображении здесь.

Включить захват уровня Snort:

>  захват трафика 

Выберите домен для захвата трафика:
  0 - br1
  1 - Маршрутизатор

Выбор?  1 

Укажите желаемые параметры tcpdump.
(или введите "?" для получения списка поддерживаемых опций)
Опции:  -n хост 192.168.101.1
  

Чтобы записать захват в файл с именем capture.pcap и скопировать его через FTP на удаленный сервер:

>  захват трафика 

Выберите домен для захвата трафика:
  0 - br1
  1 - Маршрутизатор

Выбор?  1 

Укажите желаемые параметры tcpdump.
(или введите "?" для получения списка поддерживаемых опций)
Параметры:  -w capture.pcap host 192.168.101.1 
   CTRL + C <- для остановки захвата  
 
> копия файла 10.229.22.136 ftp / capture.pcap Введите пароль для [email protected]: Копирование capture.pcap Копирование выполнено успешно. >

Для получения дополнительных примеров захвата уровня Snort, которые включают различные фильтры захвата, проверьте этот документ:

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html

Устранение неполадок

Случай 1. Нет TCP SYN на исходящем интерфейсе

Топология показана на изображении здесь:

Описание проблемы: HTTP не работает

Затронутый поток:

Src IP: 192.168.0.100

Dst IP: 10.10.1.100

Протокол: TCP 80

Анализ захвата

Включить захват на движке FTD LINA:

 firepower #  захват CAPI int INSIDE match ip host 192.168.0.100 host 10.10.1.100 
firepower #  захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
  

Захваты — Функциональный сценарий:

В качестве основы всегда очень полезно иметь захваты из функционального сценария.

Захват, сделанный на интерфейсе NGFW INSIDE, как показано на изображении:

Ключевые точки:

  1. TCP 3-стороннее рукопожатие.
  2. Двунаправленный обмен данными.
  3. Нет задержек между пакетами (в зависимости от разницы во времени между пакетами)
  4. MAC-адрес источника — это правильное нисходящее устройство.

Захват, сделанный на ВНЕШНЕМ интерфейсе NGFW, показан на изображении здесь:

Ключевые точки:

  1. Те же данные, что и в захвате CAPI.
  2. MAC-адрес назначения — это правильное восходящее устройство.

Захваты — нефункциональный сценарий

Из интерфейса командной строки устройства снимки выглядят следующим образом:

 огневой мощи #  показать захват 
захват интерфейса необработанных данных типа CAPI INSIDE  [захват - 484 байта] 
  сопоставить IP-хост 192.168.0.100 хост 10.10.1.100
захват интерфейса необработанных данных типа CAPO ВНЕШНИЙ  [захват - 0 байт] 
  сопоставить IP-хост 192.168.0.100 хост 10.10.1.100
 

Содержание CAPI:

 огневой мощи #  показать захват CAPI 

6 пакетов захвачено

   1: 11:47:46.

2 192.168.0.100.3171> 10.10.1.100.80: S 1089825363: 1089825363 (0) win 8192 2: 11: 47: 47.161902 192.168.0.100.3172> 10.10.1.100.80: S 3981048763: 3981048763 (0) win 8192 3: 11: 47: 49.

3 192.168.0.100.3171> 10.10.1.100.80: S 1089825363: 1089825363 (0) win 8192 4: 11: 47: 50.162757 192.168.0.100.3172> 10.10.1.100.80: S 3981048763: 3981048763 (0) win 8192 5: 11: 47: 55.0 192.168.0.100.3171> 10.10.1.100.80: S 1089825363: 1089825363 (0) win 8192 6: 11: 47: 56.164710 192.168.0.100.3172> 10.10.1.100.80: S 3981048763: 3981048763 (0) win 8192
 огневой мощи #  показать захват CAPO 

  0 пакет захвачен 

Показано 0 пакетов
 

Это образ захвата CAPI в Wireshark:

Ключевые точки:

  1. Видны только TCP SYN-пакеты (без трехстороннего подтверждения TCP).
  2. Невозможно установить 2 сеанса TCP (порт источника 3171 и 3172). Исходный клиент повторно отправляет пакеты TCP SYN. Эти повторно переданные пакеты идентифицируются Wireshark как повторные передачи TCP.
  3. Повторные передачи TCP происходят каждые ~ 3, затем 6 и т.д. секунд
  4. MAC-адрес источника получен от правильного нисходящего устройства.

На основании 2 отловов можно сделать вывод, что:

  • Пакет из пяти кортежей (src / dst IP, src / dst порт, протокол) поступает на межсетевой экран на ожидаемом интерфейсе (INSIDE).
  • Пакет не покидает межсетевой экран на ожидаемом интерфейсе (ВНЕШНИЙ).
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Проверьте трассировку эмулируемого пакета.

Используйте средство отслеживания пакетов, чтобы увидеть, как пакет должен обрабатываться межсетевым экраном. В случае, если пакет отбрасывается политикой доступа брандмауэра, трассировка эмулированного пакета выглядит примерно так:

 firepower #  вход для отслеживания пакетов INSIDE tcp 192.168.0.100 11111 10.10.1.100 80 

Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
  Тип: МАРШРУТ-ПРОСМОТР
Подтип: Resolve Egress Interface 
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.2.72 с использованием исходящего сигнала  ifc OUTSIDE 

Фаза: 4
  Тип: СПИСОК ДОСТУПА 
Подтип: журнал
  Результат: DROP 
Конфиг:
группа доступа CSM_FW_ACL_ global
список доступа CSM_FW_ACL_ расширенный запретить IP любой любой идентификатор правила 268439946 журнал событий начало потока
список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПОЛИТИКА ДОСТУПА: FTD_Policy - По умолчанию
список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПРАВИЛО L4: ПРАВИЛО ДЕЙСТВИЯ ПО УМОЛЧАНИЮ
Дополнительная информация:

Результат:
интерфейс ввода: ВНУТРИ
вход-статус: вверх
вход-линия-статус: вверх
выходной интерфейс: ВНЕШНИЙ
статус вывода: вверх
статус строки вывода: вверх
Действие: падение
  Причина отбрасывания: (acl-drop) Поток запрещен настроенным правилом, местоположение отбрасывания: кадр 0x00005647a4f4b120 поток (NA) / NA
  

Действие 2.Проверьте следы живых пакетов.

Включите трассировку пакетов, чтобы проверить, как настоящие пакеты TCP SYN обрабатываются межсетевым экраном. По умолчанию отслеживаются только первые 50 входящих пакетов:

 огневая мощь #  захват трассировки CAPI  

Очистить буфер захвата:

 огневая мощь #  четкий захват / все  


В случае, если пакет отбрасывается политикой доступа брандмауэра, трассировка выглядит примерно так:

 firepower #  показать трассировку номера 1 пакета CAPI
 
6 пакетов захвачено

   1: 12:45:36.279740 192.168.0.100.3630> 10.10.1.100.80: S 2322685377: 2322685377 (0) win 8192 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.2.72 с использованием исходящего сигнала  ifc OUTSIDE 

Фаза: 4
  Тип: СПИСОК ДОСТУПА 
Подтип: журнал
  Результат: DROP 
Конфиг:
группа доступа CSM_FW_ACL_ global
список доступа CSM_FW_ACL_ расширенный запретить IP любой любой идентификатор правила 268439946 журнал событий начало потока
список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПОЛИТИКА ДОСТУПА: FTD_Policy - По умолчанию
список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПРАВИЛО L4: ПРАВИЛО ДЕЙСТВИЯ ПО УМОЛЧАНИЮ
Дополнительная информация:

Результат:
интерфейс ввода: ВНУТРИ
вход-статус: вверх
вход-линия-статус: вверх
выходной интерфейс: ВНЕШНИЙ
статус вывода: вверх
статус строки вывода: вверх
Действие: падение
  Причина отбрасывания: (acl-drop) Поток запрещен настроенным правилом, местоположение отбрасывания: кадр 0x00005647a4f4b120 поток (NA) / NA 

Показан 1 пакет
 

Действие 3.Проверьте логи FTD Lina.

Чтобы настроить системный журнал на FTD через FMC, проверьте этот документ:

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/200479-Configure-Logging-on-FTD-via-FMC.html

Настоятельно рекомендуется настроить внешний сервер системного журнала для журналов FTD Lina. Если удаленный сервер системного журнала не настроен, включите локальные буферные журналы на брандмауэре во время устранения неполадок. Конфигурация журнала, показанная в этом примере, является хорошей отправной точкой:

 firepower #  показать пробег 
…
ведение журнала включить
отметка времени регистрации
размер буфера регистрации 1000000
логирование буферизованной информации
 


Установите пейджер терминала на 24 линии для управления пейджером терминала:

 firepower #  терминальный пейджер 24  


Очистить буфер захвата:

 firepower #  очистить буфер регистрации  

Протестируйте соединение и проверьте логи с помощью фильтра синтаксического анализатора.В этом примере пакеты отбрасываются политикой доступа брандмауэра:

 огневая мощь №  показать лесозаготовку | включает 10.10.1.100 
09 октября 2019 12:55:51:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100/3696 dst ВНЕШНИЙ: 10.10.1.100/80 группой доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
09 октября 2019 12:55:51:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100/3697 dst ВНЕШНИЙ: 10.10.1.100/80 группой доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
09 октября 2019 12:55:54:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100 / 3696 dst ВНЕШНИЙ: 10.10.1.100/80 по группе доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
09 октября 2019 12:55:54:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100/3697 dst ВНЕШНИЙ: 10.10.1.100/80 группой доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
 

Действие 4. Проверьте отбрасывание ASP межсетевого экрана.

Если вы подозреваете, что пакет отброшен брандмауэром, вы можете увидеть счетчики всех пакетов, отброшенных брандмауэром на программном уровне:

 firepower #  показать asp drop 

Падение кадра:
  Нет маршрута к хосту (нет маршрута) 234
  Поток запрещен настроенным правилом (acl-drop) 71

Последняя очистка: 07:51:52 UTC, 10 октября 2019 г., enable_15

Падение потока:

Последняя очистка: 07:51:52 UTC, 10 октября 2019 г., enable_15
 

Вы можете включить захваты, чтобы увидеть все падения уровня программного обеспечения ASP:

 firepower #  захват типа ASP asp-drop all buffer 33554432 только заголовки  

Подсказка : Если вас не интересует содержимое пакета, вы можете захватить только заголовки пакета (опция только заголовков).Это позволяет захватывать гораздо больше пакетов в буфер захвата. Кроме того, вы можете увеличить размер буфера захвата (по умолчанию 500 Кбайт) до 32 Мбайт (опция буфера). Наконец, начиная с FTD версии 6.3, опция размера файла позволяет вам конфигурировать файл захвата размером до 10 ГБ. В этом случае вы можете видеть только захваченное содержимое в формате pcap.

Чтобы проверить содержимое захвата, вы можете использовать фильтр, чтобы сузить область поиска:

 огневой мощи #  показать захват ASP | включить 10.10.1.100 
  18: 07: 51: 57.823672 192.168.0.100.12410> 10.10.1.100.80: S 1870382552: 1870382552 (0) win 8192 
  19: 07: 51: 58.074291 192.168.0.100.12411> 10.10.1.100.80: S 2006489005: 2006489005 (0) win 8192 
  26: 07: 52: 00.830370 192.168.0.100.12410> 10.10.1.100.80: S 1870382552: 1870382552 (0) win 8192 
  29: 07: 52: 01.080394 192.168.0.100.12411> 10.10.1.100.80: S 2006489005: 2006489005 (0) win 8192 
  45: 07: 52: 06.824282 192.168.0.100.12410> 10.10.1.100.80: S 1870382552: 1870382552 (0) win 8192 
  46: 07: 52: 07.074230 192.168.0.100.12411> 10.10.1.100.80: S 2006489005: 2006489005 (0) win 8192 
 

В этом случае, поскольку пакеты уже отслеживаются на уровне интерфейса, причина отбрасывания не упоминается в захвате ASP.Помните, что пакет можно отследить только в одном месте (входящий интерфейс или отбрасывание ASP). В этом случае рекомендуется выполнить несколько сбросов ASP и установить конкретную причину сброса ASP. Вот рекомендуемый подход:

1. Очистить текущие счетчики отбрасывания ASP:

 огневая мощь #  ясный аспид  

2. Отправьте поток, который вы устраняете, через брандмауэр (запустите тест).

3. Еще раз проверьте счетчики сбросов ASP и отметьте увеличившиеся значения, например.грамм.

 firepower #  показать asp drop 
Падение кадра:
  Нет маршрута к хосту ( нет маршрута ) 234
  Поток запрещен настроенным правилом ( acl-drop ) 71
 


4. Включите захват ASP для определенных видимых отбрасываний:

 огневая мощь #  захват ASP_NO_ROUTE тип asp-drop no-route 
firepower #  захват ASP_ACL_DROP тип asp-drop acl-drop
  

5.Отправьте поток, который вы устраняете, через брандмауэр (запустите тест).

6. Проверьте захваты ASP. В этом случае пакеты были отброшены из-за отсутствия маршрута:

 огневая мощь #  показать захват ASP_NO_ROUTE | включают 192.168.0.100. * 10.10.1.100 
  93: 07: 53: 52.381663 192.168.0.100.12417> 10.10.1.100.80: S 3451

5: 3451

5 (0) win 8192 95: 07: 53: 52.632337 192.168.0.100.12418> 10.10.1.100.80: S 16

448: 16

448 (0) win 8192 101: 07:53:55.375392 192.168.0.100.12417> 10.10.1.100.80: S 3451

5: 3451

5 (0) win 8192 102: 07: 53: 55.626386 192.168.0.100.12418> 10.10.1.100.80: S 16

448: 16

448 (0) win 8192 116: 07: 54: 01.376231 192.168.0.100.12417> 10.10.1.100.80: S 3451

5: 3451

5 (0) выигрыш 8192 117: 07: 54: 01.626310 192.168.0.100.12418> 10.10.1.100.80: S 16

448: 16

448 (0) win 8192

Действие 5.Проверьте таблицу соединений FTD Lina.

Могут быть случаи, когда вы ожидаете, что пакет будет исходить из интерфейса «X», но по каким-либо причинам он выходит за пределы интерфейса «Y». Определение выходного интерфейса межсетевого экрана основано на следующем порядке работы:

  1. Поиск установленного соединения
  2. Поиск трансляции сетевых адресов (NAT) — этап UN-NAT (NAT назначения) имеет приоритет над PBR и поиском маршрута.
  3. Маршрутизация на основе политик (PBR)
  4. Поиск в таблице маршрутизации

Для проверки таблицы соединений FTD:

 firepower #  показать conn 
2 используются, 4 наиболее часто используются
Осмотрите Snort:
        preserve-connection: 2 включено, 0 активно, 4 наиболее активно, 0 наиболее активно

TCP  DMZ  10.10.1.100:  80   ВНУТРИ  192.168.0.100:  11694 , бездействие 0:00:01, байты 0, флаги  aA N1 
TCP  DMZ  10.10.1.100:80  INSIDE  192.168.0.100:  11693 , режим ожидания 0:00:01, байты 0, флаги  aA N1
  

Ключевые точки:

  • На основании флагов (Aa) соединение находится в зачаточном состоянии (полуоткрытое — межсетевой экран видел только TCP SYN).
  • В зависимости от портов источника / назначения входной интерфейс — ВНУТРЕННИЙ, а выходной интерфейс — DMZ.

Это можно визуализировать на изображении здесь:

Примечание : Поскольку все интерфейсы FTD имеют уровень безопасности 0, порядок интерфейсов в выводе show conn основан на номере интерфейса. В частности, интерфейс с более высоким vpif-num (номер интерфейса виртуальной платформы) выбирается как внутренний, а интерфейс с меньшим vpif-num выбирается как внешний. Вы можете увидеть значение vpif интерфейса с помощью команды show interface detail .Связанное усовершенствование, CSCvi15290 ENH: FTD должен показывать направленность соединения в выводе FTD ‘show conn’

 огневая мощь #  показать детали интерфейса | i Номер интерфейса | Интерфейс [P | E]. * is up 
...
Интерфейс Ethernet1 / 2 "INSIDE", включен, протокол линии включен
        Номер интерфейса  19 
Интерфейс Ethernet1 / 3.202 "ВНЕШНИЙ", включен, протокол линии включен
        Номер интерфейса  20 
Интерфейс Ethernet1 / 3.203 "DMZ", включен, протокол линии включен
        Номер интерфейса  22  

Примечание : Начиная с версии программного обеспечения Firepower 6.5, выпуск 9.13.x ASA, выходные данные команд show conn long и show conn detail предоставляют информацию об инициаторе соединения и ответчике

.

Выход 1:

 firepower #  показать conn long 
...
TCP ВНЕШНИЙ: 192.168.2.200/80 (192.168.2.200/80) ВНУТРИ: 192.168.1.100/46050 (192.168.1.100/46050), флаги aA N1, простоя 3 секунды, время безотказной работы 6 секунд, таймаут 30 секунд, байты 0
    Инициатор: 192.168.1.100, Ответчик: 192.168.2.200 
  Идентификатор ключа поиска подключения: 228982375 

Выход 2:

 firepower #  показать деталь коннектора 
...
TCP ВНЕШНИЙ: 192.168.2.200/80 ВНУТРИ: 192.168.1.100/46050,
    флаги aA N1, простоя 4 с, время безотказной работы 11 с, тайм-аут 30 с, байты 0
    Инициатор: 192.168.1.100, Ответчик: 192.168.2.200 
  Идентификатор ключа поиска подключения: 228982375 

Кроме того, show conn long отображает IP-адреса с NAT в круглых скобках в случае преобразования сетевых адресов:

 firepower #  показать conn long 
...
TCP ВНЕШНИЙ: 192.168.2.222/80 (192.168.2.222/80) ВНУТРИ: 192.168.1.100/34792 ( 192.168.2.150 /34792), флаги aA N1, idle 0s, uptime 0s, timeout 30s, байты 0, xlate id 0x2b5a8a4314c0
  Инициатор: 192.168.1.100, ответчик: 192.168.2.222
  Идентификатор ключа поиска соединения: 262895
 

Действие 6. Проверьте кэш протокола разрешения адресов (ARP) межсетевого экрана.

Если межсетевой экран не может разрешить следующий переход, межсетевой экран автоматически отбрасывает исходный пакет (в данном случае TCP SYN) и непрерывно отправляет запросы ARP, пока не разрешит следующий переход.

Чтобы увидеть кеш ARP брандмауэра, используйте команду:

 firepower #  показать arp  

Дополнительно, чтобы проверить наличие неразрешенных хостов, вы можете использовать команду:

 firepower #  показать статистику arp 
        Количество записей ARP в ASA: 0

        Выпало блоков в ARP: 84
        Максимальное количество блоков в очереди: 3
        Блоки в очереди: 0
        Получено ARP-сообщений о конфликте интерфейсов: 0
        ARP-защита Отправлено бесплатных ARPS: 0
        Общее количество попыток ARP:  182 <указывает на возможную проблему для некоторых хостов 
        Неразрешенные хосты:  1   <текущий статус 
        Максимальное количество неразрешенных хостов: 2
 

Если вы хотите дополнительно проверить работу ARP, вы можете включить захват, специфичный для ARP:

 firepower #  захват ARP интерфейс ARP Ethernet-типа ВНЕШНИЙ 
огневая мощь #  показать захват ARP 
...
   4: 07: 15: 16.877914 802.1Q vlan # 202 P0 arp  у кого есть 192.168.2.72 сказать 192.168.2.50 
   5: 07: 15: 18.020033 802.1Q vlan # 202 P0 arp у кого есть 192.168.2.72 сказать 192.168.2.50
 

В этих выходных данных межсетевой экран (192.168.2.50) пытается разрешить следующий переход (192.168.2.72), но нет ответа ARP

Выходные данные здесь показывают функциональный сценарий с правильным разрешением ARP:

 огневой мощи #  показать захват ARP 

2 пакета захвачены

   1: 07:17:19.495595 802.1Q vlan # 202 P0  arp у кого есть 192.168.2.72 скажите 192.168.2.50 
   2: 07: 17: 19.495946 802.1Q vlan # 202 P0  ответ arp 192.168.2.72 is-at 4c: 4e: 35: fc: fc: d8 
Показано 2 пакета
 
 firepower #  показать arp 
        ВНУТРИ 192.168.1.71 4c4e.35fc.fcd8 9
        ВНЕШНИЙ 192.168.2.72 4c4e.35fc.fcd8 9
 

В случае отсутствия записи ARP, трассировка активного пакета TCP SYN показывает:

 firepower #  показать трассировку номера пакета CAPI 1 

6 пакетов захвачено

   1: 07:03:43.270585  192.168.0.100.11997> 10.10.1.100.80 : S 4023707145: 4023707145 (0) win 8192 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
  Тип: ROUTE-LOOKUP 
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
  найдено следующий переход 192.168.2.72 с использованием egress ifc OUTSIDE 
…
Фаза: 14
Тип: ПОТОК-СОЗДАНИЕ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Новый поток создан с идентификатором 4814, пакет отправлен следующему модулю
…
Фаза: 17
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
  обнаружил следующий переход 192.168.2.72 с использованием egress ifc OUTSIDE 

Результат:
  интерфейс ввода: INSIDE 
вход-статус: вверх
вход-линия-статус: вверх
  выходной интерфейс: ВНЕШНИЙ 
статус вывода: вверх
статус строки вывода: вверх
  Действие: разрешить
  

Как видно из выходных данных, трассировка показывает действие : разрешить , даже если следующий прыжок недоступен и пакет автоматически отбрасывается брандмауэром! В этом случае необходимо также проверить средство отслеживания пакетов, поскольку оно обеспечивает более точный вывод:

 firepower #  вход для отслеживания пакетов INSIDE tcp 192.168.0.100 1111 10.10.1.100 80
 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.2.72 с использованием egress ifc OUTSIDE
…

Фаза: 14
Тип: ПОТОК-СОЗДАНИЕ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Новый поток создан с идентификатором 4816, пакет отправлен следующему модулю
…
Фаза: 17
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.2.72 использование egress ifc OUTSIDE

Результат:
интерфейс ввода: ВНУТРИ
вход-статус: вверх
вход-линия-статус: вверх
выходной интерфейс: ВНЕШНИЙ
статус вывода: вверх
статус строки вывода: вверх
Действие: падение
  Причина отбрасывания: (no-v4-смежность) Недопустимая смежность V4, Расположение отбрасывания: кадр 0x00005647a4e86109 поток (NA) / NA
  

В последних версиях ASA / Firepower приведенное выше сообщение было оптимизировано до:

 Причина отбрасывания: (no-v4-смежность) Нет допустимой смежности V4.  Проверить таблицу ARP (показать arp) имеет запись для nexthop ., Место сброса: f 
Сводка возможных причин и рекомендуемых действий

Если вы видите только TCP SYN-пакет на входных интерфейсах, но не TCP SYN-пакет, отправленный из ожидаемого выходного интерфейса, возможны следующие причины:

Возможная причина

Рекомендуемые действия

Пакет отброшен политикой доступа межсетевого экрана.

  • Используйте трассировщик пакетов или захват с трассировкой , чтобы увидеть, как межсетевой экран обрабатывает пакет.
  • Проверьте журналы брандмауэра.
  • Убедитесь, что брандмауэр отбрасывает ASP (покажите asp drop или захват типа asp-drop).
  • Проверьте события подключения FMC. Это предполагает, что для правила включено ведение журнала.

Неправильный фильтр захвата.

  • Используйте отслеживание пакетов или захват с трассировкой , чтобы увидеть, есть ли трансляция NAT, которая изменяет исходный или целевой IP.В этом случае настройте фильтр захвата.
  • В выходных данных команды show conn long показаны IP-адреса с NAT.

Пакет отправляется на другой выходной интерфейс.

  • Используйте трассировщик пакетов или захват с трассировкой , чтобы увидеть, как межсетевой экран обрабатывает пакет. Помните порядок операций, касающихся определения выходного интерфейса, существующего соединения, UN-NAT, PBR и поиска в таблице маршрутизации.
  • Проверьте журналы брандмауэра.
  • Проверьте таблицу соединений брандмауэра ( show conn ).

Если пакет отправлен на неправильный интерфейс, потому что он соответствует существующему соединению, используйте команду clear conn address и укажите 5-элементный набор соединения, которое вы хотите очистить.

Нет маршрута к месту назначения.

  • Используйте трассировщик пакетов или захват с трассировкой , чтобы увидеть, как межсетевой экран обрабатывает пакет.
  • Проверьте брандмауэр. ASP отбрасывает (показать asp drop) на предмет no-route drop cause.

На исходящем интерфейсе нет записи ARP.

  • Проверьте кэш ARP брандмауэра ( покажите arp ).
  • Используйте трассировщик пакетов , чтобы узнать, есть ли допустимая смежность.

Выходной интерфейс не работает.

Проверьте выходные данные команды show interface iprief на брандмауэре и проверьте состояние интерфейса.

Случай 2. TCP SYN от клиента, TCP RST от сервера

На этом изображении показана топология:

Описание проблемы: HTTP не работает

Затронутый поток:

Src IP: 192.168.0.100

Dst IP: 10.10.1.100

Протокол: TCP 80

Анализ захвата

Включите захват на движке FTD LINA.

 firepower #  захват CAPI int INSIDE match ip host 192.168.0.100 хост 10.10.1.100 
firepower #  захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
  

Захваты — нефункциональный сценарий:

Из интерфейса командной строки устройства захваты выглядят следующим образом:

 огневой мощи #  показать захват 
захват интерфейса трассировки необработанных данных типа CAPI ВНУТРИ [захват -  834 байта ]
  сопоставить IP-хост 192.168.0.100 хост 10.10.1.100
захват интерфейса необработанных данных типа CAPO ВНЕШНИЙ [захват -  878 байт ]
  сопоставьте ip host 192.168.0.100 хост 10.10.1.100
 

Содержание CAPI:

 огневой мощи #  показать захват CAPI 
   1: 05: 20: 36.654217 192.168.0.100.22195> 10.10.1.100.80:  S  1397289928: 1397289928 (0) win 8192 
   2: 05: 20: 36.

1 192.168.0.100.22196> 10.10.1.100.80: S 2171673258: 2171673258 (0) win 8192 3: 05: 20: 36.

3 10.10.1.100.80> 192.168.0.100.22196: R 1850052503: 1850052503 (0) ack 2171673259 win 0 4: 05:20:37.414132 192.168.0.100.22196> 10.10.1.100.80: S 2171673258: 2171673258 (0) win 8192 5: 05: 20: 37.414803 10.10.1.100.80> 192.168.0.100.22196: R 31997177: 31997177 (0) ack 2171673259 win 0 6: 05: 20: 37.
  • 3 192.168.0.100.22196> 10.10.1.100.80: S 2171673258: 2171673258 (0) win 8192 ...
  • Содержание CAPO:

     огневой мощи #  показать захват CAPO 
       1: 05:20:36.654507 802.1Q vlan # 202 P0 192.168.0.100.22195> 10.10.1.100.80:  S  2866789268: 2866789268 (0) win 8192 
       2: 05: 20: 36.8 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80:  S  4785344: 4785344 (0) win 8192 
       3: 05: 20: 36.

    7 802.1Q vlan # 202 P0 10.10.1.100.80> 192.168.0.100.22196: R 0: 0 (0) ack 4785345 win 0 4: 05: 20: 37.414269 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80: S 4235354730: 4235354730 (0) win 8192 5: 05: 20: 37.414758 802.1Q vlan # 202 P0 10.10.1.100.80> 192.168.0.100.22196: R 0: 0 (0) ack 4235354731 win 0 6: 05: 20: 37.

  • 5 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80: S 4118617832: 4118617832 (0) win 8192
  • На этом изображении показан захват CAPI в Wireshark.

    Ключевые точки:

    1. Источник отправляет пакет TCP SYN.
    2. TCP RST отправляется источнику.
    3. Источник повторно передает пакеты TCP SYN.
    4. MAC-адреса верны (для входящих пакетов MAC-адрес источника принадлежит нисходящему маршрутизатору, MAC-адрес назначения принадлежит интерфейсу INSIDE межсетевого экрана).

    На этом изображении показан захват CAPO в Wireshark:

    Ключевые точки:

    1. Источник отправляет пакет TCP SYN.
    2. TCP RST поступает на ВНЕШНИЙ интерфейс.
    3. Источник повторно передает пакеты TCP SYN.
    4. MAC-адреса верны (на исходящих пакетах брандмауэр OUTSIDE является MAC-адресом источника, восходящий маршрутизатор является MAC-адресом назначения).

    На основании 2 отловов можно сделать вывод, что:

    • Трехстороннее установление связи TCP между клиентом и сервером не завершается
    • Имеется TCP RST, который поступает на выходной интерфейс межсетевого экрана.
    • Межсетевой экран «разговаривает» с соответствующими устройствами восходящего и нисходящего потоков (на основе MAC-адресов)
    Рекомендуемые действия

    Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

    Действие 1. Проверьте исходный MAC-адрес, который отправляет TCP RST.

    Убедитесь, что MAC-адрес назначения в пакете TCP SYN совпадает с MAC-адресом источника в пакете TCP RST.

    Эта проверка имеет целью подтвердить 2 вещи:

    • Убедитесь, что нет асимметричного потока.
    • Убедитесь, что MAC принадлежит ожидаемому восходящему устройству.

    Действие 2. Сравните входящие и исходящие пакеты.

    Визуально сравните 2 пакета в Wireshark, чтобы убедиться, что брандмауэр не изменяет / не повреждает пакеты.Выделены некоторые ожидаемые различия.

    Ключевые точки:

    1. Временные метки разные. С другой стороны, разница должна быть небольшой и разумной. Это зависит от функций и проверок политики, применяемых к пакету, а также от нагрузки на устройство.
    2. Длина пакетов может отличаться, особенно если брандмауэр добавляет / удаляет заголовок dot1Q только с одной стороны.
    3. MAC-адреса разные.
    4. Заголовок dot1Q может быть на месте, если захват был сделан на подинтерфейсе.
    5. IP-адрес (а) различаются, если к пакету применяется NAT или преобразование адресов порта (PAT).
    6. Порты источника и назначения различаются, если к пакету применяется NAT или PAT.
    7. Если вы отключите параметр Wireshark Relative Sequence Number , вы увидите, что порядковые номера TCP / номера подтверждения изменяются брандмауэром из-за рандомизации начального порядкового номера (ISN).
    8. Некоторые параметры TCP могут быть перезаписаны.Например, межсетевой экран по умолчанию изменяет максимальный размер сегмента TCP (MSS) на 1380, чтобы избежать фрагментации пакетов на пути передачи.

    Действие 3. Сделайте снимок в пункте назначения.

    Если возможно, сделайте снимок в самом пункте назначения. Если это невозможно, сделайте снимок как можно ближе к месту назначения. Цель здесь — проверить, кто отправляет TCP RST (целевой сервер или какое-то другое устройство на пути?).

    Корпус 3.Трехстороннее подтверждение TCP + RST от одной конечной точки

    На этом изображении показана топология:

    Описание проблемы: HTTP не работает

    Затронутый поток:

    Src IP: 192.168.0.100

    Dst IP: 10.10.1.100

    Протокол: TCP 80

    Анализ захвата

    Включите захват на движке FTD LINA.

     firepower #  захват CAPI int INSIDE соответствует IP-хосту 192.168.0.100 хосту 10.10.1.100
      firepower #  захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
      

    Захваты — нефункциональный сценарий:

    Эта проблема может проявляться в захватах несколькими способами.

    3.1 — Трехстороннее установление связи TCP + отложенный RST от клиента

    И CAPI, и CAPO, перехваченные межсетевым экраном, содержат одни и те же пакеты, как показано на изображении.

    Ключевые точки:

    1. Трехстороннее подтверждение TCP проходит через брандмауэр.
    2. Сервер повторно передает SYN / ACK.
    3. Клиент повторно передает ACK.
    4. Через ~ 20 секунд клиент отказывается и отправляет TCP RST.
    Рекомендуемые действия

    Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

    Действие 1. Сделайте снимки как можно ближе к двум конечным точкам.

    Записи брандмауэра показывают, что клиентский ACK не был обработан сервером. Это основано на следующих фактах:

    • Сервер повторно передает SYN / ACK.
    • Клиент повторно передает ACK.
    • Клиент отправляет TCP RST или FIN / ACK перед любыми данными.

    Захват на сервере показывает проблему. Клиентский ACK из трехстороннего подтверждения TCP так и не поступил:

    3.2 — Трехстороннее квитирование TCP + отложенный FIN / ACK от клиента + отложенный RST от сервера

    И CAPI, и CAPO, перехваченные межсетевым экраном, содержат одни и те же пакеты, как показано на изображении.

    Ключевые точки:

    1. Трехстороннее подтверждение TCP проходит через брандмауэр.
    2. Через ~ 5 секунд клиент отправляет FIN / ACK.
    3. Через ~ 20 секунд сервер отказывается и отправляет TCP RST.

    На основании этого захвата можно сделать вывод, что, несмотря на трехстороннее установление связи TCP через брандмауэр, кажется, что оно никогда не завершается на одной конечной точке (повторные передачи указывают на это).

    Рекомендуемые действия

    То же, что и в случае 3.1

    3.3 — Трехстороннее установление связи TCP + отложенный RST от клиента

    И CAPI, и CAPO, перехваченные межсетевым экраном, содержат одни и те же пакеты, как показано на изображении.

    Ключевые точки:

    1. Трехстороннее подтверждение TCP проходит через брандмауэр.
    2. Через ~ 20 секунд клиент отказывается и отправляет TCP RST.

    На основании этих снимков можно сделать вывод, что:

    • Через 5-20 секунд одна конечная точка отказывается и решает разорвать соединение.
    Рекомендуемые действия

    То же, что и в случае 3.1

    3.4 — Трехстороннее установление связи TCP + немедленное RST с сервера

    Оба брандмауэра перехватывают CAPI и CAPO содержат эти пакеты, как показано на изображении.

    Ключевые точки:

    1. Трехстороннее подтверждение TCP проходит через брандмауэр.
    2. Через несколько миллисекунд после пакета ACK от сервера идет TCP RST.
    Рекомендуемые действия

    Действие: Делайте снимки как можно ближе к серверу.

    Немедленное TCP RST от сервера может указывать на неисправный сервер или устройство на пути, которое отправляет TCP RST. Сделайте снимок на самом сервере и определите источник TCP RST.

    Случай 4. TCP RST от клиента

    На этом изображении показана топология:

    Описание проблемы: HTTP не работает.

    Затронутый поток:

    Src IP: 192.168.0.100

    Dst IP: 10.10.1.100

    Протокол: TCP 80

    Анализ захвата

    Включить захват на движке FTD LINA.

     firepower #  захват CAPI int INSIDE соответствует IP-хосту 192.168.0.100 хосту 10.10.1.100 
    firepower #  захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
      

    Захваты — нефункциональный сценарий:

    Это содержимое CAPI.

     огневой мощи #  показать захват CAPI 
    
    14 пакетов захвачено
    
       1: 12: 32: 22.860627 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 
       2: 12: 32: 23.111307 192.168.0.100.47079> 10.10.1.100.80: S 2486945841: 2486945841 (0) win 8192 
       3: 12: 32: 23.112390 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
       4: 12: 32: 25.858109 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 
       5: 12: 32: 25.868698 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0
       6: 12: 32: 26.108118 192.168.0.100.47079> 10.10.1.100.80: S 2486945841: 2486945841 (0) win 8192 
       7: 12:32:26.109079 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэндов: 3000518858 (0) выигрыш 0
       8: 12: 32: 26.118295 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
       9: 12: 32: 31.859925 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 
      10: 12: 32: 31.860902 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0
      11: 12: 32: 31.875229 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0
      12: 12:32:32.140632 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
      13: 12: 32: 32.159995 192.168.0.100.47079> 10.10.1.100.80: S 2486945841: 2486945841 (0) win 8192 
      14: 12: 32: 32.160956 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
    Показано 14 пакетов
     

    Это содержимое CAPO:

     огневой мощи #  показать захват CAPO 
    
    Захвачено 11 пакетов
    
       1: 12: 32: 22.860780 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 1386249852: 1386249852 (0) win 8192 
       2: 12: 32: 23.111429 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 3000518857: 3000518857 (0) win 8192 
       3: 12: 32: 23.112405 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 35140: 35140 (0) выигрыш 0
       4: 12: 32: 25.858125 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 1386249852: 1386249852 (0) win 8192 
       5: 12:32:25.868729 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: R 29688

    : 29688

    (0) выигрыш 0 6: 12: 32: 26.108240 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 3822259745: 3822259745 (0) win 8192 7: 12: 32: 26.109094 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 40865466: 40865466 (0) выигрыш 0 8: 12: 32: 31.860062 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 4294058752: 4294058752 (0) win 8192 9: 12:32:31.860917 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: R 1581733941: 1581733941 (0) выигрыш 0 10: 12: 32: 32.160102 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 4284301197: 4284301197 (0) win 8192 11: 12: 32: 32.160971 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 5028: 5028 (0) выигрыш 0 Показано 11 пакетов

    Журналы брандмауэра показывают:

     огневая мощь №  журнал событий | я 47741 
    13 октября 2019 13:57:36:% FTD-6-302013: Построено входящее TCP-соединение 4869 для INSIDE: 192.168.0.100 / 47741 (192.168.0.100/47741) ВНЕШНИЙ: 10.10.1.100/80 (10.10.1.100/80)
    13 октября 2019 13:57:36:% FTD-6-302014: Разрыв TCP-соединения 4869 для ВНУТРИ: 192.168.0.100/47741 на ВНЕШНИЙ: 10.10.1.100/80 продолжительность 0:00:00 байт 0  TCP Reset-O от ВНУТРИ 
    13 октября 2019 г. 13:57:39:% FTD-6-302013: Построено входящее TCP-соединение 4870 для ВНУТРИ: 192.168.0.100/47741 (192.168.0.100/47741) для ВНЕШНЕГО: 10.10.1.100/80 (10.10.1.100/80) )
    13 октября 2019 13:57:39:% FTD-6-302014: Разрыв TCP-соединения 4870 для INSIDE: 192.168.0.100 / 47741 к ВНЕШНЕМУ: 10.10.1.100/80 продолжительность 0:00:00 байт 0  TCP Reset-O из ВНУТРИ 
    13 октября 2019 13:57:45:% FTD-6-302013: Построено входящее TCP-соединение 4871 для INSIDE: 192.168.0.100/47741 (192.168.0.100/47741) для OUTSIDE: 10.10.1.100/80 (10.10.1.100/80) )
    13 октября 2019 13:57:45:% FTD-6-302014: Разрыв TCP-соединения 4871 для ВНУТРИ: 192.168.0.100/47741 для ВНЕШНЕГО: 10.10.1.100/80 продолжительность 0:00:00 байт 0 TCP Reset-O из ВНУТРИ
     

    Эти журналы указывают на наличие TCP RST, поступающего на ВНУТРЕННИЙ интерфейс межсетевого экрана

    Захват CAPI в Wireshark:

    Следуйте первому потоку TCP, как показано на изображении.

    В Wireshark перейдите к Edit> Preferences> Protocols> TCP и отмените выбор параметра Relative sequence numbers , как показано на изображении.

    На этом изображении показано содержимое первого потока в захвате CAPI:

    Ключевые точки:

    1. Клиент отправляет пакет TCP SYN.
    2. Клиент отправляет пакет TCP RST.
    3. Пакет TCP SYN имеет значение порядкового номера, равное 4098574664.

    Тот же поток в захвате CAPO содержит:

    Ключевые точки:

    1. Клиент отправляет пакет TCP SYN. Брандмауэр рандомизирует ISN.
    2. Клиент отправляет пакет TCP RST.

    На основании двух отловов можно сделать вывод, что:

    • Нет трехстороннего установления связи TCP между клиентом и сервером.
    • Существует TCP RST, который исходит от клиента. Значение порядкового номера TCP RST в захвате CAPI — 1386249853.
    Рекомендуемые действия

    Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

    Действие 1. Сделайте снимок на клиенте.

    На основе захватов, собранных на межсетевом экране, есть явное указание на асимметричный поток. Это основано на том факте, что клиент отправляет TCP RST со значением 1386249853 (рандомизированный ISN):

    Ключевые точки:

    1. Клиент отправляет пакет TCP SYN.Порядковый номер 4098574664 и такой же, как на ВНУТРЕННЕМ интерфейсе межсетевого экрана (CAPI)
    2. .
    3. Имеется TCP SYN / ACK с номером ACK 1386249853 (что ожидается из-за рандомизации ISN). Этот пакет не был замечен в захватах брандмауэра
    4. Клиент отправляет TCP RST, поскольку он ожидал SYN / ACK со значением номера ACK 4098574665, но получил значение 1386249853

    Это можно представить как:

    Действие 2. Проверьте маршрутизацию между клиентом и межсетевым экраном.

    Подтвердите, что:

    • MAC-адреса, обнаруженные в захватах, являются ожидаемыми.
    • Убедитесь, что маршрутизация между брандмауэром и клиентом симметрична.

    Существуют сценарии, в которых RST исходит от устройства, которое находится между брандмауэром и клиентом, в то время как во внутренней сети существует асимметричная маршрутизация. Типичный случай показан на изображении:

    В этом случае захват имеет это содержимое. Обратите внимание на разницу между MAC-адресом источника пакета TCP SYN и MAC-адресом источника TCP RST и MAC-адресом назначения пакета TCP SYN / ACK:

     огневой мощи #  показать захват CAPI деталь 
       1: 13:57:36.730217  4c4e.35fc.fcd8  00be.75f6.1dae 0x0800 Длина: 66
          192.168.0.100.47740> 10.10.1.100.80: S [tcp sum ok] 3045001876: 3045001876 (0) win 8192  (DF) (ttl 127, id 25661 )
       2: 13: 57: 36.981104 4c4e.35fc.fcd8 00be.75f6.1dae 0x0800 Длина: 66
          192.168.0.100.47741> 10.10.1.100.80: S [tcp sum ok] 380

    40: 380

    40 (0) win 8192 (DF) (ttl 127, id 25662 ) 3: 13: 57: 36.981776 00be.75f6.1dae a023.9f92.2a4d 0x0800 Длина: 66 10.10.1.100.80> 192.168.0.100.47741: S [tcp sum ok] 1304153587: 1304153587 (0) ack 380

    41 win 8192 (DF) (ttl 127, id 23339) 4: 13: 57: 36.982126 a023.9f92.2a4d 00be.75f6.1dae 0x0800 Длина: 54 192.168.0.100.47741> 10.10.1.100.80: R [tcp sum ok] 380

    41: 380

    41 (0) ack 1304153588 win 8192 (ttl 255, id 48501) ...

    Случай 5. Медленная передача TCP (сценарий 1)

    Описание проблемы:

    Передача SFTP между хостами 10.11.4.171 и 10.77.19.11 медленные. Хотя минимальная пропускная способность (BW) между двумя хостами составляет 100 Мбит / с, скорость передачи не превышает 5 Мбит / с.

    При этом скорость передачи между хостами 10.11.2.124 и 172.25.18.134 значительно выше.

    Теория предыстории:

    Максимальная скорость передачи для одного потока TCP определяется продуктом задержки полосы пропускания (BDP). Используемая формула показана на изображении:

    Более подробную информацию о BDP можно найти здесь:

    Сценарий 1.Медленная передача

    На этом изображении показана топология:

    Затронутый поток:

    IP-адрес источника: 10.11.4.171

    Dst IP: 10.77.19.11

    Протокол: SFTP (FTP через SSH)

    Анализ захвата

    Включить захваты на ядре FTD LINA:

     firepower #  захват CAPI int INSIDE buffer 33554432 match ip host 10.11.4.171 host 10.77.19.11 
    firepower #  захват CAPO int OUTSIDE buffer 33554432 сопоставление ip host 10.11.4.171 хост 10.77.19.11
      

    Предупреждение : Захваты LINA на захватах FP1xxx и FP21xx влияют на скорость передачи трафика, проходящего через FTD. Не включайте перехваты LINA на платформах FP1xxx и FP21xxx при устранении проблем с производительностью (медленная передача через FTD). Вместо этого используйте SPAN или устройство HW Tap в дополнение к захватам на исходном и целевом хостах. Проблема задокументирована в CSCvo30697.

     firepower #  захват интерфейса трассировки необработанных данных типа CAPI внутри соответствует icmp любой любой 
    ПРЕДУПРЕЖДЕНИЕ. Выполнение перехвата пакетов может отрицательно сказаться на производительности.
    Рекомендуемые действия

    Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

    Расчет времени туда и обратно (RTT)

    Сначала определите поток передачи и следуйте ему:

    Измените представление Wireshark, чтобы отобразить секунд с момента предыдущего отображаемого пакета . Это упрощает расчет RTT:

    RTT можно рассчитать, сложив значения времени между двумя пакетами обмена (один в направлении источника, а другой в направлении пункта назначения).В этом случае пакет № 2 показывает RTT между межсетевым экраном и устройством, которое отправило пакет SYN / ACK (сервер). Пакет № 3 показывает RTT между межсетевым экраном и устройством, отправившим пакет ACK (клиентом). Сложение двух чисел дает хорошую оценку сквозного RTT:

    RTT ≈ 80 мс

    Расчет размера окна TCP

    Разверните пакет TCP, разверните заголовок TCP, выберите Расчетный размер окна и выберите Применить как столбец:

    Проверьте столбец Расчетное значение размера окна , чтобы узнать, какое максимальное значение размера окна было во время сеанса TCP.Вы также можете выбрать имя столбца и отсортировать значения.

    Если вы тестируете загрузку файла (сервер > клиент ), вы должны проверить значения, объявленные сервером. Максимальное значение размера окна, объявленное сервером, определяет максимальную скорость передачи.

    В данном случае размер окна TCP составляет ≈ 50000 байт

    На основе этих значений и с использованием формулы произведения на задержку полосы пропускания вы получаете максимальную теоретическую полосу пропускания, которая может быть достигнута в этих условиях: 50000 * 8/0.0 = 1 (без масштабирования окон). Это отрицательно сказывается на скорости передачи:

    На этом этапе необходимо выполнить захват на сервере, подтвердить, что это тот, кто объявляет масштаб окна = 0, и перенастроить его (вам может потребоваться проверить документацию сервера, как это сделать).

    Сценарий 2. Быстрая передача

    Теперь рассмотрим хороший сценарий (быстрая передача через ту же сеть):

    Топология:

    Поток интересов:

    Src IP: 10.11.2.124

    Dst IP: 172.25.18.134

    Протокол: SFTP (FTP через SSH)

    Включить захват на движке FTD LINA

     firepower #  захват CAPI int INSIDE buffer 33554432 сопоставление ip host 10.11.2.124 host 172.25.18.134 
    firepower #  захват CAPO int ВНЕШНИЙ буфер 33554432 сопоставление ip host 10.11.2.124 host 172.25.18.134
      

    Расчет времени кругового обхода (RTT): В этом случае RTT составляет ≈ 300 мсек.

    Расчет размера окна TCP: сервер объявляет коэффициент масштабирования окна TCP равный 7.

    Размер окна TCP сервера ≈ 1600000 Байт:

    На основе этих значений формула произведения на задержку полосы пропускания дает:

    1600000 * 8 / 0,3 = максимальная теоретическая скорость передачи 43 Мбит / с

    Случай 6. Медленная передача TCP (сценарий 2)

    Описание проблемы: Передача (загрузка) файлов по FTP через брандмауэр происходит медленно.

    На этом изображении показана топология:

    Затронутый поток:

    Src IP: 192.168.2.220

    Dst IP: 192.168.1.220

    Протокол: FTP

    Анализ захвата

    Включите захват на движке FTD LINA.

     firepower #  захват буфера необработанных данных типа CAPI 33554432 интерфейс INSIDE соответствие хоста tcp 192.168.2.220 хост 192.168.1.220 
    firepower #  cap Буфер необработанных данных типа CAPO 33554432 интерфейс ВНЕШНЕЕ соответствие хоста tcp 192.168.2.220 хост 192.168.1.220
      

    Выберите пакет FTP-DATA и следуйте каналу данных FTP при захвате FTD INSIDE (CAPI):

    Содержимое потока FTP-DATA:

    Содержимое захвата CAPO:

    Ключевые точки:

    1. Есть пакеты TCP Out-Of-Order (OOO).
    2. Произошла повторная передача TCP.
    3. Имеется индикация потери пакета (отброшенные пакеты).

    Совет : Сохраните захваченные данные, когда вы перейдете к File> Export Specified Packets . Затем сохраните только диапазон пакетов Displayed

    Рекомендуемые действия

    Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

    Действие 1. Определите место потери пакета.

    В подобных случаях необходимо выполнять одновременный захват и использовать методологию «разделяй и властвуй» для определения сегмента (ов) сети, вызывающего потерю пакетов. С точки зрения межсетевого экрана существует 3 основных сценария:

    1. Потеря пакетов вызвана самим межсетевым экраном.
    2. Потеря пакета вызвана нисходящим потоком к устройству межсетевого экрана (направление от сервера к клиенту).
    3. Потеря пакета вызвана восходящим потоком к устройству межсетевого экрана (направление от клиента к серверу).

    Потеря пакетов, вызванная межсетевым экраном: Чтобы определить, вызвана ли потеря пакетов межсетевым экраном, необходимо сравнить входящий захват с исходящим захватом. Есть довольно много способов сравнить 2 разных снимка. В этом разделе показан один из способов решения этой задачи.

    Процедура сравнения 2 захватов для определения потери пакетов

    Шаг 1. Убедитесь, что 2 захвата содержат пакеты из одного временного окна. Это означает, что в одном захвате не должно быть пакетов, которые были захвачены до или после другого захвата.Есть несколько способов сделать это:

    • Проверьте значения IP-идентификатора (ID) первого и последнего пакета.
    • Проверьте значения отметок времени первого и последнего пакета.

    В этом примере вы можете видеть, что первые пакеты каждого захвата имеют одинаковые значения IP ID:

    Если они не совпадают, то:

    1. Сравните временные метки первого пакета каждого захвата.
    2. Из захвата с последней отметкой времени получите фильтр, измените фильтр отметки времени с == на > = (первый пакет) и <= (последний пакет), например.г:

    (frame.time> = «16 октября 2019 г. 16: 13: 43.2446«) && (frame.time <= "16 октября 2019 г. 16: 20: 21.785130000")

    3. Экспортируйте указанные пакеты в новый захват, выберите Файл> Экспортировать указанные пакеты и затем сохраните Отображаемые пакеты . На этом этапе оба захвата должны содержать пакеты, охватывающие одно и то же временное окно. Теперь вы можете начать сравнение двух снимков.

    Шаг 2. Укажите, какое поле пакета используется для сравнения двух захватов.Пример полей, которые можно использовать:

    • IP-идентификация
    • Порядковый номер RTP
    • Порядковый номер ICMP

    Создайте текстовую версию каждого захвата, содержащую поле для каждого пакета, указанного на шаге 1. Для этого оставьте только интересующий столбец, например если вы хотите сравнить пакеты на основе IP-идентификации, измените захват, как показано на изображении.

    Результат:

    Шаг 3.Создайте текстовую версию захвата ( File> Export Packet Dissections> As Plain Text …), как показано на изображении:

    Снимите флажок I nclude заголовков столбцов и Сведения о пакете Параметры , чтобы экспортировать только значения отображаемого поля, как показано на изображении:

    Шаг 4. Отсортируйте пакеты в файлах. Для этого можно использовать команду Linux sort :

     #  сортировать CAPI_IDs> file1.отсортировано 
    #  sort CAPO_IDs> file2.sorted
      


    Шаг 5. Используйте инструмент сравнения текста (например, WinMerge) или команду Linux diff , чтобы найти различия между двумя захватами.

    В этом случае захват CAPI и CAPO для трафика данных FTP идентичен. Это доказывает, что потеря пакетов не была вызвана межсетевым экраном.

    Определение потери пакетов в восходящем / нисходящем направлениях.

    Ключевые точки:

    1.Этот пакет является повторной передачей TCP. В частности, это пакет TCP SYN, отправленный от клиента к серверу для данных FTP в пассивном режиме. Поскольку клиент повторно отправляет пакет, и вы можете увидеть начальный SYN (пакет №1), пакет был потерян в восходящем направлении к межсетевому экрану.

    В этом случае может быть даже вероятность того, что пакет SYN добрался до сервера, но пакет SYN / ACK был потерян на обратном пути:

    2. Есть пакет от сервера, и Wireshark определил, что предыдущий сегмент не был замечен / захвачен.Поскольку незахваченный пакет был отправлен с сервера на клиент и не был замечен в захвате брандмауэра, это означает, что пакет был потерян между сервером и брандмауэром.

    Это указывает на потерю пакетов между FTP-сервером и межсетевым экраном.

    Действие 2. Сделайте дополнительные захваты.

    Делайте дополнительные захваты вместе с захватами на конечных точках. Попробуйте применить метод «разделяй и властвуй», чтобы изолировать проблемный сегмент, вызывающий потерю пакетов.

    Ключевые точки:

    1. Получатель (в данном случае FTP-клиент) отслеживает входящие порядковые номера TCP. Если он обнаруживает, что пакет был пропущен (ожидаемый порядковый номер был пропущен), он генерирует пакет ACK с ACK = «ожидаемый порядковый номер, который был пропущен». В этом примере Ack = 2224386800.
    2. Dup ACK запускает быструю повторную передачу TCP (повторная передача в течение 20 мс после получения дублированного ACK).

    Что означают повторяющиеся ACK?

    • Несколько дублированных ACK, но нет фактических повторных передач, указывают на то, что, скорее всего, есть пакеты, которые прибывают не по порядку.
    • Дублирующиеся ACK, за которыми следуют фактические повторные передачи, указывают на то, что произошла некоторая потеря пакетов.

    Действие 3. Рассчитайте время обработки межсетевым экраном транзитных пакетов.

    Применить один и тот же захват на 2 разных интерфейсах:

     firepower #  захват буфера CAPI 33554432 интерфейс INSIDE соответствует хосту tcp 192.168.2.220 хосту 192.168.1.220 
    firepower #  захват интерфейса CAPI СНАРУЖИ  

    Экспорт захвата, проверка разницы во времени между входящими и исходящими пакетами

    Корпус 7.Проблема подключения TCP (повреждение пакета)

    Описание проблемы:

    Беспроводной клиент (192.168.21.193) пытается подключиться к целевому серверу (192.168.14.250 — HTTP), и существует 2 разных сценария:

    • Когда клиент подключается к точке доступа «A», HTTP-соединение не работает.
    • Когда клиент подключается к точке доступа «B», HTTP-соединение работает.

    На этом изображении показана топология:

    Затронутый поток:

    Src IP: 192.168.21.193

    Dst IP: 192.168.14.250

    Протокол: TCP 80

    Анализ захвата

    Включить захваты на ядре FTD LINA:

     firepower #  захват CAPI int INSIDE match ip host 192.168.21.193 host 192.168.14.250 
    firepower #  захват CAPO int OUTSIDE соответствует IP-хосту 192.168.21.193 хост 192.168.14.250
      

    Захваты — Функциональный сценарий:

    В качестве основы всегда очень полезно иметь захваты из рабочего сценария.

    На этом изображении показан снимок, сделанный на интерфейсе NGFW INSIDE

    .

    На этом изображении показан снимок, сделанный на ВНЕШНЕМ интерфейсе NGFW.

    Ключевые точки:

    1. 2 захвата почти идентичны (учитывайте рандомизацию ISN).
    2. Нет признаков потери пакета.
    3. Пакеты без заказа (ООО)
    4. Имеется 3 запроса HTTP GET. Первый получает сообщение 404 «Не найдено», второй — 200 «ОК», а третий получает сообщение перенаправления 304 «Не изменено».

    Захваты — Нерабочий сценарий:

    Содержимое входящего захвата (CAPI).

    Ключевые точки:

    1. Имеется трехстороннее рукопожатие TCP.
    2. Есть повторные передачи TCP и признаки потери пакета.
    3. Существует пакет (TCP ACK), который Wireshark идентифицирует как Malformed .

    На этом изображении показано содержимое исходящего захвата (CAPO).

    Ключевые точки:

    2 захвата почти идентичны (учитывайте рандомизацию ISN):

    1. Имеется трехстороннее подтверждение TCP.
    2. Есть повторные передачи TCP и признаки потери пакета.
    3. Существует пакет (TCP ACK), который Wireshark идентифицирует как Malformed .

    Проверить неверно сформированный пакет:

    Ключевые точки:

    1. Пакет идентифицирован как неверно сформированный программой Wireshark.
    2. Имеет длину 2 байта.
    3. Имеется полезная нагрузка TCP размером 2 байта.
    4. Полезная нагрузка — 4 дополнительных нуля (00 00).
    Рекомендуемые действия

    Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

    Действие 1. Сделайте дополнительные перехваты, включая перехваты на конечных точках, и, если возможно, попробуйте применить метод «разделяй и властвуй», чтобы изолировать источник повреждения пакета, например

    В этом случае 2 дополнительных байта были добавлены драйвером интерфейса коммутатора «A», и решением было заменить коммутатор, вызывающий повреждение.

    Случай 8. Проблема с подключением UDP (отсутствующие пакеты)

    Описание проблемы: сообщения системного журнала (UDP 514) не отображаются на целевом сервере системного журнала.

    На этом изображении показана топология:

    Затронутый поток:

    Src IP: 192.168.1.81

    Dst IP: 10.10.1.73

    Протокол: UDP 514

    Анализ захвата

    Включить захваты на ядре FTD LINA:

     firepower #  захват CAPI int INSIDE trace match udp host 192.168.1.81 host 10.10.1.73 eq 514 
    firepower #  захват CAPO int OUTSIDE match udp host 192.168.1.81 host 10.10.1.73 eq 514
      

    захватов FTD не показывают пакетов:

     огневой мощи #  показать захват 
    захват интерфейса трассировки необработанных данных типа CAPI ВНУТРИ [захват - 0 байт]
      соответствовать хосту udp 192.168.1.81 хост 10.10.1.73 eq syslog
    захват интерфейса необработанных данных типа CAPO СНАРУЖИ [захват - 0 байт]
      сопоставить хост udp 192.168.1.81 хост 10.10.1.73 eq syslog
     
    Рекомендуемые действия

    Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

    Действие 1. Проверьте таблицу соединений FTD.

    Чтобы проверить конкретное соединение, вы можете использовать этот синтаксис:

     firepower #  показать адрес соединения 192.168.1.81 порт 514 
    10 в использовании, 3627189 наиболее часто используемых
    Осмотрите Snort:
            preserve-connection: 6 включено, 0 активно, 74 наиболее активно, 0 наиболее активно
    
    UDP  ВНУТРИ  10.10.1.73: 514  INSIDE  192.168.1.81:514, idle 0:00:00, байты  480379697 , флаги -  o  N1
     

    Ключевые точки:

    1. Входной и выходной интерфейсы одинаковы (разворот).
    2. Количество байтов имеет очень большое значение (~ 5 ГБ).
    3. Флаг «o» обозначает разгрузку потока (HW ускоренный поток). Это причина того, что захваты FTD не показывают никаких пакетов. Выгрузка потока поддерживается только на платформах 41xx и 93xx.В данном случае это устройство 41xx.

    Действие 2. Сделайте снимки на уровне шасси.

    Подключитесь к диспетчеру шасси Firepower и включите захват на входном интерфейсе (в данном случае E1 / 2) и интерфейсах объединительной платы (E1 / 9 и E1 / 10), как показано на изображении:

    Через несколько секунд:

    Совет : в Wireshark исключите пакеты с тегами VN, чтобы исключить дублирование пакетов на уровне физического интерфейса

    Раньше:

    После:

    Ключевые точки:

    1. Фильтр отображения применяется для удаления дубликатов пакетов и отображения только системных журналов.
    2. Разница между пакетами находится на уровне микросекунд. Это указывает на очень высокую скорость передачи пакетов.
    3. Время жизни (TTL) постоянно уменьшается. Это указывает на пакетную петлю.

    Действие 3. Используйте трассировщик пакетов.

    Поскольку пакеты не проходят через механизм LINA брандмауэра, вы не можете выполнять трассировку в реальном времени (захват с трассировкой), но вы можете отслеживать эмулированный пакет с помощью средства отслеживания пакетов:

     firepower #  вход для отслеживания пакетов ВНУТРИ udp 10.10.1.73 514 192.168.1.81 514
     
    Фаза 1
    Тип: ЗАХВАТ
    Подтип:
    Результат: РАЗРЕШИТЬ
    Конфиг:
    Дополнительная информация:
    Список доступа MAC
    
    Фаза 2
    Тип: СПИСОК ДОСТУПА
    Подтип:
    Результат: РАЗРЕШИТЬ
    Конфиг:
    Неявное правило
    Дополнительная информация:
    Список доступа MAC
    
    Фаза: 3
    Тип: ПОТОК-ПРОСМОТР
    Подтип:
    Результат: РАЗРЕШИТЬ
    Конфиг:
    Дополнительная информация:
      Найден поток с идентификатором 25350892 с использованием существующего потока 
    
    Фаза: 4
    Тип: SNORT
    Подтип:
    Результат: РАЗРЕШИТЬ
    Конфиг:
    Дополнительная информация:
    Snort Verdict: (перемотка вперед) перемотка вперед по этому потоку
    
    Фаза: 5
    Тип: МАРШРУТ-ПРОСМОТР
    Подтип: Разрешить исходящий интерфейс
    Результат: РАЗРЕШИТЬ
    Конфиг:
    Дополнительная информация:
    найден следующий переход 192.168.1.81 с использованием egress ifc INSIDE
    
    Фаза: 6
    Тип: ADJACENCY-LOOKUP
    Подтип: следующий переход и смежность
    Результат: РАЗРЕШИТЬ
    Конфиг:
    Дополнительная информация:
    смежность активна
    MAC-адрес следующего перехода a023.9f92.2a4d попадает в 1 ссылку 1
    
    Фаза: 7
    Тип: ЗАХВАТ
    Подтип:
    Результат: РАЗРЕШИТЬ
    Конфиг:
    Дополнительная информация:
    Список доступа MAC
    
    Результат:
      интерфейс ввода: INSIDE 
    вход-статус: вверх
    вход-линия-статус: вверх
     Выходной интерфейс : ВНУТРИ 
    статус вывода: вверх
    статус строки вывода: вверх
    Действие: разрешить
     

    Действие 4.Подтвердите маршрутизацию FTD.

    Проверьте таблицу маршрутизации межсетевого экрана на наличие проблем с маршрутизацией:

     firepower #  показать маршрут 10.10.1.73 
    
    Запись маршрутизации для 10.10.1.0 255.255.255.0
      Известен через "eigrp 1", расстояние 90, метрическая система 3072, тип внутренний
      Распространение через eigrp 1
      Последнее обновление от 192.168.2.72 на  СНАРУЖИ, 0:03:37 назад 
      Блоки дескриптора маршрутизации:
      * 192.168.2.72, из 192.168.2.72,  0:02:37 назад, через OUTSIDE 
          Метрика маршрута - 3072, доля трафика - 1.
          Общая задержка 20 микросекунд, минимальная пропускная способность 1000000 Кбит
          Надежность 255/255, минимальный MTU 1500 байт
          Загрузка 29/255, хмель 1
     

    Ключевые точки:

    1. Маршрут указывает на правильный выходной интерфейс.
    2. Маршрут был изучен несколько минут назад (0:02:37).

    Действие 5. Подтвердите время работы соединения.

    Проверьте время работы соединения, чтобы узнать, когда оно было установлено:

     firepower #  показать адрес соединения 192.168.1.81 порт 514 деталь 
    21 используется, 3627189 наиболее часто используется
    Осмотрите Snort:
            preserve-connection: 19 включено, 0 активно, 74 наиболее активно, 0 наиболее активно
    Флаги: A - ожидает ACK ответчика на SYN, a - ожидает ACK инициатора на SYN,
           b - TCP state-bypass или прибитый,
           C - CTIQBE media, c - кластер централизованный,
           D - DNS, d - дамп, E - внешнее обратное соединение, e - полураспределенное,
           F - инициатор FIN, f - ответчик FIN,
           G - группа, g - MGCP, H - H.323, h - H.225.0, I - данные инициатора,
           i - неполный, J - GTP, j - данные GTP, K - t3-ответ GTP
           k - тощий носитель, L - туннель без крышки, M - данные SMTP, m - носитель SIP
           N - проверено Snort (1 - сохранение соединения включено, 2 - сохранение соединения включено)
           n - GUP, O - данные респондента, o - выгружены,
           P - внутреннее заднее соединение, p - пассажирский поток
           q - данные SQL * Net, R - инициатор подтвердил FIN,
           R - UDP SUNRPC, r - ответчик подтвердил FIN,
           T - SIP, t - SIP переходный, U - вверх,
           V - сирота VPN, v - M3UA W - WAAS,
           w - резервная копия вторичного домена,
           X - проверяется сервисным модулем,
           x - на сеанс, Y - поток заглушки директора, y - поток заглушки резервного копирования,
           Z - Scansafe redirection, z - прямой поток переадресации
    
    UDP ВНУТРИ: 10.10.1.73 / 514 ВНУТРИ: 192.168.1.81/514,
        флаги -oN1, простоя 0 с,  время безотказной работы 3 мин 49 с , тайм-аут 2 мин 0 с, байты 4801148711
     

    Ключевой момент:

    1. Соединение было установлено ~ 4 минуты назад (это до установки маршрута EIGRP в таблице маршрутизации)

    Действие 6. Удалите существующее соединение.

    В этом случае пакеты соответствуют установленному соединению и направляются на неправильный выходной интерфейс, вызывая петлю. Это связано с порядком работы брандмауэра:

    1. Поиск установленного соединения (имеет приоритет над поиском в глобальной таблице маршрутизации).
    2. Поиск трансляции сетевых адресов (NAT) — этап UN-NAT (NAT назначения) имеет приоритет над PBR и поиском маршрута.
    3. Маршрутизация на основе политик (PBR)
    4. Поиск в глобальной таблице маршрутизации

    Поскольку соединение никогда не истекает (клиент системного журнала непрерывно отправляет пакеты, в то время как тайм-аут простоя соединения UDP составляет 2 минуты), необходимо вручную очистить соединение:

     firepower #  очистить адрес соединения 10.10.1.73 адрес 192.168.1.81 протокол UDP порт 514 
    1 соединение (а) удалено.


    Убедитесь, что установлено новое соединение:

     firepower #  показать адрес соединения 192.168.1.81 детали порта 514 | б 10.10.1.73. * 192.168.1.81 
    UDP  СНАРУЖИ : 10.10.1.73/514  ВНУТРИ : 192.168.1.81/514,
        флаги -oN1, простоя 1 мин. 15 сек., время безотказной работы 1 мин. 15 сек., тайм-аут 2 мин. 0 сек., байты 408
     

    Действие 7. Настройте тайм-аут плавающего соединения.

    Это правильное решение для решения проблемы и предотвращения неоптимальной маршрутизации, особенно для потоков UDP.Перейдите к Devices> Platform Settings> Timeouts и установите значение:

    Более подробную информацию о тайм-ауте плавающего соединения можно найти в Справочнике команд:

    https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/t1.html#pgfId-1649892

    Случай 9. Проблема подключения HTTPS (сценарий 1)

    Описание проблемы: HTTPS-связь между клиентом 192.168.201.105 и сервером 192.168.202.101 невозможно установить

    На этом изображении показана топология:

    Затронутый поток:

    Src IP: 192.168.201.111

    Dst IP: 192.168.202.111

    Протокол: TCP 443 (HTTPS)

    Анализ захвата

    Включить захваты на ядре FTD LINA:

    IP, используемый во ВНЕШНЕМ захвате, отличается из-за конфигурации преобразования адреса порта.

     firepower #  захват CAPI int INSIDE match ip host 192.168.201.111 хост 192.168.202.111 
    firepower #  захват CAPO int OUTSIDE соответствие IP-хост 192.168.202.11 хост 192.168.202.111
      


    На этом изображении показан снимок, сделанный на интерфейсе NGFW INSIDE:

    Ключевые точки:

    1. Имеется трехстороннее подтверждение TCP.
    2. Начинается согласование SSL. Клиент отправляет сообщение Client Hello.
    3. Клиенту отправлено TCP ACK.
    4. Клиенту отправлено TCP RST.

    На этом изображении показан снимок, сделанный на интерфейсе NGFW OUTSIDE.

    Ключевые точки:

    1. Имеется трехстороннее подтверждение TCP.
    2. Начинается согласование SSL. Клиент отправляет сообщение Client Hello.
    3. Брандмауэр отправляет на сервер повторные передачи TCP.
    4. На сервер отправлено TCP RST.
    Рекомендуемые действия

    Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

    Действие 1. Сделайте дополнительные снимки.

    Захват, сделанный на сервере, показывает, что сервер получил TLS Client Hellos с поврежденной контрольной суммой TCP и молча отбрасывает их (нет TCP RST или любого другого пакета ответа для клиента):

    Если собрать все вместе:

    В этом случае, чтобы понять, что происходит, необходимо включить в Wireshark опцию Проверить контрольную сумму TCP, если возможно, . Перейдите к Edit> Preferences> Protocols> TCP , как показано на изображении.

    В этом случае полезно расположить снимки рядом, чтобы получить полную картину:

    Ключевые точки:

    1. Имеется трехстороннее подтверждение TCP. Идентификаторы IP такие же. Это означает, что брандмауэр не проксировал поток.
    2. Приветствие клиента TLS исходит от клиента с IP-идентификатором 12083. Пакет передается через прокси-сервер межсетевым экраном (в данном случае межсетевой экран был настроен с использованием политики расшифровки TLS), а IP-идентификатор изменен на 52534.Кроме того, контрольная сумма TCP пакета повреждена (из-за дефекта программного обеспечения, который позже был исправлен).
    3. Брандмауэр находится в режиме TCP Proxy и отправляет ACK клиенту (подменяя сервер).

    4. Межсетевой экран не получает никаких пакетов TCP ACK от сервера и повторно передает приветственное сообщение клиента TLS. Это опять же из-за режима TCP Proxy, который активировал брандмауэр.
    5. Через ~ 30 секунд брандмауэр отказывается и отправляет клиенту TCP RST.
    6. Межсетевой экран отправляет серверу TCP RST.

    Для справки:

    Firepower TLS / SSL Обработка квитирования

    Случай 10. Проблема подключения HTTPS (сценарий 2)

    Описание проблемы: Ошибка регистрации лицензии FMC Smart.

    На этом изображении показана топология:

    Затронутый поток:

    Src IP: 192.168.0.100

    Dst: tools.cisco.com

    Протокол: TCP 443 (HTTPS)

    Анализ захвата

    Включить захват в интерфейсе управления FMC:

    Попробуйте зарегистрироваться еще раз.C Перехвачено 264 пакета <- CTRL-C 264 пакетов, полученных фильтром 0 пакетов отброшено ядром корень @ огневая мощь: / Том / главная / админ #


    Соберите снимок из FMC ( System> Health> Monitor, выберите устройство и выберите Advanced Troubleshooting ), как показано на изображении:

    На изображении показан захват FMC на Wireshark:

    Совет : Чтобы проверить все новые захваченные сеансы TCP, используйте tcp.flags == 0x2 фильтр отображения в Wireshark. Это фильтрует все захваченные TCP SYN-пакеты.

    Совет : примените в качестве столбца поле Server Name из сообщения SSL Client Hello.

    Совет : примените этот фильтр отображения, чтобы видеть только сообщения Client Hello ssl.handshake.type == 1

    Примечание : на момент написания этой статьи портал интеллектуального лицензирования (tools.cisco.com) использует эти IP-адреса: 72.163.4.38, 173.37.145.8

    Следуйте одному из потоков TCP ( Follow> TCP Stream) , как показано на изображении.

    Ключевые точки:

    1. Имеется трехстороннее подтверждение TCP.
    2. Клиент (FMC) отправляет сообщение SSL Client Hello на портал Smart Licensing.
    3. Идентификатор сеанса SSL равен 0. Это означает, что сеанс не возобновлен.
    4. Целевой сервер отвечает сообщениями Server Hello, Certificate и Server Hello Done.
    5. Клиент отправляет SSL Fatal Alert с жалобой на «Неизвестный ЦС».
    6. Клиент отправляет TCP RST, чтобы закрыть сеанс.
    7. Полная продолжительность TCP-сеанса (от установления до закрытия) составляла ~ 0,5 секунды.

    Выберите Сертификат сервера и разверните поле эмитента , чтобы увидеть commonName. В этом случае Общее имя показывает устройство, которое выполняет функцию «Человек посередине» (MITM).

    Это показано на этом изображении:

    Рекомендуемые действия

    Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

    Действие 1. Сделайте дополнительные снимки.

    Сделать снимки на транзитном брандмауэре:

    CAPI показывает:

    CAPO показывает:

    Эти записи подтверждают, что транзитный межсетевой экран изменяет сертификат сервера (MITM)

    Действие 2. Проверьте журналы устройства.

    Вы можете получить комплект FMC TS, как описано в этом документе:

    https://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html

    В этом случае файл /dir-archives/var-log/process_stdout.log показывает такие сообщения:

     SOUT: 10-23 05:45:14 2019-10-23 05:45:36 sla [10068]: * среда .967 UTC: CH-LIB-ERROR: ch_pf_curl_send_msg [494], 
    не удалось выполнить, ошибка код 60, строка ошибки "Сертификат узла SSL или удаленный ключ SSH не в порядке" ...
    SOUT: 10-23 05:45:14 2019-10-23 05:45:36 sla [10068]: * Ср. 967 UTC: CH-LIB-TRACE: ch_pf_curl_is_cert_issue [514],
    проблема с сертификатом проверка, ret 60, url "https: // tools.cisco.com/its/

    Рекомендуемое решение

    Отключите MITM для определенного потока, чтобы FMC мог успешно зарегистрироваться в облаке Smart Licensing.

    Случай 11. Проблема подключения IPv6

    Описание проблемы: внутренние узлы (расположенные за ВНУТРЕННИМ интерфейсом межсетевого экрана) не могут взаимодействовать с внешними узлами (узлами, расположенными за ВНЕШНИМ интерфейсом межсетевого экрана).

    На этом изображении показана топология:

    Затронутый поток:

    Src IP: fc00: 1: 1: 1 :: 100

    Dst IP: fc00: 1: 1: 2 :: 2

    Протокол: любой

    Анализ захвата

    Включить захват на движке FTD LINA.

     firepower #  захват CAPI int INSIDE match ip any6 any6 
    огневая мощь #  захват CAPO int OUTSIDE match ip any6 any6
      

    Захваты — нефункциональный сценарий

    Эти записи были сделаны параллельно с тестом подключения ICMP с IP fc00: 1: 1: 1 :: 100 (внутренний маршрутизатор) на IP fc00: 1: 1: 2 :: 2 (восходящий маршрутизатор).

    Захват на межсетевом экране ВНУТРИ интерфейс содержит:

    Ключевые точки:

    1. Маршрутизатор отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 1 :: 1).
    2. Брандмауэр отвечает объявлением о соседстве IPv6.
    3. Маршрутизатор отправляет эхо-запрос ICMP.
    4. Межсетевой экран отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса нижестоящего устройства (fc00: 1: 1: 1 :: 100).
    5. Маршрутизатор отвечает объявлением о соседстве IPv6.
    6. Маршрутизатор отправляет дополнительные эхо-запросы IPv6 ICMP.

    Запись на ВНЕШНИЙ интерфейс межсетевого экрана содержит:

    Ключевые точки:

    1. Межсетевой экран отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 2 :: 2).
    2. Маршрутизатор отвечает объявлением о соседстве IPv6.
    3. Межсетевой экран отправляет эхо-запрос IPv6 ICMP.
    4. Устройство восходящего потока (маршрутизатор fc00: 1: 1: 2 :: 2) отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса IPv6-адреса fc00: 1: 1: 1 :: 100.
    5. Межсетевой экран отправляет дополнительный эхо-запрос IPv6 ICMP.
    6. Восходящий маршрутизатор отправляет дополнительное сообщение запроса соседа IPv6 с запросом MAC-адреса IPv6-адреса fc00: 1: 1: 1 :: 100.

    Пункт 4 очень интересен. Обычно восходящий маршрутизатор запрашивает MAC-адрес ВНЕШНЕГО интерфейса межсетевого экрана (fc00: 1: 1: 2 :: 2), но вместо этого он запрашивает fc00: 1: 1: 1 :: 100. Это признак неправильной конфигурации.

    Рекомендуемые действия

    Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

    Действие 1. Проверьте таблицу соседей IPv6.

    Таблица IPv6-соседей межсетевого экрана заполнена правильно.

     firepower #  показать соседа по ipv6 | я fc00 
    fc00: 1: 1: 2 :: 2 58 4c4e.35fc.fcd8 СТАЛО ВНЕШНИЙ
    fc00: 1: 1: 1 :: 100 58 4c4e.35fc.fcd8 СТАЛО ВНУТРИ
     

    Действие 2. Проверьте конфигурацию IPv6.

    Это конфигурация межсетевого экрана.

     firewall #  show run int e1 / 2 
    !
    интерфейс Ethernet1 / 2
     nameif ВНУТРИ
     cts руководство
      распространять sgt preserve-untag
      политика статическая sgt отключена доверенная
     уровень безопасности 0
     IP-адрес 192.168.0.1 255.255.255.0
     IPv6-адрес  fc00: 1: 1: 1 :: 1/64 
     ipv6 включить
    
    брандмауэр #  показать запуск int e1 / 3.202 
    !
    интерфейс Ethernet1 / 3.202
     vlan 202
     nameif СНАРУЖИ
     cts руководство
      распространять sgt preserve-untag
      политика статическая sgt отключена доверенная
     уровень безопасности 0
     IP-адрес 192.168.103.96 255.255.255.0
     IPv6-адрес  fc00: 1: 1: 2 :: 1/64 
     ipv6 включить
     


    Конфигурация восходящего устройства обнаруживает неправильную конфигурацию:

     Маршрутизатор № показывает интерфейс запуска g0 / 0.202 
    !
    интерфейс GigabitEthernet0 / 0.202
     инкапсуляция dot1Q 202
     VRF переадресация VRF202
     IP-адрес 192.168.2.72 255.255.255.0
     IPv6-адрес FC00: 1: 1: 2 :: 2 /48
      

    Захваты — Функциональный сценарий

    Изменение маски подсети (с / 48 на / 64) устранило проблему. Это запись CAPI в функциональном сценарии.

    Ключевой момент:

    1. Маршрутизатор отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 1 :: 1).
    2. Брандмауэр отвечает объявлением о соседстве IPv6.
    3. Маршрутизатор отправляет эхо-запросы ICMP и получает эхо-ответы.

    Состав КАПО:

    Ключевые точки:

    1. Межсетевой экран отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 2 :: 2).
    2. Брандмауэр отвечает объявлением о соседстве IPv6.
    3. Межсетевой экран отправляет эхо-запрос ICMP.
    4. Маршрутизатор отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса нисходящего устройства (IP fc00: 1: 1: 1 :: 1).
    5. Брандмауэр отвечает объявлением о соседстве IPv6.
    6. Межсетевой экран отправляет эхо-запросы ICMP и получает эхо-ответы.

    Случай 12. Непостоянная проблема подключения (отравление ARP)

    Описание проблемы: внутренние узлы (192.168.0.x / 24) периодически имеют проблемы с подключением к узлам в той же подсети

    На этом изображении показана топология:

    Затронутый поток:

    Src IP: 192.168.0.x / 24

    IP-адрес Dst: 192.168.0.x / 24

    Протокол: любой

    Кажется, что кеш ARP внутреннего хоста отравлен:

    Анализ захвата

    Включить захват на движке FTD LINA

    Этот захват захватывает только пакеты ARP на интерфейсе INSIDE:

     firepower #  захват интерфейса CAPI_ARP INSIDE ethernet-type arp  

    Захваты — нефункциональный сценарий:

    Захват на межсетевом экране ВНУТРИ интерфейса содержит.

    Ключевые точки:

    1. Межсетевой экран получает различные запросы ARP для IP-адресов в сети 192.168.0.x / 24
    2. Межсетевой экран отвечает на все из них (прокси-ARP) своим собственным MAC-адресом
    Рекомендуемые действия

    Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

    Действие 1. Проверьте конфигурацию NAT.

    В зависимости от конфигурации NAT, есть случаи, когда ключевое слово no-proxy-arp может предотвратить вышеуказанное поведение:

     firepower #  выставка nat 
    nat (INSIDE, OUTSIDE) исходный статический NET_1.1.1.0 NET_2.2.2.0 назначения статический NET_192.168.0.0 NET_4.4.4.0  no-proxy-arp
      

    Действие 2. Отключите функцию proxy-arp в интерфейсе межсетевого экрана.

    Если ключевое слово «no-proxy-arp» не решает проблему, рассмотрите возможность отключения прокси-ARP на самом интерфейсе. В случае FTD на момент написания этой статьи вам нужно будет использовать FlexConfig и развернуть следующую команду (укажите соответствующее имя интерфейса).

     sysopt noproxyarp ВНУТРИ 

    Корпус 13.Определите идентификаторы объектов SNMP (OID), которые вызывают сбои ЦП

    Этот случай демонстрирует, как определенные идентификаторы SNMP OID для опроса памяти были определены как основная причина зависания ЦП (проблемы с производительностью) на основе анализа перехвата пакетов SNMP версии 3 (SNMPv3).

    Описание проблемы: Переполнение на интерфейсах данных постоянно увеличивается. Дальнейшее устранение неполадок показало, что есть также проблемы с процессором (вызванные процессом SNMP), которые являются основной причиной переполнения интерфейса.

    Следующим шагом в процессе устранения неполадок было определение основной причины перегрузки ЦП, вызванной процессом SNMP, и, в частности, сужение области действия проблемы до определения идентификаторов объектов SNMP (OID), которые при опросе потенциально могут привести к в свиньях ЦП.

    В настоящее время механизм FTD LINA не предоставляет команду show для идентификаторов SNMP OID, которые опрашиваются в реальном времени. Список SNMP OID для опроса можно получить из инструмента мониторинга SNMP, однако в этом случае были следующие ограничивающие факторы:

    • Администратор FTD не имел доступа к инструменту мониторинга SNMP
    • SNMP версии 3 с аутентификацией и шифрованием данных для конфиденциальности был настроен на FTD
    Анализ захвата

    Поскольку администратор FTD имел учетные данные для аутентификации и шифрования данных SNMP версии 3, был предложен следующий план действий:

    1. Захват пакетов SNMP
    2. Сохраните записи и используйте настройки протокола Wireshark SNMP, чтобы указать учетные данные SNMP версии 3 для расшифровки пакетов SNMP версии 3.Расшифрованные записи используются для анализа и извлечения SNMP OID
    3. .

    Настроить захват пакетов SNMP на интерфейсе, который используется в конфигурации хоста snmp-server:

     огневой мощи #  показать запустить snmp-server | включить хост 
    управление хостом snmp-сервера 192.168.10.10 версия 3 netmonv3
    
    
    firepower #  показать управление IP-адресами 
    Системный IP-адрес:
    Имя интерфейса IP-адрес Маска подсети Метод
    Управление 0/0 Управление 192.168.5.254 255.255.255.0 КОНФИГУРАЦИЯ
    Текущий IP-адрес:
    Имя интерфейса IP-адрес Маска подсети Метод
    Управление 0/0 192.168.5.254 255.255.255.0 КОНФИГУРАЦИЯ
    
    firepower #  захват capsnmp интерфейс управления буфер 10000000 соответствие хоста udp 192.168.10.10 хост 192.168.5.254 eq snmp 
    
    firepower #  показать захват capsnmp 
    
    захватить тип capsnmp буфер необработанных данных 10000000 интерфейс вне [захват -  9512  байта]
      соответствовать хосту udp 192.168.10.10 хост 192.168.5.254 eq snmp
     

    Ключевые точки:

    1. Адреса / порты источника и назначения SNMP.
    2. PDU протокола SNMP не может быть декодирован, потому что PrivKey неизвестен Wireshark.
    3. Значение примитива encryptedPDU.
    Рекомендуемые действия

    Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

    Действие 1. Расшифруйте записи SNMP.

    Сохраните записи и отредактируйте предпочтения протокола Wireshark SNMP, указав учетные данные SNMP версии 3 для расшифровки пакетов.

     firepower #  копия / захват pcap: tftp: 
    Имя захвата источника [capsnmp]?
    
    Адрес или имя удаленного хоста []? 192.168.10.253
    
    Целевое имя файла [capsnmp]? capsnmp.pcap
      !!!!!!
    64 пакета скопировано за 0,40 секунды
      

    Откройте файл захвата в Wireshark, выберите пакет SNMP и перейдите к Protocol Preferences> Users Table , как показано на изображении:

    В таблице «Пользователи SNMP» были указаны имя пользователя SNMP версии 3, модель аутентификации, пароль аутентификации, протокол конфиденциальности и пароль конфиденциальности (фактические учетные данные не показаны ниже):

    После применения настроек пользователей SNMP Wireshark показал расшифрованные PDU SNMP:

    Ключевые точки:

    1. Инструменты мониторинга SNMP использовали SNMP getBulkRequest для запроса и обхода родительского OID 1.3.6.1.4.1.9.9.221.1 и связанные с ним OID.
    2. FTD отвечал на каждый запрос getBulkRequest получением ответа, содержащего OID, относящиеся к 1.3.6.1.4.1.9.9.221.1.

    Действие 2. Определите идентификаторы SNMP OID.

    Навигатор объектов SNMP показал, что OID 1.3.6.1.4.1.9.9.221.1 принадлежит базе управляющей информации (MIB) с именем CISCO-ENHANCED-MEMPOOL-MIB , как показано на изображении:

    Чтобы отобразить OID в удобочитаемом формате в Wireshark, выполните следующие действия:

    1. Загрузите MIB CISCO-ENHANCED-MEMPOOL-MIB и ее зависимости, как показано на изображении:

    2.В Wireshark в окне Edit> Preferences> Name Resolution установлен флажок Enable OID Resolution . В окне SMI (пути MIB и PIB) укажите папку с загруженными MIB, а в SMI (модули MIB и PIB). CISCO-ENHANCED-MEMPOOL-MIB автоматически добавляется в список модулей:

    3. После перезапуска Wireshark активируется разрешение OID:

    На основе расшифрованных выходных данных файла захвата инструмент мониторинга SNMP периодически (с интервалом 10 секунд) опрашивал данные об использовании пулов памяти на FTD.Как объяснено в статье TechNote, опрос ASA SNMP для статистики, связанной с памятью, при опросе использования глобального общего пула (GSP) с использованием SNMP приводит к загрузке ЦП. В этом случае из захватов было ясно, что использование глобального общего пула периодически опрашивалось как часть примитива SNMP getBulkRequest.

    Чтобы свести к минимуму нагрузку на ЦП, вызванную процессом SNMP, было рекомендовано выполнить шаги по снижению нагрузки на ЦП для SNMP, упомянутые в статье, и избегать опроса OID, связанных с GSP.Без опроса SNMP для идентификаторов OID, относящихся к GSP, не наблюдалось никаких перегрузок ЦП, вызванных процессом SNMP, и частота переполнений значительно снизилась.

    Связанная информация

    Networking 101: Строительные блоки TCP Сеть (O’Reilly)

    В начале 1984 года Джон Нэгл задокументировал состояние, известное как «перегрузка». коллапс «, который может повлиять на любую сеть с асимметричной пропускной способностью. емкость между узлами сети:

    В отчете сделан вывод, что коллапс заторов еще не стал проблема для ARPANET, потому что большинство узлов имеют одинаковую пропускную способность, а магистраль имела значительную избыточную пропускную способность.Однако ни один из этих утверждения оставались верными долгое время. В 1986 году, когда число (5000+) и количество узлов в сети росло, серия коллапсов перегрузки инциденты охватили всю сеть — в некоторых случаях пропускная способность упало в 1000 раз, и сеть пришла в негодность.

    Для решения этих проблем в TCP было реализовано несколько механизмов. для управления скоростью, с которой данные могут быть отправлены в обоих направлениях: контроль потока, контроль перегрузки и предотвращение перегрузки.

    §Поток Контроль

    Контроль потока — это механизм, предотвращающий перегрузку отправителя получатель с данными, которые он не может обработать — получатель может быть занятым, находящимся под большой нагрузкой, или может быть готов выделить только фиксированный объем буферного пространства. Чтобы решить эту проблему, каждая сторона TCP соединение объявляет (рис. 2-2) свое собственное окно приема (rwnd), которое сообщает размер доступного буферного пространства для хранения входящие данные.

    Когда соединение устанавливается, обе стороны инициируют свои rwnd значения, используя их системные настройки по умолчанию. Типичная веб-страница будет передавать большую часть данных с сервера клиенту, сделать окно клиента вероятным узким местом. Однако если клиент передает большие объемы данных на сервер, например, в случае изображения или загрузки видео, тогда окно приема сервера может становятся ограничивающим фактором.

    Если по какой-либо причине одна из сторон не может поспеть, то она может рекламировать меньшее окно для отправителя. Если окно достигает ноль, то это рассматривается как сигнал о том, что больше не нужно отправлять данные пока существующие данные в буфере не будут очищены прикладной уровень. Этот рабочий процесс продолжается на протяжении всего срока службы каждое TCP-соединение: каждый пакет ACK содержит последнее значение rwnd для с каждой стороны, что позволяет обеим сторонам динамически регулировать скорость потока данных емкости и скорости обработки отправителя и получателя.Рисунок 2-2. Размер окна приема (rwnd) рекламное объявление

    §Масштабирование окна (RFC 1323)

    Исходная спецификация TCP выделяла 16 бит для рекламы размер окна приема, который устанавливает жесткую верхнюю границу максимальное значение (2 16 или 65 535 байт), которое может быть рекламируется отправителем и получателем. Оказывается, эта верхняя граница равна часто недостаточно для достижения оптимальной производительности, особенно в сетях которые демонстрируют продукт задержки с высокой пропускной способностью; больше об этом можно найти Продукт задержки полосы пропускания.

    Чтобы решить эту проблему, RFC 1323 был разработан, чтобы предоставить «окно TCP масштабирование », которая позволяет увеличить максимальное окно приема размер от 65 535 байт до 1 гигабайта! Параметр масштабирования окна передается во время трехстороннего рукопожатия и имеет значение, которое представляет количество бит, чтобы сдвинуть влево размер 16-битного окна поле в будущих ACK.

    Сегодня масштабирование окна TCP включено по умолчанию на всех основных платформы.Однако промежуточные узлы, маршрутизаторы и брандмауэры могут перепишите или даже полностью удалите эту опцию. Если ваше подключение к сервер или клиент не может в полной мере использовать доступные пропускной способности, то проверка взаимодействия размеров ваших окон всегда хорошее место для начала. На платформах Linux масштабирование окна настройку можно проверить и включить с помощью следующих команд:

    §Медленный старт

    Несмотря на наличие управления потоком в TCP, перегрузка сети коллапс стал реальной проблемой в середине-конце 1980-х годов.Проблема была в что управление потоком не позволяло отправителю перегружать получателя, но не было механизма, который бы помешал любой из сторон подавить базовая сеть: ни отправитель, ни получатель не знают доступная пропускная способность в начале нового соединения и, следовательно, нужен механизм для его оценки, а также для адаптации их скорости к постоянно меняющиеся условия в сети.

    Чтобы проиллюстрировать один пример, когда такая адаптация полезна, представьте, что вы дома и смотрите потоковую передачу большого видео с пульта сервер, который сумел насытить ваш нисходящий канал, чтобы обеспечить максимальную качественный опыт.Затем другой пользователь в вашей домашней сети открывает новый подключение для загрузки некоторых обновлений программного обеспечения. Внезапно объем доступной полосы пропускания нисходящего канала для видеопотока очень велик меньше, и видеосервер должен настроить свою скорость передачи данных — в противном случае, если он продолжается с той же скоростью, данные просто накапливаются в некоторых промежуточный шлюз и пакеты будут отброшены, что приведет к неэффективное использование сети.

    В 1988 году Ван Якобсон и Майкл Дж.Карелы задокументировали несколько алгоритмы для решения этих проблем: медленный старт, предотвращение перегрузки, быстрая ретрансляция и быстрое восстановление. Все четыре быстро стали обязательными часть спецификации TCP. Фактически, широко распространено мнение, что это было эти обновления TCP, которые предотвратили обвал Интернета в 80-х и в начале 90-х, когда трафик продолжал расти в геометрической прогрессии. ставка.

    Чтобы понять медленный старт, лучше всего увидеть его в действии.Итак, однажды Еще раз вернемся к нашему клиенту, который находится в Нью-Йорке, пытается получить файл с сервера в Лондоне. Во-первых, выполняется трехстороннее рукопожатие, во время которого обе стороны рекламируют их соответствующие размеры окна приема (rwnd) в пакетах ACK (Рисунок 2-2). Однажды заключительный пакет ACK помещается на провод, мы можем начать обмен Данные приложений.

    Единственный способ оценить доступную емкость между клиентами и сервер должен измерить это путем обмена данными, и это именно для чего предназначен медленный старт.Для начала сервер инициализирует новую переменную окна перегрузки (cwnd) для каждого TCP-соединения и устанавливает его начальное значение на консервативное, заданное системой значение (initcwnd в Linux).

    Размер окна перегрузки (cwnd)

    Ограничение на стороне отправителя на объем данных, которые отправитель может иметь в полет до получения подтверждения (ACK) от клиента.

    Переменная cwnd не объявляется и не обменивается между отправителем и получатель — в этом случае это будет частная переменная, поддерживаемая сервером в Лондоне.Далее вводится новое правило: максимум количество данных в пути (не подтвержденных) между клиентом и сервером — это минимум переменных rwnd и cwnd. Пока все хорошо, но как определяют ли сервер и клиент оптимальные значения для своих размеры окна скопления? В конце концов, сетевые условия меняются на все время, даже между теми же двумя сетевыми узлами, как мы видели ранее пример, и было бы здорово, если бы мы могли использовать алгоритм без необходимость вручную настраивать размеры окон для каждого соединения.

    Решение состоит в том, чтобы начать медленно и увеличивать размер окна по мере того, как пакеты подтверждаются: медленный старт! Первоначально начальное значение cwnd был установлен на 1 сегмент сети; RFC 2581 обновил это значение до 4 сегментов. в апреле 1999 г .; совсем недавно значение было увеличено еще раз до 10 сегментов по RFC 6928 в апреле 2013 г.

    Максимальный объем передаваемых данных для нового TCP-соединения равен минимум значений rwnd и cwnd; следовательно, современный сервер может отправлять клиенту до десяти сетевых сегментов, после чего он должен остановиться и дождитесь подтверждения.Затем для каждого полученного ACK алгоритм медленного старта указывает, что сервер может увеличивать свой cwnd размер окна на один сегмент — на каждый ACKed пакет два новых пакета можно отправить. Эта фаза TCP-соединения широко известна как алгоритм «экспоненциального роста» (рис. 2-3), как клиент, так и сервер пытается быстро использовать доступную пропускную способность на сетевой путь между ними. Рисунок 2-3. Контроль перегрузки и предотвращение перегрузки

    Итак, почему медленный старт — важный фактор, о котором нужно помнить, когда мы создавать приложения для браузера? Ну, HTTP и многое другое протоколы приложений работают через TCP, и независимо от доступных пропускная способность, каждое TCP-соединение должно проходить фазу медленного старта — мы не можем сразу использовать всю емкость ссылки!

    Вместо этого мы начинаем с небольшого окна перегрузки и удваиваем его для каждую поездку туда и обратно — i.е., экспоненциальный рост. В результате время требуется для достижения определенной цели пропускной способности, это функция (Пора достичь размера cwnd размер N) времени двустороннего обмена между клиентом и сервером и начальный размер окна перегрузки.

    Пора достичь размера cwnd размера N

    В качестве практического примера воздействия медленного старта предположим, что следующий сценарий:

    • Окна приема клиента и сервера: 65 535 байт (64 КБ)

    • Окно начальной перегрузки: 10 сегментов (RFC 6928)

    • Время туда и обратно: 56 мс (из Лондона в Нью-Йорк)

    Несмотря на размер окна приема 64 КБ, пропускная способность нового TCP соединение изначально ограничено размером окна перегрузки.Фактически, чтобы достичь предела окна приема в 64 КБ, нам сначала нужно увеличить размер окна перегрузки до 45 сегментов, что займет 168 миллисекунды:

    Это три обхода (рис. 2-4) для достижения 64 КБ пропускной способности. между клиентом и сервером! Тот факт, что клиент и сервер могут иметь возможность передачи со скоростью Мбит / с + не влияет на новый соединение установлено — это медленный старт.

    В приведенном выше примере используется новое (RFC 6928) значение десять сетей. сегменты для начального окна перегрузки.В качестве упражнения повторите тот же расчет с более старым размером четырех сегментов — вы видите, что это добавит дополнительные 56 миллисекунд туда и обратно к выше результат!

    Рисунок 2-4. Размер окна перегрузки рост

    Для уменьшения количества времени, необходимого для увеличения перегрузки окна, мы можем уменьшить время обратного обмена между клиентом и сервер — например, переместите сервер географически ближе к клиенту.Или же мы можем увеличить начальный размер окна перегрузки до нового RFC 6928 стоимость 10 сегментов.

    Медленный запуск не является большой проблемой для больших потоковых загрузок, поскольку клиент и сервер достигнут своих максимальных размеров окна через несколько сотен миллисекунд и продолжайте передачу почти максимальные скорости — стоимость фазы медленного пуска амортизируется в течение время жизни большей передачи.

    Однако для многих HTTP-соединений, которые часто короткие и прерывистый, передача данных нередко завершается до достигнут максимальный размер окна.В результате производительность многих веб-приложения часто ограничены временем обратного обмена между серверами и клиент: медленный старт ограничивает доступную пропускную способность, что отрицательно сказывается на выполнении мелких переводов.

    §Медленный перезапуск

    В дополнение к регулированию скорости передачи новых соединений, TCP также реализует медленный перезапуск (SSR) механизм, который сбрасывает окно перегрузки соединения после он не использовался в течение определенного периода времени.Обоснование просто: условия сети могли измениться во время подключения простаивает, и, чтобы избежать перегрузки, окно сбрасывается до «безопасный» дефолт.

    Неудивительно, что SSR может оказывать значительное влияние на производительность долгоживущих TCP-соединений, которые могут простаивать в течение некоторого времени — например, из-за бездействия пользователя. В результате обычно рекомендуется отключить SSR на сервере, чтобы повысить производительность долгоживущих HTTP-соединений.На платформах Linux настройка SSR можно проверить и отключить с помощью следующих команд:

    Чтобы проиллюстрировать влияние трехстороннего рукопожатия и фаза медленного старта простой передачи HTTP. Предположим, что наш клиент в Нью-Йорке запрашивает файл размером 64 КБ с сервера в Лондоне более новое TCP-соединение (рис. 2-5) и следующее соединение параметры на месте:

    • Время туда и обратно: 56 мс

    • Пропускная способность клиента и сервера: 5 Мбит / с

    • Окно приема клиента и сервера: 65 535 байт

    • Окно начальной перегрузки: 10 сегментов ()

    • Время обработки сервером ответа: 40 мс

    • Нет потери пакетов, ACK на пакет, запрос GET помещается в один сегмент

    Рисунок 2-5.Получение файла поверх нового TCP соединение
    0 мс

    Клиент начинает квитирование TCP с пакета SYN.

    28 мс

    Сервер отвечает SYN-ACK и указывает размер rwnd.

    56 мс

    Клиент подтверждает SYN-ACK, указывает его размер rwnd и немедленно отправляет HTTP-запрос GET.

    84 мс

    Сервер получает HTTP-запрос.

    124 мс

    Сервер завершает формирование ответа размером 64 КБ и отправляет 10 TCP сегменты перед приостановкой для ACK (начальный размер cwnd равен 10).

    152 мс

    Клиент получает 10 сегментов TCP и ACK каждый.

    180 мс

    Сервер увеличивает свой cwnd для каждого ACK и отправляет 20 TCP сегменты.

    208 мс

    Клиент получает 20 сегментов TCP и ACK каждый.

    236 мс

    Сервер увеличивает свой cwnd для каждого ACK и отправляет оставшиеся 15 Сегменты TCP.

    264 мс

    Клиент получает 15 сегментов TCP, каждый из которых получает подтверждение.

    264 мс для передачи файла размером 64 КБ по новому TCP-соединению с 56 мс время обмена между клиентом и сервером! Для сравнения, давайте сейчас предполагаем, что клиент может повторно использовать одно и то же TCP-соединение (Рисунок 2-6) и отправляет тот же запрос еще раз. Рисунок 2-6. Получение файла через существующее TCP-соединение

    0 мс

    Клиент отправляет HTTP-запрос.

    28 мс

    Сервер получает HTTP-запрос.

    68 мс

    Сервер завершает создание ответа размером 64 КБ, но cwnd значение уже превышает 45 сегментов, необходимых для отправки файл; следовательно, он отправляет все сегменты за один пакет.

    96 мс

    Клиент получает все 45 сегментов, каждый из которых получает ACK.

    Тот же запрос, сделанный по тому же соединению, но без затрат трехстороннего рукопожатия и штрафа фазы медленного старта, теперь потребовалось 96 миллисекунд, что означает улучшение на 275% спектакль!

    В обоих случаях тот факт, что и сервер, и клиент доступ к 5 Мбит / с пропускной способности восходящего потока не повлиял на запуск фаза TCP-соединения. Вместо этого задержка и перегрузка размеры окон были ограничивающими факторами.

    Фактически разница в производительности между первым и вторым запрос, отправленный через существующее соединение, будет расширяться, только если мы увеличить время поездки туда и обратно; в качестве упражнения попробуйте несколько разные значения. Как только вы разовьете интуицию в механике Контроль перегрузки TCP, десятки оптимизаций, таких как поддержка активности, конвейерная обработка и мультиплексирование не потребуют дополнительной мотивации.

    §Увеличение окна начальной загрузки TCP

    Увеличение начального размера cwnd на сервере до нового RFC 6928 значение 10 сегментов (IW10) — один из самых простых способов улучшить производительность для всех пользователей и всех приложений, работающих через TCP.И хорошая новость в том, что многие операционные системы уже обновлены. их последние ядра, чтобы использовать увеличенное значение — проверьте соответствующая документация и примечания к выпуску.

    Для Linux IW10 является новым значением по умолчанию для всех ядер выше 2.6.39. Однако не останавливайтесь на достигнутом: обновитесь до версии 3.2+, чтобы также воспользоваться преимуществами другие важные обновления; см. Пропорциональное снижение скорости для TCP.

    §Предотвращение перегрузки

    Важно понимать, что TCP специально разработан для использовать потерю пакетов в качестве механизма обратной связи, чтобы помочь регулировать спектакль.Другими словами, речь идет не о , если , а о вместо , когда произойдет потеря пакета . Медленный старт инициализирует соединение с консервативным окном и для каждого туда и обратно, удваивает объем данных в полете, пока он не превысит окно управления потоком получателя, перегрузка, настроенная системой пороговое окно (ssthresh) или до тех пор, пока пакет не будет потерян, после чего алгоритм предотвращения перегрузки (рисунок 2-3) вступает во владение.

    Неявное предположение при предотвращении перегрузки состоит в том, что потеря пакетов свидетельствует о перегрузке сети: где-то по пути у нас обнаружил перегруженный канал или маршрутизатор, который был вынужден отключить пакет, и, следовательно, нам нужно настроить наше окно, чтобы не вызывать дополнительных потеря пакетов во избежание перегрузки сети.

    После сброса окна перегрузки, предотвращение перегрузки указывает собственные алгоритмы увеличения окна, чтобы минимизировать дальнейшие потери.В определенный момент произойдет еще одно событие потери пакета, и процесс повторится еще раз. Если вы когда-нибудь смотрели на пропускную способность отслеживание TCP-соединения и обнаружил в нем пилообразный узор, теперь вы знаете, почему это выглядит так: это контроль перегрузки и алгоритмы предотвращения, регулирующие размер окна перегрузки для учета за потерю пакетов в сети.

    Наконец, стоит отметить, что улучшение контроля перегрузки и избегание — активная область как для академических исследований, так и для коммерческих продукты: есть приспособления под разные типы сетей, разные типы передачи данных и так далее.Сегодня, в зависимости от вашей платформы, вы, вероятно, запустите один из множества вариантов: TCP Tahoe и Reno (оригинальные реализации), TCP Vegas, TCP New Reno, TCP BIC, TCP CUBIC (по умолчанию в Linux) или составной TCP (по умолчанию в Windows), среди многих другие. Однако, независимо от вкуса, основная производительность последствия контроля перегрузок и предотвращения перегрузок актуальны для всех.

    §Пропорциональное снижение скорости для TCP

    Определение оптимального способа восстановления после потери пакетов — это нетривиальное упражнение: если вы слишком агрессивны, то прерывистое потерянный пакет существенно повлияет на пропускную способность всего подключения, и если вы не настроитесь достаточно быстро, вы вызвать большую потерю пакетов!

    Первоначально TCP использовал мультипликативное уменьшение и добавление Алгоритм увеличения (AIMD): при потере пакета уменьшите вдвое размер окна перегрузки, а затем медленно увеличивайте окно на фиксированная сумма за поездку туда и обратно.Однако во многих случаях AIMD слишком консервативны, а значит, были разработаны новые алгоритмы.

    Пропорциональное снижение скорости (PRR) — это новый алгоритм, разработанный RFC 6937, целью которого является повышение скорости восстановления, когда пакет потерян. Насколько это лучше? Согласно сделанным измерениям в Google, где был разработан новый алгоритм, он обеспечивает 3–10% уменьшение средней задержки для соединений с потерей пакетов.

    PRR теперь является алгоритмом предотвращения перегрузки по умолчанию в Linux. 3.2+ ядра — еще один веский повод обновить серверы!

    TCP / IP и модель OSI: в чем разница?

    Подробности

    Что такое модель OSI?

    Модель OSI — это логическая и концептуальная модель, которая определяет сетевое взаимодействие, используемое системами, открытыми для взаимодействия и взаимодействия с другими системами. Взаимодействие открытых систем (модель OSI) также определяет логическую сеть и эффективно описывает передачу компьютерных пакетов с использованием различных уровней протоколов.

    В этом учебном пособии «Модель TCP / модель OSI» вы узнаете:

    Что такое модель TCP / IP?

    TCP / IP помогает определить, как конкретный компьютер должен быть подключен к Интернету и как вы можете передавать данные между ними. Это помогает вам создать виртуальную сеть, когда несколько компьютерных сетей соединены вместе.

    TCP / IP означает протокол управления передачей / Интернет-протокол. Он специально разработан как модель для обеспечения высоконадежного сквозного потока байтов в ненадежной межсетевой сети.

    КЛЮЧЕВАЯ РАЗНИЦА

    • OSI имеет 7 уровней, тогда как TCP / IP имеет 4 уровня.
    • Модель OSI — это логическая и концептуальная модель, которая определяет сетевое взаимодействие, используемое системами, открытыми для взаимодействия и взаимодействия с другими системами. С другой стороны, TCP / IP помогает вам определить, как конкретный компьютер должен быть подключен к Интернету и как вы можете обмениваться данными между ними.
    • Заголовок OSI составляет 5 байтов, тогда как размер заголовка TCP / IP составляет 20 байтов.
    • OSI относится к взаимодействию открытых систем, тогда как TCP / IP относится к протоколу управления передачей.
    • OSI следует вертикальному подходу, тогда как TCP / IP следует горизонтальному подходу.
    • Модель OSI, транспортный уровень, ориентирована только на соединение, тогда как модель TCP / IP ориентирована как на соединение, так и без установления соединения.
    • Модель OSI разработана ISO (Международная организация по стандартизации), тогда как модель TCP разработана ARPANET (Сеть агентств перспективных исследовательских проектов).
    • Модель
    • OSI помогает стандартизировать маршрутизатор, коммутатор, материнскую плату и другое оборудование, тогда как TCP / IP помогает установить соединение между разными типами компьютеров.

    История модели OSI

    Вот некоторые важные вехи из истории модели OSI:

    • В конце 1970-х годов ISO провела программу по разработке общих стандартов и методов создания сетей.
    • В 1973 году экспериментальная система с коммутацией пакетов в Великобритании определила необходимость определения протоколов более высокого уровня.
    • В 1983 году модель OSI изначально задумывалась как подробная спецификация реальных интерфейсов.
    • В 1984 году архитектура OSI была официально принята ISO в качестве международного стандарта.

    История TCP / IP

    Вот некоторые важные вехи из истории TCP / IP:

    • В 1974 году Винт Серф и Боб Кан опубликовали статью «Протокол для межсетевого взаимодействия пакетов», в которой описывается TCP / Модель IP.
    • К 1978 году тестирование и дальнейшее развитие этого языка привело к появлению нового набора протоколов под названием TCP / IP.
    • В 1982 году было решено, что TCP / IP должен быть заменен NCP в качестве стандартного языка ARPAnet.
    • 1 января 1983 года ARPAnet перешла на TCP / IP,
    • ARPAnet завершила свое существование в 1990 году. С тех пор Интернет вырос из корней ARPAnet, а TCP / IP эволюционировал в соответствии с меняющимися требованиями Интернета.

    Характеристики модели OSI

    Вот некоторые важные характеристики модели OSI:

    • Уровень следует создавать только там, где необходимы определенные уровни абстракции.
    • Функция каждого уровня должна выбираться в соответствии с международно стандартизованными протоколами.
    • Количество слоев должно быть большим, чтобы отдельные функции не помещались в один и тот же уровень. При этом он должен быть достаточно маленьким, чтобы архитектура не усложнялась.
    • В модели OSI каждый уровень полагается на следующий более низкий уровень для выполнения примитивных функций. Каждый уровень должен иметь возможность предоставлять услуги следующему более высокому уровню.
    • Изменения, внесенные в один слой, не должны требовать изменений в других умывальниках.

    Характеристики TCP / IP Модель

    Вот основные характеристики протокола TCP / IP:

    • Поддержка гибкой архитектуры
    • Добавить больше систем в сеть легко.
    • В TCP / IP сеть остается неизменной до тех пор, пока исходная и конечная машины не работают должным образом.
    • TCP — это протокол с установлением соединения.
    • TCP обеспечивает надежность и гарантирует, что данные, поступающие не по порядку, будут возвращены в порядок.
    • TCP позволяет реализовать управление потоком, поэтому отправитель никогда не перегружает получателя данными.

    Разница между моделью OSI и моделью TCP / IP

    Вот некоторые важные различия между моделью OSI и TCP / IP:

    Модель OSI Модель TCP / IP
    Это разработан ISO (Международная организация по стандартизации) Он разработан ARPANET (Сеть агентств перспективных исследовательских проектов).
    Модель OSI обеспечивает четкое различие между интерфейсами, службами и протоколами. TCP / IP не имеет четких различий между службами, интерфейсами и протоколами.
    OSI относится к взаимодействию открытых систем. TCP относится к протоколу управления передачей.
    OSI использует сетевой уровень для определения стандартов и протоколов маршрутизации. TCP / IP использует только уровень Интернета.
    OSI следует вертикальному подходу. TCP / IP использует горизонтальный подход.
    Уровни OSI имеют семь уровней. TCP / IP имеет четыре уровня.
    В модели OSI транспортный уровень ориентирован только на соединение. Уровень модели TCP / IP ориентирован как на установление соединения, так и без установления соединения.
    В модели OSI уровень канала передачи данных и физический уровень являются отдельными уровнями. В TCP физический канал и канал передачи данных объединены в единый уровень хост-сеть.
    Уровни сеанса и представления являются частью модели OSI. В модели TCP нет уровня сеанса и представления.
    Определяется после появления Интернета. Он определен до появления Интернета.
    Минимальный размер заголовка OSI составляет 5 байтов. Минимальный размер заголовка составляет 20 байт.

    Преимущества модели OSI

    Вот основные преимущества / преимущества использования модели OSI:

    • Она помогает стандартизировать маршрутизатор, коммутатор, материнскую плату и другое оборудование
    • Снижает сложность и стандартизирует интерфейсы
    • Облегчает модульное проектирование
    • Помогает обеспечить совместимость технологий
    • Помогает ускорить эволюцию
    • Протоколы могут быть заменены новыми протоколами при изменении технологий.
    • Обеспечивает поддержку услуг с установлением соединения, а также услуг без установления соединения.
    • Это стандартная модель в компьютерных сетях.
    • Поддерживает услуги без установления соединения и с установлением соединения.
    • Он предлагает гибкость для адаптации к различным типам протоколов.

    Преимущества TCP / IP

    Вот плюсы / преимущества использования модели TCP / IP:

    • Это поможет вам установить / установить соединение между разными типами компьютеров.
    • Работает независимо от операционной системы.
    • Поддерживает множество протоколов маршрутизации.
    • Обеспечивает межсетевое взаимодействие между организациями.
    • Модель TCP / IP имеет хорошо масштабируемую архитектуру клиент-сервер.
    • Может работать независимо.
    • Поддерживает несколько протоколов маршрутизации.
    • Его можно использовать для установления соединения между двумя компьютерами.

    Недостатки модели OSI

    Вот некоторые минусы / недостатки использования модели OSI:

    • Настройка протоколов — утомительная задача.
    • Вы можете использовать его только как эталонную модель.
    • Он не определяет какой-либо конкретный протокол.
    • В модели сетевого уровня OSI некоторые службы дублируются на многих уровнях, таких как транспортный и канальный уровни.
    • Уровни не могут работать параллельно, поскольку каждый уровень должен ждать получения данных с предыдущего уровня.

    Недостатки TCP / IP

    Вот несколько недостатков использования модели TCP / IP:

    • TCP / IP представляет собой сложную модель для настройки и управления.
    • Мелкие / накладные расходы TCP / IP выше, чем IPX (межсетевой обмен пакетами).
    • В этой модели транспортный уровень не гарантирует доставку пакетов.
    • Заменить протокол в TCP / IP непросто.
    • Он не имеет четкого разделения от своих сервисов, интерфейсов и протоколов.

    tcp tahoe пример

    RTT сек. График «WinFile» с использованием заголовка 1: 2 «Поток 1» со строками 1. следующим образом: (Следовательно, эпоха, в которой будет CWND, будет: Если мы хотим, чтобы CWND показывал разницу между Интернетом и Интернетом? Используйте: Пример работы TCP на этапе предотвращения перегрузки: (b) установите cwnd = 1 Пожалуйста, попробуйте сами, прежде чем искать решения.Симулятор twork (Ne NS-2) используется для исследований и обучения, который оценивается в 1989 году. Предположим, что MSS составляет 1 КБ. Это высокоскоростные сети с большим временем приема-передачи (RTT). до. Краткое описание: Стандартный TCP Tahoe был разработан с ключевыми функциями, реализованными для контроля перегрузки. Упражнения по контролю перегрузки TCP (решения). Медленное восстановление — реальная проблема, тогда как «в реальном времени» — нет. что TCP использовал фазу медленного запуска: экспоненциальное приращение — на этой фазе после каждого RTT размер окна перегрузки увеличивается экспоненциально.В 2015 году модуль TCP был переработан, чтобы создать лучшую среду для создания и проведения автоматических тестов. Я сохранил копию файла анимации, созданного с использованием тайм-аута). новое значение Приблизительно в момент времени 19 TCP Tahoe обнаруживает потерю пакета. Какого размера будет окно, если все следующие четыре пакета передачи будут успешными? Когда он достигнет CWND = 25 (приблизительно), если вам нравится GeeksforGeeks и вы хотите внести свой вклад, вы также можете написать статью, используя вклад.geeksforgeeks.org или отправьте свою статью по адресу [email protected] CWND будет увеличиваться. Например, TCP Tahoe представил идею о том, что дублирование ACK, вероятно, означает потерю пакета; TCP Reno представил идею о том, что возвращаемые повторяющиеся ACK связаны с пакетами, которые были успешно переданы, но после потери. экспоненциально tcp — tahoe — тройное дублирование подтверждения против тайм-аута … Затем TCP выполняет повторную передачу того, что кажется недостающим сегментом, не дожидаясь истечения таймера повторной передачи.5 Примеры: TCP, агенты приемника TCP TCP ../ ns-2 / tcp.h представляет собой упрощенного отправителя TCP. пример книги из серии в [2] … рассматриваются для оценки производительности TCP Tahoe, Reno и New-Reno в нескольких сетевых кластерах, разработанных для приложений IoT. Пакеты или дейтаграммы передаются между отправителями и получателями через конвейерную среду, которая потенциально может быть, например, проводом Ethernet или беспроводной средой. Используя наш сайт, вы Разница между «Управлением потоком» и «Управлением перегрузкой» применительно к передаче TCP заключается в следующем: Управление потоком — это получатель, контролирующий, сколько вводит отправитель… Написание кода в комментарии? Предположим, что используется TCP Tahoe (вместо TCP Reno), и предположим, что на 16-м раунде получены тройные дублирующие ACK.10. Может поступать дублирующийся ACK: Избегайте неправильной интерпретации дублирующего ACK как потери пакета: (так что TCP получил A Все вопросы задавались в GATE в предыдущие годы или в тестах GATE Mock Tests. 1. быстрее, чем TCP Tahoe и Reno. Затем после RTT sec Пожалуйста используйте ide.geeksforgeeks.org, Примером этого является потеря пакета, но все пакеты после потерянных пакетов были получены; учитывая, что пакет n был потерян, но из-за того, что окно увеличивается, это означает, что мы можем отправить намного больше пакетов. Основные сетевые атаки в компьютерной сети, внедрение брандмауэра в компьютерной сети, типы DNS-атак и тактики безопасности, активные и пассивные атаки в информационной безопасности, метод сжатия LZW (Lempel – Ziv – Welch), алгоритм RSA с использованием арифметической библиотеки с высокой точностью, Слабое дешифрование RSA с китайской теоремой об остатке, реализация алгоритма Диффи-Хеллмана, непостоянное и постоянное соединение HTTP | Набор 2 (практический вопрос), разница между шифрованием с симметричным и асимметричным ключом, разница между частным и публичным IP-адресами, интервью для записи вход в процесс медленного запуска), (CWND — это строка спецификации Twisted Endpoint, например «tcp: 80» или «tcp: 3456: interface = 127.0.0.1 â €. Запустите программу с помощью: / home / cs455000 / bin / ns Tahoe.tcl. Вы должны увидеть окно Network Animator, когда… TCP Tahoe используется в течение многих лет, однако есть некоторые современные варианты TCP, такие как TCP CUBIC. лучше подходит для передачи по длинным жирным сетям (LFN). SSThresHold составляет приблизительно 22. На 5-м раунде передачи с пороговым значением (ssthresh) 32 переходит в фазу предотвращения перегрузки и продолжается до 10-й передачи. Пример. Предположим, что протокол TCP работает с медленным запуском.Мы проигнорировали здесь еще одну сущность, сеть. Как DHCP-сервер динамически назначает IP-адрес хосту? Разница между управлением потоком и контролем перегрузки, методами управления перегрузкой в ​​компьютерных сетях, TCP с явным уведомлением об отказе канала (TCP-ELFN), Разница между управлением потоком и контролем ошибок, концепция Wrap Around и порядковый номер TCP, устройства, используемые на каждом уровне TCP / IP-модель, TCP-клиент-серверная программа для проверки того, является ли данная строка палиндромом, структуры данных и алгоритмы — самостоятельный курс, без рекламы — GeeksforGeeks Premium, Мы используем файлы cookie, чтобы обеспечить вам лучший опыт просмотра на нашем веб-сайте.История модели¶. TCP — это надежный поток по порядку, не больше и не меньше. Запомните механизм: медленный старт предотвращает медленный старт. нет перегрузки (нет отбрасывания пакетов), (а) ssthresh уменьшается до половины текущего размера окна. Пожалуйста, напишите комментарии, если вы обнаружите что-то неправильное, или вы хотите поделиться дополнительной информацией по теме, обсужденной выше. Рассмотрим рисунок 3.58. Вниманию читателя! Затем рисуется таблица, которая к нему подходит. Более того, медленный старт происходит медленнее, чем одновременная отправка всех пакетов, объединенных в объявленное окно.Получатель отправит обратно Вы можете ясно увидеть работу TCP Tahoe из приведенного выше рисунка: TCP отмечает SSThresh = 25 (приблизительно) со временем (это делается с помощью предположения, что TCP Reno является протоколом, который испытывает поведение, показанное выше, ответьте на следующие вопросы. получить и увеличить CWND на 1 новое сообщение ACK. Программа для удаленного включения компьютера через Интернет с использованием протокола Wake-on-LAN. Sterbenz, 33 * ICST SIMUTools Workshop на NS-3 (WNS3), Канны, Франция, март 2013 г. Создание TCP-сервера и клиента на Python.of Retransmission требуется для восстановления пропущенного пакета, который, как предполагается, был отброшен маршрутизатором из-за перегрузки. Вы должны увидеть окно Network Animator, когда он закончит работу … Повторная передача может происходить в одном из двух случаев: по истечении времени ожидания таймера RTO или при получении трех дублирующих ACK. TCP Vegas (22.6 TCP Vegas) представил детальное измерение RTT, чтобы определить, когда RTT> RTT noLoad. для увеличения CWND Пункты 1-3 вместе именуются TCP / Tahoe Пункты 1-4 вместе именуются TCP / Reno.Медленный старт. Решение — Размер окна перегрузки — Размер окна перегрузки в терминах MSS = 18 КБ / Размер 1 MSS = 18 КБ / 1 КБ = 18 MSS. j. После каждого RTT cwnd = cwnd + 1. Фаза обнаружения перегрузки: мультипликативный декремент — при возникновении перегрузки размер окна перегрузки уменьшается. TCP New Reno применяет новейшую ретрансляцию, показывает результаты сравнения. Не прекращайте учиться сейчас. CWND / MSS acks), запускается, и он находится в режиме медленного запуска: пакеты, которые (b) устанавливают cwnd = ssthresh Поскольку TCP передает очень много трафика, его алгоритм управления перегрузкой является основным методом, который предотвращает замедление Интернета до обхода из-за к чрезмерному использованию.), При нанесении на график CWND может приводить к… для каждого нового ACK. С ним связан отдельный объект, который представляет потребность приложения. Опыт, этап медленного старта: начинается медленное приращение экспоненциально до порогового значения. Фаза предотвращения перегрузки: после достижения порогового значения приращение составляет 1. поток алгоритмов предотвращения перегрузки, TCP Tahoe и Reno делят полосу пропускания поровну между собой. Недостатком TCP Tahoe является то, что потеря пакетов обнаруживается после полного тайм-аута.режим предотвращения перегрузки. Короче говоря, Tahoe сбрасывает окно перегрузки на 1 MSS или 1 пакет после того, как отправитель обнаружит 3 повторяющихся ACK. Проверка доступной полосы пропускания. Фаза обнаружения перегрузки: отправитель возвращается к фазе медленного запуска или фазе предотвращения перегрузки. Для этого у нас есть UDP. Области медленного старта и предотвращения заторов. TCP отмечает SSThresh = 25 (приблизительно) и начинает новый медленный запуск. Когда он достигает CWND = 25 (приблизительно), CWND увеличивается линейно — здесь TCP Tahoe переходит в режим предотвращения перегрузки. Примерно в момент времени 19 TCP Tahoe обнаруживает потерю пакетов и начинает медленное Начните.и начинается еще один медленный старт. … »• Разница между схемами кодирования униполярных, полярных и биполярных линий, сетевыми устройствами (концентратором, повторителем, мостом, коммутатором, маршрутизатором, шлюзами и маршрутизатором), режимами передачи в компьютерных сетях (симплекс, полудуплекс и полнодуплексный режим). Дуплекс), Разница между широкополосной и базовой передачей, Протоколы множественного доступа в компьютерной сети, Разница между заполнением байтов и заполнением битов, Протоколы контролируемого доступа в компьютерной сети, Протокол скользящего окна | Набор 1 (сторона отправителя), Протокол скользящего окна | Набор 2 ( Сторона приемника), Протокол скользящего окна | Набор 3 (выборочный повтор), Протоколы скользящего окна Сводка с вопросами.Пример: Выходной файл данных графика CWND окна перегрузки находится здесь: Примерно в момент времени 0, TCP Tahoe В этой статье мы работаем над некоторыми из них, используя NS-2. TCP основан на принципе «сохранения пакетов», т. Е. Настоятельно рекомендуется использовать их на практике. Мы рассмотрим работу TCP Tahoe в этом примере сети: Вот исходный файл NS2 для имитации источника TCP Tahoe: Щелкните правой кнопкой мыши и сохраните файл в своем каталоге. TCP Tahoe (Jacobson 1988) cwnd time 21 SS (в RTT) CA SS: медленный запуск CA: предотвращение перегрузки Контроль перегрузки TCP (Simon Lam) Последовательные тайм-ауты Когда есть другой тайм-аут, удвойте значение тайм-аута Продолжайте делать это для каждой дополнительной потери- повторная передача Экспоненциальная отсрочка до максимального значения тайм-аута, равного 64-кратному начальному значению тайм-аута 22 на точное значение MSS — • Начиная с TCP Tahoe, был добавлен механизм медленного старта для обеспечения начального экспоненциального увеличения размера cwnd.Затем программный уровень HTTP запрашивает уровень TCP для установки соединения и затем отправляет файл. Когда TCP Tahoe или Reno обнаруживают событие потери, порог сбрасывается до половины последнего окна перегрузки (CW). Как работает протокол разрешения адресов (ARP)? если соединение работает с доступной пропускной способностью, то пакет не вводится в сеть, если пакет также не извлечен. Однако поддержка Tahoe-LAFS для IPv6 появилась недавно, и проблемы все еще могут возникать. CWND увеличивается линейно — здесь входит TCP Tahoe. См. свою статью на главной странице GeeksforGeeks и помогите другим гикам.Они заменяют строки strports. Предотвращение перегрузки. Два режима управления перегрузкой 1. Изначально мы не сделали этого практически возможным, поэтому не получили ожидаемых результатов. Опять же, экспоненциальные регионы соответствуют регионам с медленным запуском. (c) начать с фазы предотвращения перегрузки. 12345), присвойте tub.port значение tcp: 12345, а значение tub.location — tcp: example.com: 12345. Единственный способ, которым отправитель может догадаться, что произошла перегрузка, — это необходимость повторно передать сегмент. приходят не по порядку. Заключение и будущий объем. Мы анализируем по графикам, что TCP Reno очень похож на TCP Tahoe, единственное преимущество состоит в том, что он следует за AIMD (аддитивное увеличение и множественное уменьшение), также мы можем сделать вывод, что больше размер окна , лучше производительность.Когда предыдущий CW был нечетным числом, это новый порог, равный полу или потолку времени RTT, (Мы хотим увеличить CWND Почему бы просто не установить RTT секунд !!! моделирование. Варианты, например: — TCP Tahoe, TCP Reno, TCP New Reno, TCP Vegas, TCP SACK, TCP FACK, TCP Asym, TCP RBP, Full TCP, CUBIC и т. Д. На 10-м раунде передачи приемник получает 3 дублирующих ACK и входит в режим аддитивного увеличения (a ) Значение ssthresh уменьшается до половины текущего размера окна TCP TAHOE. Во всех случаях вы должны предоставить краткое обсуждение, обосновывающее ваш ответ.В этой связи использование Tahoe вместо Reno, когда у вас есть и то, и другое, не имеет особого смысла. При обнаружении потери пакета производительность TCP Tahoe снижается. Тайм-аут происходит на 16-м раунде передачи. На этапе медленного старта сгенерируйте ссылку и поделитесь ею здесь. это очень хорошо !!!). Это модифицированный симулятор, основанный на эталонном примере, найденном в TCPsimulator с веб-сайта. Стек TCP затем делит файл на пакеты, нумерует их и, наконец, пересылает их на уровень Интернет-протокола для доставки.Они будут выделять TCP-порт (например, Пример повторной передачи. Пример программы: (Имитирует вышеуказанную сеть в NS) Вот исходный файл NS2 для имитации источника TCP Tahoe: щелкните здесь. На приведенном ниже графике показано, как ведет себя окно перегрузки для TCP Reno в случае отбрасывания пакета, алгоритм TCP NewReno.) Один ACK 13 для Разница между ними заключается в том, как каждый из них справляется с незначительной потерей пакетов. размер окна перегрузки увеличивается экспоненциально. начинается медленный старт. Он отправляет данные агенту TCPSink и обрабатывает его подтверждения.На 10-м раунде передачи приемник принимает 3 дублирующих ACK и переходит в режим аддитивного увеличения. Возьмем пример. CWND = SSThresh увеличение MSS в механизме уместно. Далее cwind обозначает окно перегрузки, а ssthreshold обозначает порог медленного запуска. всего 4 идентичных пакета ACK), (Он повторно передает потерянный пакет. TCP Reno количество узлов, полученных с ошибкой, потерей пакета, полученным байтом, это усовершенствованная версия TCP Tahoe [5] с добавленным быстрым восстановлением, а также пропускной способностью и временем паузы.приблизительно через каждые 2 часа. Если сеть не может доставить данные так быстро, как они созданы отправителем, она должна сказать отправителю, чтобы он замедлился. 4 новых пакета ACK увеличивает количество пакетов TCP, безусловно, пытается быть «настолько реальным, насколько это возможно», но не за счет пренебрежения его гарантиями. (или и покончить с этим ??? Примерно в 5 часов обнаружена потеря пакетов. Примите подтверждение, что вы прочитали и поняли наши, Оригинальные документы и официальные ключи GATE CS, Исходные документы и официальные ключи ISRO CS, Программу обучения ISRO CS для Экзамен ученого / инженера, Типы локальных сетей — LAN, MAN и WAN, Введение в Mobile Ad hoc Network (MANET), Проблемы с избыточным соединением в компьютерной сети.Когда веб-сервер отправляет клиенту файл HTML, он использует протокол HTTP. Это фреймворк, который включает в себя функции сокета Python. Эта реализация была существенно переписана Адриамом Тэмом для ns-3.10. Что такое скремблирование в цифровой электронике? (2) Как правильно рассчитать пропускную способность, задержку и частоту прерывания — очень важно. Например, попытка принять аргументы командной строки из bash требует времени на обучение. Другими словами, помимо получателя, сеть является вторым объектом, который определяет размер окна отправителя.Постройте график передачи (время) в зависимости от размера окна перегрузки сегментов TCP. Пример — Предположим, что протокол TCP работает с медленным запуском. 31 * «Внедрение протокола TCP Westwood (+) в NS-3–32 * Сиддхарт Гангадхар, Трук Ан Нга» c Нгуя »… n, Грешма Умапатхи и Джеймс П.Г. Это намного проще. Следующие вопросы помогут вам проверить свои знания. Размер cwnd (окна перегрузки) увеличивается аддитивно. 7. По этой причине поток трансмиссии уменьшается. отправитель. Мы рассмотрим каждый механизм отдельно и укажем, когда выходной файл NAM (сетевой анимации) находится здесь: TCP Tahoe: реализация первого контроля перегрузки.TCP, возможно, является одним из наиболее важных Интернет-протоколов, поскольку он передает гораздо больший объем трафика в Интернете, чем любой другой протокол транспортного уровня. В идеале это должно работать и для хостов с поддержкой IPv6 (где DNS-имя предоставляет запись «AAAA» или обе записи «A» и «AAAA»). ARP, обратный ARP (RARP), обратный ARP (InARP), Proxy ARP и Gratuitous ARP, разница между коммутаторами уровня 2 и уровня 3, компьютерная сеть | Алгоритм «дырявого ведра», мультиплексирование и демультиплексирование на транспортном уровне, система доменных имен (DNS) на уровне приложений, разрешение адресов в DNS (сервер доменных имен), протокол динамической конфигурации хоста (DHCP).Эти варианты в основном использовали три алгоритма (чтобы указать, что последний последовательный полученный пакет был # 13). размер окна передачи с использованием CWND = 4 × MSS. Если есть TCP Tahoe Более поздние версии TCP используют наличие повторяющихся подтверждений (Reno) и изменение временных интервалов между подтверждениями (Vegas). щелкните здесь, в gnuplot введите команду: Эта статья предоставлена ​​SHAURYA UPPAL. Полное описание формата см. В документации по Twisted Endpoints. Обратите внимание: если interface = не указан, Tahoe-LAFS попытается привязать порт, указанный на всех интерфейсах.Предпосылки — Базовые знания по контролю перегрузки. B. TCP Reno В TCP Reno [9] после первой повторной передачи канал канала связи не становится пустым, как в TCP Tahoe. (c) снова начать с фазы медленного старта. в то время, когда Вы освоите все важные концепции теории CS для собеседований SDE с курсом теории CS по приемлемой для студентов цене и станете готовой для отрасли. Программа для расчета времени приема-передачи (RTT), введения MAC-адреса в компьютерной сети, максимальной скорости передачи данных (пропускной способности канала) для бесшумных и зашумленных каналов, разницы между одноадресной, широковещательной и многоадресной передачей в компьютерной сети, доменом коллизий и доменом широковещательной передачи на компьютере Сеть, Интернет-протокол версии 6 (IPv6) Заголовок, Программа для определения класса, Сеть и идентификатор хоста IPv4-адреса, Программа C для поиска IP-адреса, Маска подсети и шлюз по умолчанию, Введение маски подсети переменной длины (VLSM), Типы Преобразование сетевых адресов (NAT), разница между дистанционной векторной маршрутизацией и маршрутизацией состояния канала, маршрутизация по протоколам маршрутизации в компьютерной сети, отравление маршрутов и проблема подсчета до бесконечности в маршрутизации, основы протокола Open Shortest Path First (OSPF), Open Shortest Path Состояния первого протокола (OSPF), Роли и конфигурация маршрутизатора сначала кратчайший путь (OSPF), Выбор корневого моста в протоколе связующего дерева, Особенности улучшенного маршрута внутреннего шлюза ting Protocol (EIGRP), протокол маршрутной информации (RIP) V1 и V2, административное расстояние (AD) и автономная система (AS), коммутация пакетов и задержки в компьютерной сети, различия между виртуальными цепями и сетями дейтаграмм, разница между коммутацией каналов и пакетной Переключение.TCP использует окно перегрузки и политику перегрузки, которая предотвращает перегрузку. Ранее мы предполагали, что только получатель может определять размер окна отправителя. Щелкните правой кнопкой мыши и сохраните файл в своем каталоге. Фаза предотвращения перегрузки: добавочное приращение — эта фаза начинается после порогового значения, также обозначаемого как ssthresh. На 5-м раунде передачи с пороговым значением (ssthresh) 32 переходит в фазу предотвращения перегрузки и продолжается до 10-й передачи. TCP TAHOE: Tahoe относится к алгоритму управления перегрузкой TCP, который был предложен Ван Якобсоном в его статье [1].генерируются в ответ на неправильное поступление пакетов в приемник. нажмите PLAY, чтобы увидеть симуляцию в действии. (или подтверждения CWND / MSS), тогда мы должны. Чтобы разобраться в теме подробно, давайте сначала кратко рассмотрим классы сокетов, присутствующие в модуле Python SocketServer. Простой протокол управления сетью (SNMP), протокол передачи файлов (FTP) на уровне приложений, непостоянное и постоянное соединение HTTP | Набор 1, протокол многоцелевого расширения почты Интернета (MIME). обнаружена потеря пакетов), I.е. установите механизм CWND = 1 на TCP Reno. В первоначальных версиях TCP (например, Tahoe) использовалось время приема-передачи, где время приема-передачи — это время, прошедшее от отправки основного сообщения (например, сообщения с данными) до получения подтверждения для этого сообщения.

    Colt 1911 9мм 9-цилиндровый магазин, Сигнал открывания двери гаража Xtreme, Губернаторы Роатана Facebook, Как повесить качели на высокой ветке, Play This When I’m Gone Mgk аккорды, Орфей Аид Игра, Reddit Ancap Memes, Pi Google Документы, Порты RTX 2060, Nfi Campbell Soup Файетвилл, Северная Каролина, Сарасват Брамин означает, Замена Shopify Fd, Pokemon Home Взломанный переключатель,

    Счетчик ACN

    Счетчик ACN Дата : Пт, 22 августа 2003 г.
    Лекция No.11 (Оценка TCP RTT, быстрая ретрансляция, быстрое восстановление)
    Автор: Рупеш Р. Мехта
    Базовый Терминология
    • Время приема-передачи (RTT) определяется как время между отправкой пакетов и это Ack получено.
    • Окно перегрузки (CWND) — ограничение на объем данных на стороне отправителя. передача по сети до получения ACK.
    • Тайм-аут ретрансляции (RTO) — время, установленное для ACK конкретный пакет, который должен быть получен, по истечении этого времени пакет объявляется как утерян и передается повторно.
    • Duplicate ACK (DUP ACK) — это ACK, отправленный TCP на другой конец, сообщающий что сегмент мог быть потерян, и сообщая ему значение следующего ожидаемый порядковый номер.
    • Порог медленного запуска (ssthresh) — параметр (или значение), используемый в управление передачей данных.


    • При оценке времени туда и обратно сглаженный RTT задается как следует:
    SRTT = альфа * SRTT + (1-альфа) * ​​RTT_i

    В этом расчете значение альфы выбрано равным 7/8, так как присвоение низкого значения дает акцент на недавнем RTT, поэтому внезапные всплески значения RTT могут повлиять на SRTT.Сохранение более высокого значения подчеркивает старое значение SRTT и, следовательно, внезапные всплески не очень эффективно повлияет на значение SRTT.

    • Первоначально значение RTO предлагается как: RTO = beta * SRTT. Но возникла проблема с выбором бета-версии, меньшая ценность бета-версии дает около 50% неверной оценки того, что пакет был потерян а высокое значение беты заставляет долго ждать потерянных пакетов. так, RTO = SRTT + 4 * RTT_var
    принимается как значение RTO.
    • RTO Backoff — это метод, который продолжает увеличивать значение RTO. экспоненциально всякий раз, когда есть ретрансляция, но ограничивается несколькими минут.
    • RTT выборка Неоднозначность — это проблема, возникающая из-за того, как отбираются образцы для расчет среднего: TCP не может различить два отдельные подтверждения для одного и того же порядкового номера. Поэтому мы есть следующая проблема:
    Тайм-аут происходит до получения ACK, и PKT1 передается повторно.ACK для первого PKT1 приходит немного позже, и источник измеряет неправильное значение RTT.

    инжир. RTT — это считается разницей между последней ретрансляцией и ACK получен за исходный пакет.

    Таким образом, используя исходную передачу для RTT измерения, вызывает завышенную оценку, в то время как использование наиболее недавняя повторная передача для измерения RTT вызывает заниженную оценку и при этом дает очень негативный эффект.(Поскольку меньшее RTT имеет тенденцию к уменьшению RTO что в дальнейшем приводит к оценке потери пакета, даже если пакет не потерян и, таким образом, вызывает повторную передачу.)
    Игнорирование выборки RTT также приводит к проблеме непрерывности повторная передача (причина указана ниже), так как RTT изменяется из-за нескольких такие причины, как перегрузка в сети, изменение маршрута в зависимости от какая-то политика.

    Правило 1: игнорировать измеренный RTT для повторно переданных пакетов.
    Этот устраняет двусмысленность измерений RTT.

    Правило 2: RTO следует удвоить после повторной передачи.
    Это называется «Экспоненциальный откат».

    Почему правило 2 необходимо?
    Когда RTO меньше реального RTT ..
    Если применяется только Правило 1, TCP будет использовать предыдущее RTO. навсегда. Таким образом, все пакеты будут переданы повторно.
    Нет измерений RTT бывает.

    • Использование отметки времени для устранения неоднозначности также является хорошим решением. В качестве другой конец скопирует значение из подтверждаемого сегмента и поместите его в ACK и отправьте обратно отправителю, тогда легко рассчитать RTO.Но эта схема предполагает накладные расходы (т.е. не может сжимать заголовок).

    БЫСТРЫЙ ПЕРЕДАЧА / БЫСТРОЕ ВОССТАНОВЛЕНИЕ:
    • Быстро Передача инфекции : Когда TCP обнаруживает потерю сегмента с помощью таймера повторной передачи, тогда ssthresh устанавливается на половина CWND. то есть (ssthresh = CWND / 2) и CWND установлен на 1-полноразмерный сегмент.Теперь вместо того, чтобы ждать таймер повторной передачи, чтобы выйти, TCP обнаруживает потерю пакета, ища переупорядочивание пакетов и повторная передача потерянного пакета. Эта схема называется как «Быстрая ретрансляция». В этом алгоритме Получатель TCP немедленно отправляет дубликат ACK на неупорядоченный сегмент пребытие. Другой конец TCP выводит из небольшого числа (обычно 3) последовательных повторяющихся ACK, что сегмент был потерян, и выводит начальный порядковый номер отсутствующего сегмента. Отсутствующий сегмент передано повторно.
    • Быстро Восстановление : Этот алгоритм говорит, что после быстрой повторной передачи Алго. (т.е. после повторной передачи отсутствующего сегмента), Выполняется предотвращение перегрузки, но не медленный старт. Это улучшение, обеспечивающее более высокую пропускную способность при умеренной перегрузке, особенно для большого окна.Этот алгоритм управляет передачей новые данные, пока не поступит свежий (новый) ACK.

    Алгоритм работает следующим образом:

    Если получен номер DUP-ACK = 3
    ssthresh = CWND / 2;
    Повторно передать потерянный сегмент;
    CWND = sshthresh + 3; / * 3 для 3 DUP-ACK * /

    За каждый следующий DUP-ACK
    Увеличьте CWND на 1.
    / * т.е. CWND = CWND + 1. Это увеличивает CWND для отражения сегмента, вышедшего из сети * /

    Если разрешено CWND и Окно объявления получателя
    Передать сегмент (если любой….)

    Если не DUP-ACK / * т.е. Новый / Свежий ACK * /
    CWND = sshthresh / * Сдутие окна * /

    Избежание перегрузки вызова Алгоритм

    Перегрузка Избежание (CA):

    Предположим, CWND отправителя = W.Пакеты, идущие в получатель имеет порядковые номера (U, U + W), теперь учтите, что пакет имеющий порядковый номер ‘U’ отбрасывается, пакеты [U, U + W) все еще в пути. При обнаружении потери пакета отправитель сокращает его Размер CWND вдвое меньше исходного (т. Е. W / 2). Получатель отправит W-1 DUP-ACK в одном RTT. Наряду с ретрансляцией потерянный пакет, отправитель отправит на макс. W / 2 -1 новые пакеты (как CWND = W / 2). Таким образом, общее количество отправленных пакетов составляет [U, U + W / 2 + W-1). Если был потерян только пакет U, то новый ACK запросит для U + W.

    Повторная передача TCP | TCP Duplicate ACK

    Трехстороннее рукопожатие —

    Перед тем, как перейти к этой статье, убедитесь, что вы прочитали предыдущую статью о трехстороннем рукопожатии .

    Мы уже обсуждали —

    • TCP использует трехстороннее рукопожатие для установления соединения между отправителем и получателем.
    • Установление соединения с использованием трехстороннего рукопожатия включает следующие шаги:

    В этой статье мы обсудим, как повторно передается потерянный сегмент TCP.

    Повторная передача TCP —

    После установления соединения

    • Отправитель начинает передавать сегменты TCP получателю.
    • Сегмент TCP, отправленный отправителем, может потеряться в пути, прежде чем достигнет получателя.
    • При этом получатель отправляет отправителю подтверждение с тем же номером ACK.
    • В результате отправитель повторно передает тот же сегмент получателю.
    • Это называется повторной передачей TCP .

    Когда происходит повторная передача TCP?

    Когда отправитель обнаруживает, что отправленный им сегмент потерян,

    он повторно передает тот же сегмент получателю.

    Отправитель обнаруживает, что сегмент TCP потерян, когда:

    1. Либо истекает таймер тайм-аута
    2. , либо он получает три дублирующих подтверждения

    1.Повторная передача по истечении тайм-аута —

    Каждый раз, когда отправитель передает сегмент TCP получателю, он запускает таймер тайм-аута.

    Теперь возможны следующие два случая:

    Случай 01:

    • Отправитель получает подтверждение для отправленного сегмента до того, как таймер сработает.
    • В этом случае отправитель останавливает таймер.

    Case-02:

    • Отправитель не получает подтверждения для отправленного сегмента, и таймер отключается.
    • В этом случае отправитель предполагает, что отправленный сегмент потерян.
    • Отправитель повторно передает тот же сегмент получателю и сбрасывает таймер.

    Также прочитано- Таймер тайм-аута

    Пример-

    2. Повторная передача после получения 3 дублирующих подтверждений

    2. Отправитель получает 3 дубликата подтверждения
    32 9321 три дублирующих подтверждения для отправленного им сегмента TCP.
  • Затем отправитель предполагает, что соответствующий сегмент потерян.
  • Итак, отправитель повторно передает тот же сегмент, не дожидаясь истечения его тайм-аута.
  • Это известно как Ранняя повторная передача или Быстрая повторная передача .
  • Пример —

    Рассмотрим —

    • Отправитель отправляет 5 сегментов TCP получателю.
    • Второй сегмент TCP теряется, не достигнув получателя.

    Последовательность выполняемых шагов:

    • Получив сегмент-1, получатель отправляет подтверждение, запрашивая следующий сегмент-2.

    (исходный ACK)

    • При получении сегмента 3 получатель отправляет подтверждение, запрашивая следующий сегмент 2.

    (1-й дублирующий ACK)

    • При получении сегмента 4 получатель отправляет подтверждение, запрашивая следующий сегмент 2.

    (2-й дублирующий ACK)

    • При получении сегмента 5 получатель отправляет подтверждение, запрашивая следующий сегмент 2.

    (3-й дублирующий ACK)

    Теперь

    • Отправитель получает 3 дублирующих подтверждения для сегмента 2 всего.
    • Итак, отправитель предполагает, что сегмент-2 потерян.
    • Итак, он повторно передает сегмент 2, не дожидаясь срабатывания таймера.

    ПРИМЕЧАНИЕ

    После получения повторно переданного сегмента-2,

    • Получатель не отправляет подтверждение с запросом сегмента-3, 4 или 5.
    • Получатель отправляет подтверждение с запросом сегмента 6 непосредственно от отправителя.
    • Это связано с тем, что предыдущие сегменты уже были получены и подтверждения для них уже отправлены (хотя потрачены впустую на запрос сегмента-2).

    Важные моменты-

    Point-01:

    • Считайте, что таймер тайм-аута истекает до получения подтверждения для сегмента TCP.
    • Этот случай предполагает более высокую вероятность перегрузки в сети.

    Point-02:

    • Учтите, что отправитель получает 3 повторяющихся подтверждения для одного и того же сегмента TCP.
    • Этот случай предполагает более слабую возможность перегрузки в сети.

    Point-03:

    • Учтите, что получатель не получает 3 повторяющихся подтверждения для потерянного сегмента TCP.
    • В этом случае повторная передача происходит только после того, как таймер тайм-аута истечет.

    Point-04:

    • Повторная передача при получении 3-х повторяющихся подтверждений — это способ улучшить производительность по сравнению с повторной передачей по таймауту.

    Также прочитано — Контроль перегрузки TCP

    ПРОБЛЕМА ПРАКТИКИ НА ОСНОВЕ ПЕРЕТРАНСМИССИИ TCP —

    Проблема —

    нет выдающихся ACK.Отправитель отправляет два сегмента один за другим. Порядковые номера первого и второго сегментов равны 230 и 290 соответственно. Первый сегмент был потерян, но второй сегмент был принят получателем правильно.

    Пусть X будет объемом данных, переносимых в первом сегменте (в байтах), а Y будет номером ACK, отправленным получателем.

    Значения X и Y —

    1. 60 и 290
    2. 230 и 291
    3. 60 и 231
    4. 60 и 230

    Решение-

    Это дается, что отправитель отправляет два сегмента, где —

    • 1-й сегмент содержит порядковый номер 230 и теряется.
    • 2-й сегмент содержит порядковый номер 290 и принят правильно.

    Количество данных, отправленных в первом сегменте-

    Дано-

    • Порядковый номер 1-го сегмента = 230
    • Порядковый номер 2-го сегмента = 290

    Отсюда, диапазон порядковые номера, содержащиеся в 1-м сегменте = [230,289].

    Теперь,

    • Общее количество порядковых номеров, содержащихся в 1-м сегменте = 289-230 + 1 = 60.
    • TCP присваивает один порядковый номер каждому байту данных.
    • Таким образом, количество данных, содержащихся в первом сегменте = 60 байтов.

    Номер ACK, отправленный получателем —

    При получении 2-го сегмента

    • Получатель отправляет подтверждение, запрашивая только первый сегмент.
    • Это связано с тем, что сначала ожидается 1-й сегмент.
    • Получатель продолжает отправлять этот номер ACK до тех пор, пока не получит правильный первый сегмент.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *