Оригинал птс и дубликат в чем разница: Как отличить дубликат ПТС от оригинала: как его проверить и распознать

Cтоит ли покупать машину у которой дубликат ПТС?

Портится или теряется все, так часто бывает. Теряют буквально все: паспорт, техническую документацию и многое другое. Если, предположим, водитель потерял ПТС, то ему категорически нельзя управлять транспортным средством. Он должен в этом случае написать заявление в ГИБДД и попросить выдать ему дубликат этого документа.

Покупатель же автотранспорта с пробегом насторожится при виде дубликата паспорта ТС, ибо с оригиналом иметь дело намного безопаснее, нежели с «копией».

Сложно распознать случай, если с «клоном» ПТС продается авто находящееся в залоге или взятый в автокредит. Это, кстати, самые распространенные мошеннические схемы в нашей стране. Ниже можно узнать, в чем же опасность «копии» ПТС и каким образом избежать рисков.

Что же это — копия ПТС?

Копия одержит графу «Особые отметки», в которой отмечено: «Дубликат. Так же указано, что он является заменой потерянного старого ПТС» с обязательным указанием реквизитов подлинника.

Отличается ли еще чем-то копия ПТС от оригинала?

В нем так же, как и в оригинале 24 графы, в которых указаны: марка транспортного средства, VIN-номер, вид кузова, сведения о силовом агрегате, год выпуска автомобиля, массу, инициалы владельца и иные данные о нем.

Мошенники при продаже автомобиля передают обманутым покупателям поддельные ПТС, которые не так-то просто отличить от оригинальных. Профессионал, может быть и может найти отличия, но простому обывателю это, скорее всего, не «грозит». В любой копии всегда указывается, что документ является заменой утерянного.

На ПТС также имеются водяные знаки. Так как «клоны» изготавливаются кустарно, то, стало быть, и сделаны они неаккуратно.

Копия ПТС выдается при смене хозяина авто, в случае потери/краже оригинальна, смене места жительства владельца автомобиля ТС и при отсутствии для внесения данных свободного места в старом.

Надо ли бояться дубликата ПТС, а если да — то чего опасаться?

В нашей стране мошенники успешно проворачивают разные сомнительные схемы. Чаще они, конечно аферы проворачивают с недвижимостью, нежели с машинами. Но все же, чем же грозит приобретение автомобиля с «клоном» документов?

Прежде чем притупить к реализации своего зловещего плана, владелец-аферист пишет в ГИБДД заявление об утере ПТС и получает копию документа на основании собственника. Затем он выставляет автомобиль на продажу.

Покупатель даже не в курсе, что вскоре его начнет «доставать» банк и ему придется выплачивать кредит старого владельца.

В данном случае никакие документы о купле-продаже здесь банковских служащих не убедят. Даже в суде свою непричастность доказать не получится.

Так что, дабы не оказаться в столь щепетильной ситуации, надо в банке собрать все необходимые сведения о состоянии документов.

Обладатель автомобиля имеющий дубликат ПТС на руках практически не имеет шансов на продажу автомашины. Поэтому они сбавляют стоимость машины до минимума, даже если у паспорта на автомобиль есть копия оригинала, и ПТС заменился только из-за того, что в нем не осталось свободных строчек.

Конечно, у копий ПТС существует и юридическая сила, но они все таки делают мутной историю машины. Если такое авто очень сильно приглянулось, то все имеющиеся документы на него следует изучать очень внимательно.

Надо ли совершать покупку такого транспортного средства?

Имеются случаи, когда сделка по приобретении машины будет совершенно законной, если:

— ТС имело много владельцев. Просто в ПТС однажды при регистрации не хватило «злополучной» строчки. У самого же продавца имеется копия старого ПТС, в которой указана вся история автомашины;

— из-за невнимательности утрачивается или повреждается оригинал.

Самая широко используемая в нашей стране сделка – приобретение машины в кредит. Покупая авто через банк, владелец передает ПТС кредитному учреждению. Часто случается, что впоследствии клиенту банка нечем оплачивать автокредит.

Автовладелец пишет заявление в ГИБДД, получает копию ПТС и выставляет недавнюю покупку на продажу. Такого можно избежать, если посетить автосалон, в котором старый владелец покупал автомобиль. Можно к тому и выяснить, был на автомашину оформлен автокредит или нет.

Дыбы не платить чужой кредит, сделку купли/продажи осуществляют через официального авто дилера в отделе trade-in. Ни в коем случае не следует связываться с перекупщиками, поскольку они взвинчивают цену, но если выхода нет, подыскивают кого-то понадежней.

При приобретении автотранспорта у человека, показавшего генералку от владельца, не редки случаи, когда кредитное учреждение забирает авто в счет уплаты задолженности. Порой автосалонам приходится страдать по причине своей оплошности, ибо они не внимательно работают документами на машину, и потом им просто некому выставить претензии.

В отделе трейд-ин так же не особо настораживаются при виде копии старого ПТС. Получается обезопаситься, совершив сделку через авторизированного дилера.

Плюсы и минусы

Если покупается транспортное средство с копией ПТС плюс лишь один – доступная стоимость авто, а вот что касается минусов, то их предостаточно. Не каждый может себе позволить купить новый автомобиль.

Среднестатистический россиянин приобретает машину с пробегом желая сэкономить. Он даже не может предположить, что он будет вынужден впоследствии либо крупно вложиться в ремонт, или нарваться на мошенников.

Как же минимизировать риски?

Дабы не попасться в «сети» мошенников, не следует покупать автомашину с дубликатом ПТС. Не всегда, конечно дубликат паспорта машины может – свидетельствовать о мошенничестве. Часто такой документ выдается совершенно законно. Жаль, конечно, что такое доходит не до всех. Сложнее всего приходится людям продающим автомашину с дубликатом документа. Здесь даже низкая стоимость автомобиля не всегда спасет. Выходов в данном случае только два: надеяться на то, что найдётся кто не побоится такую машину купить или самому до скончания дней ездить на ней.

03.07.2017

Оформление и проверка документов при покупке поддержанного автомобиля

Каждый автолюбитель хоть раз но сталкивался с выбором и покупкой поддержанного автомобиля, при этом возникает множество вопросов, например, как провести диагностику автомобиля перед покупкой и как выбрать юридически чистый автомобиль. Для проверки последнего пункта необходимо внимательно проверить документы.

Какие документы необходимо проверить перед покупкой автомобиля?

• паспорт транспортного средства (ПТС) – основной документ, по которому можно хоть как-то проследить историю конкретного автомобиля. В данном документе указывается количество владельцев автомобиля, их данные и срок владения транспортным средством.
• свидетельство о регистрации транспортного средства – документ, который содержит информацию о владельце, его адресе, а также все характеристики зарегистрированного автомобиля: VIN-номер, цвет, год выпуска, мощность двигателя, масса и т.д.

Дополнительно, если возраст автомобиля 5-7 лет можно также проверить сервисную книжку, по ней можно определить какие были проблемы у машины, но не всегда достоверно, поскольку обслуживаться автомобиль мог и в стороннем сервисе, который не является официальным дилером марки автомобиля и соответственно отметок в сервисной книжке не оставляет.

Проверка документов: дубликат птс риски

Первое на что стоит обратить внимание при покупке поддержанного автомобиля, так это на то, что является ли ПТС оригиналом или сделан дубликат. В чем разница? Оригинальный ПТС выдается вместе с машиной в автосалоне при покупке и в нем хватает места для смены 6 владельцев данного авто. Если человек, приобретающий автомобиль является 7 по счету владельцем, то ему будет выдан дубликат ПТС, где он будет фигурировать как единственный владелец, но на таком ПТС будет отметка, как правило “дубликат выдан от… число и т.д.” или может стоять печать “ДУБЛИКАТ”. Также дубликат может быть выдан по причине утери или порчи оригинального ПТС. Это положительные стороны, при которых может быть выдан дубликат.

Как выглядит дубликат ПТС фото

Дубликат с печатью

Рассмотрим отрицательные стороны случая, когда у предыдущего владельца ПТС является не оригинальным. По дублирующему ПТС невозможно определить сколько у автомобиля было владельцев и сколько каждый владелец владел автомобилем, может автомобиль сливали через каждые пол года?

Кроме того, одной из самых опасных случаев при покупке – это покупка кредитного автомобиля. Дело в том, что при оформлении кредита банк забирает себе оригинал ПТС до полной выплаты долга. При этом у владельца есть возможность написать заявление в ГИБДД об утере оригинального ПТС и ему выдадут дубликат. Если вы приобретете такой кредитный автомобиль, то через какое-то время претензии за выплату кредита банк будет предъявлять уже вам. Выбраться из сложившейся ситуации будет не просто.

Оформление документов при покупке поддержанного автомобиля

Оформление документов можно произвести в любом отделении МРЭО и поставить на учет в ГИБДД, как правило все находится рядом.

Алгоритм оформления автомобиля при покупке

1. Оформление договора купли-продажи авто (оформляется в МРЭО при участии обеих сторон). Как правило тут же новому владельцу предлагают оформить страховку и пройти технический осмотр, если у старого владельца он отсутствует или закончился.
2. После оформления ДКП (договор купли-продажи) происходит передача ключей, документов и денег. По современным правилам регистрации автомобиля прежний владелец для регистрации больше не требуется.
3. Далее необходимо оплатить гос. пошлину за регистрацию (как правило в отделениях ГИБДД стоят специализированные терминалы для оплаты) и сдать документы на регистрацию: ПТС, старое свидетельство о регистрации, ДКП, чек об уплате гос пошлины, страховку, документ об успешном прохождении осмотра автомобиля (сверка VIN-номера двигателя и кузова).
4. Ожидаете оформления, получаете, проверяете – радуетесь!

Понравилась статья?

Поделитесь ссылкой с друзьями в социальных сетях:

А еще у нас интересные e-mail рассылки, подписывайтесь! (1 раз в неделю)

Интересные материалы

Как передачи SACK повышают производительность в Интернете | Цифровой мониторинг опыта

Были ли вы когда-нибудь во время телефонного разговора, когда внезапно пропадает сигнал, и вы не слышите собеседника на другом конце провода? Что ты будешь делать дальше? Сообщите говорящему начало и конец части разговора, которую вы не слышали?

Что ж, компьютеры обмениваются данными таким же образом с опцией подтверждения TCP, называемой выборочным подтверждением.

TCP использует повторную передачу при потере или повреждении пакетов.Исходная система подтверждения TCP не может обрабатывать несколько потерянных сегментов; он только подтверждает последний успешно полученный сегмент (до потери), что затем приводит к повторной передаче данных, которые уже были получены получателем. Очевидно, что в этом нет необходимости, поскольку это пустая трата времени и вызывает перегрузку сети, которой можно было бы легко избежать. Вот где выборочное подтверждение или SACK наиболее выгодно.

Вот где выборочное подтверждение, или SACK, наиболее полезно.

SACK — это метод повторной отправки только необходимых пакетов, которые так и не достигли получателя. В свою очередь, это улучшает производительность сети, поскольку меньшее количество повторно передаваемых пакетов означает более эффективное использование полосы пропускания. Это особенно заметно для соединений, использующих большие размеры окна TCP.

Без SACK, в случае потери пакета, получатель отправит Duplicate Acknowledgment (DUP ACK), сообщая, что он получил данные только до определенного сегмента. Затем отправитель повторно отправит все следующие сегменты данных, даже если получатель уже получил большинство из них.Это приведет к тому, что получатель получит дубликаты некоторых данных, что является пустой тратой ресурсов.

Есть два типа опций SACK. Первая, опция SACK-Permitted, присутствует только в SYN-пакете и сообщает обеим сторонам соединения, что они могут получить опцию SACK, которая является частью начального соединения.

Ниже приведено графическое изображение опции, разрешенной SACK, из RFC 2018; это показывает тип и длину TCP, относящуюся к SACK, отправляемому во время начального соединения.

Второй тип SACK — это формат Option. Это когда получатель дает отправителю подробную информацию о том, какие данные были получены, что в свою очередь позволяет отправителю повторно передать недостающие фрагменты данных. Он будет отправлен, если во время пакетной передачи будут потеряны данные.

Здесь мы видим графическое представление формата Option из RFC 2018.

Теперь взгляните на это пошаговое объяснение процесса SACK.

Шаг 1
Отправитель отправляет 10 сегментов данных, каждый из которых содержит 100 байтов данных, получателю, начиная с порядкового номера 1000.

Шаг 2
Приемник принимает сегменты с 1 по 4 и с 6 по 10.

Шаг 3
Затем получатель понимает, что у него отсутствуют некоторые данные, и отправляет сегмент TCP ACK обратно отправителю с опцией SACK, указывающей левый край 1400 и правый край 1500.

Шаг 4
Затем отправитель сам повторно передает сегмент 5 ^-го обратно получателю.

Шаг 5
Получатель принимает 5-й сегмент и отправляет пакет подтверждения отправителю, информируя его о том, что теперь они получили все сегменты.

Теперь давайте углубимся в концепцию SACK на реальном примере, захваченном Wireshark.Вот пример пакета SYN, показывающего разрешенную опцию SACK с типом 4 и длиной 2. См. Последние две строки захвата ниже.

Это показывает, что мой компьютер, источник, давал серверу, хосту назначения, знать, что у него включен SACK. Следовательно, сервер знает, что источник может запрашивать определенные сегменты данных. Если сервер поддерживает SACK, ему необходимо включить разрешенную опцию SACK в SYN-ACK.

Теперь, вот более поздний пакет от источника (компьютера), показывающий фактическую опцию SACK с левым краем блока данных, который не получен, указан как 18225, а правый край блока данных, который не получен, указан как 18620.См. Последнюю часть строк на снимке ниже:

Как видите, это сообщает хосту назначения о конкретных байтах данных, которые были потеряны. С помощью SACK сервер теперь знает, что ему нужно только повторно отправить порядковые номера с 18225 по 18620, что в результате сэкономило время и ресурсы.

Некоторые проблемы возникли после ранней адаптации SACK. Например, получатель может получать пакеты не по порядку из-за каких-то неизвестных проблем с сетевым подключением.Это приведет к тому, что отправитель повторно отправит пропущенный пакет, что замедлит скорость доставки данных.

С тех пор было реализовано расширение SACK, которое ввело дублирующее избирательное подтверждение, или D-SACK, в RFC 2883. Некоторые из этих улучшений включают надлежащее сообщение о дублированных и / или неупорядоченных сегментах. Это позволяет отправителю выяснить порядок пакетов, полученных получателем, и, в свою очередь, понять, когда он повторно передал ненужный пакет.

К сожалению, опция SACK не является обязательной и используется только тогда, когда ее поддерживают оба конца TCP-соединения. К счастью, все основные последние TCP-стеки теперь поддерживают его.

SACK важен, потому что он обеспечивает более надежную повторную передачу пакетов, позволяя отправлять отправителю информацию о том, какие фрагменты данных попали в получатель, когда происходит потеря пакета, и повторную передачу дублированных пакетов с помощью D-SACK. Это способствует меньшей перегрузке сети и лучшей обработке пакетов, что обеспечивает более высокую скорость доставки данных.

Анализируйте снимки межсетевого экрана Firepower для эффективного устранения сетевых проблем

Введение

В этом документе описываются различные методы анализа перехвата пакетов, направленные на эффективное устранение неполадок в сети. Все сценарии, представленные в этом документе, основаны на реальных пользовательских случаях, замеченных в Центре технической поддержки Cisco (TAC). Документ охватывает захват пакетов с точки зрения межсетевого экрана Cisco следующего поколения (NGFW), но те же концепции применимы и к другим типам устройств.

Предварительные требования

Требования

Cisco рекомендует ознакомиться со следующими темами:

• Архитектура платформы Firepower
• Журналы NGFW
• Трассировщик пакетов NGFW

Кроме того, перед началом анализа перехвата пакетов настоятельно рекомендуется выполнить следующие требования:

• Знать работу протокола — Бесполезно начинать проверку захвата пакета, если вы не понимаете, как работает захваченный протокол
• Знать топологию — Вы должны знать транзитные устройства.В идеале сквозной. Если это невозможно, вы должны хотя бы знать восходящие и нисходящие устройства
• Знать устройство — Вы должны знать, как ваше устройство обрабатывает пакеты, каковы задействованные интерфейсы (например, вход / выход), какова архитектура устройства и каковы различные точки захвата
• Знать конфигурацию — Вы должны знать, как устройство должно обрабатывать поток пакетов с точки зрения:
  • Интерфейс маршрутизации / выхода
  • Примененные политики
  • Преобразование сетевых адресов (NAT)
• Знать доступные инструменты — Наряду с захватами рекомендуется также быть готовым к применению других инструментов и методов устранения неполадок, таких как ведение журнала и трассировщики, и, при необходимости, сопоставить их с захваченными пакетами

Используемые компоненты

Информация в этом документе основана на следующих версиях программного и аппаратного обеспечения:

• Большинство сценариев основано на FP4140 с программным обеспечением FTD 6.5.x.
• FMC с программным обеспечением 6.5.x.

Информация в этом документе была создана на устройствах в определенной лабораторной среде. Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.

Справочная информация

Захват пакетов — один из наиболее часто игнорируемых инструментов устранения неполадок, доступных сегодня. Центр технической поддержки Cisco TAC ежедневно решает множество проблем клиентов путем анализа собранных данных.Цель этого документа — помочь сетевым инженерам и специалистам по безопасности выявлять и устранять распространенные сетевые проблемы, в основном на основе анализа перехвата пакетов.

Как собирать и экспортировать снимки по семейству продуктов NGFW?

В случае устройства Firepower (1xxx, 21xx, 41xx, 93xx) и приложения Firepower Threat Defense (FTD) обработка пакетов может быть визуализирована, как показано на изображении.

1. Пакет поступает на входящий интерфейс и обрабатывается внутренним коммутатором шасси.
2. Пакет поступает в механизм FTD Lina, который в основном выполняет проверки L3 / L4.
3. Если политика требует, пакет проверяется механизмом Snort (в основном проверка L7).
4. Механизм Snort возвращает вердикт для пакета.
5. Механизм LINA отбрасывает или пересылает пакет на основе вердикта Snort.
6. Пакет выходит на шасси через внутренний коммутатор шасси.

В зависимости от показанной архитектуры захваты FTD могут выполняться в 3 разных местах:

• FXOS
• Двигатель FTD Lina
• Двигатель FTD Snort

Процесс описан в этом документе:

https: // www.cisco.com/c/en/us/td/docs/security/firepower/fxos/fxos271/web-guide/b_GUI_FXOS_ConfigGuide_271/troubleshooting.html#concept_E8823CC63C934A909BBC0DF12F301DED 9000

захвата FXOS могут быть сделаны только во входном направлении с точки зрения внутреннего коммутатора, как показано на изображении здесь.

Как показано на изображении, это две точки захвата в каждом направлении (из-за внутренней архитектуры коммутатора).

Перехваченные пакеты в точках 2, 3 и 4 имеют виртуальный сетевой тег (VNTag).

Примечание : Захваты FXOS на уровне шасси доступны только на платформах FP41xx и FP93xx. FP1xxx и FP21xx не предоставляют такой возможности.

Основные точки захвата:

• Входной интерфейс
• Выходной интерфейс
• Ускоренный путь безопасности (ASP)

Вы можете использовать либо пользовательский интерфейс Центра управления огневой мощью (FMC UI), либо FTD CLI, чтобы включить и собрать захваты FTD Lina.

Включить захват из CLI на интерфейсе INSIDE:

 firepower #  захват интерфейса CAPI ВНУТРИ соответствие хосту icmp 192.168.103.1 хост 192.168.101.1  

Этот захват соответствует трафику между IP-адресами 192.168.103.1 и 192.168.101.1 в обоих направлениях.

Включите захват ASP, чтобы увидеть все пакеты, отброшенные механизмом FTD Lina:

 огневая мощь #  захват ASP тип asp-drop все  

Экспорт захвата FTD Lina на FTP-сервер:

 firepower #  copy / pcap capture: CAPI ftp: // ftp_username: ftp_password @ 192.168.78.73 / CAPI.pcap  

Экспорт захвата FTD Lina на сервер TFTP:

 firepower #  copy / pcap capture: CAPI tftp: //192.168.78.73  

Начиная с версии FMC 6.2.x, вы можете включать и собирать захваты FTD Lina из пользовательского интерфейса FMC.

Другой способ сбора данных FTD от межсетевого экрана, управляемого FMC, — это.

Шаг 1

В случае захвата LINA или ASP скопируйте захват на диск FTD, например.

 firepower #  copy / pcap capture: capin disk0: capin.pcap 

Имя захвата источника [capin]?

Целевое имя файла [capin.pcap]?
!!!!
 

Шаг 2

Перейдите в экспертный режим, найдите сохраненный снимок и скопируйте его в / ngfw / var / common location:

 огневой мощи #

Консольное соединение отключено.

>  эксперт
  admin @ firepower: ~  долларов sudo su 
Пароль:
корень @ огневая мощь: / home / admin #  cd / mnt / disk0 
root @ firepower: / mnt / disk0 #  ls -al | grep pcap 
-rwxr-xr-x 1 корень root 24 апр 26 18:19 CAPI.pcap
-rwxr-xr-x 1 корневой корень 30110 8 апреля 14:10  capin.pcap 
-rwxr-xr-x 1 корневой корень 6123 8 апр, 14:11 capin2.pcap
корень @ firepower: / mnt / disk0 #  cp capin.pcap / ngfw / var / common
  

Шаг 3

Войдите в FMC, который управляет FTD, и перейдите к Devices> Device Management. Найдите устройство FTD и выберите значок Устранение неполадок :

Шаг 4

Выберите Расширенное устранение неполадок:

Укажите имя файла захвата и выберите Загрузить:

Дополнительные примеры включения / сбора снимков из пользовательского интерфейса FMC см. В этом документе:

https: // www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html

Точка захвата показана на изображении здесь.

Включить захват уровня Snort:

>  захват трафика 

Выберите домен для захвата трафика:
  0 - br1
  1 - Маршрутизатор

Выбор?  1 

Укажите желаемые параметры tcpdump.
(или введите "?" для получения списка поддерживаемых опций)
Опции:  -n хост 192.168.101.1
  

Чтобы записать захват в файл с именем capture.pcap и скопировать его через FTP на удаленный сервер:

>  захват трафика 

Выберите домен для захвата трафика:
  0 - br1
  1 - Маршрутизатор

Выбор?  1 

Укажите желаемые параметры tcpdump.
(или введите "?" для получения списка поддерживаемых опций)
Параметры:  -w capture.pcap host 192.168.101.1 
   CTRL + C <- для остановки захвата  
 
>  копия файла 10.229.22.136 ftp / capture.pcap 
Введите пароль для [email protected]:
Копирование capture.pcap
Копирование выполнено успешно.

> 

Для получения дополнительных примеров захвата уровня Snort, которые включают различные фильтры захвата, проверьте этот документ:

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html

Топология показана на изображении здесь:

Описание проблемы: HTTP не работает

Затронутый поток:

Src IP: 192.168.0.100

Dst IP: 10.10.1.100

Протокол: TCP 80

Анализ захвата

Включить захват на движке FTD LINA:

 firepower #  захват CAPI int INSIDE match ip host 192.168.0.100 host 10.10.1.100 
firepower #  захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
  

Захваты — Функциональный сценарий:

В качестве основы всегда очень полезно иметь захваты из функционального сценария.

Захват, сделанный на интерфейсе NGFW INSIDE, как показано на изображении:

Ключевые точки:

1. TCP 3-стороннее рукопожатие.
2. Двунаправленный обмен данными.
3. Нет задержек между пакетами (в зависимости от разницы во времени между пакетами)
4. MAC-адрес источника — это правильное нисходящее устройство.

Захват, сделанный на ВНЕШНЕМ интерфейсе NGFW, показан на изображении здесь:

Ключевые точки:

1. Те же данные, что и в захвате CAPI.
2. MAC-адрес назначения — это правильное восходящее устройство.

Захваты — нефункциональный сценарий

Из интерфейса командной строки устройства снимки выглядят следующим образом:

 огневой мощи #  показать захват 
захват интерфейса необработанных данных типа CAPI INSIDE  [захват - 484 байта] 
  сопоставить IP-хост 192.168.0.100 хост 10.10.1.100
захват интерфейса необработанных данных типа CAPO ВНЕШНИЙ  [захват - 0 байт] 
  сопоставить IP-хост 192.168.0.100 хост 10.10.1.100
 

Содержание CAPI:

 огневой мощи #  показать захват CAPI 

6 пакетов захвачено

   1: 11:47:46.
2 192.168.0.100.3171> 10.10.1.100.80:  S  1089825363: 1089825363 (0) win 8192 
   2: 11: 47: 47.161902 192.168.0.100.3172> 10.10.1.100.80:  S  3981048763: 3981048763 (0) win 8192 
   3: 11: 47: 49.
3 192.168.0.100.3171> 10.10.1.100.80:  S  1089825363: 1089825363 (0) win 8192 
   4: 11: 47: 50.162757 192.168.0.100.3172> 10.10.1.100.80:  S  3981048763: 3981048763 (0) win 8192 
   5: 11: 47: 55.0 192.168.0.100.3171> 10.10.1.100.80:  S  1089825363: 1089825363 (0) win 8192 
   6: 11: 47: 56.164710 192.168.0.100.3172> 10.10.1.100.80:  S  3981048763: 3981048763 (0) win 8192 
 

 огневой мощи #  показать захват CAPO 

  0 пакет захвачен 

Показано 0 пакетов
 

Это образ захвата CAPI в Wireshark:

Ключевые точки:

1. Видны только TCP SYN-пакеты (без трехстороннего подтверждения TCP).
2. Невозможно установить 2 сеанса TCP (порт источника 3171 и 3172). Исходный клиент повторно отправляет пакеты TCP SYN. Эти повторно переданные пакеты идентифицируются Wireshark как повторные передачи TCP.
3. Повторные передачи TCP происходят каждые ~ 3, затем 6 и т.д. секунд
4. MAC-адрес источника получен от правильного нисходящего устройства.

На основании 2 отловов можно сделать вывод, что:

• Пакет из пяти кортежей (src / dst IP, src / dst порт, протокол) поступает на межсетевой экран на ожидаемом интерфейсе (INSIDE).
• Пакет не покидает межсетевой экран на ожидаемом интерфейсе (ВНЕШНИЙ).

Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Проверьте трассировку эмулируемого пакета.

Используйте средство отслеживания пакетов, чтобы увидеть, как пакет должен обрабатываться межсетевым экраном. В случае, если пакет отбрасывается политикой доступа брандмауэра, трассировка эмулированного пакета выглядит примерно так:

 firepower #  вход для отслеживания пакетов INSIDE tcp 192.168.0.100 11111 10.10.1.100 80 

Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
  Тип: МАРШРУТ-ПРОСМОТР
Подтип: Resolve Egress Interface 
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.2.72 с использованием исходящего сигнала  ifc OUTSIDE 

Фаза: 4
  Тип: СПИСОК ДОСТУПА 
Подтип: журнал
  Результат: DROP 
Конфиг:
группа доступа CSM_FW_ACL_ global
список доступа CSM_FW_ACL_ расширенный запретить IP любой любой идентификатор правила 268439946 журнал событий начало потока
список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПОЛИТИКА ДОСТУПА: FTD_Policy - По умолчанию
список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПРАВИЛО L4: ПРАВИЛО ДЕЙСТВИЯ ПО УМОЛЧАНИЮ
Дополнительная информация:

Результат:
интерфейс ввода: ВНУТРИ
вход-статус: вверх
вход-линия-статус: вверх
выходной интерфейс: ВНЕШНИЙ
статус вывода: вверх
статус строки вывода: вверх
Действие: падение
  Причина отбрасывания: (acl-drop) Поток запрещен настроенным правилом, местоположение отбрасывания: кадр 0x00005647a4f4b120 поток (NA) / NA
  

Действие 2.Проверьте следы живых пакетов.

Включите трассировку пакетов, чтобы проверить, как настоящие пакеты TCP SYN обрабатываются межсетевым экраном. По умолчанию отслеживаются только первые 50 входящих пакетов:

 огневая мощь #  захват трассировки CAPI  

Очистить буфер захвата:

 огневая мощь #  четкий захват / все  

В случае, если пакет отбрасывается политикой доступа брандмауэра, трассировка выглядит примерно так:

 firepower #  показать трассировку номера 1 пакета CAPI
 
6 пакетов захвачено

   1: 12:45:36.279740 192.168.0.100.3630> 10.10.1.100.80: S 2322685377: 2322685377 (0) win 8192 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.2.72 с использованием исходящего сигнала  ifc OUTSIDE 

Фаза: 4
  Тип: СПИСОК ДОСТУПА 
Подтип: журнал
  Результат: DROP 
Конфиг:
группа доступа CSM_FW_ACL_ global
список доступа CSM_FW_ACL_ расширенный запретить IP любой любой идентификатор правила 268439946 журнал событий начало потока
список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПОЛИТИКА ДОСТУПА: FTD_Policy - По умолчанию
список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПРАВИЛО L4: ПРАВИЛО ДЕЙСТВИЯ ПО УМОЛЧАНИЮ
Дополнительная информация:

Результат:
интерфейс ввода: ВНУТРИ
вход-статус: вверх
вход-линия-статус: вверх
выходной интерфейс: ВНЕШНИЙ
статус вывода: вверх
статус строки вывода: вверх
Действие: падение
  Причина отбрасывания: (acl-drop) Поток запрещен настроенным правилом, местоположение отбрасывания: кадр 0x00005647a4f4b120 поток (NA) / NA 

Показан 1 пакет
 

Действие 3.Проверьте логи FTD Lina.

Чтобы настроить системный журнал на FTD через FMC, проверьте этот документ:

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/200479-Configure-Logging-on-FTD-via-FMC.html

Настоятельно рекомендуется настроить внешний сервер системного журнала для журналов FTD Lina. Если удаленный сервер системного журнала не настроен, включите локальные буферные журналы на брандмауэре во время устранения неполадок. Конфигурация журнала, показанная в этом примере, является хорошей отправной точкой:

 firepower #  показать пробег 
…
ведение журнала включить
отметка времени регистрации
размер буфера регистрации 1000000
логирование буферизованной информации
 

Установите пейджер терминала на 24 линии для управления пейджером терминала:

 firepower #  терминальный пейджер 24  

Очистить буфер захвата:

 firepower #  очистить буфер регистрации  

Протестируйте соединение и проверьте логи с помощью фильтра синтаксического анализатора.В этом примере пакеты отбрасываются политикой доступа брандмауэра:

 огневая мощь №  показать лесозаготовку | включает 10.10.1.100 
09 октября 2019 12:55:51:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100/3696 dst ВНЕШНИЙ: 10.10.1.100/80 группой доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
09 октября 2019 12:55:51:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100/3697 dst ВНЕШНИЙ: 10.10.1.100/80 группой доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
09 октября 2019 12:55:54:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100 / 3696 dst ВНЕШНИЙ: 10.10.1.100/80 по группе доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
09 октября 2019 12:55:54:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100/3697 dst ВНЕШНИЙ: 10.10.1.100/80 группой доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
 

Действие 4. Проверьте отбрасывание ASP межсетевого экрана.

Если вы подозреваете, что пакет отброшен брандмауэром, вы можете увидеть счетчики всех пакетов, отброшенных брандмауэром на программном уровне:

 firepower #  показать asp drop 

Падение кадра:
  Нет маршрута к хосту (нет маршрута) 234
  Поток запрещен настроенным правилом (acl-drop) 71

Последняя очистка: 07:51:52 UTC, 10 октября 2019 г., enable_15

Падение потока:

Последняя очистка: 07:51:52 UTC, 10 октября 2019 г., enable_15
 

Вы можете включить захваты, чтобы увидеть все падения уровня программного обеспечения ASP:

 firepower #  захват типа ASP asp-drop all buffer 33554432 только заголовки  

Подсказка : Если вас не интересует содержимое пакета, вы можете захватить только заголовки пакета (опция только заголовков).Это позволяет захватывать гораздо больше пакетов в буфер захвата. Кроме того, вы можете увеличить размер буфера захвата (по умолчанию 500 Кбайт) до 32 Мбайт (опция буфера). Наконец, начиная с FTD версии 6.3, опция размера файла позволяет вам конфигурировать файл захвата размером до 10 ГБ. В этом случае вы можете видеть только захваченное содержимое в формате pcap.

Чтобы проверить содержимое захвата, вы можете использовать фильтр, чтобы сузить область поиска:

 огневой мощи #  показать захват ASP | включить 10.10.1.100 
  18: 07: 51: 57.823672 192.168.0.100.12410> 10.10.1.100.80: S 1870382552: 1870382552 (0) win 8192 
  19: 07: 51: 58.074291 192.168.0.100.12411> 10.10.1.100.80: S 2006489005: 2006489005 (0) win 8192 
  26: 07: 52: 00.830370 192.168.0.100.12410> 10.10.1.100.80: S 1870382552: 1870382552 (0) win 8192 
  29: 07: 52: 01.080394 192.168.0.100.12411> 10.10.1.100.80: S 2006489005: 2006489005 (0) win 8192 
  45: 07: 52: 06.824282 192.168.0.100.12410> 10.10.1.100.80: S 1870382552: 1870382552 (0) win 8192 
  46: 07: 52: 07.074230 192.168.0.100.12411> 10.10.1.100.80: S 2006489005: 2006489005 (0) win 8192 
 

В этом случае, поскольку пакеты уже отслеживаются на уровне интерфейса, причина отбрасывания не упоминается в захвате ASP.Помните, что пакет можно отследить только в одном месте (входящий интерфейс или отбрасывание ASP). В этом случае рекомендуется выполнить несколько сбросов ASP и установить конкретную причину сброса ASP. Вот рекомендуемый подход:

1. Очистить текущие счетчики отбрасывания ASP:

 огневая мощь #  ясный аспид  

2. Отправьте поток, который вы устраняете, через брандмауэр (запустите тест).

3. Еще раз проверьте счетчики сбросов ASP и отметьте увеличившиеся значения, например.грамм.

 firepower #  показать asp drop 
Падение кадра:
  Нет маршрута к хосту ( нет маршрута ) 234
  Поток запрещен настроенным правилом ( acl-drop ) 71
 

4. Включите захват ASP для определенных видимых отбрасываний:

 огневая мощь #  захват ASP_NO_ROUTE тип asp-drop no-route 
firepower #  захват ASP_ACL_DROP тип asp-drop acl-drop
  

5.Отправьте поток, который вы устраняете, через брандмауэр (запустите тест).

6. Проверьте захваты ASP. В этом случае пакеты были отброшены из-за отсутствия маршрута:

 огневая мощь #  показать захват ASP_NO_ROUTE | включают 192.168.0.100. * 10.10.1.100 
  93: 07: 53: 52.381663 192.168.0.100.12417> 10.10.1.100.80: S 3451
5: 3451
5 (0) win 8192 
  95: 07: 53: 52.632337 192.168.0.100.12418> 10.10.1.100.80: S 16
448: 16
448 (0) win 8192 
 101: 07:53:55.375392 192.168.0.100.12417> 10.10.1.100.80: S 3451
5: 3451
5 (0) win 8192 
 102: 07: 53: 55.626386 192.168.0.100.12418> 10.10.1.100.80: S 16
448: 16
448 (0) win 8192 
 116: 07: 54: 01.376231 192.168.0.100.12417> 10.10.1.100.80: S 3451
5: 3451
5 (0) выигрыш 8192 
 117: 07: 54: 01.626310 192.168.0.100.12418> 10.10.1.100.80: S 16
448: 16
448 (0) win 8192 
 

Действие 5.Проверьте таблицу соединений FTD Lina.

Могут быть случаи, когда вы ожидаете, что пакет будет исходить из интерфейса «X», но по каким-либо причинам он выходит за пределы интерфейса «Y». Определение выходного интерфейса межсетевого экрана основано на следующем порядке работы:

1. Поиск установленного соединения
2. Поиск трансляции сетевых адресов (NAT) — этап UN-NAT (NAT назначения) имеет приоритет над PBR и поиском маршрута.
3. Маршрутизация на основе политик (PBR)
4. Поиск в таблице маршрутизации

Для проверки таблицы соединений FTD:

 firepower #  показать conn 
2 используются, 4 наиболее часто используются
Осмотрите Snort:
        preserve-connection: 2 включено, 0 активно, 4 наиболее активно, 0 наиболее активно

TCP  DMZ  10.10.1.100:  80   ВНУТРИ  192.168.0.100:  11694 , бездействие 0:00:01, байты 0, флаги  aA N1 
TCP  DMZ  10.10.1.100:80  INSIDE  192.168.0.100:  11693 , режим ожидания 0:00:01, байты 0, флаги  aA N1
  

Ключевые точки:

• На основании флагов (Aa) соединение находится в зачаточном состоянии (полуоткрытое — межсетевой экран видел только TCP SYN).
• В зависимости от портов источника / назначения входной интерфейс — ВНУТРЕННИЙ, а выходной интерфейс — DMZ.

Это можно визуализировать на изображении здесь:

Примечание : Поскольку все интерфейсы FTD имеют уровень безопасности 0, порядок интерфейсов в выводе show conn основан на номере интерфейса. В частности, интерфейс с более высоким vpif-num (номер интерфейса виртуальной платформы) выбирается как внутренний, а интерфейс с меньшим vpif-num выбирается как внешний. Вы можете увидеть значение vpif интерфейса с помощью команды show interface detail .Связанное усовершенствование, CSCvi15290 ENH: FTD должен показывать направленность соединения в выводе FTD ‘show conn’

 огневая мощь #  показать детали интерфейса | i Номер интерфейса | Интерфейс [P | E]. * is up 
...
Интерфейс Ethernet1 / 2 "INSIDE", включен, протокол линии включен
        Номер интерфейса  19 
Интерфейс Ethernet1 / 3.202 "ВНЕШНИЙ", включен, протокол линии включен
        Номер интерфейса  20 
Интерфейс Ethernet1 / 3.203 "DMZ", включен, протокол линии включен
        Номер интерфейса  22  

Примечание : Начиная с версии программного обеспечения Firepower 6.5, выпуск 9.13.x ASA, выходные данные команд show conn long и show conn detail предоставляют информацию об инициаторе соединения и ответчике

Выход 1:

 firepower #  показать conn long 
...
TCP ВНЕШНИЙ: 192.168.2.200/80 (192.168.2.200/80) ВНУТРИ: 192.168.1.100/46050 (192.168.1.100/46050), флаги aA N1, простоя 3 секунды, время безотказной работы 6 секунд, таймаут 30 секунд, байты 0
    Инициатор: 192.168.1.100, Ответчик: 192.168.2.200 
  Идентификатор ключа поиска подключения: 228982375 

Выход 2:

 firepower #  показать деталь коннектора 
...
TCP ВНЕШНИЙ: 192.168.2.200/80 ВНУТРИ: 192.168.1.100/46050,
    флаги aA N1, простоя 4 с, время безотказной работы 11 с, тайм-аут 30 с, байты 0
    Инициатор: 192.168.1.100, Ответчик: 192.168.2.200 
  Идентификатор ключа поиска подключения: 228982375 

Кроме того, show conn long отображает IP-адреса с NAT в круглых скобках в случае преобразования сетевых адресов:

 firepower #  показать conn long 
...
TCP ВНЕШНИЙ: 192.168.2.222/80 (192.168.2.222/80) ВНУТРИ: 192.168.1.100/34792 ( 192.168.2.150 /34792), флаги aA N1, idle 0s, uptime 0s, timeout 30s, байты 0, xlate id 0x2b5a8a4314c0
  Инициатор: 192.168.1.100, ответчик: 192.168.2.222
  Идентификатор ключа поиска соединения: 262895
 

Действие 6. Проверьте кэш протокола разрешения адресов (ARP) межсетевого экрана.

Если межсетевой экран не может разрешить следующий переход, межсетевой экран автоматически отбрасывает исходный пакет (в данном случае TCP SYN) и непрерывно отправляет запросы ARP, пока не разрешит следующий переход.

Чтобы увидеть кеш ARP брандмауэра, используйте команду:

 firepower #  показать arp  

Дополнительно, чтобы проверить наличие неразрешенных хостов, вы можете использовать команду:

 firepower #  показать статистику arp 
        Количество записей ARP в ASA: 0

        Выпало блоков в ARP: 84
        Максимальное количество блоков в очереди: 3
        Блоки в очереди: 0
        Получено ARP-сообщений о конфликте интерфейсов: 0
        ARP-защита Отправлено бесплатных ARPS: 0
        Общее количество попыток ARP:  182 <указывает на возможную проблему для некоторых хостов 
        Неразрешенные хосты:  1   <текущий статус 
        Максимальное количество неразрешенных хостов: 2
 

Если вы хотите дополнительно проверить работу ARP, вы можете включить захват, специфичный для ARP:

 firepower #  захват ARP интерфейс ARP Ethernet-типа ВНЕШНИЙ 
огневая мощь #  показать захват ARP 
...
   4: 07: 15: 16.877914 802.1Q vlan # 202 P0 arp  у кого есть 192.168.2.72 сказать 192.168.2.50 
   5: 07: 15: 18.020033 802.1Q vlan # 202 P0 arp у кого есть 192.168.2.72 сказать 192.168.2.50
 

В этих выходных данных межсетевой экран (192.168.2.50) пытается разрешить следующий переход (192.168.2.72), но нет ответа ARP

Выходные данные здесь показывают функциональный сценарий с правильным разрешением ARP:

 огневой мощи #  показать захват ARP 

2 пакета захвачены

   1: 07:17:19.495595 802.1Q vlan # 202 P0  arp у кого есть 192.168.2.72 скажите 192.168.2.50 
   2: 07: 17: 19.495946 802.1Q vlan # 202 P0  ответ arp 192.168.2.72 is-at 4c: 4e: 35: fc: fc: d8 
Показано 2 пакета
 

 firepower #  показать arp 
        ВНУТРИ 192.168.1.71 4c4e.35fc.fcd8 9
        ВНЕШНИЙ 192.168.2.72 4c4e.35fc.fcd8 9
 

В случае отсутствия записи ARP, трассировка активного пакета TCP SYN показывает:

 firepower #  показать трассировку номера пакета CAPI 1 

6 пакетов захвачено

   1: 07:03:43.270585  192.168.0.100.11997> 10.10.1.100.80 : S 4023707145: 4023707145 (0) win 8192 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
  Тип: ROUTE-LOOKUP 
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
  найдено следующий переход 192.168.2.72 с использованием egress ifc OUTSIDE 
…
Фаза: 14
Тип: ПОТОК-СОЗДАНИЕ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Новый поток создан с идентификатором 4814, пакет отправлен следующему модулю
…
Фаза: 17
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
  обнаружил следующий переход 192.168.2.72 с использованием egress ifc OUTSIDE 

Результат:
  интерфейс ввода: INSIDE 
вход-статус: вверх
вход-линия-статус: вверх
  выходной интерфейс: ВНЕШНИЙ 
статус вывода: вверх
статус строки вывода: вверх
  Действие: разрешить
  

Как видно из выходных данных, трассировка показывает действие : разрешить , даже если следующий прыжок недоступен и пакет автоматически отбрасывается брандмауэром! В этом случае необходимо также проверить средство отслеживания пакетов, поскольку оно обеспечивает более точный вывод:

 firepower #  вход для отслеживания пакетов INSIDE tcp 192.168.0.100 1111 10.10.1.100 80
 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.2.72 с использованием egress ifc OUTSIDE
…

Фаза: 14
Тип: ПОТОК-СОЗДАНИЕ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Новый поток создан с идентификатором 4816, пакет отправлен следующему модулю
…
Фаза: 17
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.2.72 использование egress ifc OUTSIDE

Результат:
интерфейс ввода: ВНУТРИ
вход-статус: вверх
вход-линия-статус: вверх
выходной интерфейс: ВНЕШНИЙ
статус вывода: вверх
статус строки вывода: вверх
Действие: падение
  Причина отбрасывания: (no-v4-смежность) Недопустимая смежность V4, Расположение отбрасывания: кадр 0x00005647a4e86109 поток (NA) / NA
  

В последних версиях ASA / Firepower приведенное выше сообщение было оптимизировано до:

 Причина отбрасывания: (no-v4-смежность) Нет допустимой смежности V4.  Проверить таблицу ARP (показать arp) имеет запись для nexthop ., Место сброса: f 

Если вы видите только TCP SYN-пакет на входных интерфейсах, но не TCP SYN-пакет, отправленный из ожидаемого выходного интерфейса, возможны следующие причины:

На этом изображении показана топология:

Описание проблемы: HTTP не работает

Затронутый поток:

Src IP: 192.168.0.100

Dst IP: 10.10.1.100

Протокол: TCP 80

Анализ захвата

Включите захват на движке FTD LINA.

 firepower #  захват CAPI int INSIDE match ip host 192.168.0.100 хост 10.10.1.100 
firepower #  захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
  

Захваты — нефункциональный сценарий:

Из интерфейса командной строки устройства захваты выглядят следующим образом:

 огневой мощи #  показать захват 
захват интерфейса трассировки необработанных данных типа CAPI ВНУТРИ [захват -  834 байта ]
  сопоставить IP-хост 192.168.0.100 хост 10.10.1.100
захват интерфейса необработанных данных типа CAPO ВНЕШНИЙ [захват -  878 байт ]
  сопоставьте ip host 192.168.0.100 хост 10.10.1.100
 

Содержание CAPI:

 огневой мощи #  показать захват CAPI 
   1: 05: 20: 36.654217 192.168.0.100.22195> 10.10.1.100.80:  S  1397289928: 1397289928 (0) win 8192 
   2: 05: 20: 36.
1 192.168.0.100.22196> 10.10.1.100.80:  S  2171673258: 2171673258 (0) win 8192 
   3: 05: 20: 36.
3 10.10.1.100.80> 192.168.0.100.22196:  R  1850052503: 1850052503 (0) ack 2171673259 win 0
   4: 05:20:37.414132 192.168.0.100.22196> 10.10.1.100.80:  S  2171673258: 2171673258 (0) win 8192 
   5: 05: 20: 37.414803 10.10.1.100.80> 192.168.0.100.22196:  R  31997177: 31997177 (0) ack 2171673259 win 0
   6: 05: 20: 37.
3 192.168.0.100.22196> 10.10.1.100.80:  S  2171673258: 2171673258 (0) win 8192 
...
 

Содержание CAPO:

 огневой мощи #  показать захват CAPO 
   1: 05:20:36.654507 802.1Q vlan # 202 P0 192.168.0.100.22195> 10.10.1.100.80:  S  2866789268: 2866789268 (0) win 8192 
   2: 05: 20: 36.8 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80:  S  4785344: 4785344 (0) win 8192 
   3: 05: 20: 36.
7 802.1Q vlan # 202 P0 10.10.1.100.80> 192.168.0.100.22196:  R  0: 0 (0) ack 4785345 win 0
   4: 05: 20: 37.414269 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80:  S  4235354730: 4235354730 (0) win 8192 
   5: 05: 20: 37.414758 802.1Q vlan # 202 P0 10.10.1.100.80> 192.168.0.100.22196:  R  0: 0 (0) ack 4235354731 win 0
   6: 05: 20: 37.
5 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80:  S  4118617832: 4118617832 (0) win 8192 
 

На этом изображении показан захват CAPI в Wireshark.

Ключевые точки:

1. Источник отправляет пакет TCP SYN.
2. TCP RST отправляется источнику.
3. Источник повторно передает пакеты TCP SYN.
4. MAC-адреса верны (для входящих пакетов MAC-адрес источника принадлежит нисходящему маршрутизатору, MAC-адрес назначения принадлежит интерфейсу INSIDE межсетевого экрана).

На этом изображении показан захват CAPO в Wireshark:

Ключевые точки:

1. Источник отправляет пакет TCP SYN.
2. TCP RST поступает на ВНЕШНИЙ интерфейс.
3. Источник повторно передает пакеты TCP SYN.
4. MAC-адреса верны (на исходящих пакетах брандмауэр OUTSIDE является MAC-адресом источника, восходящий маршрутизатор является MAC-адресом назначения).

На основании 2 отловов можно сделать вывод, что:

• Трехстороннее установление связи TCP между клиентом и сервером не завершается
• Имеется TCP RST, который поступает на выходной интерфейс межсетевого экрана.
• Межсетевой экран «разговаривает» с соответствующими устройствами восходящего и нисходящего потоков (на основе MAC-адресов)

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Проверьте исходный MAC-адрес, который отправляет TCP RST.

Убедитесь, что MAC-адрес назначения в пакете TCP SYN совпадает с MAC-адресом источника в пакете TCP RST.

Эта проверка имеет целью подтвердить 2 вещи:

• Убедитесь, что нет асимметричного потока.
• Убедитесь, что MAC принадлежит ожидаемому восходящему устройству.

Действие 2. Сравните входящие и исходящие пакеты.

Визуально сравните 2 пакета в Wireshark, чтобы убедиться, что брандмауэр не изменяет / не повреждает пакеты.Выделены некоторые ожидаемые различия.

Ключевые точки:

1. Временные метки разные. С другой стороны, разница должна быть небольшой и разумной. Это зависит от функций и проверок политики, применяемых к пакету, а также от нагрузки на устройство.
2. Длина пакетов может отличаться, особенно если брандмауэр добавляет / удаляет заголовок dot1Q только с одной стороны.
3. MAC-адреса разные.
4. Заголовок dot1Q может быть на месте, если захват был сделан на подинтерфейсе.
5. IP-адрес (а) различаются, если к пакету применяется NAT или преобразование адресов порта (PAT).
6. Порты источника и назначения различаются, если к пакету применяется NAT или PAT.
7. Если вы отключите параметр Wireshark Relative Sequence Number , вы увидите, что порядковые номера TCP / номера подтверждения изменяются брандмауэром из-за рандомизации начального порядкового номера (ISN).
8. Некоторые параметры TCP могут быть перезаписаны.Например, межсетевой экран по умолчанию изменяет максимальный размер сегмента TCP (MSS) на 1380, чтобы избежать фрагментации пакетов на пути передачи.

Действие 3. Сделайте снимок в пункте назначения.

Если возможно, сделайте снимок в самом пункте назначения. Если это невозможно, сделайте снимок как можно ближе к месту назначения. Цель здесь — проверить, кто отправляет TCP RST (целевой сервер или какое-то другое устройство на пути?).

На этом изображении показана топология:

Описание проблемы: HTTP не работает

Затронутый поток:

Src IP: 192.168.0.100

Dst IP: 10.10.1.100

Протокол: TCP 80

Включите захват на движке FTD LINA.

 firepower #  захват CAPI int INSIDE соответствует IP-хосту 192.168.0.100 хосту 10.10.1.100
  firepower #  захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
  

Захваты — нефункциональный сценарий:

Эта проблема может проявляться в захватах несколькими способами.

3.1 — Трехстороннее установление связи TCP + отложенный RST от клиента

И CAPI, и CAPO, перехваченные межсетевым экраном, содержат одни и те же пакеты, как показано на изображении.

Ключевые точки:

1. Трехстороннее подтверждение TCP проходит через брандмауэр.
2. Сервер повторно передает SYN / ACK.
3. Клиент повторно передает ACK.
4. Через ~ 20 секунд клиент отказывается и отправляет TCP RST.

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Сделайте снимки как можно ближе к двум конечным точкам.

Записи брандмауэра показывают, что клиентский ACK не был обработан сервером. Это основано на следующих фактах:

• Сервер повторно передает SYN / ACK.
• Клиент повторно передает ACK.
• Клиент отправляет TCP RST или FIN / ACK перед любыми данными.

Захват на сервере показывает проблему. Клиентский ACK из трехстороннего подтверждения TCP так и не поступил:

И CAPI, и CAPO, перехваченные межсетевым экраном, содержат одни и те же пакеты, как показано на изображении.

Ключевые точки:

1. Трехстороннее подтверждение TCP проходит через брандмауэр.
2. Через ~ 5 секунд клиент отправляет FIN / ACK.
3. Через ~ 20 секунд сервер отказывается и отправляет TCP RST.

На основании этого захвата можно сделать вывод, что, несмотря на трехстороннее установление связи TCP через брандмауэр, кажется, что оно никогда не завершается на одной конечной точке (повторные передачи указывают на это).

То же, что и в случае 3.1

И CAPI, и CAPO, перехваченные межсетевым экраном, содержат одни и те же пакеты, как показано на изображении.

Ключевые точки:

1. Трехстороннее подтверждение TCP проходит через брандмауэр.
2. Через ~ 20 секунд клиент отказывается и отправляет TCP RST.

На основании этих снимков можно сделать вывод, что:

• Через 5-20 секунд одна конечная точка отказывается и решает разорвать соединение.

То же, что и в случае 3.1

3.4 — Трехстороннее установление связи TCP + немедленное RST с сервера

Оба брандмауэра перехватывают CAPI и CAPO содержат эти пакеты, как показано на изображении.

Ключевые точки:

1. Трехстороннее подтверждение TCP проходит через брандмауэр.
2. Через несколько миллисекунд после пакета ACK от сервера идет TCP RST.

Действие: Делайте снимки как можно ближе к серверу.

Немедленное TCP RST от сервера может указывать на неисправный сервер или устройство на пути, которое отправляет TCP RST. Сделайте снимок на самом сервере и определите источник TCP RST.

На этом изображении показана топология:

Описание проблемы: HTTP не работает.

Затронутый поток:

Src IP: 192.168.0.100

Dst IP: 10.10.1.100

Протокол: TCP 80

Анализ захвата

Включить захват на движке FTD LINA.

 firepower #  захват CAPI int INSIDE соответствует IP-хосту 192.168.0.100 хосту 10.10.1.100 
firepower #  захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
  

Захваты — нефункциональный сценарий:

Это содержимое CAPI.

 огневой мощи #  показать захват CAPI 

14 пакетов захвачено

   1: 12: 32: 22.860627 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 
   2: 12: 32: 23.111307 192.168.0.100.47079> 10.10.1.100.80: S 2486945841: 2486945841 (0) win 8192 
   3: 12: 32: 23.112390 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
   4: 12: 32: 25.858109 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 
   5: 12: 32: 25.868698 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0
   6: 12: 32: 26.108118 192.168.0.100.47079> 10.10.1.100.80: S 2486945841: 2486945841 (0) win 8192 
   7: 12:32:26.109079 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэндов: 3000518858 (0) выигрыш 0
   8: 12: 32: 26.118295 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
   9: 12: 32: 31.859925 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 
  10: 12: 32: 31.860902 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0
  11: 12: 32: 31.875229 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0
  12: 12:32:32.140632 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
  13: 12: 32: 32.159995 192.168.0.100.47079> 10.10.1.100.80: S 2486945841: 2486945841 (0) win 8192 
  14: 12: 32: 32.160956 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
Показано 14 пакетов
 

Это содержимое CAPO:

 огневой мощи #  показать захват CAPO 

Захвачено 11 пакетов

   1: 12: 32: 22.860780 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 1386249852: 1386249852 (0) win 8192 
   2: 12: 32: 23.111429 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 3000518857: 3000518857 (0) win 8192 
   3: 12: 32: 23.112405 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 35140: 35140 (0) выигрыш 0
   4: 12: 32: 25.858125 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 1386249852: 1386249852 (0) win 8192 
   5: 12:32:25.868729 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: R 29688
: 29688
 (0) выигрыш 0
   6: 12: 32: 26.108240 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 3822259745: 3822259745 (0) win 8192 
   7: 12: 32: 26.109094 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 40865466: 40865466 (0) выигрыш 0
   8: 12: 32: 31.860062 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 4294058752: 4294058752 (0) win 8192 
   9: 12:32:31.860917 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: R 1581733941: 1581733941 (0) выигрыш 0
  10: 12: 32: 32.160102 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 4284301197: 4284301197 (0) win 8192 
  11: 12: 32: 32.160971 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 5028: 5028 (0) выигрыш 0
Показано 11 пакетов
 

Журналы брандмауэра показывают:

 огневая мощь №  журнал событий | я 47741 
13 октября 2019 13:57:36:% FTD-6-302013: Построено входящее TCP-соединение 4869 для INSIDE: 192.168.0.100 / 47741 (192.168.0.100/47741) ВНЕШНИЙ: 10.10.1.100/80 (10.10.1.100/80)
13 октября 2019 13:57:36:% FTD-6-302014: Разрыв TCP-соединения 4869 для ВНУТРИ: 192.168.0.100/47741 на ВНЕШНИЙ: 10.10.1.100/80 продолжительность 0:00:00 байт 0  TCP Reset-O от ВНУТРИ 
13 октября 2019 г. 13:57:39:% FTD-6-302013: Построено входящее TCP-соединение 4870 для ВНУТРИ: 192.168.0.100/47741 (192.168.0.100/47741) для ВНЕШНЕГО: 10.10.1.100/80 (10.10.1.100/80) )
13 октября 2019 13:57:39:% FTD-6-302014: Разрыв TCP-соединения 4870 для INSIDE: 192.168.0.100 / 47741 к ВНЕШНЕМУ: 10.10.1.100/80 продолжительность 0:00:00 байт 0  TCP Reset-O из ВНУТРИ 
13 октября 2019 13:57:45:% FTD-6-302013: Построено входящее TCP-соединение 4871 для INSIDE: 192.168.0.100/47741 (192.168.0.100/47741) для OUTSIDE: 10.10.1.100/80 (10.10.1.100/80) )
13 октября 2019 13:57:45:% FTD-6-302014: Разрыв TCP-соединения 4871 для ВНУТРИ: 192.168.0.100/47741 для ВНЕШНЕГО: 10.10.1.100/80 продолжительность 0:00:00 байт 0 TCP Reset-O из ВНУТРИ
 

Эти журналы указывают на наличие TCP RST, поступающего на ВНУТРЕННИЙ интерфейс межсетевого экрана

Захват CAPI в Wireshark:

Следуйте первому потоку TCP, как показано на изображении.

В Wireshark перейдите к Edit> Preferences> Protocols> TCP и отмените выбор параметра Relative sequence numbers , как показано на изображении.

На этом изображении показано содержимое первого потока в захвате CAPI:

Ключевые точки:

1. Клиент отправляет пакет TCP SYN.
2. Клиент отправляет пакет TCP RST.
3. Пакет TCP SYN имеет значение порядкового номера, равное 4098574664.

Тот же поток в захвате CAPO содержит:

Ключевые точки:

1. Клиент отправляет пакет TCP SYN. Брандмауэр рандомизирует ISN.
2. Клиент отправляет пакет TCP RST.

На основании двух отловов можно сделать вывод, что:

• Нет трехстороннего установления связи TCP между клиентом и сервером.
• Существует TCP RST, который исходит от клиента. Значение порядкового номера TCP RST в захвате CAPI — 1386249853.

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Сделайте снимок на клиенте.

На основе захватов, собранных на межсетевом экране, есть явное указание на асимметричный поток. Это основано на том факте, что клиент отправляет TCP RST со значением 1386249853 (рандомизированный ISN):

Ключевые точки:

1. Клиент отправляет пакет TCP SYN.Порядковый номер 4098574664 и такой же, как на ВНУТРЕННЕМ интерфейсе межсетевого экрана (CAPI)
.
2. Имеется TCP SYN / ACK с номером ACK 1386249853 (что ожидается из-за рандомизации ISN). Этот пакет не был замечен в захватах брандмауэра
3. Клиент отправляет TCP RST, поскольку он ожидал SYN / ACK со значением номера ACK 4098574665, но получил значение 1386249853

Это можно представить как:

Действие 2. Проверьте маршрутизацию между клиентом и межсетевым экраном.

Подтвердите, что:

• MAC-адреса, обнаруженные в захватах, являются ожидаемыми.
• Убедитесь, что маршрутизация между брандмауэром и клиентом симметрична.

Существуют сценарии, в которых RST исходит от устройства, которое находится между брандмауэром и клиентом, в то время как во внутренней сети существует асимметричная маршрутизация. Типичный случай показан на изображении:

В этом случае захват имеет это содержимое. Обратите внимание на разницу между MAC-адресом источника пакета TCP SYN и MAC-адресом источника TCP RST и MAC-адресом назначения пакета TCP SYN / ACK:

 огневой мощи #  показать захват CAPI деталь 
   1: 13:57:36.730217  4c4e.35fc.fcd8  00be.75f6.1dae 0x0800 Длина: 66
      192.168.0.100.47740> 10.10.1.100.80: S [tcp sum ok] 3045001876: 3045001876 (0) win 8192  (DF) (ttl 127, id 25661 )
   2: 13: 57: 36.981104 4c4e.35fc.fcd8 00be.75f6.1dae 0x0800 Длина: 66
      192.168.0.100.47741> 10.10.1.100.80: S [tcp sum ok] 380
40: 380
40 (0) win 8192  (DF) (ttl 127, id 25662 )
   3: 13: 57: 36.981776 00be.75f6.1dae  a023.9f92.2a4d  0x0800 Длина: 66
      10.10.1.100.80> 192.168.0.100.47741: S [tcp sum ok] 1304153587: 1304153587 (0) ack 380
41 win 8192  (DF) (ttl 127, id 23339)
   4: 13: 57: 36.982126  a023.9f92.2a4d  00be.75f6.1dae 0x0800 Длина: 54
      192.168.0.100.47741> 10.10.1.100.80:  R  [tcp sum ok] 380
41: 380
41 (0) ack 1304153588 win 8192 (ttl 255, id 48501)
...
 

Случай 5. Медленная передача TCP (сценарий 1)

Описание проблемы:

Передача SFTP между хостами 10.11.4.171 и 10.77.19.11 медленные. Хотя минимальная пропускная способность (BW) между двумя хостами составляет 100 Мбит / с, скорость передачи не превышает 5 Мбит / с.

При этом скорость передачи между хостами 10.11.2.124 и 172.25.18.134 значительно выше.

Теория предыстории:

Максимальная скорость передачи для одного потока TCP определяется продуктом задержки полосы пропускания (BDP). Используемая формула показана на изображении:

Более подробную информацию о BDP можно найти здесь:

Сценарий 1.Медленная передача

На этом изображении показана топология:

Затронутый поток:

IP-адрес источника: 10.11.4.171

Dst IP: 10.77.19.11

Протокол: SFTP (FTP через SSH)

Включить захваты на ядре FTD LINA:

 firepower #  захват CAPI int INSIDE buffer 33554432 match ip host 10.11.4.171 host 10.77.19.11 
firepower #  захват CAPO int OUTSIDE buffer 33554432 сопоставление ip host 10.11.4.171 хост 10.77.19.11
  

Предупреждение : Захваты LINA на захватах FP1xxx и FP21xx влияют на скорость передачи трафика, проходящего через FTD. Не включайте перехваты LINA на платформах FP1xxx и FP21xxx при устранении проблем с производительностью (медленная передача через FTD). Вместо этого используйте SPAN или устройство HW Tap в дополнение к захватам на исходном и целевом хостах. Проблема задокументирована в CSCvo30697.

 firepower #  захват интерфейса трассировки необработанных данных типа CAPI внутри соответствует icmp любой любой 
ПРЕДУПРЕЖДЕНИЕ. Выполнение перехвата пакетов может отрицательно сказаться на производительности.

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Расчет времени туда и обратно (RTT)

Сначала определите поток передачи и следуйте ему:

Измените представление Wireshark, чтобы отобразить секунд с момента предыдущего отображаемого пакета . Это упрощает расчет RTT:

RTT можно рассчитать, сложив значения времени между двумя пакетами обмена (один в направлении источника, а другой в направлении пункта назначения).В этом случае пакет № 2 показывает RTT между межсетевым экраном и устройством, которое отправило пакет SYN / ACK (сервер). Пакет № 3 показывает RTT между межсетевым экраном и устройством, отправившим пакет ACK (клиентом). Сложение двух чисел дает хорошую оценку сквозного RTT:

RTT ≈ 80 мс

Расчет размера окна TCP

Разверните пакет TCP, разверните заголовок TCP, выберите Расчетный размер окна и выберите Применить как столбец:

Проверьте столбец Расчетное значение размера окна , чтобы узнать, какое максимальное значение размера окна было во время сеанса TCP.Вы также можете выбрать имя столбца и отсортировать значения.

Если вы тестируете загрузку файла (сервер > клиент ), вы должны проверить значения, объявленные сервером. Максимальное значение размера окна, объявленное сервером, определяет максимальную скорость передачи.

В данном случае размер окна TCP составляет ≈ 50000 байт

На основе этих значений и с использованием формулы произведения на задержку полосы пропускания вы получаете максимальную теоретическую полосу пропускания, которая может быть достигнута в этих условиях: 50000 * 8/0.0 = 1 (без масштабирования окон). Это отрицательно сказывается на скорости передачи:

На этом этапе необходимо выполнить захват на сервере, подтвердить, что это тот, кто объявляет масштаб окна = 0, и перенастроить его (вам может потребоваться проверить документацию сервера, как это сделать).

Сценарий 2. Быстрая передача

Теперь рассмотрим хороший сценарий (быстрая передача через ту же сеть):

Топология:

Поток интересов:

Src IP: 10.11.2.124

Dst IP: 172.25.18.134

Протокол: SFTP (FTP через SSH)

Включить захват на движке FTD LINA

 firepower #  захват CAPI int INSIDE buffer 33554432 сопоставление ip host 10.11.2.124 host 172.25.18.134 
firepower #  захват CAPO int ВНЕШНИЙ буфер 33554432 сопоставление ip host 10.11.2.124 host 172.25.18.134
  

Расчет времени кругового обхода (RTT): В этом случае RTT составляет ≈ 300 мсек.

Расчет размера окна TCP: сервер объявляет коэффициент масштабирования окна TCP равный 7.

Размер окна TCP сервера ≈ 1600000 Байт:

На основе этих значений формула произведения на задержку полосы пропускания дает:

1600000 * 8 / 0,3 = максимальная теоретическая скорость передачи 43 Мбит / с

Описание проблемы: Передача (загрузка) файлов по FTP через брандмауэр происходит медленно.

На этом изображении показана топология:

Затронутый поток:

Src IP: 192.168.2.220

Dst IP: 192.168.1.220

Протокол: FTP

Включите захват на движке FTD LINA.

 firepower #  захват буфера необработанных данных типа CAPI 33554432 интерфейс INSIDE соответствие хоста tcp 192.168.2.220 хост 192.168.1.220 
firepower #  cap Буфер необработанных данных типа CAPO 33554432 интерфейс ВНЕШНЕЕ соответствие хоста tcp 192.168.2.220 хост 192.168.1.220
  

Выберите пакет FTP-DATA и следуйте каналу данных FTP при захвате FTD INSIDE (CAPI):

Содержимое потока FTP-DATA:

Содержимое захвата CAPO:

Ключевые точки:

1. Есть пакеты TCP Out-Of-Order (OOO).
2. Произошла повторная передача TCP.
3. Имеется индикация потери пакета (отброшенные пакеты).

Совет : Сохраните захваченные данные, когда вы перейдете к File> Export Specified Packets . Затем сохраните только диапазон пакетов Displayed

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Определите место потери пакета.

В подобных случаях необходимо выполнять одновременный захват и использовать методологию «разделяй и властвуй» для определения сегмента (ов) сети, вызывающего потерю пакетов. С точки зрения межсетевого экрана существует 3 основных сценария:

1. Потеря пакетов вызвана самим межсетевым экраном.
2. Потеря пакета вызвана нисходящим потоком к устройству межсетевого экрана (направление от сервера к клиенту).
3. Потеря пакета вызвана восходящим потоком к устройству межсетевого экрана (направление от клиента к серверу).

Потеря пакетов, вызванная межсетевым экраном: Чтобы определить, вызвана ли потеря пакетов межсетевым экраном, необходимо сравнить входящий захват с исходящим захватом. Есть довольно много способов сравнить 2 разных снимка. В этом разделе показан один из способов решения этой задачи.

Процедура сравнения 2 захватов для определения потери пакетов

Шаг 1. Убедитесь, что 2 захвата содержат пакеты из одного временного окна. Это означает, что в одном захвате не должно быть пакетов, которые были захвачены до или после другого захвата.Есть несколько способов сделать это:

• Проверьте значения IP-идентификатора (ID) первого и последнего пакета.
• Проверьте значения отметок времени первого и последнего пакета.

В этом примере вы можете видеть, что первые пакеты каждого захвата имеют одинаковые значения IP ID:

Если они не совпадают, то:

1. Сравните временные метки первого пакета каждого захвата.
2. Из захвата с последней отметкой времени получите фильтр, измените фильтр отметки времени с == на > = (первый пакет) и <= (последний пакет), например.г:

(frame.time> = «16 октября 2019 г. 16: 13: 43.2446«) && (frame.time <= "16 октября 2019 г. 16: 20: 21.785130000")

3. Экспортируйте указанные пакеты в новый захват, выберите Файл> Экспортировать указанные пакеты и затем сохраните Отображаемые пакеты . На этом этапе оба захвата должны содержать пакеты, охватывающие одно и то же временное окно. Теперь вы можете начать сравнение двух снимков.

Шаг 2. Укажите, какое поле пакета используется для сравнения двух захватов.Пример полей, которые можно использовать:

• IP-идентификация
• Порядковый номер RTP
• Порядковый номер ICMP

Создайте текстовую версию каждого захвата, содержащую поле для каждого пакета, указанного на шаге 1. Для этого оставьте только интересующий столбец, например если вы хотите сравнить пакеты на основе IP-идентификации, измените захват, как показано на изображении.

Результат:

Шаг 3.Создайте текстовую версию захвата ( File> Export Packet Dissections> As Plain Text …), как показано на изображении:

Снимите флажок I nclude заголовков столбцов и Сведения о пакете Параметры , чтобы экспортировать только значения отображаемого поля, как показано на изображении:

Шаг 4. Отсортируйте пакеты в файлах. Для этого можно использовать команду Linux sort :

 #  сортировать CAPI_IDs> file1.отсортировано 
#  sort CAPO_IDs> file2.sorted
  

Шаг 5. Используйте инструмент сравнения текста (например, WinMerge) или команду Linux diff , чтобы найти различия между двумя захватами.

В этом случае захват CAPI и CAPO для трафика данных FTP идентичен. Это доказывает, что потеря пакетов не была вызвана межсетевым экраном.

Определение потери пакетов в восходящем / нисходящем направлениях.

Ключевые точки:

1.Этот пакет является повторной передачей TCP. В частности, это пакет TCP SYN, отправленный от клиента к серверу для данных FTP в пассивном режиме. Поскольку клиент повторно отправляет пакет, и вы можете увидеть начальный SYN (пакет №1), пакет был потерян в восходящем направлении к межсетевому экрану.

В этом случае может быть даже вероятность того, что пакет SYN добрался до сервера, но пакет SYN / ACK был потерян на обратном пути:

2. Есть пакет от сервера, и Wireshark определил, что предыдущий сегмент не был замечен / захвачен.Поскольку незахваченный пакет был отправлен с сервера на клиент и не был замечен в захвате брандмауэра, это означает, что пакет был потерян между сервером и брандмауэром.

Это указывает на потерю пакетов между FTP-сервером и межсетевым экраном.

Действие 2. Сделайте дополнительные захваты.

Делайте дополнительные захваты вместе с захватами на конечных точках. Попробуйте применить метод «разделяй и властвуй», чтобы изолировать проблемный сегмент, вызывающий потерю пакетов.

Ключевые точки:

1. Получатель (в данном случае FTP-клиент) отслеживает входящие порядковые номера TCP. Если он обнаруживает, что пакет был пропущен (ожидаемый порядковый номер был пропущен), он генерирует пакет ACK с ACK = «ожидаемый порядковый номер, который был пропущен». В этом примере Ack = 2224386800.
2. Dup ACK запускает быструю повторную передачу TCP (повторная передача в течение 20 мс после получения дублированного ACK).

Что означают повторяющиеся ACK?

• Несколько дублированных ACK, но нет фактических повторных передач, указывают на то, что, скорее всего, есть пакеты, которые прибывают не по порядку.
• Дублирующиеся ACK, за которыми следуют фактические повторные передачи, указывают на то, что произошла некоторая потеря пакетов.

Действие 3. Рассчитайте время обработки межсетевым экраном транзитных пакетов.

Применить один и тот же захват на 2 разных интерфейсах:

 firepower #  захват буфера CAPI 33554432 интерфейс INSIDE соответствует хосту tcp 192.168.2.220 хосту 192.168.1.220 
firepower #  захват интерфейса CAPI СНАРУЖИ  

Экспорт захвата, проверка разницы во времени между входящими и исходящими пакетами

 firepower #  захват CAPI int INSIDE match ip host 192.168.21.193 host 192.168.14.250 
firepower #  захват CAPO int OUTSIDE соответствует IP-хосту 192.168.21.193 хост 192.168.14.250
  

 firepower #  захват CAPI int INSIDE trace match udp host 192.168.1.81 host 10.10.1.73 eq 514 
firepower #  захват CAPO int OUTSIDE match udp host 192.168.1.81 host 10.10.1.73 eq 514
  

 огневой мощи #  показать захват 
захват интерфейса трассировки необработанных данных типа CAPI ВНУТРИ [захват - 0 байт]
  соответствовать хосту udp 192.168.1.81 хост 10.10.1.73 eq syslog
захват интерфейса необработанных данных типа CAPO СНАРУЖИ [захват - 0 байт]
  сопоставить хост udp 192.168.1.81 хост 10.10.1.73 eq syslog
 

 firepower #  показать адрес соединения 192.168.1.81 порт 514 
10 в использовании, 3627189 наиболее часто используемых
Осмотрите Snort:
        preserve-connection: 6 включено, 0 активно, 74 наиболее активно, 0 наиболее активно

UDP  ВНУТРИ  10.10.1.73: 514  INSIDE  192.168.1.81:514, idle 0:00:00, байты  480379697 , флаги -  o  N1
 

 firepower #  вход для отслеживания пакетов ВНУТРИ udp 10.10.1.73 514 192.168.1.81 514
 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
Тип: ПОТОК-ПРОСМОТР
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
  Найден поток с идентификатором 25350892 с использованием существующего потока 

Фаза: 4
Тип: SNORT
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Snort Verdict: (перемотка вперед) перемотка вперед по этому потоку

Фаза: 5
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.1.81 с использованием egress ifc INSIDE

Фаза: 6
Тип: ADJACENCY-LOOKUP
Подтип: следующий переход и смежность
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
смежность активна
MAC-адрес следующего перехода a023.9f92.2a4d попадает в 1 ссылку 1

Фаза: 7
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Результат:
  интерфейс ввода: INSIDE 
вход-статус: вверх
вход-линия-статус: вверх
 Выходной интерфейс : ВНУТРИ 
статус вывода: вверх
статус строки вывода: вверх
Действие: разрешить
 

 firepower #  показать маршрут 10.10.1.73 

Запись маршрутизации для 10.10.1.0 255.255.255.0
  Известен через "eigrp 1", расстояние 90, метрическая система 3072, тип внутренний
  Распространение через eigrp 1
  Последнее обновление от 192.168.2.72 на  СНАРУЖИ, 0:03:37 назад 
  Блоки дескриптора маршрутизации:
  * 192.168.2.72, из 192.168.2.72,  0:02:37 назад, через OUTSIDE 
      Метрика маршрута - 3072, доля трафика - 1.
      Общая задержка 20 микросекунд, минимальная пропускная способность 1000000 Кбит
      Надежность 255/255, минимальный MTU 1500 байт
      Загрузка 29/255, хмель 1
 

 firepower #  показать адрес соединения 192.168.1.81 порт 514 деталь 
21 используется, 3627189 наиболее часто используется
Осмотрите Snort:
        preserve-connection: 19 включено, 0 активно, 74 наиболее активно, 0 наиболее активно
Флаги: A - ожидает ACK ответчика на SYN, a - ожидает ACK инициатора на SYN,
       b - TCP state-bypass или прибитый,
       C - CTIQBE media, c - кластер централизованный,
       D - DNS, d - дамп, E - внешнее обратное соединение, e - полураспределенное,
       F - инициатор FIN, f - ответчик FIN,
       G - группа, g - MGCP, H - H.323, h - H.225.0, I - данные инициатора,
       i - неполный, J - GTP, j - данные GTP, K - t3-ответ GTP
       k - тощий носитель, L - туннель без крышки, M - данные SMTP, m - носитель SIP
       N - проверено Snort (1 - сохранение соединения включено, 2 - сохранение соединения включено)
       n - GUP, O - данные респондента, o - выгружены,
       P - внутреннее заднее соединение, p - пассажирский поток
       q - данные SQL * Net, R - инициатор подтвердил FIN,
       R - UDP SUNRPC, r - ответчик подтвердил FIN,
       T - SIP, t - SIP переходный, U - вверх,
       V - сирота VPN, v - M3UA W - WAAS,
       w - резервная копия вторичного домена,
       X - проверяется сервисным модулем,
       x - на сеанс, Y - поток заглушки директора, y - поток заглушки резервного копирования,
       Z - Scansafe redirection, z - прямой поток переадресации

UDP ВНУТРИ: 10.10.1.73 / 514 ВНУТРИ: 192.168.1.81/514,
    флаги -oN1, простоя 0 с,  время безотказной работы 3 мин 49 с , тайм-аут 2 мин 0 с, байты 4801148711
 

 firepower #  очистить адрес соединения 10.10.1.73 адрес 192.168.1.81 протокол UDP порт 514 
1 соединение (а) удалено.

 firepower #  показать адрес соединения 192.168.1.81 детали порта 514 | б 10.10.1.73. * 192.168.1.81 
UDP  СНАРУЖИ : 10.10.1.73/514  ВНУТРИ : 192.168.1.81/514,
    флаги -oN1, простоя 1 мин. 15 сек., время безотказной работы 1 мин. 15 сек., тайм-аут 2 мин. 0 сек., байты 408
 

 firepower #  захват CAPI int INSIDE match ip host 192.168.201.111 хост 192.168.202.111 
firepower #  захват CAPO int OUTSIDE соответствие IP-хост 192.168.202.11 хост 192.168.202.111
  

Попробуйте зарегистрироваться еще раз.C Перехвачено 264 пакета <- CTRL-C 264 пакетов, полученных фильтром 0 пакетов отброшено ядром корень @ огневая мощь: / Том / главная / админ #

Соберите снимок из FMC ( System> Health> Monitor, выберите устройство и выберите Advanced Troubleshooting ), как показано на изображении:

На изображении показан захват FMC на Wireshark:

Совет : Чтобы проверить все новые захваченные сеансы TCP, используйте tcp.flags == 0x2 фильтр отображения в Wireshark. Это фильтрует все захваченные TCP SYN-пакеты.

Совет : примените в качестве столбца поле Server Name из сообщения SSL Client Hello.

Совет : примените этот фильтр отображения, чтобы видеть только сообщения Client Hello ssl.handshake.type == 1

Примечание : на момент написания этой статьи портал интеллектуального лицензирования (tools.cisco.com) использует эти IP-адреса: 72.163.4.38, 173.37.145.8

Следуйте одному из потоков TCP ( Follow> TCP Stream) , как показано на изображении.

Ключевые точки:

1. Имеется трехстороннее подтверждение TCP.
2. Клиент (FMC) отправляет сообщение SSL Client Hello на портал Smart Licensing.
3. Идентификатор сеанса SSL равен 0. Это означает, что сеанс не возобновлен.
4. Целевой сервер отвечает сообщениями Server Hello, Certificate и Server Hello Done.
5. Клиент отправляет SSL Fatal Alert с жалобой на «Неизвестный ЦС».
6. Клиент отправляет TCP RST, чтобы закрыть сеанс.
7. Полная продолжительность TCP-сеанса (от установления до закрытия) составляла ~ 0,5 секунды.

Выберите Сертификат сервера и разверните поле эмитента , чтобы увидеть commonName. В этом случае Общее имя показывает устройство, которое выполняет функцию «Человек посередине» (MITM).

Это показано на этом изображении:

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Сделайте дополнительные снимки.

Сделать снимки на транзитном брандмауэре:

CAPI показывает:

CAPO показывает:

Эти записи подтверждают, что транзитный межсетевой экран изменяет сертификат сервера (MITM)

Действие 2. Проверьте журналы устройства.

Вы можете получить комплект FMC TS, как описано в этом документе:

https://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html

В этом случае файл /dir-archives/var-log/process_stdout.log показывает такие сообщения:

 SOUT: 10-23 05:45:14 2019-10-23 05:45:36 sla [10068]: * среда .967 UTC: CH-LIB-ERROR: ch_pf_curl_send_msg [494], 
  не удалось выполнить, ошибка код 60, строка ошибки "Сертификат узла SSL или удаленный ключ SSH не в порядке" 
... 
 SOUT: 10-23 05:45:14 2019-10-23 05:45:36 sla [10068]: * Ср. 967 UTC: CH-LIB-TRACE: ch_pf_curl_is_cert_issue [514], 
  проблема с сертификатом проверка, ret 60, url "https: // tools.cisco.com/its/
  

Рекомендуемое решение

Отключите MITM для определенного потока, чтобы FMC мог успешно зарегистрироваться в облаке Smart Licensing.

Описание проблемы: внутренние узлы (расположенные за ВНУТРЕННИМ интерфейсом межсетевого экрана) не могут взаимодействовать с внешними узлами (узлами, расположенными за ВНЕШНИМ интерфейсом межсетевого экрана).

На этом изображении показана топология:

Затронутый поток:

Src IP: fc00: 1: 1: 1 :: 100

Dst IP: fc00: 1: 1: 2 :: 2

Протокол: любой

Включить захват на движке FTD LINA.

 firepower #  захват CAPI int INSIDE match ip any6 any6 
огневая мощь #  захват CAPO int OUTSIDE match ip any6 any6
  

Захваты — нефункциональный сценарий

Эти записи были сделаны параллельно с тестом подключения ICMP с IP fc00: 1: 1: 1 :: 100 (внутренний маршрутизатор) на IP fc00: 1: 1: 2 :: 2 (восходящий маршрутизатор).

Захват на межсетевом экране ВНУТРИ интерфейс содержит:

Ключевые точки:

1. Маршрутизатор отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 1 :: 1).
2. Брандмауэр отвечает объявлением о соседстве IPv6.
3. Маршрутизатор отправляет эхо-запрос ICMP.
4. Межсетевой экран отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса нижестоящего устройства (fc00: 1: 1: 1 :: 100).
5. Маршрутизатор отвечает объявлением о соседстве IPv6.
6. Маршрутизатор отправляет дополнительные эхо-запросы IPv6 ICMP.

Запись на ВНЕШНИЙ интерфейс межсетевого экрана содержит:

Ключевые точки:

1. Межсетевой экран отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 2 :: 2).
2. Маршрутизатор отвечает объявлением о соседстве IPv6.
3. Межсетевой экран отправляет эхо-запрос IPv6 ICMP.
4. Устройство восходящего потока (маршрутизатор fc00: 1: 1: 2 :: 2) отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса IPv6-адреса fc00: 1: 1: 1 :: 100.
5. Межсетевой экран отправляет дополнительный эхо-запрос IPv6 ICMP.
6. Восходящий маршрутизатор отправляет дополнительное сообщение запроса соседа IPv6 с запросом MAC-адреса IPv6-адреса fc00: 1: 1: 1 :: 100.

Пункт 4 очень интересен. Обычно восходящий маршрутизатор запрашивает MAC-адрес ВНЕШНЕГО интерфейса межсетевого экрана (fc00: 1: 1: 2 :: 2), но вместо этого он запрашивает fc00: 1: 1: 1 :: 100. Это признак неправильной конфигурации.

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Проверьте таблицу соседей IPv6.

Таблица IPv6-соседей межсетевого экрана заполнена правильно.

 firepower #  показать соседа по ipv6 | я fc00 
fc00: 1: 1: 2 :: 2 58 4c4e.35fc.fcd8 СТАЛО ВНЕШНИЙ
fc00: 1: 1: 1 :: 100 58 4c4e.35fc.fcd8 СТАЛО ВНУТРИ
 

Действие 2. Проверьте конфигурацию IPv6.

Это конфигурация межсетевого экрана.

 firewall #  show run int e1 / 2 
!
интерфейс Ethernet1 / 2
 nameif ВНУТРИ
 cts руководство
  распространять sgt preserve-untag
  политика статическая sgt отключена доверенная
 уровень безопасности 0
 IP-адрес 192.168.0.1 255.255.255.0
 IPv6-адрес  fc00: 1: 1: 1 :: 1/64 
 ipv6 включить

брандмауэр #  показать запуск int e1 / 3.202 
!
интерфейс Ethernet1 / 3.202
 vlan 202
 nameif СНАРУЖИ
 cts руководство
  распространять sgt preserve-untag
  политика статическая sgt отключена доверенная
 уровень безопасности 0
 IP-адрес 192.168.103.96 255.255.255.0
 IPv6-адрес  fc00: 1: 1: 2 :: 1/64 
 ipv6 включить
 

Конфигурация восходящего устройства обнаруживает неправильную конфигурацию:

 Маршрутизатор № показывает интерфейс запуска g0 / 0.202 
!
интерфейс GigabitEthernet0 / 0.202
 инкапсуляция dot1Q 202
 VRF переадресация VRF202
 IP-адрес 192.168.2.72 255.255.255.0
 IPv6-адрес FC00: 1: 1: 2 :: 2 /48
  

Захваты — Функциональный сценарий

Изменение маски подсети (с / 48 на / 64) устранило проблему. Это запись CAPI в функциональном сценарии.

Ключевой момент:

1. Маршрутизатор отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 1 :: 1).
2. Брандмауэр отвечает объявлением о соседстве IPv6.
3. Маршрутизатор отправляет эхо-запросы ICMP и получает эхо-ответы.

Состав КАПО:

Ключевые точки:

1. Межсетевой экран отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 2 :: 2).
2. Брандмауэр отвечает объявлением о соседстве IPv6.
3. Межсетевой экран отправляет эхо-запрос ICMP.
4. Маршрутизатор отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса нисходящего устройства (IP fc00: 1: 1: 1 :: 1).
5. Брандмауэр отвечает объявлением о соседстве IPv6.
6. Межсетевой экран отправляет эхо-запросы ICMP и получает эхо-ответы.

Описание проблемы: внутренние узлы (192.168.0.x / 24) периодически имеют проблемы с подключением к узлам в той же подсети

На этом изображении показана топология:

Затронутый поток:

Src IP: 192.168.0.x / 24

IP-адрес Dst: 192.168.0.x / 24

Протокол: любой

Кажется, что кеш ARP внутреннего хоста отравлен:

Включить захват на движке FTD LINA

Этот захват захватывает только пакеты ARP на интерфейсе INSIDE:

 firepower #  захват интерфейса CAPI_ARP INSIDE ethernet-type arp  

Захваты — нефункциональный сценарий:

Захват на межсетевом экране ВНУТРИ интерфейса содержит.

Ключевые точки:

1. Межсетевой экран получает различные запросы ARP для IP-адресов в сети 192.168.0.x / 24
2. Межсетевой экран отвечает на все из них (прокси-ARP) своим собственным MAC-адресом

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Проверьте конфигурацию NAT.

В зависимости от конфигурации NAT, есть случаи, когда ключевое слово no-proxy-arp может предотвратить вышеуказанное поведение:

 firepower #  выставка nat 
nat (INSIDE, OUTSIDE) исходный статический NET_1.1.1.0 NET_2.2.2.0 назначения статический NET_192.168.0.0 NET_4.4.4.0  no-proxy-arp
  

Действие 2. Отключите функцию proxy-arp в интерфейсе межсетевого экрана.

Если ключевое слово «no-proxy-arp» не решает проблему, рассмотрите возможность отключения прокси-ARP на самом интерфейсе. В случае FTD на момент написания этой статьи вам нужно будет использовать FlexConfig и развернуть следующую команду (укажите соответствующее имя интерфейса).

 sysopt noproxyarp ВНУТРИ 

Этот случай демонстрирует, как определенные идентификаторы SNMP OID для опроса памяти были определены как основная причина зависания ЦП (проблемы с производительностью) на основе анализа перехвата пакетов SNMP версии 3 (SNMPv3).

Описание проблемы: Переполнение на интерфейсах данных постоянно увеличивается. Дальнейшее устранение неполадок показало, что есть также проблемы с процессором (вызванные процессом SNMP), которые являются основной причиной переполнения интерфейса.

Следующим шагом в процессе устранения неполадок было определение основной причины перегрузки ЦП, вызванной процессом SNMP, и, в частности, сужение области действия проблемы до определения идентификаторов объектов SNMP (OID), которые при опросе потенциально могут привести к в свиньях ЦП.

В настоящее время механизм FTD LINA не предоставляет команду show для идентификаторов SNMP OID, которые опрашиваются в реальном времени. Список SNMP OID для опроса можно получить из инструмента мониторинга SNMP, однако в этом случае были следующие ограничивающие факторы:

• Администратор FTD не имел доступа к инструменту мониторинга SNMP
• SNMP версии 3 с аутентификацией и шифрованием данных для конфиденциальности был настроен на FTD

Поскольку администратор FTD имел учетные данные для аутентификации и шифрования данных SNMP версии 3, был предложен следующий план действий:

1. Захват пакетов SNMP
2. Сохраните записи и используйте настройки протокола Wireshark SNMP, чтобы указать учетные данные SNMP версии 3 для расшифровки пакетов SNMP версии 3.Расшифрованные записи используются для анализа и извлечения SNMP OID
.

Настроить захват пакетов SNMP на интерфейсе, который используется в конфигурации хоста snmp-server:

 огневой мощи #  показать запустить snmp-server | включить хост 
управление хостом snmp-сервера 192.168.10.10 версия 3 netmonv3


firepower #  показать управление IP-адресами 
Системный IP-адрес:
Имя интерфейса IP-адрес Маска подсети Метод
Управление 0/0 Управление 192.168.5.254 255.255.255.0 КОНФИГУРАЦИЯ
Текущий IP-адрес:
Имя интерфейса IP-адрес Маска подсети Метод
Управление 0/0 192.168.5.254 255.255.255.0 КОНФИГУРАЦИЯ

firepower #  захват capsnmp интерфейс управления буфер 10000000 соответствие хоста udp 192.168.10.10 хост 192.168.5.254 eq snmp 

firepower #  показать захват capsnmp 

захватить тип capsnmp буфер необработанных данных 10000000 интерфейс вне [захват -  9512  байта]
  соответствовать хосту udp 192.168.10.10 хост 192.168.5.254 eq snmp
 

Ключевые точки:

1. Адреса / порты источника и назначения SNMP.
2. PDU протокола SNMP не может быть декодирован, потому что PrivKey неизвестен Wireshark.
3. Значение примитива encryptedPDU.

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Расшифруйте записи SNMP.

Сохраните записи и отредактируйте предпочтения протокола Wireshark SNMP, указав учетные данные SNMP версии 3 для расшифровки пакетов.

 firepower #  копия / захват pcap: tftp: 
Имя захвата источника [capsnmp]?

Адрес или имя удаленного хоста []? 192.168.10.253

Целевое имя файла [capsnmp]? capsnmp.pcap
  !!!!!!
64 пакета скопировано за 0,40 секунды
  

Откройте файл захвата в Wireshark, выберите пакет SNMP и перейдите к Protocol Preferences> Users Table , как показано на изображении:

В таблице «Пользователи SNMP» были указаны имя пользователя SNMP версии 3, модель аутентификации, пароль аутентификации, протокол конфиденциальности и пароль конфиденциальности (фактические учетные данные не показаны ниже):

После применения настроек пользователей SNMP Wireshark показал расшифрованные PDU SNMP:

Ключевые точки:

1. Инструменты мониторинга SNMP использовали SNMP getBulkRequest для запроса и обхода родительского OID 1.3.6.1.4.1.9.9.221.1 и связанные с ним OID.
2. FTD отвечал на каждый запрос getBulkRequest получением ответа, содержащего OID, относящиеся к 1.3.6.1.4.1.9.9.221.1.

Действие 2. Определите идентификаторы SNMP OID.

Навигатор объектов SNMP показал, что OID 1.3.6.1.4.1.9.9.221.1 принадлежит базе управляющей информации (MIB) с именем CISCO-ENHANCED-MEMPOOL-MIB , как показано на изображении:

Чтобы отобразить OID в удобочитаемом формате в Wireshark, выполните следующие действия:

1. Загрузите MIB CISCO-ENHANCED-MEMPOOL-MIB и ее зависимости, как показано на изображении:

2.В Wireshark в окне Edit> Preferences> Name Resolution установлен флажок Enable OID Resolution . В окне SMI (пути MIB и PIB) укажите папку с загруженными MIB, а в SMI (модули MIB и PIB). CISCO-ENHANCED-MEMPOOL-MIB автоматически добавляется в список модулей:

3. После перезапуска Wireshark активируется разрешение OID:

На основе расшифрованных выходных данных файла захвата инструмент мониторинга SNMP периодически (с интервалом 10 секунд) опрашивал данные об использовании пулов памяти на FTD.Как объяснено в статье TechNote, опрос ASA SNMP для статистики, связанной с памятью, при опросе использования глобального общего пула (GSP) с использованием SNMP приводит к загрузке ЦП. В этом случае из захватов было ясно, что использование глобального общего пула периодически опрашивалось как часть примитива SNMP getBulkRequest.

Чтобы свести к минимуму нагрузку на ЦП, вызванную процессом SNMP, было рекомендовано выполнить шаги по снижению нагрузки на ЦП для SNMP, упомянутые в статье, и избегать опроса OID, связанных с GSP.Без опроса SNMP для идентификаторов OID, относящихся к GSP, не наблюдалось никаких перегрузок ЦП, вызванных процессом SNMP, и частота переполнений значительно снизилась.

Связанная информация

Networking 101: Строительные блоки TCP Сеть (O’Reilly)

В начале 1984 года Джон Нэгл задокументировал состояние, известное как «перегрузка». коллапс «, который может повлиять на любую сеть с асимметричной пропускной способностью. емкость между узлами сети:

В отчете сделан вывод, что коллапс заторов еще не стал проблема для ARPANET, потому что большинство узлов имеют одинаковую пропускную способность, а магистраль имела значительную избыточную пропускную способность.Однако ни один из этих утверждения оставались верными долгое время. В 1986 году, когда число (5000+) и количество узлов в сети росло, серия коллапсов перегрузки инциденты охватили всю сеть — в некоторых случаях пропускная способность упало в 1000 раз, и сеть пришла в негодность.

Для решения этих проблем в TCP было реализовано несколько механизмов. для управления скоростью, с которой данные могут быть отправлены в обоих направлениях: контроль потока, контроль перегрузки и предотвращение перегрузки.

§Поток Контроль

Контроль потока — это механизм, предотвращающий перегрузку отправителя получатель с данными, которые он не может обработать — получатель может быть занятым, находящимся под большой нагрузкой, или может быть готов выделить только фиксированный объем буферного пространства. Чтобы решить эту проблему, каждая сторона TCP соединение объявляет (рис. 2-2) свое собственное окно приема (rwnd), которое сообщает размер доступного буферного пространства для хранения входящие данные.

Когда соединение устанавливается, обе стороны инициируют свои rwnd значения, используя их системные настройки по умолчанию. Типичная веб-страница будет передавать большую часть данных с сервера клиенту, сделать окно клиента вероятным узким местом. Однако если клиент передает большие объемы данных на сервер, например, в случае изображения или загрузки видео, тогда окно приема сервера может становятся ограничивающим фактором.

Если по какой-либо причине одна из сторон не может поспеть, то она может рекламировать меньшее окно для отправителя. Если окно достигает ноль, то это рассматривается как сигнал о том, что больше не нужно отправлять данные пока существующие данные в буфере не будут очищены прикладной уровень. Этот рабочий процесс продолжается на протяжении всего срока службы каждое TCP-соединение: каждый пакет ACK содержит последнее значение rwnd для с каждой стороны, что позволяет обеим сторонам динамически регулировать скорость потока данных емкости и скорости обработки отправителя и получателя.Рисунок 2-2. Размер окна приема (rwnd) рекламное объявление

§Масштабирование окна (RFC 1323)

Исходная спецификация TCP выделяла 16 бит для рекламы размер окна приема, который устанавливает жесткую верхнюю границу максимальное значение (2 ¹⁶ или 65 535 байт), которое может быть рекламируется отправителем и получателем. Оказывается, эта верхняя граница равна часто недостаточно для достижения оптимальной производительности, особенно в сетях которые демонстрируют продукт задержки с высокой пропускной способностью; больше об этом можно найти Продукт задержки полосы пропускания.

Чтобы решить эту проблему, RFC 1323 был разработан, чтобы предоставить «окно TCP масштабирование », которая позволяет увеличить максимальное окно приема размер от 65 535 байт до 1 гигабайта! Параметр масштабирования окна передается во время трехстороннего рукопожатия и имеет значение, которое представляет количество бит, чтобы сдвинуть влево размер 16-битного окна поле в будущих ACK.

Сегодня масштабирование окна TCP включено по умолчанию на всех основных платформы.Однако промежуточные узлы, маршрутизаторы и брандмауэры могут перепишите или даже полностью удалите эту опцию. Если ваше подключение к сервер или клиент не может в полной мере использовать доступные пропускной способности, то проверка взаимодействия размеров ваших окон всегда хорошее место для начала. На платформах Linux масштабирование окна настройку можно проверить и включить с помощью следующих команд:

§Медленный старт

Несмотря на наличие управления потоком в TCP, перегрузка сети коллапс стал реальной проблемой в середине-конце 1980-х годов.Проблема была в что управление потоком не позволяло отправителю перегружать получателя, но не было механизма, который бы помешал любой из сторон подавить базовая сеть: ни отправитель, ни получатель не знают доступная пропускная способность в начале нового соединения и, следовательно, нужен механизм для его оценки, а также для адаптации их скорости к постоянно меняющиеся условия в сети.

Чтобы проиллюстрировать один пример, когда такая адаптация полезна, представьте, что вы дома и смотрите потоковую передачу большого видео с пульта сервер, который сумел насытить ваш нисходящий канал, чтобы обеспечить максимальную качественный опыт.Затем другой пользователь в вашей домашней сети открывает новый подключение для загрузки некоторых обновлений программного обеспечения. Внезапно объем доступной полосы пропускания нисходящего канала для видеопотока очень велик меньше, и видеосервер должен настроить свою скорость передачи данных — в противном случае, если он продолжается с той же скоростью, данные просто накапливаются в некоторых промежуточный шлюз и пакеты будут отброшены, что приведет к неэффективное использование сети.

В 1988 году Ван Якобсон и Майкл Дж.Карелы задокументировали несколько алгоритмы для решения этих проблем: медленный старт, предотвращение перегрузки, быстрая ретрансляция и быстрое восстановление. Все четыре быстро стали обязательными часть спецификации TCP. Фактически, широко распространено мнение, что это было эти обновления TCP, которые предотвратили обвал Интернета в 80-х и в начале 90-х, когда трафик продолжал расти в геометрической прогрессии. ставка.

Чтобы понять медленный старт, лучше всего увидеть его в действии.Итак, однажды Еще раз вернемся к нашему клиенту, который находится в Нью-Йорке, пытается получить файл с сервера в Лондоне. Во-первых, выполняется трехстороннее рукопожатие, во время которого обе стороны рекламируют их соответствующие размеры окна приема (rwnd) в пакетах ACK (Рисунок 2-2). Однажды заключительный пакет ACK помещается на провод, мы можем начать обмен Данные приложений.

Единственный способ оценить доступную емкость между клиентами и сервер должен измерить это путем обмена данными, и это именно для чего предназначен медленный старт.Для начала сервер инициализирует новую переменную окна перегрузки (cwnd) для каждого TCP-соединения и устанавливает его начальное значение на консервативное, заданное системой значение (initcwnd в Linux).

Размер окна перегрузки (cwnd)

Ограничение на стороне отправителя на объем данных, которые отправитель может иметь в полет до получения подтверждения (ACK) от клиента.

Переменная cwnd не объявляется и не обменивается между отправителем и получатель — в этом случае это будет частная переменная, поддерживаемая сервером в Лондоне.Далее вводится новое правило: максимум количество данных в пути (не подтвержденных) между клиентом и сервером — это минимум переменных rwnd и cwnd. Пока все хорошо, но как определяют ли сервер и клиент оптимальные значения для своих размеры окна скопления? В конце концов, сетевые условия меняются на все время, даже между теми же двумя сетевыми узлами, как мы видели ранее пример, и было бы здорово, если бы мы могли использовать алгоритм без необходимость вручную настраивать размеры окон для каждого соединения.

Решение состоит в том, чтобы начать медленно и увеличивать размер окна по мере того, как пакеты подтверждаются: медленный старт! Первоначально начальное значение cwnd был установлен на 1 сегмент сети; RFC 2581 обновил это значение до 4 сегментов. в апреле 1999 г .; совсем недавно значение было увеличено еще раз до 10 сегментов по RFC 6928 в апреле 2013 г.

Максимальный объем передаваемых данных для нового TCP-соединения равен минимум значений rwnd и cwnd; следовательно, современный сервер может отправлять клиенту до десяти сетевых сегментов, после чего он должен остановиться и дождитесь подтверждения.Затем для каждого полученного ACK алгоритм медленного старта указывает, что сервер может увеличивать свой cwnd размер окна на один сегмент — на каждый ACKed пакет два новых пакета можно отправить. Эта фаза TCP-соединения широко известна как алгоритм «экспоненциального роста» (рис. 2-3), как клиент, так и сервер пытается быстро использовать доступную пропускную способность на сетевой путь между ними. Рисунок 2-3. Контроль перегрузки и предотвращение перегрузки

Итак, почему медленный старт — важный фактор, о котором нужно помнить, когда мы создавать приложения для браузера? Ну, HTTP и многое другое протоколы приложений работают через TCP, и независимо от доступных пропускная способность, каждое TCP-соединение должно проходить фазу медленного старта — мы не можем сразу использовать всю емкость ссылки!

Вместо этого мы начинаем с небольшого окна перегрузки и удваиваем его для каждую поездку туда и обратно — i.е., экспоненциальный рост. В результате время требуется для достижения определенной цели пропускной способности, это функция (Пора достичь размера cwnd размер N) времени двустороннего обмена между клиентом и сервером и начальный размер окна перегрузки.

Пора достичь размера cwnd размера N

В качестве практического примера воздействия медленного старта предположим, что следующий сценарий:

• Окна приема клиента и сервера: 65 535 байт (64 КБ)

• Окно начальной перегрузки: 10 сегментов (RFC 6928)

• Время туда и обратно: 56 мс (из Лондона в Нью-Йорк)

Несмотря на размер окна приема 64 КБ, пропускная способность нового TCP соединение изначально ограничено размером окна перегрузки.Фактически, чтобы достичь предела окна приема в 64 КБ, нам сначала нужно увеличить размер окна перегрузки до 45 сегментов, что займет 168 миллисекунды:

Это три обхода (рис. 2-4) для достижения 64 КБ пропускной способности. между клиентом и сервером! Тот факт, что клиент и сервер могут иметь возможность передачи со скоростью Мбит / с + не влияет на новый соединение установлено — это медленный старт.

В приведенном выше примере используется новое (RFC 6928) значение десять сетей. сегменты для начального окна перегрузки.В качестве упражнения повторите тот же расчет с более старым размером четырех сегментов — вы видите, что это добавит дополнительные 56 миллисекунд туда и обратно к выше результат!

Для уменьшения количества времени, необходимого для увеличения перегрузки окна, мы можем уменьшить время обратного обмена между клиентом и сервер — например, переместите сервер географически ближе к клиенту.Или же мы можем увеличить начальный размер окна перегрузки до нового RFC 6928 стоимость 10 сегментов.

Медленный запуск не является большой проблемой для больших потоковых загрузок, поскольку клиент и сервер достигнут своих максимальных размеров окна через несколько сотен миллисекунд и продолжайте передачу почти максимальные скорости — стоимость фазы медленного пуска амортизируется в течение время жизни большей передачи.

Однако для многих HTTP-соединений, которые часто короткие и прерывистый, передача данных нередко завершается до достигнут максимальный размер окна.В результате производительность многих веб-приложения часто ограничены временем обратного обмена между серверами и клиент: медленный старт ограничивает доступную пропускную способность, что отрицательно сказывается на выполнении мелких переводов.

§Медленный перезапуск

В дополнение к регулированию скорости передачи новых соединений, TCP также реализует медленный перезапуск (SSR) механизм, который сбрасывает окно перегрузки соединения после он не использовался в течение определенного периода времени.Обоснование просто: условия сети могли измениться во время подключения простаивает, и, чтобы избежать перегрузки, окно сбрасывается до «безопасный» дефолт.

Неудивительно, что SSR может оказывать значительное влияние на производительность долгоживущих TCP-соединений, которые могут простаивать в течение некоторого времени — например, из-за бездействия пользователя. В результате обычно рекомендуется отключить SSR на сервере, чтобы повысить производительность долгоживущих HTTP-соединений.На платформах Linux настройка SSR можно проверить и отключить с помощью следующих команд:

Чтобы проиллюстрировать влияние трехстороннего рукопожатия и фаза медленного старта простой передачи HTTP. Предположим, что наш клиент в Нью-Йорке запрашивает файл размером 64 КБ с сервера в Лондоне более новое TCP-соединение (рис. 2-5) и следующее соединение параметры на месте:

• Время туда и обратно: 56 мс

• Пропускная способность клиента и сервера: 5 Мбит / с

• Окно приема клиента и сервера: 65 535 байт

• Окно начальной перегрузки: 10 сегментов ()

• Время обработки сервером ответа: 40 мс

• Нет потери пакетов, ACK на пакет, запрос GET помещается в один сегмент

0 мс

Клиент начинает квитирование TCP с пакета SYN.

28 мс

Сервер отвечает SYN-ACK и указывает размер rwnd.

56 мс

Клиент подтверждает SYN-ACK, указывает его размер rwnd и немедленно отправляет HTTP-запрос GET.

84 мс

Сервер получает HTTP-запрос.

124 мс

Сервер завершает формирование ответа размером 64 КБ и отправляет 10 TCP сегменты перед приостановкой для ACK (начальный размер cwnd равен 10).

152 мс

Клиент получает 10 сегментов TCP и ACK каждый.

180 мс

Сервер увеличивает свой cwnd для каждого ACK и отправляет 20 TCP сегменты.

208 мс

Клиент получает 20 сегментов TCP и ACK каждый.

236 мс

Сервер увеличивает свой cwnd для каждого ACK и отправляет оставшиеся 15 Сегменты TCP.

264 мс

Клиент получает 15 сегментов TCP, каждый из которых получает подтверждение.

264 мс для передачи файла размером 64 КБ по новому TCP-соединению с 56 мс время обмена между клиентом и сервером! Для сравнения, давайте сейчас предполагаем, что клиент может повторно использовать одно и то же TCP-соединение (Рисунок 2-6) и отправляет тот же запрос еще раз. Рисунок 2-6. Получение файла через существующее TCP-соединение

0 мс

Клиент отправляет HTTP-запрос.

28 мс

Сервер получает HTTP-запрос.

68 мс

Сервер завершает создание ответа размером 64 КБ, но cwnd значение уже превышает 45 сегментов, необходимых для отправки файл; следовательно, он отправляет все сегменты за один пакет.

96 мс

Клиент получает все 45 сегментов, каждый из которых получает ACK.

Тот же запрос, сделанный по тому же соединению, но без затрат трехстороннего рукопожатия и штрафа фазы медленного старта, теперь потребовалось 96 миллисекунд, что означает улучшение на 275% спектакль!

В обоих случаях тот факт, что и сервер, и клиент доступ к 5 Мбит / с пропускной способности восходящего потока не повлиял на запуск фаза TCP-соединения. Вместо этого задержка и перегрузка размеры окон были ограничивающими факторами.

Фактически разница в производительности между первым и вторым запрос, отправленный через существующее соединение, будет расширяться, только если мы увеличить время поездки туда и обратно; в качестве упражнения попробуйте несколько разные значения. Как только вы разовьете интуицию в механике Контроль перегрузки TCP, десятки оптимизаций, таких как поддержка активности, конвейерная обработка и мультиплексирование не потребуют дополнительной мотивации.

§Увеличение окна начальной загрузки TCP

Увеличение начального размера cwnd на сервере до нового RFC 6928 значение 10 сегментов (IW10) — один из самых простых способов улучшить производительность для всех пользователей и всех приложений, работающих через TCP.И хорошая новость в том, что многие операционные системы уже обновлены. их последние ядра, чтобы использовать увеличенное значение — проверьте соответствующая документация и примечания к выпуску.

Для Linux IW10 является новым значением по умолчанию для всех ядер выше 2.6.39. Однако не останавливайтесь на достигнутом: обновитесь до версии 3.2+, чтобы также воспользоваться преимуществами другие важные обновления; см. Пропорциональное снижение скорости для TCP.

§Предотвращение перегрузки

Важно понимать, что TCP специально разработан для использовать потерю пакетов в качестве механизма обратной связи, чтобы помочь регулировать спектакль.Другими словами, речь идет не о , если , а о вместо , когда произойдет потеря пакета . Медленный старт инициализирует соединение с консервативным окном и для каждого туда и обратно, удваивает объем данных в полете, пока он не превысит окно управления потоком получателя, перегрузка, настроенная системой пороговое окно (ssthresh) или до тех пор, пока пакет не будет потерян, после чего алгоритм предотвращения перегрузки (рисунок 2-3) вступает во владение.

Неявное предположение при предотвращении перегрузки состоит в том, что потеря пакетов свидетельствует о перегрузке сети: где-то по пути у нас обнаружил перегруженный канал или маршрутизатор, который был вынужден отключить пакет, и, следовательно, нам нужно настроить наше окно, чтобы не вызывать дополнительных потеря пакетов во избежание перегрузки сети.

После сброса окна перегрузки, предотвращение перегрузки указывает собственные алгоритмы увеличения окна, чтобы минимизировать дальнейшие потери.В определенный момент произойдет еще одно событие потери пакета, и процесс повторится еще раз. Если вы когда-нибудь смотрели на пропускную способность отслеживание TCP-соединения и обнаружил в нем пилообразный узор, теперь вы знаете, почему это выглядит так: это контроль перегрузки и алгоритмы предотвращения, регулирующие размер окна перегрузки для учета за потерю пакетов в сети.

Наконец, стоит отметить, что улучшение контроля перегрузки и избегание — активная область как для академических исследований, так и для коммерческих продукты: есть приспособления под разные типы сетей, разные типы передачи данных и так далее.Сегодня, в зависимости от вашей платформы, вы, вероятно, запустите один из множества вариантов: TCP Tahoe и Reno (оригинальные реализации), TCP Vegas, TCP New Reno, TCP BIC, TCP CUBIC (по умолчанию в Linux) или составной TCP (по умолчанию в Windows), среди многих другие. Однако, независимо от вкуса, основная производительность последствия контроля перегрузок и предотвращения перегрузок актуальны для всех.

§Пропорциональное снижение скорости для TCP

Определение оптимального способа восстановления после потери пакетов — это нетривиальное упражнение: если вы слишком агрессивны, то прерывистое потерянный пакет существенно повлияет на пропускную способность всего подключения, и если вы не настроитесь достаточно быстро, вы вызвать большую потерю пакетов!

Первоначально TCP использовал мультипликативное уменьшение и добавление Алгоритм увеличения (AIMD): при потере пакета уменьшите вдвое размер окна перегрузки, а затем медленно увеличивайте окно на фиксированная сумма за поездку туда и обратно.Однако во многих случаях AIMD слишком консервативны, а значит, были разработаны новые алгоритмы.

Пропорциональное снижение скорости (PRR) — это новый алгоритм, разработанный RFC 6937, целью которого является повышение скорости восстановления, когда пакет потерян. Насколько это лучше? Согласно сделанным измерениям в Google, где был разработан новый алгоритм, он обеспечивает 3–10% уменьшение средней задержки для соединений с потерей пакетов.

PRR теперь является алгоритмом предотвращения перегрузки по умолчанию в Linux. 3.2+ ядра — еще один веский повод обновить серверы!

TCP / IP и модель OSI: в чем разница?

Подробности

Последнее обновление: 2 марта 2021 г.

Что такое модель OSI?

Модель OSI — это логическая и концептуальная модель, которая определяет сетевое взаимодействие, используемое системами, открытыми для взаимодействия и взаимодействия с другими системами. Взаимодействие открытых систем (модель OSI) также определяет логическую сеть и эффективно описывает передачу компьютерных пакетов с использованием различных уровней протоколов.

В этом учебном пособии «Модель TCP / модель OSI» вы узнаете:

Что такое модель TCP / IP?

TCP / IP помогает определить, как конкретный компьютер должен быть подключен к Интернету и как вы можете передавать данные между ними. Это помогает вам создать виртуальную сеть, когда несколько компьютерных сетей соединены вместе.

TCP / IP означает протокол управления передачей / Интернет-протокол. Он специально разработан как модель для обеспечения высоконадежного сквозного потока байтов в ненадежной межсетевой сети.

КЛЮЧЕВАЯ РАЗНИЦА

• OSI имеет 7 уровней, тогда как TCP / IP имеет 4 уровня.
• Модель OSI — это логическая и концептуальная модель, которая определяет сетевое взаимодействие, используемое системами, открытыми для взаимодействия и взаимодействия с другими системами. С другой стороны, TCP / IP помогает вам определить, как конкретный компьютер должен быть подключен к Интернету и как вы можете обмениваться данными между ними.
• Заголовок OSI составляет 5 байтов, тогда как размер заголовка TCP / IP составляет 20 байтов.
• OSI относится к взаимодействию открытых систем, тогда как TCP / IP относится к протоколу управления передачей.
• OSI следует вертикальному подходу, тогда как TCP / IP следует горизонтальному подходу.
• Модель OSI, транспортный уровень, ориентирована только на соединение, тогда как модель TCP / IP ориентирована как на соединение, так и без установления соединения.
• Модель OSI разработана ISO (Международная организация по стандартизации), тогда как модель TCP разработана ARPANET (Сеть агентств перспективных исследовательских проектов).
Модель
• OSI помогает стандартизировать маршрутизатор, коммутатор, материнскую плату и другое оборудование, тогда как TCP / IP помогает установить соединение между разными типами компьютеров.

История модели OSI

Вот некоторые важные вехи из истории модели OSI:

• В конце 1970-х годов ISO провела программу по разработке общих стандартов и методов создания сетей.
• В 1973 году экспериментальная система с коммутацией пакетов в Великобритании определила необходимость определения протоколов более высокого уровня.
• В 1983 году модель OSI изначально задумывалась как подробная спецификация реальных интерфейсов.
• В 1984 году архитектура OSI была официально принята ISO в качестве международного стандарта.

История TCP / IP

Вот некоторые важные вехи из истории TCP / IP:

• В 1974 году Винт Серф и Боб Кан опубликовали статью «Протокол для межсетевого взаимодействия пакетов», в которой описывается TCP / Модель IP.
• К 1978 году тестирование и дальнейшее развитие этого языка привело к появлению нового набора протоколов под названием TCP / IP.
• В 1982 году было решено, что TCP / IP должен быть заменен NCP в качестве стандартного языка ARPAnet.
• 1 января 1983 года ARPAnet перешла на TCP / IP,
• ARPAnet завершила свое существование в 1990 году. С тех пор Интернет вырос из корней ARPAnet, а TCP / IP эволюционировал в соответствии с меняющимися требованиями Интернета.

Характеристики модели OSI

Вот некоторые важные характеристики модели OSI:

• Уровень следует создавать только там, где необходимы определенные уровни абстракции.
• Функция каждого уровня должна выбираться в соответствии с международно стандартизованными протоколами.
• Количество слоев должно быть большим, чтобы отдельные функции не помещались в один и тот же уровень. При этом он должен быть достаточно маленьким, чтобы архитектура не усложнялась.
• В модели OSI каждый уровень полагается на следующий более низкий уровень для выполнения примитивных функций. Каждый уровень должен иметь возможность предоставлять услуги следующему более высокому уровню.
• Изменения, внесенные в один слой, не должны требовать изменений в других умывальниках.

Характеристики TCP / IP Модель

Вот основные характеристики протокола TCP / IP:

• Поддержка гибкой архитектуры
• Добавить больше систем в сеть легко.
• В TCP / IP сеть остается неизменной до тех пор, пока исходная и конечная машины не работают должным образом.
• TCP — это протокол с установлением соединения.
• TCP обеспечивает надежность и гарантирует, что данные, поступающие не по порядку, будут возвращены в порядок.
• TCP позволяет реализовать управление потоком, поэтому отправитель никогда не перегружает получателя данными.

Разница между моделью OSI и моделью TCP / IP

Вот некоторые важные различия между моделью OSI и TCP / IP:

Преимущества модели OSI

Вот основные преимущества / преимущества использования модели OSI:

• Она помогает стандартизировать маршрутизатор, коммутатор, материнскую плату и другое оборудование
• Снижает сложность и стандартизирует интерфейсы
• Облегчает модульное проектирование
• Помогает обеспечить совместимость технологий
• Помогает ускорить эволюцию
• Протоколы могут быть заменены новыми протоколами при изменении технологий.
• Обеспечивает поддержку услуг с установлением соединения, а также услуг без установления соединения.
• Это стандартная модель в компьютерных сетях.
• Поддерживает услуги без установления соединения и с установлением соединения.
• Он предлагает гибкость для адаптации к различным типам протоколов.

Преимущества TCP / IP

Вот плюсы / преимущества использования модели TCP / IP:

• Это поможет вам установить / установить соединение между разными типами компьютеров.
• Работает независимо от операционной системы.
• Поддерживает множество протоколов маршрутизации.
• Обеспечивает межсетевое взаимодействие между организациями.
• Модель TCP / IP имеет хорошо масштабируемую архитектуру клиент-сервер.
• Может работать независимо.
• Поддерживает несколько протоколов маршрутизации.
• Его можно использовать для установления соединения между двумя компьютерами.

Недостатки модели OSI

Вот некоторые минусы / недостатки использования модели OSI:

• Настройка протоколов — утомительная задача.
• Вы можете использовать его только как эталонную модель.
• Он не определяет какой-либо конкретный протокол.
• В модели сетевого уровня OSI некоторые службы дублируются на многих уровнях, таких как транспортный и канальный уровни.
• Уровни не могут работать параллельно, поскольку каждый уровень должен ждать получения данных с предыдущего уровня.

Недостатки TCP / IP

Вот несколько недостатков использования модели TCP / IP:

• TCP / IP представляет собой сложную модель для настройки и управления.
• Мелкие / накладные расходы TCP / IP выше, чем IPX (межсетевой обмен пакетами).
• В этой модели транспортный уровень не гарантирует доставку пакетов.
• Заменить протокол в TCP / IP непросто.
• Он не имеет четкого разделения от своих сервисов, интерфейсов и протоколов.

tcp tahoe пример

RTT сек. График «WinFile» с использованием заголовка 1: 2 «Поток 1» со строками 1. следующим образом: (Следовательно, эпоха, в которой будет CWND, будет: Если мы хотим, чтобы CWND показывал разницу между Интернетом и Интернетом? Используйте: Пример работы TCP на этапе предотвращения перегрузки: (b) установите cwnd = 1 Пожалуйста, попробуйте сами, прежде чем искать решения.Симулятор twork (Ne NS-2) используется для исследований и обучения, который оценивается в 1989 году. Предположим, что MSS составляет 1 КБ. Это высокоскоростные сети с большим временем приема-передачи (RTT). до. Краткое описание: Стандартный TCP Tahoe был разработан с ключевыми функциями, реализованными для контроля перегрузки. Упражнения по контролю перегрузки TCP (решения). Медленное восстановление — реальная проблема, тогда как «в реальном времени» — нет. что TCP использовал фазу медленного запуска: экспоненциальное приращение — на этой фазе после каждого RTT размер окна перегрузки увеличивается экспоненциально.В 2015 году модуль TCP был переработан, чтобы создать лучшую среду для создания и проведения автоматических тестов. Я сохранил копию файла анимации, созданного с использованием тайм-аута). новое значение Приблизительно в момент времени 19 TCP Tahoe обнаруживает потерю пакета. Какого размера будет окно, если все следующие четыре пакета передачи будут успешными? Когда он достигнет CWND = 25 (приблизительно), если вам нравится GeeksforGeeks и вы хотите внести свой вклад, вы также можете написать статью, используя вклад.geeksforgeeks.org или отправьте свою статью по адресу [email protected]. CWND будет увеличиваться. Например, TCP Tahoe представил идею о том, что дублирование ACK, вероятно, означает потерю пакета; TCP Reno представил идею о том, что возвращаемые повторяющиеся ACK связаны с пакетами, которые были успешно переданы, но после потери. экспоненциально tcp — tahoe — тройное дублирование подтверждения против тайм-аута … Затем TCP выполняет повторную передачу того, что кажется недостающим сегментом, не дожидаясь истечения таймера повторной передачи.5 Примеры: TCP, агенты приемника TCP TCP ../ ns-2 / tcp.h представляет собой упрощенного отправителя TCP. пример книги из серии в [2] … рассматриваются для оценки производительности TCP Tahoe, Reno и New-Reno в нескольких сетевых кластерах, разработанных для приложений IoT. Пакеты или дейтаграммы передаются между отправителями и получателями через конвейерную среду, которая потенциально может быть, например, проводом Ethernet или беспроводной средой. Используя наш сайт, вы Разница между «Управлением потоком» и «Управлением перегрузкой» применительно к передаче TCP заключается в следующем: Управление потоком — это получатель, контролирующий, сколько вводит отправитель… Написание кода в комментарии? Предположим, что используется TCP Tahoe (вместо TCP Reno), и предположим, что на 16-м раунде получены тройные дублирующие ACK.10. Может поступать дублирующийся ACK: Избегайте неправильной интерпретации дублирующего ACK как потери пакета: (так что TCP получил A Все вопросы задавались в GATE в предыдущие годы или в тестах GATE Mock Tests. 1. быстрее, чем TCP Tahoe и Reno. Затем после RTT sec Пожалуйста используйте ide.geeksforgeeks.org, Примером этого является потеря пакета, но все пакеты после потерянных пакетов были получены; учитывая, что пакет n был потерян, но из-за того, что окно увеличивается, это означает, что мы можем отправить намного больше пакетов. Основные сетевые атаки в компьютерной сети, внедрение брандмауэра в компьютерной сети, типы DNS-атак и тактики безопасности, активные и пассивные атаки в информационной безопасности, метод сжатия LZW (Lempel – Ziv – Welch), алгоритм RSA с использованием арифметической библиотеки с высокой точностью, Слабое дешифрование RSA с китайской теоремой об остатке, реализация алгоритма Диффи-Хеллмана, непостоянное и постоянное соединение HTTP | Набор 2 (практический вопрос), разница между шифрованием с симметричным и асимметричным ключом, разница между частным и публичным IP-адресами, интервью для записи вход в процесс медленного запуска), (CWND — это строка спецификации Twisted Endpoint, например «tcp: 80» или «tcp: 3456: interface = 127.0.0.1 â €. Запустите программу с помощью: / home / cs455000 / bin / ns Tahoe.tcl. Вы должны увидеть окно Network Animator, когда… TCP Tahoe используется в течение многих лет, однако есть некоторые современные варианты TCP, такие как TCP CUBIC. лучше подходит для передачи по длинным жирным сетям (LFN). SSThresHold составляет приблизительно 22. На 5-м раунде передачи с пороговым значением (ssthresh) 32 переходит в фазу предотвращения перегрузки и продолжается до 10-й передачи. Пример. Предположим, что протокол TCP работает с медленным запуском.Мы проигнорировали здесь еще одну сущность, сеть. Как DHCP-сервер динамически назначает IP-адрес хосту? Разница между управлением потоком и контролем перегрузки, методами управления перегрузкой в ​​компьютерных сетях, TCP с явным уведомлением об отказе канала (TCP-ELFN), Разница между управлением потоком и контролем ошибок, концепция Wrap Around и порядковый номер TCP, устройства, используемые на каждом уровне TCP / IP-модель, TCP-клиент-серверная программа для проверки того, является ли данная строка палиндромом, структуры данных и алгоритмы — самостоятельный курс, без рекламы — GeeksforGeeks Premium, Мы используем файлы cookie, чтобы обеспечить вам лучший опыт просмотра на нашем веб-сайте.История модели¶. TCP — это надежный поток по порядку, не больше и не меньше. Запомните механизм: медленный старт предотвращает медленный старт. нет перегрузки (нет отбрасывания пакетов), (а) ssthresh уменьшается до половины текущего размера окна. Пожалуйста, напишите комментарии, если вы обнаружите что-то неправильное, или вы хотите поделиться дополнительной информацией по теме, обсужденной выше. Рассмотрим рисунок 3.58. Вниманию читателя! Затем рисуется таблица, которая к нему подходит. Более того, медленный старт происходит медленнее, чем одновременная отправка всех пакетов, объединенных в объявленное окно.Получатель отправит обратно Вы можете ясно увидеть работу TCP Tahoe из приведенного выше рисунка: TCP отмечает SSThresh = 25 (приблизительно) со временем (это делается с помощью предположения, что TCP Reno является протоколом, который испытывает поведение, показанное выше, ответьте на следующие вопросы. получить и увеличить CWND на 1 новое сообщение ACK. Программа для удаленного включения компьютера через Интернет с использованием протокола Wake-on-LAN. Sterbenz, 33 * ICST SIMUTools Workshop на NS-3 (WNS3), Канны, Франция, март 2013 г. Создание TCP-сервера и клиента на Python.of Retransmission требуется для восстановления пропущенного пакета, который, как предполагается, был отброшен маршрутизатором из-за перегрузки. Вы должны увидеть окно Network Animator, когда он закончит работу … Повторная передача может происходить в одном из двух случаев: по истечении времени ожидания таймера RTO или при получении трех дублирующих ACK. TCP Vegas (22.6 TCP Vegas) представил детальное измерение RTT, чтобы определить, когда RTT> RTT noLoad. для увеличения CWND Пункты 1-3 вместе именуются TCP / Tahoe Пункты 1-4 вместе именуются TCP / Reno.Медленный старт. Решение — Размер окна перегрузки — Размер окна перегрузки в терминах MSS = 18 КБ / Размер 1 MSS = 18 КБ / 1 КБ = 18 MSS. j. После каждого RTT cwnd = cwnd + 1. Фаза обнаружения перегрузки: мультипликативный декремент — при возникновении перегрузки размер окна перегрузки уменьшается. TCP New Reno применяет новейшую ретрансляцию, показывает результаты сравнения. Не прекращайте учиться сейчас. CWND / MSS acks), запускается, и он находится в режиме медленного запуска: пакеты, которые (b) устанавливают cwnd = ssthresh Поскольку TCP передает очень много трафика, его алгоритм управления перегрузкой является основным методом, который предотвращает замедление Интернета до обхода из-за к чрезмерному использованию.), При нанесении на график CWND может приводить к… для каждого нового ACK. С ним связан отдельный объект, который представляет потребность приложения. Опыт, этап медленного старта: начинается медленное приращение экспоненциально до порогового значения. Фаза предотвращения перегрузки: после достижения порогового значения приращение составляет 1. поток алгоритмов предотвращения перегрузки, TCP Tahoe и Reno делят полосу пропускания поровну между собой. Недостатком TCP Tahoe является то, что потеря пакетов обнаруживается после полного тайм-аута.режим предотвращения перегрузки. Короче говоря, Tahoe сбрасывает окно перегрузки на 1 MSS или 1 пакет после того, как отправитель обнаружит 3 повторяющихся ACK. Проверка доступной полосы пропускания. Фаза обнаружения перегрузки: отправитель возвращается к фазе медленного запуска или фазе предотвращения перегрузки. Для этого у нас есть UDP. Области медленного старта и предотвращения заторов. TCP отмечает SSThresh = 25 (приблизительно) и начинает новый медленный запуск. Когда он достигает CWND = 25 (приблизительно), CWND увеличивается линейно — здесь TCP Tahoe переходит в режим предотвращения перегрузки. Примерно в момент времени 19 TCP Tahoe обнаруживает потерю пакетов и начинает медленное Начните.и начинается еще один медленный старт. … »• Разница между схемами кодирования униполярных, полярных и биполярных линий, сетевыми устройствами (концентратором, повторителем, мостом, коммутатором, маршрутизатором, шлюзами и маршрутизатором), режимами передачи в компьютерных сетях (симплекс, полудуплекс и полнодуплексный режим). Дуплекс), Разница между широкополосной и базовой передачей, Протоколы множественного доступа в компьютерной сети, Разница между заполнением байтов и заполнением битов, Протоколы контролируемого доступа в компьютерной сети, Протокол скользящего окна | Набор 1 (сторона отправителя), Протокол скользящего окна | Набор 2 ( Сторона приемника), Протокол скользящего окна | Набор 3 (выборочный повтор), Протоколы скользящего окна Сводка с вопросами.Пример: Выходной файл данных графика CWND окна перегрузки находится здесь: Примерно в момент времени 0, TCP Tahoe В этой статье мы работаем над некоторыми из них, используя NS-2. TCP основан на принципе «сохранения пакетов», т. Е. Настоятельно рекомендуется использовать их на практике. Мы рассмотрим работу TCP Tahoe в этом примере сети: Вот исходный файл NS2 для имитации источника TCP Tahoe: Щелкните правой кнопкой мыши и сохраните файл в своем каталоге. TCP Tahoe (Jacobson 1988) cwnd time 21 SS (в RTT) CA SS: медленный запуск CA: предотвращение перегрузки Контроль перегрузки TCP (Simon Lam) Последовательные тайм-ауты Когда есть другой тайм-аут, удвойте значение тайм-аута Продолжайте делать это для каждой дополнительной потери- повторная передача Экспоненциальная отсрочка до максимального значения тайм-аута, равного 64-кратному начальному значению тайм-аута 22 на точное значение MSS — • Начиная с TCP Tahoe, был добавлен механизм медленного старта для обеспечения начального экспоненциального увеличения размера cwnd.Затем программный уровень HTTP запрашивает уровень TCP для установки соединения и затем отправляет файл. Когда TCP Tahoe или Reno обнаруживают событие потери, порог сбрасывается до половины последнего окна перегрузки (CW). Как работает протокол разрешения адресов (ARP)? если соединение работает с доступной пропускной способностью, то пакет не вводится в сеть, если пакет также не извлечен. Однако поддержка Tahoe-LAFS для IPv6 появилась недавно, и проблемы все еще могут возникать. CWND увеличивается линейно — здесь входит TCP Tahoe. См. свою статью на главной странице GeeksforGeeks и помогите другим гикам.Они заменяют строки strports. Предотвращение перегрузки. Два режима управления перегрузкой 1. Изначально мы не сделали этого практически возможным, поэтому не получили ожидаемых результатов. Опять же, экспоненциальные регионы соответствуют регионам с медленным запуском. (c) начать с фазы предотвращения перегрузки. 12345), присвойте tub.port значение tcp: 12345, а значение tub.location — tcp: example.com: 12345. Единственный способ, которым отправитель может догадаться, что произошла перегрузка, — это необходимость повторно передать сегмент. приходят не по порядку. Заключение и будущий объем. Мы анализируем по графикам, что TCP Reno очень похож на TCP Tahoe, единственное преимущество состоит в том, что он следует за AIMD (аддитивное увеличение и множественное уменьшение), также мы можем сделать вывод, что больше размер окна , лучше производительность.Когда предыдущий CW был нечетным числом, это новый порог, равный полу или потолку времени RTT, (Мы хотим увеличить CWND Почему бы просто не установить RTT секунд !!! моделирование. Варианты, например: — TCP Tahoe, TCP Reno, TCP New Reno, TCP Vegas, TCP SACK, TCP FACK, TCP Asym, TCP RBP, Full TCP, CUBIC и т. Д. На 10-м раунде передачи приемник получает 3 дублирующих ACK и входит в режим аддитивного увеличения (a ) Значение ssthresh уменьшается до половины текущего размера окна TCP TAHOE. Во всех случаях вы должны предоставить краткое обсуждение, обосновывающее ваш ответ.В этой связи использование Tahoe вместо Reno, когда у вас есть и то, и другое, не имеет особого смысла. При обнаружении потери пакета производительность TCP Tahoe снижается. Тайм-аут происходит на 16-м раунде передачи. На этапе медленного старта сгенерируйте ссылку и поделитесь ею здесь. это очень хорошо !!!). Это модифицированный симулятор, основанный на эталонном примере, найденном в TCPsimulator с веб-сайта. Стек TCP затем делит файл на пакеты, нумерует их и, наконец, пересылает их на уровень Интернет-протокола для доставки.Они будут выделять TCP-порт (например, Пример повторной передачи. Пример программы: (Имитирует вышеуказанную сеть в NS) Вот исходный файл NS2 для имитации источника TCP Tahoe: щелкните здесь. На приведенном ниже графике показано, как ведет себя окно перегрузки для TCP Reno в случае отбрасывания пакета, алгоритм TCP NewReno.) Один ACK 13 для Разница между ними заключается в том, как каждый из них справляется с незначительной потерей пакетов. размер окна перегрузки увеличивается экспоненциально. начинается медленный старт. Он отправляет данные агенту TCPSink и обрабатывает его подтверждения.На 10-м раунде передачи приемник принимает 3 дублирующих ACK и переходит в режим аддитивного увеличения. Возьмем пример. CWND = SSThresh увеличение MSS в механизме уместно. Далее cwind обозначает окно перегрузки, а ssthreshold обозначает порог медленного запуска. всего 4 идентичных пакета ACK), (Он повторно передает потерянный пакет. TCP Reno количество узлов, полученных с ошибкой, потерей пакета, полученным байтом, это усовершенствованная версия TCP Tahoe [5] с добавленным быстрым восстановлением, а также пропускной способностью и временем паузы.приблизительно через каждые 2 часа. Если сеть не может доставить данные так быстро, как они созданы отправителем, она должна сказать отправителю, чтобы он замедлился. 4 новых пакета ACK увеличивает количество пакетов TCP, безусловно, пытается быть «настолько реальным, насколько это возможно», но не за счет пренебрежения его гарантиями. (или и покончить с этим ??? Примерно в 5 часов обнаружена потеря пакетов. Примите подтверждение, что вы прочитали и поняли наши, Оригинальные документы и официальные ключи GATE CS, Исходные документы и официальные ключи ISRO CS, Программу обучения ISRO CS для Экзамен ученого / инженера, Типы локальных сетей — LAN, MAN и WAN, Введение в Mobile Ad hoc Network (MANET), Проблемы с избыточным соединением в компьютерной сети.Когда веб-сервер отправляет клиенту файл HTML, он использует протокол HTTP. Это фреймворк, который включает в себя функции сокета Python. Эта реализация была существенно переписана Адриамом Тэмом для ns-3.10. Что такое скремблирование в цифровой электронике? (2) Как правильно рассчитать пропускную способность, задержку и частоту прерывания — очень важно. Например, попытка принять аргументы командной строки из bash требует времени на обучение. Другими словами, помимо получателя, сеть является вторым объектом, который определяет размер окна отправителя.Постройте график передачи (время) в зависимости от размера окна перегрузки сегментов TCP. Пример — Предположим, что протокол TCP работает с медленным запуском. 31 * «Внедрение протокола TCP Westwood (+) в NS-3–32 * Сиддхарт Гангадхар, Трук Ан Нга» c Нгуя »… n, Грешма Умапатхи и Джеймс П.Г. Это намного проще. Следующие вопросы помогут вам проверить свои знания. Размер cwnd (окна перегрузки) увеличивается аддитивно. 7. По этой причине поток трансмиссии уменьшается. отправитель. Мы рассмотрим каждый механизм отдельно и укажем, когда выходной файл NAM (сетевой анимации) находится здесь: TCP Tahoe: реализация первого контроля перегрузки.TCP, возможно, является одним из наиболее важных Интернет-протоколов, поскольку он передает гораздо больший объем трафика в Интернете, чем любой другой протокол транспортного уровня. В идеале это должно работать и для хостов с поддержкой IPv6 (где DNS-имя предоставляет запись «AAAA» или обе записи «A» и «AAAA»). ARP, обратный ARP (RARP), обратный ARP (InARP), Proxy ARP и Gratuitous ARP, разница между коммутаторами уровня 2 и уровня 3, компьютерная сеть | Алгоритм «дырявого ведра», мультиплексирование и демультиплексирование на транспортном уровне, система доменных имен (DNS) на уровне приложений, разрешение адресов в DNS (сервер доменных имен), протокол динамической конфигурации хоста (DHCP).Эти варианты в основном использовали три алгоритма (чтобы указать, что последний последовательный полученный пакет был # 13). размер окна передачи с использованием CWND = 4 × MSS. Если есть TCP Tahoe Более поздние версии TCP используют наличие повторяющихся подтверждений (Reno) и изменение временных интервалов между подтверждениями (Vegas). щелкните здесь, в gnuplot введите команду: Эта статья предоставлена ​​SHAURYA UPPAL. Полное описание формата см. В документации по Twisted Endpoints. Обратите внимание: если interface = не указан, Tahoe-LAFS попытается привязать порт, указанный на всех интерфейсах.Предпосылки — Базовые знания по контролю перегрузки. B. TCP Reno В TCP Reno [9] после первой повторной передачи канал канала связи не становится пустым, как в TCP Tahoe. (c) снова начать с фазы медленного старта. в то время, когда Вы освоите все важные концепции теории CS для собеседований SDE с курсом теории CS по приемлемой для студентов цене и станете готовой для отрасли. Программа для расчета времени приема-передачи (RTT), введения MAC-адреса в компьютерной сети, максимальной скорости передачи данных (пропускной способности канала) для бесшумных и зашумленных каналов, разницы между одноадресной, широковещательной и многоадресной передачей в компьютерной сети, доменом коллизий и доменом широковещательной передачи на компьютере Сеть, Интернет-протокол версии 6 (IPv6) Заголовок, Программа для определения класса, Сеть и идентификатор хоста IPv4-адреса, Программа C для поиска IP-адреса, Маска подсети и шлюз по умолчанию, Введение маски подсети переменной длины (VLSM), Типы Преобразование сетевых адресов (NAT), разница между дистанционной векторной маршрутизацией и маршрутизацией состояния канала, маршрутизация по протоколам маршрутизации в компьютерной сети, отравление маршрутов и проблема подсчета до бесконечности в маршрутизации, основы протокола Open Shortest Path First (OSPF), Open Shortest Path Состояния первого протокола (OSPF), Роли и конфигурация маршрутизатора сначала кратчайший путь (OSPF), Выбор корневого моста в протоколе связующего дерева, Особенности улучшенного маршрута внутреннего шлюза ting Protocol (EIGRP), протокол маршрутной информации (RIP) V1 и V2, административное расстояние (AD) и автономная система (AS), коммутация пакетов и задержки в компьютерной сети, различия между виртуальными цепями и сетями дейтаграмм, разница между коммутацией каналов и пакетной Переключение.TCP использует окно перегрузки и политику перегрузки, которая предотвращает перегрузку. Ранее мы предполагали, что только получатель может определять размер окна отправителя. Щелкните правой кнопкой мыши и сохраните файл в своем каталоге. Фаза предотвращения перегрузки: добавочное приращение — эта фаза начинается после порогового значения, также обозначаемого как ssthresh. На 5-м раунде передачи с пороговым значением (ssthresh) 32 переходит в фазу предотвращения перегрузки и продолжается до 10-й передачи. TCP TAHOE: Tahoe относится к алгоритму управления перегрузкой TCP, который был предложен Ван Якобсоном в его статье [1].генерируются в ответ на неправильное поступление пакетов в приемник. нажмите PLAY, чтобы увидеть симуляцию в действии. (или подтверждения CWND / MSS), тогда мы должны. Чтобы разобраться в теме подробно, давайте сначала кратко рассмотрим классы сокетов, присутствующие в модуле Python SocketServer. Простой протокол управления сетью (SNMP), протокол передачи файлов (FTP) на уровне приложений, непостоянное и постоянное соединение HTTP | Набор 1, протокол многоцелевого расширения почты Интернета (MIME). обнаружена потеря пакетов), I.е. установите механизм CWND = 1 на TCP Reno. В первоначальных версиях TCP (например, Tahoe) использовалось время приема-передачи, где время приема-передачи — это время, прошедшее от отправки основного сообщения (например, сообщения с данными) до получения подтверждения для этого сообщения.

Colt 1911 9мм 9-цилиндровый магазин, Сигнал открывания двери гаража Xtreme, Губернаторы Роатана Facebook, Как повесить качели на высокой ветке, Play This When I’m Gone Mgk аккорды, Орфей Аид Игра, Reddit Ancap Memes, Pi Google Документы, Порты RTX 2060, Nfi Campbell Soup Файетвилл, Северная Каролина, Сарасват Брамин означает, Замена Shopify Fd, Pokemon Home Взломанный переключатель,

Счетчик ACN

• Время приема-передачи (RTT) определяется как время между отправкой пакетов и это Ack получено.
• Окно перегрузки (CWND) — ограничение на объем данных на стороне отправителя. передача по сети до получения ACK.
• Тайм-аут ретрансляции (RTO) — время, установленное для ACK конкретный пакет, который должен быть получен, по истечении этого времени пакет объявляется как утерян и передается повторно.
• Duplicate ACK (DUP ACK) — это ACK, отправленный TCP на другой конец, сообщающий что сегмент мог быть потерян, и сообщая ему значение следующего ожидаемый порядковый номер.
• Порог медленного запуска (ssthresh) — параметр (или значение), используемый в управление передачей данных.

• При оценке времени туда и обратно сглаженный RTT задается как следует:

В этом расчете значение альфы выбрано равным 7/8, так как присвоение низкого значения дает акцент на недавнем RTT, поэтому внезапные всплески значения RTT могут повлиять на SRTT.Сохранение более высокого значения подчеркивает старое значение SRTT и, следовательно, внезапные всплески не очень эффективно повлияет на значение SRTT.

• Первоначально значение RTO предлагается как: RTO = beta * SRTT. Но возникла проблема с выбором бета-версии, меньшая ценность бета-версии дает около 50% неверной оценки того, что пакет был потерян а высокое значение беты заставляет долго ждать потерянных пакетов. так, RTO = SRTT + 4 * RTT_var
  

• RTO Backoff — это метод, который продолжает увеличивать значение RTO. экспоненциально всякий раз, когда есть ретрансляция, но ограничивается несколькими минут.

• RTT выборка Неоднозначность — это проблема, возникающая из-за того, как отбираются образцы для расчет среднего: TCP не может различить два отдельные подтверждения для одного и того же порядкового номера. Поэтому мы есть следующая проблема:

Таким образом, используя исходную передачу для RTT измерения, вызывает завышенную оценку, в то время как использование наиболее недавняя повторная передача для измерения RTT вызывает заниженную оценку и при этом дает очень негативный эффект.(Поскольку меньшее RTT имеет тенденцию к уменьшению RTO что в дальнейшем приводит к оценке потери пакета, даже если пакет не потерян и, таким образом, вызывает повторную передачу.)
Игнорирование выборки RTT также приводит к проблеме непрерывности повторная передача (причина указана ниже), так как RTT изменяется из-за нескольких такие причины, как перегрузка в сети, изменение маршрута в зависимости от какая-то политика.

Правило 2: RTO следует удвоить после повторной передачи.
Это называется «Экспоненциальный откат».

Почему правило 2 необходимо?
Когда RTO меньше реального RTT ..
Если применяется только Правило 1, TCP будет использовать предыдущее RTO. навсегда. Таким образом, все пакеты будут переданы повторно.
Нет измерений RTT бывает.

• Использование отметки времени для устранения неоднозначности также является хорошим решением. В качестве другой конец скопирует значение из подтверждаемого сегмента и поместите его в ACK и отправьте обратно отправителю, тогда легко рассчитать RTO.Но эта схема предполагает накладные расходы (т.е. не может сжимать заголовок).

• Быстро Передача инфекции : Когда TCP обнаруживает потерю сегмента с помощью таймера повторной передачи, тогда ssthresh устанавливается на половина CWND. то есть (ssthresh = CWND / 2) и CWND установлен на 1-полноразмерный сегмент.Теперь вместо того, чтобы ждать таймер повторной передачи, чтобы выйти, TCP обнаруживает потерю пакета, ища переупорядочивание пакетов и повторная передача потерянного пакета. Эта схема называется как «Быстрая ретрансляция». В этом алгоритме Получатель TCP немедленно отправляет дубликат ACK на неупорядоченный сегмент пребытие. Другой конец TCP выводит из небольшого числа (обычно 3) последовательных повторяющихся ACK, что сегмент был потерян, и выводит начальный порядковый номер отсутствующего сегмента. Отсутствующий сегмент передано повторно.
  

• Быстро Восстановление : Этот алгоритм говорит, что после быстрой повторной передачи Алго. (т.е. после повторной передачи отсутствующего сегмента), Выполняется предотвращение перегрузки, но не медленный старт. Это улучшение, обеспечивающее более высокую пропускную способность при умеренной перегрузке, особенно для большого окна.Этот алгоритм управляет передачей новые данные, пока не поступит свежий (новый) ACK.
  

Если получен номер DUP-ACK = 3
ssthresh = CWND / 2;
Повторно передать потерянный сегмент;
CWND = sshthresh + 3; / * 3 для 3 DUP-ACK * /

За каждый следующий DUP-ACK
Увеличьте CWND на 1.
/ * т.е. CWND = CWND + 1. Это увеличивает CWND для отражения сегмента, вышедшего из сети * /

Если разрешено CWND и Окно объявления получателя
Передать сегмент (если любой….)

Если не DUP-ACK / * т.е. Новый / Свежий ACK * /
CWND = sshthresh / * Сдутие окна * /

Избежание перегрузки вызова Алгоритм

Перегрузка Избежание (CA):

Предположим, CWND отправителя = W.Пакеты, идущие в получатель имеет порядковые номера (U, U + W), теперь учтите, что пакет имеющий порядковый номер ‘U’ отбрасывается, пакеты [U, U + W) все еще в пути. При обнаружении потери пакета отправитель сокращает его Размер CWND вдвое меньше исходного (т. Е. W / 2). Получатель отправит W-1 DUP-ACK в одном RTT. Наряду с ретрансляцией потерянный пакет, отправитель отправит на макс. W / 2 -1 новые пакеты (как CWND = W / 2). Таким образом, общее количество отправленных пакетов составляет [U, U + W / 2 + W-1). Если был потерян только пакет U, то новый ACK запросит для U + W.

Повторная передача TCP | TCP Duplicate ACK

Перед тем, как перейти к этой статье, убедитесь, что вы прочитали предыдущую статью о трехстороннем рукопожатии .

Мы уже обсуждали —

• TCP использует трехстороннее рукопожатие для установления соединения между отправителем и получателем.
• Установление соединения с использованием трехстороннего рукопожатия включает следующие шаги:

В этой статье мы обсудим, как повторно передается потерянный сегмент TCP.

После установления соединения

• Отправитель начинает передавать сегменты TCP получателю.
• Сегмент TCP, отправленный отправителем, может потеряться в пути, прежде чем достигнет получателя.
• При этом получатель отправляет отправителю подтверждение с тем же номером ACK.
• В результате отправитель повторно передает тот же сегмент получателю.
• Это называется повторной передачей TCP .

Отправитель обнаруживает, что сегмент TCP потерян, когда:

1. Либо истекает таймер тайм-аута
2. , либо он получает три дублирующих подтверждения

Каждый раз, когда отправитель передает сегмент TCP получателю, он запускает таймер тайм-аута.

Теперь возможны следующие два случая:

• Отправитель получает подтверждение для отправленного сегмента до того, как таймер сработает.
• В этом случае отправитель останавливает таймер.

• Отправитель не получает подтверждения для отправленного сегмента, и таймер отключается.
• В этом случае отправитель предполагает, что отправленный сегмент потерян.
• Отправитель повторно передает тот же сегмент получателю и сбрасывает таймер.

Также прочитано- Таймер тайм-аута