Как проверить птс оригинал или дубликат: Как проверить ПТС на подлинность перед покупкой автомобиля

10+ инструментов для поиска и удаления повторяющихся файлов в Windows

Мы рассмотрели множество способов, которыми вы можете сэкономить место на ваших дисках за последние годы, совсем недавно обсудили, как вручную просматривать большие файлы и протестировать утилиты очистки, сбросить Windows до состояния по умолчанию без потери файлов и методы удаления резервная копия Windows.old, во всех сценариях потенциально восстанавливающая несколько гигабайт хранилища. Удаление повторяющихся файлов в вашей системе может легко привести к очистке, размер которой будет аналогичным, если будет найдено только несколько больших файлов.

Windows сама по себе не позволяет легко справиться с дублирующимися файлами. Хотя есть много вариантов для выполнения такого рода задач с помощью пакетных файлов или сценариев PowerShell, мы предполагаем, что большинство людей предпочтут то, что не требует командной строки.

Без установки стороннего программного обеспечения ваш единственный вариант — запустить поиск определенного файла через проводник Windows и вручную удалить появляющиеся дубликаты. Это, конечно, бесполезно, если вы не знаете, какие файлы имеют дубликаты.

Те из вас, кто использует мощную альтернативу File Explorer, Total Commander, возможно, уже знают, что он включает в себя возможность поиска повторяющихся файлов (он находится на второй странице поиска) среди десятков других функций, которые он предоставляет в Windows File Explorer, нацеленных на опытных пользователей .

Если вы предпочитаете не добавлять в свою систему какое-либо дополнительное программное обеспечение сторонних производителей или изучать новый файловый менеджер, стоит упомянуть, что CCleaner имеет встроенный поиск дубликатов файлов (Инструменты> Duplicate Finder), , если вы уже используете это.Однако обратите внимание, что мы не так любим CCleaner, как раньше, и в наши дни есть альтернативы получше.

Сторонние инструменты для поиска повторяющихся файлов

Вам, вероятно, понадобится один из этих инструментов …

Мы установили все вышеперечисленное, и, если вам не нужна какая-то конкретная функция, CloneSpy получает нашу рекомендацию по созданию легкого, хотя и несколько загроможденного интерфейса. CloneSpy по умолчанию отображает достаточно параметров, он также бесплатен и может работать в «портативном» режиме без полной установки, что нам обычно нравится для такого рода утилит.

Для более интуитивно понятного интерфейса с более простой функциональностью, чем указано выше, нам нравится Wise Duplicate Finder:

Что касается премиум-класса, Duplicate Cleaner — это, пожалуй, самый популярный инструмент для создания дубликатов в нашем разделе загрузок, рекламирующий множество функций и отображающий их в современном адаптивном интерфейсе, который хорошо масштабируется с настраиваемым DPI Windows.

Если вы планируете запустить только несколько быстрых сканирований, а затем удалить его, программа предлагает 15-дневную пробную версию, но стоит 29 долларов.95 за пожизненную лицензию.

Хотя вам нужно снять отметку с вредоносного ПО во время его установки, Auslogics Duplicate File Finder бесплатен и имеет графический интерфейс, который выглядит примерно так же, как Duplicate Cleaner, но проводит вас через процесс сканирования с серией подсказок вместо того, чтобы открывать коммутатор, полный параметры.

В качестве последнего упоминания, DupScout кажется достойной альтернативой CloneSpy, если вам не нужна портативная установка, но вам нужен относительно чистый интерфейс, который не такой устаревший или бесплодный (добавьте профиль слева, чтобы начать) .

Визуализируйте эти большие файлы

Не удалось освободить столько места, как вы думали?
Попробуйте найти большие файлы с помощью одного из этих инструментов визуализации дисков …

Поиск повторяющихся файлов в macOS

Duplicate File Finder Remover в Mac App Store с множеством функций поверх очень интуитивно понятного пользовательского интерфейса. Некоторые расширенные функции доступны за дополнительную плату, но это совершенно необязательно.

Еще два рекомендуемых приложения для пользователей macOS: Trend Micro Dr.Cleaner является бесплатным и предлагает очиститель диска и поиск больших файлов. Disk Inventory X — это специальный инструмент для отображения размеров файлов и папок на диаграмме древовидной карты, аналогично приведенному выше примеру Windows.

Другие полезные советы

Потеря сетевых пакетов, повторные передачи и дублирующие подтверждения

Это третья статья из нашей серии о TCP, охватывающей все, что вам нужно знать для устранения проблем с производительностью, влияющих на критически важные для бизнеса приложения. После рассмотрения того, как TCP открывает и закрывает соединения, мы теперь рассмотрим проблемы, которые могут произойти с текущим соединением, в частности, потерю сетевых пакетов.

Что вызывает потерю сетевых пакетов?

Две наиболее распространенные причины потери сетевых пакетов:

• Ошибки второго уровня (L2)
• и перегрузка сети

Если кадр становится ошибочным от точки к точке в соединении из-за проблем с кабелем, дуплексных проблем или других событий уровня 1, получатель определит, что данные повреждены, и сбросит их.В большинстве случаев счетчик ошибок будет увеличиваться на интерфейсе, что помогает определить место, где произошла потеря.

Перегрузка трафика может привести к сбрасыванию ввода / вывода на интерфейсных ссылках, особенно при преобразовании между скоростями каналов (например, 10 Гбит / с на 1 Гбит / с). В этих подключениях исходящий канал может не справиться с объемом входящего трафика, что может привести к отбрасыванию пакетов. Отправитель трафика определит произошедшую потерю и осуществит повторную передачу. Обычно они помечаются как «отброшенные» на интерфейсах.

Как мы видели в этой серии статей, TCP — это протокол, ориентированный на установление соединения. Частью функции установления соединения является создание механизма для отслеживания отправленных данных и подтверждения того, что было получено. Таким образом, TCP может обнаружить пропадание пакета и, соответственно, повторно отправить его, обеспечивая надежную передачу данных.

Потеря сетевых пакетов: справляемся ли мы с этим сегодня?

Да. Несмотря на зрелость сетевых каналов со скоростью 10 Гбит / с и выше, потеря пакетов по-прежнему является основным сетевым событием, которое влияет на приложения сегодня.Чтобы устранить эти проблемы, нам сначала нужно понять, как отбрасываются пакеты, как мы можем обнаруживать эти события и как мы можем их решить.

Каждый байт данных, отправленных в TCP-соединении, имеет соответствующий порядковый номер. Это указано в поле порядкового номера заголовка TCP.

Когда принимающий сокет обнаруживает входящий сегмент данных, он использует номер подтверждения в заголовке TCP, чтобы указать получение.После отправки пакета данных отправитель запускает таймер повторной передачи переменной длины. Если он не получит подтверждения до истечения таймера, отправитель предположит, что сегмент был потерян, и повторно передаст его.

Механизм повторной передачи TCP обеспечивает надежную передачу данных от начала до конца. Если в TCP-соединении обнаруживаются повторные передачи, логично предположить, что потеря пакета произошла в сети где-то между клиентом и сервером.

Большинство анализаторов пакетов будут указывать на условие дублирования подтверждения, когда обнаруживаются два пакета ACK с одинаковыми номерами ACK.

Отправляющие TCP-сокеты обычно передают данные последовательно. Вместо того, чтобы отправлять по одному сегменту данных за раз и ждать подтверждения, передающие станции будут последовательно отправлять несколько пакетов.Если один из этих пакетов в потоке пропадает, принимающий сокет может указать, какой пакет был потерян, с помощью выборочных подтверждений.

Они позволяют получателю продолжать подтверждать входящие данные, одновременно информируя отправителя об отсутствующих пакетах в потоке.

Как показано выше, выборочные подтверждения будут использовать номер ACK в заголовке TCP, чтобы указать, какой пакет был потерян. В то же время в этих пакетах ACK получатель может использовать параметр SACK в заголовке TCP, чтобы показать, какие пакеты были успешно получены после точки потери.

Опция SACK — это функция, которая объявляется каждой станцией в начале TCP-соединения. Большинство сетевых анализаторов помечают эти пакеты как повторяющиеся подтверждения, потому что номер ACK останется неизменным до тех пор, пока отсутствующий пакет не будет повторно передан, заполняя пробел в последовательности.

Обычно повторяющиеся подтверждения означают, что один или несколько пакетов были потеряны в потоке и соединение пытается восстановить. Они являются частым признаком потери пакетов.В большинстве случаев, как только отправитель получает три повторяющихся подтверждения, он немедленно повторно передает отсутствующий пакет вместо того, чтобы ждать истечения таймера. Это называется быстрой повторной передачей.

Соединения с большей задержкой между клиентом и сервером обычно будут иметь больше повторяющихся пакетов подтверждения, когда сегмент потерян. В соединениях с высокой задержкой можно наблюдать несколько сотен повторяющихся подтверждений для одного потерянного пакета.

Если в соединении обнаруживаются повторные передачи TCP и повторяющиеся подтверждения, не думайте, что небо падает и производительность резко упала.В зависимости от сети между конечными точками небольшое их количество может быть нормальным.

Например, если поставщик услуг подключает конечных пользователей к приложениям в центре обработки данных или если приложение размещено в облачной среде, существует несколько подключений, которые не могут контролироваться и находиться вне зоны видимости сетевой группы. Конечные пользователи могут воспринимать производительность как нормальную, но может существовать небольшое количество повторных передач.

Однако при устранении проблем с производительностью приложения с увеличением количества повторных передач для тех самых пользователей, которые жалуются, основной причиной, скорее всего, является потеря пакетов.Или, по крайней мере, потеря пакетов будет значительной частью головоломки.

Потерянные пакеты требуют повторной передачи, что требует времени, что замедляет работу приложений. В зависимости от того, сколько происходит и насколько быстро конечные точки могут восстановить отсутствующие пакеты, они могут значительно повлиять на производительность приложения.

В этих случаях пройдите по каналу связи между клиентом и сервером, анализируя ошибки на уровне канала для всех устройств инфраструктуры, которыми вы управляете. Возможно, вы обнаружили неисправный кабель, счетчик контрольной последовательности кадров (FCS) или индикатор сброса, которые способствуют потере пакетов.

Описание функций TCP в Windows — Windows Server

• 21.09.2020
• 14 минут на чтение

В этой статье

В этой статье описываются функции TCP в Windows.

Применимо к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 224829

Сводка

В этой статье описаны следующие функции TCP в Windows:

• Размер окна TCP
• Опции TCP теперь поддерживаются
• Масштабирование Windows — RFC 1323
• Отметка времени — RFC 1323
• Защита от упакованных порядковых номеров (PAWS)
• Выборочное подтверждение (SACKS) — RFC 2018
• Поведение при повторной передаче TCP и быстрая повторная передача

Функции TCP можно изменить, изменив записи в реестре.

Важно

Следующие разделы, методы или задачи содержат шаги, которые рассказывают вам, как изменить реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы выполните следующие действия внимательно. Для дополнительной защиты сделайте резервную копию реестра перед его изменением. Затем вы можете восстановить реестр, если возникнет проблема. Для получения дополнительных сведений о том, как создать резервную копию и восстановить реестр, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Microsoft:
322756 Как создать резервную копию и восстановить реестр в Windows

Размер окна TCP

Размер окна приема TCP — это объем принимаемых данных (в байтах), которые можно буферизовать во время соединения.Передающий хост может отправить только этот объем данных, прежде чем он должен будет ждать подтверждения и обновления окна от принимающего хоста. Стек Windows TCP / IP предназначен для самонастройки в большинстве сред и использует большие размеры окна по умолчанию, чем в более ранних версиях.

Вместо использования жестко запрограммированного размера окна приема по умолчанию TCP настраивается на равные приращения максимального размера сегмента (MSS). MSS согласовывается во время установки соединения. Регулировка окна приема для равномерного приращения MSS увеличивает процент полноразмерных TCP-сегментов, используемых во время массовой передачи данных.

Размер окна приема определяется следующим образом:

1. Первый запрос на соединение, отправленный на удаленный хост, объявляет размер окна приема 16 КБ (16 384 байта).
2. Когда соединение установлено, размер окна приема округляется до четного приращения MSS.
3. Размер окна настраивается в четыре раза больше MSS, до максимального размера 64 КБ, если не используется опция масштабирования окна (RFC 1323).

Примечание

См. Раздел «Масштабирование Windows».

Для подключений Ethernet размер окна обычно устанавливается равным 17 520 байтам (16 КБ с округлением до двенадцати сегментов по 1460 байтов). Размер окна может уменьшиться при установке соединения с компьютером, который поддерживает расширенные параметры заголовка TCP, такие как выборочные подтверждения (SACKS) и отметки времени. Эти две опции увеличивают размер заголовка TCP до более чем 20 байтов, что приводит к уменьшению места для данных.

В предыдущих версиях Windows NT размер окна для подключения Ethernet составлял 8 760 байт, или шесть сегментов по 1460 байт.

Чтобы установить для размера окна приема определенное значение, добавьте значение TcpWindowSize в подраздел реестра, относящийся к вашей версии Windows. Для этого выполните следующие действия:

1. Выберите Start > Run , введите Regedit , а затем выберите OK .

2. Разверните подраздел реестра, соответствующий вашей версии Windows:

   • Для Windows 2000 разверните следующий подраздел: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ Interfaces

   • Для Windows Server 2003 разверните следующий подраздел: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters

3. В меню Edit укажите на New , а затем выберите DWORD Value .

4. Введите TcpWindowSize в поле Новое значение и нажмите Enter

5. Выберите Изменить в меню Изменить .

6. Введите желаемый размер окна в поле Value data .

   Примечание

   Допустимый диапазон размера окна: 0-0x3FFFC000 в шестнадцатеричном формате.

По умолчанию этого значения нет. Когда вы добавляете значение TcpWindowSize, оно переопределяет алгоритм размера окна по умолчанию, описанный выше.

Примечание

TcpWindowSize также можно добавить к ключу Parameters, чтобы установить глобальный размер окна для всех интерфейсов.

Опции TCP теперь поддерживаются

Ранее параметры TCP использовались в основном для согласования максимальных размеров сегментов. В Windows параметры TCP используются для масштабирования окна, отметки времени и выборочного подтверждения.

Есть два типа опций TCP:

1. Опция TCP с одним октетом, которая используется для обозначения определенного типа опции.
2. Опция TCP с несколькими октетами, которая состоит из типа опции, длины опции и серии октетов опций.

В следующем списке показаны тип, длина, имя и описание каждого параметра TCP.

Тип: 0
Длина: 1
Опция: Конец списка опций
Описание: Используется, когда требуется заполнение для последней опции TCP.

Тип: 1
Длина: 1
Опция: Нет операции
Описание: Используется, когда требуется заполнение, и в одном пакете следуют другие параметры TCP.

Тип: 2
Длина: 4
Опция: Максимальный размер сегмента
Описание: Указывает максимальный размер сегмента TCP, который может быть отправлен по сети.

Тип: 3
Длина: 3
Опция: Опция масштабирования окна
Описание: Определяет коэффициент масштабирования, который будет использоваться при использовании размеров окна более 64k.

Тип: 8
Длина: 10
Опция: Опция отметки времени
Описание: Используется для помощи в вычислении времени приема-передачи (RTT) переданных пакетов.

Тип: 4
Длина: 2
Опция: TCP SACK разрешен
Описание: Информирует другие хосты о том, что выборочные подтверждения разрешены.

Тип: 5
Длина: Варьируется
Опция: TCP SACK Опция
Описание: Используется хостами для определения того, были ли получены пакеты с нарушением порядка.

Масштабирование Windows

Для более эффективного использования сетей с высокой пропускной способностью можно использовать больший размер окна TCP. Поле размера окна TCP управляет потоком данных и ограничено 2 байтами или размером окна 65 535 байтов.

Поскольку поле размера не может быть расширено, используется коэффициент масштабирования. Масштаб окна TCP — это опция, используемая для увеличения максимального размера окна с 65 535 байтов до 1 гигабайта.

Параметр масштабирования окна используется только во время трехстороннего квитирования TCP. Значение масштаба окна представляет количество битов для сдвига влево 16-битного поля размера окна. Значение шкалы окна может быть установлено от 0 (без сдвига) до 14.

Чтобы вычислить истинный размер окна, умножьте размер окна на 2 ^ S, где S — значение шкалы.3

Истинный размер окна = 524280

Следующая трассировка сетевого монитора показывает, как используется параметр масштабирования окна:

  TCP: .... S., Len: 0, seq: 725163-725163, ack: 0, win: 65535, src: 1217 dst: 139 (сеанс NBT)
TCP: порт источника = 0x04C1
TCP: порт назначения = служба сеанса NETBIOS
TCP: порядковый номер = 725163 (0xB10AB)
TCP: номер подтверждения = 0 (0x0)
TCP: смещение данных = 44 (0x2C)
TCP: зарезервировано = 0 (0x0000)
+ TCP: Flags = 0x02: .... S.
TCP: Окно = 65535 (0xFFFF)
TCP: контрольная сумма = 0x8565
TCP: срочный указатель = 0 (0x0)
TCP: параметры
+ TCP: параметр максимального размера сегмента
TCP: параметр Nop = 1 (0x1)
TCP: опция масштабирования окна
TCP: Тип параметра = Масштаб окна
TCP: длина параметра = 3 (0x3)
TCP: масштаб окна = 3 (0x3)
TCP: параметр Nop = 1 (0x1)
TCP: параметр Nop = 1 (0x1)
+ TCP: опция временных меток
TCP: параметр Nop = 1 (0x1)
TCP: параметр Nop = 1 (0x1)
+ TCP: разрешенная опция SACK
  

Размер окна, используемый в фактическом трехстороннем рукопожатии, не является масштабируемым размером окна согласно разделу 2 RFC 1323.2:

«Само поле Window в сегменте SYN (например, [SYN] или [SYN, ACK]) никогда не масштабируется».

Это означает, что первый пакет данных, отправленный после трехстороннего рукопожатия, является фактическим размером окна. Если есть коэффициент масштабирования, всегда используется начальный размер окна 65 535 байт. Затем размер окна умножается на коэффициент масштабирования, указанный в трехстороннем рукопожатии. В таблице ниже представлены границы коэффициента масштабирования для различных размеров окна.

Например:

Если размер окна в реестре задан как 26

00 (269M) в десятичном формате, коэффициент масштабирования во время трехстороннего рукопожатия равен 13.13

Когда значение размера окна добавляется в реестр и его размер превышает значение по умолчанию, Windows пытается использовать значение масштаба, соответствующее новому размеру окна.

Значение Tcp1323Opts в следующем разделе реестра может быть добавлено для управления окнами масштабирования и меткой времени:

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ Tcpip \ Parameters

1. На панели инструментов выберите Start > Run , а затем введите Regedit , чтобы запустить редактор реестра.

2. В редакторе реестра выберите Изменить , укажите Новый , а затем выберите Значение DWORD .

3. В поле Новое значение введите Tcp1323Opts , нажмите клавишу ВВОД, а затем в меню Изменить выберите Изменить .

   Примечание

   Допустимый диапазон: 0, 1, 2 или 3, где:
   0 (отключение параметров RFC 1323)
   1 (включено только масштабирование окна)
   2 (включены только временные метки)
   3 (включены оба параметра)

Эта запись реестра управляет метками времени RFC 1323 и параметрами масштабирования окна.Метки времени и масштабирование окна включены по умолчанию, но ими можно управлять с помощью битов флагов. Бит 0 управляет масштабированием окна. Бит 1 управляет отметками времени.

Метки времени

Ранее стек TCP / IP использовал одну выборку на окно данных, отправленных для расчета времени приема-передачи (RTT). Таймер (таймер повторной передачи) был установлен при отправке пакета до получения подтверждения. Например, если размер окна составлял 64 240 байтов (44 полных сегмента) в сети Ethernet, только один из каждых 44 пакетов использовался для пересчета времени приема-передачи.При максимальном размере окна 65 535 байт этой частоты дискретизации было достаточно. При использовании масштабирования окна и максимального размера окна в 1 гигабайт этой частоты дискретизации RTT недостаточно.

Параметр TCP Timestamp теперь может использоваться для сегментов (данных и ACK), которые стек считает подходящими для выполнения таких операций, как:

• Расчет RTT
• Чек PAWS

Используя эти данные, можно точно рассчитать RTT при больших размерах окна. RTT используется для расчета интервалов повторной передачи.Для оптимальной пропускной способности необходимы точные интервалы времени RTT и повторной передачи.

Когда метка времени TCP используется в сеансе TCP, инициатор сеанса отправляет опцию в своем первом пакете трехстороннего установления связи TCP (пакет SYN). Любая из сторон может затем использовать опцию TCP во время сеанса.

Параметр временных меток TCP (TSopt):

Поле параметра отметки времени можно просмотреть в трассировке сетевого монитора, развернув поле параметров TCP, как показано ниже:

  TCP: параметр отметок времени
TCP: тип параметра = отметки времени
TCP: длина опции = 10 (0xA)
TCP: отметка времени = 2525186 (0x268802)
TCP: отметка времени ответа = 1823192 (0x1BD1D8)
  

Защита от упакованных порядковых номеров (PAWS)

Поле порядкового номера TCP ограничено 32 битами, что ограничивает количество доступных порядковых номеров.В сетях с высокой пропускной способностью и при большой передаче данных можно обернуть порядковые номера до того, как пакет пройдет через сеть. При отправке данных по сети со скоростью один гигабайт в секунду (Гбит / с) порядковые номера могут быть перенесены всего за 34 секунды. Если пакет задерживается, потенциально может существовать другой пакет с тем же порядковым номером. Чтобы избежать путаницы с повторяющимися порядковыми номерами, временная метка TCP используется как расширение порядкового номера. Пакеты имеют текущие и прогрессирующие метки времени.Старый пакет имеет более старую отметку времени и отбрасывается.

Выборочные подтверждения (SACK)

Windows представляет поддержку функции производительности, известной как выборочное подтверждение или SACK. SACK особенно важен для соединений, использующих большие размеры окна TCP. До SACK получатель мог подтвердить только последний порядковый номер непрерывного потока данных, который был получен, или «левый край» окна приема. При включенном SACK получатель продолжает использовать номер ACK для подтверждения левого края окна приема, но он также может подтверждать другие блоки полученных данных по отдельности.SACK использует параметры заголовка TCP, как показано ниже.

SACK использует два типа параметров TCP.

Параметр TCP Sack-Permitted Option используется только в SYN-пакете (во время установления TCP-соединения), чтобы указать, что он может выполнять выборочный ACK.

Вторая опция TCP, TCP Sack Option, содержит подтверждение для одного или нескольких блоков данных. Блоки данных идентифицируются по порядковому номеру в начале и в конце этого блока данных. Он также известен как левый и правый край блока данных.

Kind 4 — опция TCP Sack-Permitted. Вид 5 — вариант TCP-мешка. Длина — это длина этой опции TCP в байтах.

Tcp SACK Разрешено:

Tcp SACK Опция:

При включенном SACK (по умолчанию) пакет или серия пакетов могут быть отброшены. Получатель сообщает отправителю, какие данные были получены и где могут быть «дыры» в данных. Затем отправитель может выборочно повторно передать недостающие данные без повторной передачи блоков данных, которые уже были успешно приняты. SACK управляется параметром реестра SackOpts.

Значение SackOpts в следующем разделе реестра можно изменить для управления использованием выборочных подтверждений:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters

1. На панели инструментов выберите Start > Run , а затем введите Regedit , чтобы запустить редактор реестра.
2. Найдите и выберите указанный выше раздел в редакторе реестра, а затем выберите Изменить в меню Изменить .
3. Введите желаемое значение в поле Значение .

Примечание

Допустимое двоичное значение — 0 или 1, значение по умолчанию — 1. Этот параметр определяет, включена ли поддержка выборочного ACK (SACK — RFC 2018).

Следующая трассировка сетевого монитора показывает, что хост подтверждает все данные до порядкового номера 54857341, а также данные с порядковым номером 54858789-54861685. Отсутствующие данные — от 54857341 до 54858788.

  TCP:.A ...., len: 0, seq: 925104-925104, ack: 54857341, win: 32722, src: 1242 dst: 139
TCP: порт источника = 0x04DA
TCP: порт назначения = служба сеанса NETBIOS
TCP: порядковый номер = 925104 (0xE1DB0)
TCP: номер подтверждения = 54857341 (0x3450E7D)
TCP: смещение данных = 44 (0x2C)
TCP: зарезервировано = 0 (0x0000)
+ TCP: Flags = 0x10: .A ....
TCP: Окно = 32722 (0x7FD2)
TCP: Контрольная сумма = 0x4A72
TCP: срочный указатель = 0 (0x0)
TCP: параметры
TCP: параметр Nop = 1 (0x1)
TCP: параметр Nop = 1 (0x1)
+ TCP: опция временных меток
TCP: параметр Nop = 1 (0x1)
TCP: параметр Nop = 1 (0x1)
TCP: опция SACK
TCP: Тип опции = 0x05
TCP: длина опции = 10 (0xA)
TCP: левый край блока = 54858789 (0x3451425)
TCP: правый край блока = 54861685 (0x3451F75)
  

Поведение при повторной передаче TCP и быстрая повторная передача

Повторная передача TCP

Для проверки нормального поведения при повторной передаче TCP запускает таймер повторной передачи, когда каждый исходящий сегмент передается Интернет-протоколу (IP).Если до истечения таймера не было получено подтверждение для данных в данном сегменте, сегмент передается повторно.

Тайм-аут повторной передачи (RTO) постоянно регулируется в соответствии с характеристиками соединения с использованием вычислений сглаженного времени кругового обхода (SRTT), как описано в RFC 793. Таймер для данного сегмента удваивается после каждой повторной передачи этого сегмента. Используя этот алгоритм, TCP настраивается на обычную задержку соединения.

Быстрая повторная передача

TCP повторно передает данные до истечения таймера повторной передачи при некоторых обстоятельствах.Наиболее частой причиной является функция, известная как быстрая повторная передача. Когда приемник, поддерживающий быструю повторную передачу, принимает данные с порядковым номером, превышающим текущий ожидаемый, некоторые данные, вероятно, были потеряны. Чтобы помочь проинформировать отправителя об этом событии, получатель немедленно отправляет ACK с номером ACK, установленным на ожидаемый порядковый номер. Это будет продолжаться для каждого прибывающего дополнительного сегмента TCP. Когда отправитель начинает получать поток ACK, подтверждающих тот же порядковый номер, возможно, сегмент был отброшен.Отправитель немедленно повторно отправит сегмент, который ожидает получатель, не дожидаясь истечения таймера повторной передачи. Эта оптимизация значительно повышает производительность при частом сбрасывании пакетов.

По умолчанию Windows повторно отправляет сегмент при следующих условиях:

• Он получает три ACK для одного и того же порядкового номера: один ACK и два дубликата.
• Порядковый номер отстает от текущего.

Этим поведением можно управлять с помощью параметра реестра TcpMaxDupAcks .

Значение TcpMaxDupAcks в следующем разделе реестра можно отредактировать для управления количеством ACK, необходимых для запуска быстрой повторной передачи:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters

1. На панели инструментов выберите Start > Run , а затем введите Regedit , чтобы запустить редактор реестра.
2. Найдите и выберите указанный выше раздел в редакторе реестра, а затем выберите Изменить в меню Изменить .
3. Введите желаемое значение в поле Значение .

Примечание

Допустимый диапазон — 1-3, значение по умолчанию — 2.

Этот параметр определяет количество дублированных ACK, которые должны быть получены для одного и того же порядкового номера отправленных данных, прежде чем быстрая повторная передача сработает для повторной отправки сегмента, который был отброшен при передаче.

rfc3708

 Сетевая рабочая группа E.Blanton
Запрос комментариев: 3708 Purdue University
Категория: Экспериментальная М. Оллман
                                                                    ICIR
                                                           Февраль 2004 г.


      Использование TCP Duplicate Selective Acknowledgment (DSACK) и
         Дубликат протокола передачи управления потоком (SCTP)
        Порядковые номера передачи (TSN) для обнаружения ложных
                            Повторные передачи

Статус этого меморандума

   Этот меморандум определяет экспериментальный протокол для Интернета.
   сообщество.Он не определяет никаких стандартов Интернета.
   Требуются обсуждения и предложения по улучшению.
   Распространение этой памятки не ограничено.

Уведомление об авторских правах

   Авторские права (C) The Internet Society (2004). Все права защищены.

Абстрактный

   TCP и протокол передачи управления потоком (SCTP) обеспечивают
   уведомление о получении дубликата сегмента через Duplicate Selective
   Подтверждение (DSACK) и повторяющийся порядковый номер передачи
   (TSN) соответственно.В этом документе представлены
   консервативные методы использования этой информации для выявления
   ненужные повторные передачи для различных приложений.

1. Введение

   TCP [RFC793] и SCTP [RFC2960] предоставляют уведомление о дублировании
   получение сегмента посредством дублированного выборочного подтверждения (DSACK)
   [RFC2883] и повторяющиеся уведомления TSN соответственно. Используя это
   информации, отправитель TCP или SCTP обычно может определить, когда
   повторная передача была отправлена ​​по ошибке. В этом документе представлены два метода
   за использование повторяющихся уведомлений.Первый способ прост и
   может использоваться для бухгалтерских приложений. Второй метод - это
   консервативный алгоритм для устранения неоднозначности ненужных повторных передач
   от событий потерь с целью устранения ненужной перегрузки
   контролировать изменения.







Blanton & Allman Experimental [Страница 1] 

RFC 3708 TCP DSACK и SCTP Duplicate TSN, февраль 2004 г.


   Этот документ предназначен для описания разумных и безопасных алгоритмов.
   для обнаружения ложных повторных передач и обсудить некоторые из
   соображения вовлечены.Он не предназначен для описания единственного
   возможный метод достижения цели, хотя рекомендации в
   этот документ следует учитывать при проектировании
   альтернативные алгоритмы. Кроме того, этот документ не описывает
   что может сделать отправитель TCP или SCTP после ложной повторной передачи
   обнаружен. Был разработан ряд предложений (например,
   [RFC3522], [SK03], [BDA03]), но пока не ясно, какие из них
   предложения уместны. Кроме того, все они полагаются на обнаружение
   ложные повторные передачи и поэтому могут использовать алгоритм, указанный в этом
   документ.Наконец, отметим, что для упрощения текста большая часть следующего
   обсуждение ведется с точки зрения TCP DSACK, а также применяется как к TCP, так и к
   SCTP.

   Терминология

   Ключевые слова «ДОЛЖНЫ», «НЕ ДОЛЖНЫ», «ОБЯЗАТЕЛЬНО», «ДОЛЖНЫ», «НЕ ДОЛЖНЫ»,
   «ДОЛЖЕН», «НЕ ДОЛЖЕН», «РЕКОМЕНДУЕТСЯ», «МОЖЕТ» и «ДОПОЛНИТЕЛЬНО» в этом
   документ следует интерпретировать, как описано в RFC 2119 [RFC2119].

2. Подсчет повторяющихся уведомлений

   Для определенных приложений прямой подсчет повторяющихся уведомлений
   будет достаточно.Например, если стек просто хочет знать (для
   по какой-то причине) количество ложно повторно переданных сегментов,
   подсчет всех повторяющихся уведомлений для повторно переданных сегментов
   должно работать хорошо. Еще одно применение этой стратегии - мониторинг
   и адаптировать транспортные алгоритмы, чтобы транспорт не отправлял
   большие объемы ложных данных в сети. Например,
   мониторинг повторяющихся уведомлений может быть использован Ранним
   Алгоритм повторной передачи [AAAB03], чтобы определить, быстро ли
   повторная передача сегментов [RFC2581] с более низким, чем обычно, дубликатом
   Порог ACK работает, или если переупорядочение сегментов вызывает
   ложные ретрансляции.Говоря более предположительно, повторное уведомление было предложено в качестве
   неотъемлемая часть оценки общего коэффициента потерь TCP [AEO03] для
   в целях смягчения воздействия коррупционных потерь на
   производительность транспортного протокола. [EOA03] предлагает изменить
   реакция транспорта на перегрузку на долю потерь, которые
   фактически из-за перегрузки, требующей от сети предоставления
   уровень потерь на основе коррупции и оценка отправителя транспорта
   общий коэффициент потерь.Повторяющиеся уведомления - ключевая часть
   точная оценка общего уровня потерь [AEO03].




Blanton & Allman Experimental [Страница 2] 

RFC 3708 TCP DSACK и SCTP Duplicate TSN, февраль 2004 г.


3. Перегрузка / алгоритм устранения повторяющейся неоднозначности

   Когда цель обнаружения ложных повторных передач - "отменить"
   ненужные изменения, внесенные в состояние управления перегрузкой, так как
   предложено в [RFC2883], отправителю данных в идеале необходимо определить:

   а) ложные повторные передачи в определенном окне данных
       не маскировать реальную потерю сегмента (перегрузку).Например, предположим, что сегменты N и N + 1 передаются повторно даже
       хотя только сегмент N был удален сетью (таким образом, сегмент
       N + 1 было без нужды ретранслировано). Когда отправитель получает
       уведомление о том, что сегмент N + 1 прибыл более одного раза, он может
       сделать вывод, что сегмент N + 1 был напрасно повторен. Однако это
       не могу сделать вывод о целесообразности устранения перегрузки
       состояние управления, потому что окно данных содержало хотя бы один
       действительный индикатор перегрузки (т.е.е., сегмент N был утерян).

   (б) Это дублирование сети не является причиной дублирования
       уведомление.

       Определение того, вызвано ли повторяющееся уведомление сетью
       дублирование пакета или ложная повторная передача - это почти
       теоретически невыполнимая задача. Поскольку [Pax97] показывает этот пакет
       дублирование по сети встречается редко, алгоритм в этом разделе
       просто перестает функционировать при обнаружении дублирования сети
       (получая уведомление о дублировании для сегмента, который был
       не ретранслируется отправителем).Приведенный ниже алгоритм дает разумные, но неполные,
   защита от обоих этих случаев.

   Мы предполагаем, что отправитель TCP имеет структуру данных для выборочного хранения.
   информация о подтверждении (например, как указано в [RFC3517]). В
   следующие шаги требуют расширения такого «табло» до
   включать немного более длинную историю ретрансляций, чем называется
   для в [RFC3517]. После получения ДОЛЖНЫ быть предприняты следующие шаги.
   каждого уведомления DSACK или дубликата TSN:

   (A) Проверьте соответствующий диапазон последовательности или TSN, чтобы определить
       был ли сегмент передан повторно.(A.1) Если таблица результатов SACK пуста (т. Е. Отправитель TCP имеет
             не получил никакой информации SACK от получателя) и
             левый край входящего DSACK равен SND.UNA,
             обработка этого DSACK ДОЛЖНА быть прекращена и
             состояние управления перегрузкой НЕ ДОЛЖНО возвращаться во время
             текущее окно данных. Этот пункт предназначен для охвата



Blanton & Allman Experimental [Страница 3] 

RFC 3708 TCP DSACK и SCTP Duplicate TSN, февраль 2004 г.


             случай, когда было обработано целое окно благодарностей.
             заскочил по сети.В таком случае обратный путь
             похоже, находится в перегруженном состоянии и поэтому сокращает TCP
             скорость отправки - консервативный подход.

       (A.2) Если сегмент был повторно передан ровно один раз, отметьте его.
             как дубликат.

       (A.3) Если сегмент был повторно передан более одного раза, обработка
             этого DSACK ДОЛЖЕН быть прекращен, а контроль перегрузки
             состояние НЕ ДОЛЖНО возвращаться в предыдущее состояние во время
             текущее окно данных.(A.4) Если сегмент не был повторно передан, входящий DSACK
             указывает, что сеть продублировала сегмент в
             вопрос. Обработка этого DSACK ДОЛЖНА быть прекращена. В
             кроме того, алгоритм, указанный в этом документе, НЕ ДОЛЖЕН
             будет использоваться для оставшейся части соединения, в будущем
             Отчеты DSACK могут скорее указывать на дублирование сети.
             чем ненужная ретрансляция. Обратите внимание, что некоторые методы
             для дальнейшего устранения неоднозначности дублирования сети от
             ненужная ретрансляция (например,g., опция отметки времени TCP
             [RFC1323]) можно использовать для уточнения алгоритма в этом
             документ далее. Использование такой техники в сочетании
             с алгоритмом, аналогичным представленному здесь, может
             позволяют продолжать использовать алгоритм перед лицом
             дублированные сегменты. Мы не вникаем в такой
             алгоритм в этом документе из-за текущей редкости
             дублирование сети. Однако будущая работа должна включать
             решение этой проблемы.(B) Предполагая, что обработка разрешена (в соответствии с правилами (A)),
       проверьте все повторно переданные сегменты в предыдущем окне данных.

       (B.1) Если все сегменты или фрагменты, отмеченные как повторно переданные, также
             были отмечены как подтвержденные и продублированные, мы заключаем
             что все повторные передачи в предыдущем окне данных
             были ложными, и потери не произошло.

       (B.2) Если какой-либо сегмент или фрагмент все еще помечен как повторно переданный
             но не отмечены как дубликаты, есть невыполненные
             повторные передачи, которые могут указывать на потерю в этом окне
             данных.На основании этого мы не можем делать никаких выводов
             конкретное уведомление DSACK / дублированный TSN.

   В дополнение к сохранению состояния, упомянутого в [RFC3517] (для TCP) и
   [RFC2960] (для SCTP) реализация этого алгоритма должна отслеживать




Blanton & Allman Experimental [Страница 4] 

RFC 3708 TCP DSACK и SCTP Duplicate TSN, февраль 2004 г.


   все порядковые номера или TSN, которые были подтверждены как
   дубликаты.4. Сопутствующие работы

   В дополнение к механизму обнаружения ложных ретрансляций
   изложены в этом документе, несколько других предложений по поиску
   были разработаны ненужные ретрансляции.

   [BA02] использует алгоритм, описанный в этом документе, как основу для
   изучение нескольких методов, чтобы сделать TCP более устойчивым к изменению порядка
   пакеты.

   Алгоритм обнаружения Eifel [RFC3522] использует параметр отметки времени TCP.
   [RFC1323], чтобы определить, предназначен ли ACK для данной повторной передачи для
   оригинальная передача или ретрансляция.В более общем смысле,
   [LK00] описывает преимущества обнаружения ложных повторных передач и
   возврат от ненужных изменений управления перегрузкой с помощью
   схема на основе меток времени или механизм, который использует «бит повторной передачи» для
   флаг повторных передач (и ACK повторных передач). Обнаружение Эйфеля
   алгоритм может обнаруживать ложные повторные передачи быстрее, чем DSACK-
   основанная схема. Однако компромисс состоит в том, что накладные расходы на 12-
   опция байтовой отметки времени должна присутствовать в каждом передаваемом пакете
   для работы Эйфеля.Схема F-RTO [SK03] немного изменяет шаблон отправки TCP.
   сразу после тайм-аута повторной передачи, а затем наблюдает
   шаблон возвращаемых ACK. Этот шаблон может указывать на то,
   необходим ретранслируемый сегмент. Преимущество F-RTO в том, что
   алгоритм должен быть реализован только на стороне отправителя TCP
   соединение и что ничего лишнего не нужно пересекать сеть (например,
   DSACK, отметки времени, специальные флаги и т. Д.). Обратной стороной является то, что
   алгоритм - это эвристика, которую можно запутать из-за сетевых патологий
   (е.g., дублирование или изменение порядка пакетов ключей). Наконец, обратите внимание, что
   F-RTO работает только для ложных повторных передач, инициированных
   таймер ретрансляции транспорта.

   Наконец, [AP99] вкратце исследует использование времени между
   повторная передача сегмента через тайм-аут повторной передачи и
   прибытие следующего ACK в качестве индикатора того, была ли повторная передача
   нужный. Схема сравнивает эту временную дельту с долей (f)
   минимальный RTT, наблюдаемый до сих пор для соединения. Если время
   delta меньше f * minRTT, тогда повторная передача помечается как ложная.При f = 1/2 алгоритм выявляет примерно 59% ненужных
   таймауты повторной передачи и определяет необходимые повторные передачи только 2,5%
   времени. Как и в случае с F-RTO, эта схема обнаруживает только ложные
   повторные передачи, отправленные таймером повторной передачи транспортного средства.




Blanton & Allman Experimental [Страница 5] 

RFC 3708 TCP DSACK и SCTP Duplicate TSN, февраль 2004 г.


5. Соображения безопасности

   Приемник может ошибочно указать ложные
   повторные передачи в случае реальной потери, потенциально вызывающие TCP
   или отправитель SCTP, чтобы сделать неточный вывод об отсутствии потери (и
   может вызвать несоответствующие изменения в перегрузке отправителей
   состояние контроля).Рассмотрим следующий сценарий: приемник просматривает каждый сегмент или
   блок, который прибывает и подтверждает любой сегмент, который прибывает из
   заказать дубликат на сумму, превышающую некоторую пороговую, при условии, что
   что это ретрансляция. Отправитель, использующий вышеуказанный алгоритм, будет
   Предположим, что повторная передача была ложной.

   Предложение о сумме nonce ECN [RFC3540] могло бы помочь смягчить
   способность получателя скрыть от отправителя реальные убытки за счет
   скромное расширение. В обычном случае получения оригинала
   передача и ложная повторная передача получатель получит
   одноразовый номер из исходной передачи и, следовательно, может «доказать»
   отправителю, что уведомление о дублировании действительно.В этом случае
   когда получатель не получил оригинал и пытается
   ненадлежащим образом побудить отправителя к передаче в ненадлежащем
   высокая скорость, получатель не будет отличать одноразовый номер ECN от оригинала
   сегмент и, вероятно, не сможет обмануть
   отправитель на долго. [RFC3540] призывает к отключению сумм nonce на
   дублирующиеся ACK, что означает, что сумма одноразового номера напрямую не
   подходит для использования в качестве решения проблемы лежания приемников
   об информации DSACK.Однако в будущих усилиях можно будет использовать
   [RFC3540] в качестве отправной точки для защиты зданий, если она
   нужный.

6. Благодарности

   Сураб Ладха и Райнер Людвиг сделали несколько полезных комментариев по поводу
   более ранняя версия этого документа. Второй автор благодарит BBN
   Technologies и Исследовательскому центру Гленна НАСА за поддержку этого
   Работа.

7. Ссылки

7.1. Нормативные ссылки

   [RFC793] Постел, Дж., «Протокол управления передачей», STD 7, RFC
             793, сентябрь 1981 г.[RFC2119] Брэднер, С. «Ключевые слова для использования в RFC для обозначения
             Уровни требований », BCP 14, RFC 2119, март 1997 г.




Blanton & Allman Experimental [Страница 6] 

RFC 3708 TCP DSACK и SCTP Duplicate TSN, февраль 2004 г.


   [RFC2883] Флойд, С., Махдави, Дж., Матис, М. и М. Подольски, "An
             Расширение опции выборочного подтверждения (SACK)
             для TCP », RFC 2883, июль 2000 г.

   [RFC2960] Стюарт Р., Се, К., Морно, К., Шарп, К.,
             Шварцбауэр, Х., Тейлор, Т., Ритина, И., Калла, М., Чжан,
             Л. и В. Паксон, "Протокол передачи управления потоком",
             RFC 2960, октябрь 2000 г.

7.2. Информативные ссылки

   [AAAB03] Оллман, М., Авраченков, К., Айеста, У. и Дж. Блэнтон,
             «Early Retransmit for TCP», Работа в процессе, июнь 2003 г.

   [AEO03] Оллман, М., Эдди, Э. и С. Остерманн, "Оценка потерь
             Rates With TCP », Работа в процессе, август 2003 г.[AP99] Оллман, М. и В. Паксон, «Об оценке сквозной сети.
             Свойства пути », SIGCOMM 99.

   [BA02] Блэнтон, Э. и М. Оллман. О повышении устойчивости TCP к
             Переупорядочивание пакетов. Обзор компьютерных коммуникаций ACM,
             32 (1), январь 2002 г.

   [BDA03] Блэнтон, Э., Даймонд, Р. и М. Оллман, "Практики TCP
             Отправители перед лицом переупорядочения сегментов », Работа в
             Прогресс, февраль 2003 г.

   [EOA03] Эдди, В., Остерманн, С.и М. Оллман, "Новые методы для
             Повышение устойчивости транспортных протоколов к коррупции
             Потеря », Работа в процессе, июль 2003 г.

   [LK00] Р. Людвиг, Р. Х. Кац. Алгоритм Эйфеля: создание TCP
             Устойчивость к ложным повторным передачам. ACM Компьютер
             Communication Review, 30 (1), январь 2000 г.

   [Pax97] В. Паксон. Сквозная динамика интернет-пакетов. В ACM
             SIGCOMM, сентябрь 1997 г.

   [RFC1323] Якобсон, В., Брейден, Р. и Д. Борман, "Расширения TCP
             для высокой производительности », RFC 1323, май 1992 г.[RFC3517] Блэнтон, Э., Оллман, М., Фолл, К. и Л. Ван, "A
             Потеря на основе консервативного выборочного подтверждения (SACK)
             Алгоритм восстановления для TCP », RFC 3517, апрель 2003 г.

   [RFC3522] Людвиг, Р. и М. Майер, "Алгоритм обнаружения Эйфеля для
             TCP, RFC 3522, апрель 2003 г.



Blanton & Allman Experimental [Страница 7] 

RFC 3708 TCP DSACK и SCTP Duplicate TSN, февраль 2004 г.


   [RFC3540] Spring, N., Wetherall, D. и D. Ely, "Robust Explicit
             Уведомление о перегрузке (ECN), сигнализация с одноразовыми номерами », RFC
             3540, июнь 2003 г.

   [SK03] Саролахти, П. и М. Коджо, "F-RTO: алгоритм для
             Обнаружение ложных таймаутов повторной передачи с помощью TCP и
             SCTP », Работа в процессе, июнь 2003 г.

8. Адреса авторов.

   Итан Блэнтон
   Университет Пердью Компьютерные науки
   1398 Здание компьютерных наук
   West Lafayette, IN 47907

   Электронная почта: [email protected]


   Марк Оллман
   Центр интернет-исследований ICSI
   1947 Центральная улица, офис 600
   Беркли, Калифорния 94704-1198
   Телефон: 216-243-7361

   Электронная почта: [email protected]
   http://www.icir.org/mallman/

























Blanton & Allman Experimental [Страница 8] 

RFC 3708 TCP DSACK и SCTP Duplicate TSN, февраль 2004 г.


9. Полное заявление об авторских правах

   Авторские права (C) The Internet Society (2004). Этот документ подлежит
   к правам, лицензиям и ограничениям, содержащимся в BCP 78 и
   за исключением случаев, указанных в настоящем документе, за авторами сохраняются все свои права.Этот документ и содержащаяся в нем информация размещены на
   "КАК ЕСТЬ" и СОСТАВНИК, ОРГАНИЗАЦИЯ ОН / ОНА
   ПРЕДСТАВЛЯЕТ ИЛИ СПОНСИРУЕТСЯ (ЕСЛИ ЕСТЬ) ИНТЕРНЕТ-ОБЩЕСТВОМ И
   ИНТЕРНЕТ-ИНЖИНИРИНГ ОТКАЗЫВАЕТСЯ ОТ ВСЕХ ГАРАНТИЙ, ЯВНЫХ ИЛИ
   ПОДРАЗУМЕВАЕТСЯ, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ​​НИКАКОЙ ГАРАНТИЕЙ, ЧТО ИСПОЛЬЗОВАНИЕ
   ПРИВЕДЕННАЯ ИНФОРМАЦИЯ НЕ НАРУШАЕТ НИКАКИХ ПРАВ ИЛИ ПОДРАЗУМЕВАЕМЫХ
   ГАРАНТИИ КОММЕРЧЕСКОЙ ЦЕННОСТИ ИЛИ ПРИГОДНОСТИ ДЛЯ ОПРЕДЕЛЕННОЙ ЦЕЛИ.

Интеллектуальная собственность

   IETF не занимает никакой позиции относительно действительности или объема каких-либо
   Права интеллектуальной собственности или другие права, которые могут быть заявлены
   иметь отношение к реализации или использованию технологии
   описанные в этом документе, или степень, в которой любая лицензия
   в соответствии с такими правами может быть, а может и не быть; и это не
   заявляют, что он предпринял какие-либо независимые усилия для выявления любых
   такие права.Информация о процедурах в отношении
   права в документах RFC можно найти в BCP 78 и BCP 79.

   Копии раскрытия информации о правах интеллектуальной собственности в секретариат IETF и
   гарантии предоставления лицензий или результат
   предпринята попытка получить генеральную лицензию или разрешение на использование
   таких прав собственности разработчиками или пользователями этого
   спецификацию можно получить из он-лайн репозитория IPR IETF
   на http://www.ietf.org/ipr.

   IETF приглашает любую заинтересованную сторону довести до ее сведения
   любые авторские права, патенты или заявки на патенты или другие
   права собственности, которые могут распространяться на технологии, которые могут потребоваться
   для реализации этого стандарта.Пожалуйста, направьте информацию в
   IETF по адресу [email protected].

Подтверждение

   Финансирование функции редактора RFC в настоящее время обеспечивается
   Интернет-сообщество.









Blanton & Allman Experimental [Страница 9]
 

TCP и кортеж из пяти | Пакет-Фу

Специалист по TCP из Wireshark неплохо справляется с определением проблем, помогая аналитикам находить пакеты, в которых что-то идет не так. К сожалению, есть некоторые вещи, которые могут сильно сбить с толку эксперта, что может обмануть неопытных аналитиков, полагая, что в сети есть большие проблемы.Я рассказывал о некоторых из этих проблем на Sharkfest 2013 под названием «Топ-5 ложных срабатываний», и этот пост будет об одной из них: Дублирующиеся пакеты.

Кортеж из пяти

Рисунок 1: 5 Пример кортежа

Первое, что должно произойти, когда Wireshark обрабатывает тонны пакетов, — это определить, к какому протоколу и диалогу принадлежит каждый пакет. Он делает это путем создания так называемого «кортежа из пяти» (или 5-кортежа) из пакета, который он в настоящее время просматривает, который содержит IP-адрес источника, порт источника, IP-адрес назначения, порт назначения и протокол уровня 4.Например, «192.168.124.100/50272/81.209.179.69/80/6» для пакета, приходящего с порта 50272 IP 192.168.124.100, идущего на порт 80 IP 81.209.179.69, с использованием протокола IP 6, который является TCP. :

Такая же комбинация IP-адреса и порта с IP-протоколом 17 указывает на диалог UDP. UDP и TCP являются наиболее распространенными протоколами, для которых доступен кортеж, хотя вы не можете создать его для пакетов ICMP — просто потому, что ICMP не использует порты, поэтому вы застрянете с «3-кортежем» 😉

Отслеживание поведения TCP-разговора

После того, как был определен кортеж из 5 для TCP-диалога, есть два возможных способа продолжить (упрощенный до очень простого процесса; на самом деле процесс намного сложнее по своим деталям):

1. нет существующего диалога с тем же 5-кортежем, поэтому это первый пакет нового диалога, обнаруженный в трассировке.В список разговоров добавляется новая запись, и ее состояние TCP записывается
2. соответствующая запись в списке диалогов существует, поэтому мы можем проанализировать новый пакет относительно существующего состояния TCP-диалога.

Одна из наиболее важных вещей, на которую следует обратить внимание, — это порядковый номер по отношению к порядковому номеру предыдущего пакета от того же узла. Для каждого пакета рассчитывается «Следующий ожидаемый порядковый номер», который вы также можете увидеть в Wireshark (если в пакете есть полезная нагрузка TCP, иначе порядковый номер не изменится):

Рисунок 2: Следующий ожидаемый порядковый номер TCP

Для проверки: порядковый номер 4194561624 плюс 498 байтов полезной нагрузки TCP равняется 419452122.Поэтому, когда будет найден следующий пакет этого разговора, он должен иметь порядковый номер 419452122, иначе что-то не так (сообщения Wireshark Expert в кавычках):

1. последовательность на ниже , чем ожидалось, что означает, что это запоздалый («вне очереди») или повторно переданный пакет («Повторная передача» / «Быстрая повторная передача»). Разница в основном заключается в том, насколько поздно приходит пакет — повторная передача не может быть доставлена ​​раньше, чем в течение одного времени приема-передачи после того, как получатель сообщил о потере пакета.Если новый пакет прибывает значительно быстрее, он неисправен. Разница между «повторной передачей» и «быстрой повторной передачей» заключается в способе сигнализации или обнаружения потери пакета. Прочтите сообщение Криса на LoveMyTool о различных вкусах.
2. последовательность на выше , чем ожидалось, что означает, что по крайней мере один сегмент TCP отсутствует («предыдущий сегмент не захвачен») либо потому, что он действительно был потерян при передаче, либо просто не был захвачен из-за неправильного размещения устройства захвата. или производительность записи была слишком низкой.

«Скидывание» эксперта ПТС

Поскольку эксперт TCP сопоставляет пакеты с разговорами на основе 5-кортежа, некоторые файлы трассировки могут превратиться в беспорядок TCP-симптомов, которые являются не чем иным, как ложными срабатываниями для большей части из них. Проблема в этих случаях заключается в том, что файл трассировки содержит один и тот же сегмент TCP дважды (или даже больше), что обычно связано с тем, как был выполнен захват. Одна из наиболее распространенных проблем захвата — это действительно повторяющиеся пакеты — пакеты, которые были захвачены несколько раз при настройке порта SPAN.

SPAN неисправность

Представьте, что вы хотите сделать захват двух серверов, к которым подключаются несколько клиентов, поэтому вы настраиваете сеанс SPAN, например как это:

 Switch (config) #monitor session 1 source interface gigabit Ethernet 1/10 оба
Switch (config) #monitor session 1 source interface gigabitEthernet 1/11 оба
Коммутатор (config) #monitor session 1 destination interface gigabitEthernet 1/24 

Когда клиент разговаривает с сервером через порт 10 или 11, проблем нет.Но когда — по какой-либо причине — сами серверы общаются друг с другом, вы получаете один и тот же пакет дважды: один раз, когда он входит в коммутатор на порту 10, и второй раз, когда он выходит на порт 11 (или наоборот, конечно). :

Рисунок 3: Сеанс SPAN, приводящий к дублированию

Это то, что Wireshark покажет для захвата трассировки таким образом, если возникнут дубликаты:

Рисунок 4: SPAN дублирует

Взгляните на порядковые номера, и вы увидите, что каждый пакет просматривается дважды — и эксперт TCP сходит с ума, потому что думает, что видит тонны повторных передач или (в зависимости от захвата) «Дублированные ACK» при подтверждении. пакеты дублируются.Теперь проблема в том, что при такой настройке захвата, как показано выше, просто никак не удастся избежать дублирования с помощью . И вторая проблема заключается в том, что вы не можете отфильтровать второе вхождение каждого пакета с помощью фильтра отображения в Wireshark, потому что фильтр должен найти что-то, чтобы отличить две копии друг от друга. Что не может работать, потому что они идентичны до последнего бита. Кроме того, в большинстве случаев вы не можете выполнить сеанс SPAN по-другому, потому что вам нужны оба направления обоих портов для нормального взаимодействия с клиентом.Иногда вы можете попробовать настроить трюк, например, отслеживать только направления «приема» SPANned VLAN — например, если вы перехватываете только входящие пакеты для VLAN, вы получаете их только один раз, но это работает только для перехватов VLAN, а не для нескольких портов.

Борьба с истинными дубликатами

К счастью, есть помощь в избавлении от настоящих дубликатов: вы можете использовать инструмент командной строки « editcap » для удаления дубликатов из файлов трассировки. Editcap устанавливается вместе с Wireshark, и типичное приложение будет выглядеть так:

 D: \ Traces \ blog> editcap -d -D 50 дубликатов.pcapng no-duplicates.pcapng
Просмотрено 15238 пакетов, пропущено 7570 пакетов с повторяющимся окном из 50 пакетов. 

Параметр «-D 50» имеет editcap для сравнения окна истории из 50 кадров, чтобы увидеть, совпадают ли они в точности с текущим кадром. Если есть совпадение, текущий кадр отбрасывается. Как видите, 7570 пакетов из 15238 оказались дублированными, что чуть меньше 50%. После процесса пример сверху выглядит так:

Рисунок 5: Дедуплицированные пакеты

Видите? Те же пакеты, что и раньше, но больше нет проблем.

Практическое правило: , если трассировка выглядит действительно очень плохо, с тоннами экспертных сообщений TCP и отсутствием — или всего несколькими — симптомами «предыдущий пакет не захвачен», сначала проверьте наличие дублированных кадров.

Неисправность маршрутизации

Маршрутизированные пакеты также могут сбивать с толку эксперта по TCP, даже если пакеты не являются точными дубликатами. Вот образец, взятый из вопроса на сайте вопросов и ответов Wireshark (заданный вопрос на самом деле является хорошим примером того, как пользователя Wireshark смущают ложные срабатывания):

Рисунок 6: Повторяющиеся пакеты после маршрутизации

Опять же, проверьте, есть ли сообщения «пакет не захвачен» — потому что, если действительно есть потеря пакета, вы увидите два симптома: один для потерянного пакета, а второй — для повторной передачи этого пакета.Если вы видите только повторные передачи или дублирующиеся ACK, высока вероятность того, что у вас есть дубликаты в захвате.

Если мы посмотрим на детали пакетов, например пакет 103 и пакет 104, это выглядит как на следующих снимках экрана. Первый — это пакет до процесса маршрутизации с TTL 128:

Рисунок 7: TTL до маршрутизации

После выполнения маршрутизации пакет выглядит так:

Рисунок 8: TTL после маршрутизации

Различия заключаются в уровне Ethernet, потому что после маршрутизации MAC-адреса должны измениться для нового сегмента сети — но эксперта по TCP не волнуют изменения MAC-адресов.Кроме того, TTL , конечно, уменьшается на один переход, но, опять же, эксперт по TCP тоже не обращает внимания на эту деталь. Остальная часть пакета такая же, особенно две вещи, от которых зависит эксперт TCP:

1. кортеж из 5 по-прежнему 192.168.1.36/19813/192.168.2.9/1196/6
2. уровень TCP плюс полезная нагрузка TCP, потому что маршрутизатор не изменяет ее.

Специалисту по TCP в Wireshark не важно, захвачен ли один и тот же пакет в разных сегментах сети, используются ли теги VLAN или туннелирование.Если он увидит тот же самый кортеж из 5 и ту же информацию TCP (особенно порядковый номер и длину полезной нагрузки), он снова будет считать, что это тот же самый пакет: «О, повторная передача!».

Удалить маршрутизированные дубликаты на самом деле просто: вы можете отфильтровать дубликаты в Wireshark и сохранить оставшиеся пакеты в новом файле перед их анализом (не забудьте использовать « Export Specified Packets as » в меню файла, а не « Сохранить как»). Я обычно использую для этого тег VLAN (если есть) или TTL, потому что он другой — вы также можете сосредоточиться на адресах Ethernet, но идентификаторы VLAN / TTL обычно быстрее (введите в поле фильтра 🙂).

Как удалить дубликаты маршрутизации

Чтобы удалить дубликаты маршрутизации, нам нужно определить, какие пакеты мы хотим сохранить в первую очередь. В зависимости от того, как был настроен захват, вы можете увидеть повторяющиеся пакеты, приходящие с одного IP-адреса или даже с обоих. В примере на рисунке 6 вы можете видеть, что только пакеты из 192.168.1.36 дублируются, а из 192.168.2.29 — нет. Это означает, что нам нужно определить, какой из двух TTL мы сохраняем, а какие два TTL мы удаляем (два TTL, потому что отправитель и получатель часто имеют разные значения, поэтому с дубликатами у вас есть четыре TTL).Обычно это можно сделать, глядя на MAC-адреса и сохраняя пакеты на основе совпадающих пар MAC-адресов. Затем отфильтруйте соответствующие TTL и сохраните результат:

Рисунок 9: Дедупликация VLAN с помощью Wireshark

Контрмеры

Теперь, когда мы знаем, почему эксперт Wireshark диагностирует ненастоящие симптомы, мы можем найти способ очистить след перед его анализом. Первый шаг здесь может быть неочевидным: сначала нужно, чтобы осознал , что дубликаты мешают эксперту TCP.Для этого вы всегда должны следить за количеством и атрибутами повторных передач, дублированных ACK и невыполненных заказов:

• проверяет, есть ли больше пакетов, чем обычно, с признаком повторной передачи TCP, нарушением порядка или дублированием ACK. Это требует некоторого опыта в том, что является нормальным, так что делайте ваши исходные данные (здесь я немного похож на Тони 😉)
• проверьте, можете ли вы также найти в трассировке симптомы «Предыдущий сегмент не зафиксирован» — если вы видите не эти симптомы потерянных сегментов, а их повторные передачи, это часто (но не всегда!) Просто дубликат, потому что у вас есть две копии того же сегмента, но без сообщения «Ой, что-то потеряно»
• , если вы считаете, что у вас есть дубликаты, сравните два пакета, быстро нажимая на них один за другим в списке пакетов, наблюдая за шестнадцатеричным представлением.Если байты не меняются заметно, пакеты идентичны.
• final check: разница времени между двумя пакетами. Дубликаты обычно находятся на расстоянии менее нескольких микросекунд, потому что это всего две копии, сделанные на одном устройстве одновременно. Для реальных ретрансляций требуется как минимум полное время в оба конца, чтобы добраться до места назначения.
• Совет: вы также можете просто запустить editcap для файла трассировки, чтобы увидеть, удаляет ли он дубликаты. Если это так, то, вероятно, были некоторые («вероятно», потому что есть некоторые типы фреймов, идентичные до байта, которые не являются дубликатами, e.грамм. Кадры BPDU. Но у них дельта-время в секундах, а не в миллисекундах)

Если вы определили, что ваш файл трассировки содержит дубликаты, удалите их перед продолжением. Либо используйте editcap, как показано (для полных кадров, побайтовых дубликатов), либо отфильтруйте один экземпляр в Wireshark для перенаправленных дубликатов.

Стек протоколов Интернета

В этом документе описаны различные части, представленные на этой диаграмме. Описываются протоколы верхнего уровня, например FTP, Telnet, TFTP и т. Д. в протоколе уровня представления раздел. Следующие темы останутся разделами в этом документ:

1. Интернет-протокол (IP)
2. Протокол дейтаграмм пользователя (UDP)
3. Протокол управления передачей (TCP)
4. Протокол управления транзакционной передачей (T / TCP)
5. TCP / IP и OSI / RM

Интернет-протокол (IP)

Интернет-протокол уровень в стеке протоколов TCP / IP — это первый уровень, который вводит абстракция виртуальной сети, которая является основным принципом Интернет-модель. Все детали физической реализации (в идеале даже хотя это не совсем так) скрыты ниже уровня IP. IP Layer обеспечивает ненадежную систему доставки без установления соединения. В Причина, по которой ненадежна, проистекает из того факта, что протокол не предоставляет никаких функций для исправления ошибок для дейтаграмм которые либо дублируются, либо теряются, либо поступают на удаленный хост в другой заказ, чем они отправляют.Если таких ошибок нет в физический уровень, протокол IP гарантирует, что передача завершено успешно.

Основной единицей обмена данными на уровне IP является Интернет. Датаграмма. Формат дейтаграммы IP и краткое описание наиболее важные поля включены ниже:

LEN

Число 32-битных сегментов в IP-заголовке. Без всяких ОПЦИИ, это значение 5

ВИД УСЛУГИ

Каждой дейтаграмме IP может быть присвоено значение приоритета от 0 до 7. показывая важность дейтаграммы.Это позволяет внеполосные данные должны маршрутизироваться быстрее, чем обычные данные. Этот очень важно как контрольное сообщение в Интернете Сообщения протокола (ICMP) передаются как часть данных IP. дейтаграмма. Даже если сообщение ICMP инкапсулировано в IP дейтаграммы, протокол ICMP обычно считается неотъемлемой частью уровня IP, а не уровня UDP или TCP. Кроме того, ТИП Поле SERVICE позволяет классифицировать дейтаграмму, чтобы укажите желаемая услуга, требующая короткого времени задержки, высокая надежность или высокая производительность.Однако для того, чтобы это было эффект, шлюзы должны знать более одного маршрута к удаленному хосту. и как описано во введении, это не тот случай.

ИДЕНТ., ФЛАГИ и СМЕЩЕНИЕ ФРАГМЕНТА

Эти поля используются для описания фрагментации дейтаграммы. Фактическая длина дейтаграммы IP в принципе не зависит от длина физических кадров, передаваемых по сети, называется максимальным блоком передачи данных (MTU) сети .Если дейтаграмма длиннее, чем MTU, тогда она делится на набор фрагменты, имеющие почти тот же заголовок, что и исходная дейтаграмма, но только объем данных, который помещается в физический фрейм. ИДЕНТ флаг используется для идентификации сегментов, принадлежащих одной дейтаграмме, и СМЕЩЕНИЕ ФРАГМЕНТА — относительное положение фрагмента внутри исходная дейтаграмма. После фрагментации дейтаграмма остается как это до тех пор, пока он не получит конечный пункт назначения. Если один или несколько сегментов потеряны или ошибочны, вся дейтаграмма отбрасывается.

Однако основная сетевая технология не полностью скрыта. ниже уровня IP, несмотря на функциональность фрагментации. В Причина в том, что MTU может варьироваться от 128 и менее до нескольких тысяч байтов в зависимости от физической сети (Ethernet имеет MTU 1500 байтов). Следовательно, при выборе правильного размер дейтаграммы, чтобы минимизировать фрагментацию. Рекомендуется что шлюзы способны обрабатывать дейтаграммы размером не менее 576 байт без использования фрагментации.

ВРЕМЯ

Это оставшееся время жизни (TTL) для дейтаграммы когда он путешествует по Интернету. Протокол маршрутной информации (RIP) указывает, что разрешено не более 15 переходов.

IP-АДРЕС ИСТОЧНИКА и IP-АДРЕС НАЗНАЧЕНИЯ

И исходный, и целевой адрес указаны в заголовок дейтаграммы, чтобы получатель мог отправить ответ обратно передающий хост. Однако обратите внимание, что только адрес хоста указано — не номер порта.Это потому, что IP-протокол Протокол IMP-to-IMP — это , а не , сквозной протокол. А требуется дополнительный слой, чтобы на самом деле указать, какие два процесса на передающий хост и конечный пункт назначения, который должен получить дейтаграммы.