-
HINTERGRUND DER ERFINDUNG
-
Gebiet der Erfindung
-
Die
vorliegende Erfindung ist allgemein auf ein Verfahren und ein System
zum Verbessern der Leistung eines Netzwerks gerichtet, und insbesondere
auf ein Verfahren und ein System, das ein Spoofing ausführt, um
die Netzwerkleistung zu verbessern.
-
Beschreibung
des allgemeinen Standes der Technik
-
Die
Verankerung von Datennetzwerken in die Routinen der modernen Gesellschaft,
wie dies durch die Vorherrschaft des Internet, insbesondere des
World-Wide-Web, zum Tragen kommt, hat zunehmend wachsende Anforderungen
an die Service-Provider gestellt, um die Netzwerkleistung kontinuierlich
zu verbessern. Um dieser Herausforderung gerecht zu werden, haben
Service-Provider stark in die Aufrüstung ihrer Netzwerke investiert,
um die Systemkapazität
(d.h. die Bandbreite) zu erhöhen.
Unter vielen Umständen
sind solche Aufrüstungen
bzw. Aktualisierungen nicht unbedingt ökonomisch realisierbar, oder
physikalische Beschränkungen des
Kommunikationssystems erlauben kein einfaches „Aufrüsten". Demgemäß haben Service-Provider ebenfalls
in die Entwicklung von Techniken investiert, um die Leistung ihrer
Netzwerke zu verbessern. Da viele der heutigen Netzwerke entweder
mit dem Transmission Control Protocol/Internet Protocol (TCP/IP)
arbeiten oder eine Schnittstelle dazu benötigen, wurde das Augenmerk
auf die Optimierung von TCP/IP-basierten
Netzwerkabläufen
gerichtet.
-
Als
der Netzwerkstandard für
das globale Internet hat TCP/IP eine hohe Akzeptanz innerhalb der
Industrie aufgrund seiner Flexibilität und seines Erbes in der Forschungsgemeinschaft
gewonnen.
-
Das
Transmission Control Protocol (TCP) ist das dominierende Protokoll,
das heutzutage im Internet verwendet wird. TCP wird von dem Internet-Protokoll
(IP) getragen und wird in einer Vielzahl von Anwendungen verwendet,
einschließlich
einer zuverlässigen
File-Übertragung
und Internet-Webpage-Zugriffsanwendungen.
Die vier Schichten des TCP-IP Protokoll-Programmpakets sind in 39 dargestellt. Wie dort dargestellt, umfasst
die Verbindungsschicht (oder die Netzwerk-Schnittstellenschicht) 3710 Vorrichtungstreiber
im Betriebssystem und entsprechende Netzwerk-Schnittstellenkarten.
Zusammen handhaben die Vorrichtungstreiber und die Schnittstellenkarten
Handware-Eigenschaften der physikalischen Schnittstellen mit Kabeln
oder jeglicher Art von verwendeten Medium. Die Netzwerkschicht (die
auch als Internetschicht bezeichnet wird) 3712 handhabt
die Bewegung der Pakete im Netzwerk. Das Routen von Paketen bspw.
findet in der Netzwerkschicht 3712 statt. IP, das Internet
Control Message Protocol (ICMP) und das Internet Group Management
Protocol (IGMP) können
die Netzwerkschicht in dem TCP/IP-Protokoll-Programmpaket bereitstellen.
Die Transportschicht 3714 liefert einen Datenfluss zwischen
zwei Hosts für
die Anwendungsschicht 3716 darüber.
-
In
dem TCP/IP-Protokoll-Programmpaket gibt es zumindest zwei unterschiedliche
Transportprotokolle. Das TCP und ein User Datagramm-Protokoll (UDP).
TCP, das einen zuverlässigen
Datenfluss zwischen zwei Hosts bereitstellt, ist hauptsächlich damit
beschäftigt,
Daten, die von der Anwendungsschicht 16 kommen, in entsprechend
bemessene Segmente für
die Netzwerkschicht 3712 darunter zu teilen, mit dem Bestätigen der
empfangenen Pakete, dem Einstellen von Timeouts, um sicherzustellen,
dass das andere Ende die gesendeten Pakete bestätigt, usw. Deshalb wird durch
die Transportschicht 3714 ein zuverlässiger Datenfluss bereitgestellt,
so dass die Anwendungsschicht 3716 diese Merkmale ignorieren
kann. UDP andererseits stellt einen sehr viel einfacheren Dienst
der Anwendungsschicht 3716 zur Verfügung. UDP sendet lediglich
Datenpakete, die Datagramme genannt werden, von einem Host zum anderen,
wobei es allerdings keine Garantie gibt, dass die Datagramme das
andere Ende erreichen. Jede gewünschte
Zuverlässigkeit
muss durch die Anwendungsschicht 3716 hinzugefügt werden.
-
Die
Anwendungsschicht 3716 handhabt die Details der bestimmten
Anwendung. Es gibt viele allgemeine TCP/IP An wendungen, die nahezu
jede Implementierung bereitstellen. Dies umfasst Telnet für einen entfernten
Log-in, das File Transfer Protocol (FTP), das Simple Mail Transfer
Protocol (SMTP) oder elektronische Post, das Simple Network Management
Protocol (SNMP), das Hypertext Transfer Protocol (HTTP) und viele
andere.
-
Wie
zuvor beschrieben, stellt TCP eine zuverlässige sequentielle Auslieferung
von Daten zwischen zwei IP-Hosts zur Verfügung. Die IP-Hosts bauen eine
TCP-Verbindung auf, indem sie ein herkömmliches TCP Drei-Wege-Handshake
verwenden und dann Daten übertragen,
indem ein Fenster-basiertes Protokoll angesetzt wird, wobei die
erfolgreich empfangenen Daten bestätigt werden.
-
Um
zu verstehen, wo Optimierungen ausgeführt werden können, ist
es lehrreich, einen typischen TCP-Verbindungsaufbau zu betrachten.
-
40 zeigt ein Beispiel des herkömmlichen TCP Drei-Wege-Handshakes
zwischen den IP-Hosts 3820 und 3822. Zunächst sendet
der IP-Host 3820, der die Übertragung zu dem IP-Host 3822 initiieren
möchte,
ein Synchronisations-(SYN)-Signal an den IP-Host 3822.
Der IP-Host 3822 bestätigt
das SYN-Signal von dem IP-Host 3820, indem eine SYN-Bestätigung bzw.
Acknowledgement (ACK) gesendet wird. Der dritte Schritt des herkömmlichen
TCP Drei-Wege-Handshakes ist die Herausgabe eines ACK-Signals von dem IP-Host 3820 zu
dem IP-Host 3822. Der IP-Host 3822 ist nun bereit,
Daten von dem IP-Host 3820 (und umgekehrt) zu empfangen.
Nachdem die gesamten Daten ausgeliefert wurden, wird ein anderer
Handshake (ähnlich dem
Handshake, der mit der Initiierung der Verbindung beschrieben wurde)
verwendete, um die TCP-Verbindung zu schließen.
-
TCP
wurde entwickelt, um sehr flexibel zu sein und über ein weites Gebiet von Kommunikationsverbindungen
zu arbeiten, einschließlich
langsamer als auch schneller Verbindungen, Verbindungen mit hoher
Latenz und Verbindungen mit geringen und hohen Fehlerraten. Während jedoch
TCP (und andere Protokolle höherer
Schicht) mit vielen unterschiedlichen Verbindungsarten arbeiten,
ist die TCP-Leistung, insbesondere der Durchsatz, der über die
TCP-Verbindung möglich
ist, beeinträchtigt
durch die Eigenschaften der Verbindung, in der es eingesetzt wird.
Es gibt viele Verbindungsschichtdesign-Überlegungen,
die berücksichtigt
werden sollten, wenn ein Verbindungsschichtservice entwickelt wird,
der dazu gedacht ist Internet-Protokolle zu unterstützen. Jedoch
können
nicht alle Eigenschaften durch Wahl des Verbindungsschichtdesigns
kompensiert werden. TCP wurde entwickelt, um sehr flexibel mit Bezug
auf die Verbindungen zu sein, die es durchquert. Eine solche Flexibilität wird auf
Kosten eines suboptimalen Betriebs in einer Anzahl von Umgebungen
gegenüber dafür maßgeschneiderten
Protokollen erreicht. Die maßgeschneiderten
Protokolle, die üblicherweise
proprietär
sind, können
optimaler sein, ihnen fehlt es jedoch bezüglich Netzwerkumgebungen und
der Interoparabilität an
Flexibilität.
-
Eine
Alternative zu einem maßgeschneiderten
Protokoll ist die Verwendung von leistungsverbessernden Proxies
(PEPs), um eine allgemeine Klasse von Funktionen auszuführen, die
als „TCP-Spoofing" bezeichnet werden,
um die TCP-Leistung über
gestörte
Verbindungen zu verbessern (d.h. Verbindungen mit hoher Latenz oder
hoher Fehlerrate). TCP-Spoofing enthält eine Zwischennetzwerkvorrichtung
(der leistungsverbessernde Proxy (PEP)), die abfängt und ändert durch das Hinzufügen und/oder
Löschen
von TCP-Segmenten und damit das Verhalten der TCP-Verbindung ändert, um
damit einen Versuch zu unternehmen, die Leistung zu verbessern.
-
Herkömmliche
TCP-Spoofing-Implementierungen umfassen die lokale Bestätigung von
TCP-Datensegmenten, um dafür
zu sorgen, dass der TCP-Datensender zusätzlich Daten früher sendet,
als dies der Fall wäre,
wenn Spoofing nicht ausgeführt
würde,
so dass der Durchsatz der TCP-Verbindung verbessert wird. Allgemein
haben sich herkömmliche
TCP-Spoofing-Implementierungen
einfach auf ein Erhöhen
des Durchsatzes der TCP-Verbindungen fokussiert, entweder durch
Benutzen größerer Fenster über die
Verbindung oder durch Verwenden einer Komprimierung, um die Datenmenge
zu reduzieren, die gesendet werden muss, oder beider.
-
Viele
TCP-PEP-Implementierungen basieren auf einer TCP-ACK-Manipulation.
Dies kann ein TCP-ACK-Beabstanden umfassen, wobei ACKs, die zusammengebündelt sind,
getrennt und beabstandet werden als lokale TCP ACKs, lokale TCP-Rückübertragungen
und TCP-ACK-Filterung und Neuaufbau. Andere PEP-Mechanismen umfassen das Tunneln, Komprimieren
und das Prioritätsbasierte
Multiplexen.
-
Zusätzlich kann
die Netzwerkleistung verbessert werden, indem Techniken eingesetzt
werden, wie bspw. ein Verbindungsaufbau-Spoofing.
-
EP 0903905 A2 beschreibt
eine Funkschichtkommunikationsvorrichtung, die die Leistung der
Kommunikation verbessert, indem ein selektives Weiterleiten von
TCP-Verbindungen in der TCP-Schicht ausgeführt wird.
-
WO
01/65805 A2 (Stand der Technik nach Art. 54(3) EPÜ) beschreibt
eine Vorrichtung zur Verbesserung der Leistung eines Netzwerks,
in dem ein selektives Spoofing der TCP-Verbindungen ausgeführt wird.
-
Basierend
auf dem vorher Gesagten, gibt es ein klares Bedürfnis nach verbesserten Techniken
zum Spoofen von Information. Deshalb ist ein Lösungsweg zum Verbessern der
Netzwerkleistung unter Einsatz von Techniken, wie bspw. Spoofing,
höchst
wünschenswert.
Insbesondere ist ein Lösungsweg
zur Implementierung von Spoofing-Regeln innerhalb einer PEP-Umgebung höchst wünschenswert.
-
ZUSAMMENFASSUNG
DER ERFINDUNG
-
Die
vorliegende Erfindung spricht das zuvor erwähnte Bedürfnis an, ein Kommunikationssystem
mit einer leistungsverbessernden Funktionalität bereitzustellen. Eine Spoofing-Vorrichtung
kommuniziert mit einer leistungsverbessernden Proxy-(PEP)-Endpunktplattform,
um die Plattform zu konfigurieren, indem Profile entsprechend der
PEP-Endpunktplattform verwendet werden.
-
Die
vorliegende Erfindung ist in den angehängten Ansprüchen definiert.
-
Ein
Verfahren zum Routen bzw. Weiterleiten von Information in dem Kommunikationssystem,
das eine Plattform und eine Spoofing-Vorrichtung umfasst, die konfiguriert
ist, um eine Vielzahl von leistungsverbessernden Funktionen auszuführen, wird
bereitgestellt. Das Verfahren umfasst den Empfang von Information
von der Plattform und den Empfang von zumindest einem von Spoofing-Auswahlparametern
und Spoofing-Parametern, wobei die Spoofing-Vorrichtung ein Profil
aufrechterhält,
das einen Spoofing-Auswahlparameter und/oder einen Spoofing-Parameter enthält und die
Information entsprechend dem Profil weiterleitet.
-
Ein
Kommunikationssystem umfasst eine Plattform, die konfiguriert ist,
um leistungsverbessernde Funktionen bereitzustellen. Die Plattform
umfasst ein Kommunikationssystem mit einer Plattform, die konfiguriert
ist, um leistungsverbessernde Funktionen bereitzustellen, wobei
die Plattform Information und einen Spoofing-Auswahl- und/oder einen
Spoofing-Parameter
liefert und wobei eine Spoofing-Vorrichtung mit der Plattform kommuniziert.
Die Spoofing-Vorrichtung ist konfiguriert, um die Information und
den Spoofing-Auswahlparameter und/oder den Spoofing-Parameter von
der Plattform zu empfangen, wobei die Spoofing-Vorrichtung ein Profil
besitzt, das die Spoofing-Auswahlparameter und/oder die Spoofing-Parameter
spezifiziert, wobei das Kommunikationssystem konfiguriert ist, um
die Information entsprechend dem Profil weiterzuleiten.
-
Eine
Spoofing-Vorrichtung zum Überwachen
eines Kommunikationssystems ist offenbart, die eine Plattform aufweist,
die konfiguriert ist, um eine Vielzahl von leistungsverbessernden
Funktionen auszuführen. Die
Vorrichtung umfasst Mittel zum Empfang der Information und den Spoofing-Auswahlparametern
und/oder den Spoofing-Parametern und Mittel zum Aufrechterhalten
eines Profils, das die Spoofing-Auswahlparameter und/oder die Spoofing-Parameter
enthält
und Mittel zum Weiterleiten der Information entsprechend dem Profil.
-
Ein
Computer-lesbares Medium, das eine oder mehrere Sequenzen einer
oder mehrerer Befehle zum Weiterleiten von Information in einem
Kommunikationssystem prägt,
ist offenbart, wobei das System eine Plattform aufweist, die konfiguriert
ist, um eine Vielzahl von leistungsverbessernden Funktionen aufzuführen. Das Computer-lesbare
Medium trägt
eine oder mehrere Sequenzen eines oder mehrerer Befehle, die, wenn
sie von einem oder mehreren Prozessoren ausgeführt werden, den einen oder
die mehreren Prozessoren veranlassen, die Schritte des Empfangens
der Information von der Plattform und des Empfangens der Spoofing-Auswahlparameter
und/oder der Spoofing-Parameter auszuführen, wobei die Spoofing-Vorrichtung
ein Profil aufrechterhält,
das die Spoofing-Auswahlparameter und/oder die Spoofing-Parameter enthält und die
Information entsprechend dem Profil weiterleitet.
-
Das
Verfahren, das Kommunikationssystem, die Spoofing-Vorrichtung und
das Computer-lesbare Medium sind ebenfalls in der Lage, maximale
Segmentgrößen-Fehlanpassungen
auszugleichen. Dieser Ausgleich kann durch ein dynamisches Neubemessen
der Datensegmente erreicht werden, die die Information enthalten,
die weiterzuleiten ist, oder kann eine Sperre des Drei-Wege-Handshake-Spoofings
enthalten.
-
KURZE BESCHREIBUNG
DER ZEICHNUNGEN
-
Eine
vollständigere
Würdigung
der Erfindung und vieler zugehöriger
Vorteile wird leicht erhalten und wird viel verständlicher
durch Bezugnahme auf die nachfolgende detaillierte Beschreibung
unter Berücksichtigung
der begleitenden Zeichnungen, wobei:
-
1 ein
Diagramm eines Kommunikationssystems ist, in dem der leistungsverbessernde
Proxy (PEP) der vorliegenden Erfindung implementiert ist;
-
2 ein
Diagramm einer PEP-Endpunktplattformumgebung ist, entsprechend einer
Ausführungsform
der vorliegenden Erfindung;
-
4 ein Diagramm eines TCP-Spoofing-Kerns
(TSK) ist, der in der Umgebung von 2 verwendet wird;
-
4A und 4B Flussdiagramme
des Verbindungsaufbaus mit einem Drei-Wege-Handshake-Spoofing bzw.
ohne ein Drei-Wege-Handshake-Spoofing sind;
-
5 ein
Diagramm eines PEP-Paketflusses zwischen zwei PEP-Endpunkten entsprechend
einer Ausführungsform
der vorliegenden Erfindung ist;
-
6 ein
Diagramm eines IP (Internet Protocol)-Paketflusses durch einen PEP-Endpunkt
entsprechend einer Ausführungsform
der vorliegenden Erfindung ist;
-
7 ein
Diagramm von PEP-Endpunktprofilen ist, die in der Plattform von 2 verwendet
werden;
-
8 ein
Diagramm der Schnittstellen eines PEP-Endpunktes ist, die als IP-Gateway
implementiert sind, entsprechend einer Ausführungsform der vorliegenden
Erfindung;
-
9 ein
Diagramm der Schnittstellen eines PEP-Endpunktes ist, die als Multimedia
Relay implementiert sind, entsprechend einer Ausführungsform
der vorliegenden Erfindung;
-
10 ein Diagramm der Schnittstellen eines PEP-Endpunktes
ist, der als ein Multimedia VSAT (Very Small Aperture Terminal)
implementiert ist, entsprechend einer Ausführungsform der vorliegenden
Erfindung;
-
11 ein Diagramm der Schnittstellen eines PEP-Endpunktes
ist, der in einer Bodenstation implementiert ist, entsprechend einer
Ausführungsform
der vorliegenden Erfindung;
-
12 ein Diagramm einer TCP-Spoofing-Kernnachricht ist
entsprechend einer Ausführungsform
der vorliegenden Erfindung;
-
13 ein Diagramm eines TCP-Verbindungsheaders ist
entsprechend einer Ausführungsform
der vorliegenden Erfindung;
-
14 ein Diagramm von TSK-Partnern ist, die TSK-Backbone-Verbindungsidentifikationen
lernen entsprechend einer Ausführungsform
der vorliegenden Erfindung;
-
15 ein Diagram ist, das die Zuordnung der TCP-Verbindungsidentifikationen
entsprechend einer Ausführungsform
der vorliegenden Erfindung darstellt;
-
16 ein Diagramm eines TCB-Zugriffs über eine
TCB-Abbildungstabelle ist entsprechend einer Ausführungsform
der vorliegenden Erfindung;
-
17 ein Diagramm ist, das den CCB-Zugriff über eine
CCB-Hash-Funktion darstellt, entsprechend einer Ausführungsform
der vorliegenden Erfindung;
-
18 ein Diagramm ist, das einen CCB-Zugriff über eine
CCB-Abbildungstabelle entsprechend einer Ausführungsform der vorliegenden
Erfindung darstellt;
-
19 ein Diagramm des Verhältnisses zwischen einem CCB
und einer TCB entsprechend einer Ausführungsform der vorliegenden
Erfindung ist;
-
20 ein Diagramm ist, das den Verbindungsaufbau
entsprechend einer Ausführungsform
der vorliegenden Erfindung darstellt;
-
21 ein Diagramm des Starts der gleichen TCP-Verbindung
ist, die die gleiche Backbone-Verbindung be nutzt, entsprechend einer
Ausführungsform
der vorliegenden Erfindung;
-
22 ein Diagramm eines Verbindungsaufbaus mit keiner
lokalen CCB ist entsprechend einer Ausführungsform der vorliegenden
Erfindung;
-
23 ein Diagramm des Verbindungsaufbaus mit keinem
Partner CCB entsprechend einer Ausführungsform der vorliegenden
Erfindung ist;
-
24 ein Diagramm des gleichzeitigen Starts ist,
indem der letzte CCB verwendet wird, entsprechend einer Ausführungsform
der vorliegenden Erfindung;
-
25 ein Dia gramm einer fehlenden Antwort von einem
Ziel-Host ist, entsprechend einer Ausführungsform der vorliegenden
Erfindung;
-
26 ein Dia gramm einer fehlenden Antwort von einem
Quellen-Host ist, entsprechend einer Ausführungsform der vorliegenden
Erfindung;
-
27 ein Diagramm eines gespooften Datenempfangs
ist entsprechend einer Ausführungsform
der vorliegenden Erfindung;
-
28 ein Diagramm eines normalen Verbindungsabbruchs
entsprechend einer Ausführungsform
der vorliegenden Erfindung ist;
-
29 ein Diagramm einer lokalen Host-<RST>-Segmentverbindungsabbruch entsprechend
einer Ausführungsform
der vorliegenden Erfindung ist;
-
30 ein Diagramm eines gleichzeitigen normaler
Verbindungsabbruchs entsprechend einer Ausführungsform der vorliegenden
Erfindung ist;
-
31 ein Diagramm einer gleichzeitigen <RST>-Segmentverbindungsbeendigung entsprechend
einer Ausführungsform
der vorliegenden Erfindung ist;
-
32 ein Diagramm eines vorzeitigen Verbindungsneustarts
entsprechend einer Ausführungsform der
vorliegenden Erfindung ist;
-
33 ein Dia gramm ist, das die Verbindungsbeendigung
aufgrund fehlender Antwort von einem Host entsprechend einer Ausführungsform
der vorliegenden Erf indung darstellt;
-
34 ein Diagramm des Verhältnisses zwischen PEP-Endpunkten,
TCP-Spoofing-Auswahlprofilen und TCP-Spoofing-Parameterprofilen entsprechend einer
Ausführungsform
der vorliegenden Erfindung ist;
-
35 ein Diagramm einer selektiven Abbildung von
TCP-Spoofing-Regeln auf TCP-Spoofing-Parameterprofile entsprechend
einer Ausführungsform
der vorliegenden Erfindung ist;
-
36 ein Diagramm ist, das ein Teilen eines Segments
in zwei oder mehrere kleinere Segmente entsprechend einer Ausführungsform
der vorliegenden Erfindung darstellt;
-
37 ein Diagramm ist, das die Reduzierung der maximalen
Segmentgröße entsprechend
einer Ausführungsform
der vorliegenden Erfindung darstellt;
-
38 ein Diagramm eines Computersystems ist, das
PEP-Funktionen ausführen
kann entsprechend einer Ausführungsform
der Erfindung;
-
39 ein Diagramm der Protokollschichten des TCP/IP-Protokoll-Programmpakets
ist;
-
40 ein Diagramm eines herkömmlichen TCP Drei-Wege-Handshakes
zwischen IP-Hosts ist.
-
BESCHREIBUNG
DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
-
In
der vorliegenden Beschreibung sind zum Zwecke der Erläuterung
spezifische Details ausgeführt, um
ein gründliches
Verständnis
der Erfindung zu liefern. Es versteht sich jedoch, dass die Erfindung
ohne diese spezifischen Details ausgeführt werden kann. In einigen
Beispielen sind gut bekannte Strukturen und Vorrichtungen in Blockdiagrammform
gezeigt, um die Erfindung nicht unnötigerweise unverständlich zu
machen.
-
Obgleich
die vorliegende Erfindung mit Bezug auf das Internet und das TCP/IP-Protokoll-Programmpaket
diskutiert wird, ist die vorliegende Erfindung auch auf andere Paket-vermittelte Netzwerke
und äquivalente
Protokolle anwendbar.
-
1 zeigt
ein beispielhaftes Netzwerk 100, in dem der leistungsverbessernde
Proxy (PEP) der vorliegenden Erfindung verwendet werden kann. Das
Netzwerk 100 in 1 umfasst
einen oder mehrere Hosts 110, die mit einem Netzwerk-Gateway 120 über TCP-Verbindungen
verbunden sind. Das Netzwerk-Gateway 120 ist
mit einem anderen Netzwerk-Gateway 140 über eine Backbone-Verbindung
auf einer Backbone-Verbindung 130 verbunden. Wie in 1 zu
sehen ist, ist die Backbone-Verbindung 130 in
einer beispielhaften Ausführungsform
als eine Satellitenverbindung gezeigt, die über einen Satelliten 101 aufgebaut
ist; für
einen Durchschnittsfachmann ist jedoch ersichtlich, dass andere
Netzwerkverbindungen implementiert werden können. Beispielsweise können diese
Netzwerkverbindungen über
ein drahtloses Kommunikationssystem im Allgemeinen (bspw. Funknetzwerke,
Mobilfunknetzwerke, etc.) oder ein terrestrisches Kommunikationssystem aufgebaut
werden. Das Netzwerk-Gateway 140 ist
ferner mit einer zweiten Gruppe von Hosts 150 ebenfalls über TCP-Verbindungen
verbunden. In der in 1 dargestellten Anordnung erleichtern
die Netzwerk-Gateways 120, 140 eine Kommunikation
zwischen den Gruppen der Hosts 110, 150.
-
Die
Netzwerk-Gateways 120, 140 erleichtern eine Kommunikation
zwischen zwei Gruppen von Hosts 110, 150 durch
Ausführen
einer Anzahl von leistungsverbessernden Funktionen. Diese Netzwerk-Gateways 120, 140 können ein
selektives TCP-Spoofing
ausführen,
das eine flexible Konfiguration der bestimmten TCP-Verbindungen
ermöglicht,
die gespooft werden sollen. Zusätzlich
verwenden Gateways 120, 140 einen TCP Drei- Wege-Handshake, bei
dem die TCP-Verbindungen an ihrem Ende der Backbone-Verbindung 130 abgeschlossen
sind. Lokale Datenbestätigungen
werden von den Netzwerk-Gateways 120, 140 verwendet, um
damit den TCP-Fenstern zu ermöglichen,
die lokalen Geschwindigkeiten zu erhöhen.
-
Die
Netzwerk-Gateways 120, 140 multiplexen ferner
mehrere TCP-Verbindungen über
eine einzelne Backbone-Verbindung;
diese Fähigkeit
reduziert die Menge an Verkehr von Bestätigungen bzw. Acknowledgements,
der mit den Daten von den mehreren TCP-Verbindungen verknüpft ist,
da ein einzelnes Backbone-Verbindungs-Acknowledgement verwendet
werden kann. Die Multiplexing-Funktion liefert auch eine Unterstützung für TCP-Verbindungen mit
hohem Durchsatz, wobei das Backbone-Verbindungsprotokoll für die jeweilige Backbone-Verbindung
optimiert ist, die verwendet wird. Die Netzwerk-Gateways 120, 140 unterstützen ebenfalls
eine Datenkomprimierung über
die Backbone-Verbindung 130, um die Menge an zu sendendem
Verkehr zu reduzieren, und um ferner die Fähigkeiten der Backbone-Verbindung
auszugleichen. Ferner verwenden die Netzwerk-Gateways 120, 140 eine
Datenverschlüsselung
bei der Datenübertragung über die
Backbone-Verbindung 130, um den Datenschutz zu bewahren
und stellen einen priorisierten Zugang zu der Backbone-Verbindungskapazität auf einer
TCP-Verbindungsbasis bereit. Jedes der Netzwerk-Gateways 120, 140 kann
einen bestimmten Pfad für
die Daten wählen,
der mit einer Datenflussverbindung verknüpft ist. Die zuvor genannten
Fähigkeiten
der Netzwerk-Gateways 120, 140 werden vollständiger nachfolgend
beschrieben.
-
2 zeigt
einen leistungsverbessernden Proxy (PEP) 200, der in einem
Netzwerk-Gateway 120, 140 entsprechend einer Ausführungsform
der vorliegenden Erfindung implementiert ist. Bei dieser Ausführungsform
hat der PEP 200 eine Plattformumgebung 210, die
die Hardware und das Software-Betriebssystem umfasst. Der PEP 200 umfasst
ebenfalls Schnittstellen zu einem lokalen Netzwerk (LAN; local area
network) 220 und Schnittstellen 230 zu einem Wide-Area-Netzwerk
(WAN). Bei dem in 1 gezeigten Beispiel kann das Netzwerk-Gateway 120 die
TCP-Verbindungen
mit den IP-Hosts 110 über
eine lokale LAN-Schnittstelle 220 errichten
und kann eine Backbone-Verbindung mit dem Netzwerk-Gateway 140 über eine
WAN-Schnittstelle 230 errichten. Die PEP-Plattformumgebung 210 kann
ebenfalls allgemeine Funktionsmodule umfassen: ein Routingmodul 240,
ein Puffer-Managementmodul 250, ein Ereignis-Management-Modul 260 und
ein Parametermanagement-Modul 270. Wie in 2 dargestellt,
umfasst das Netzwerk-Gateway auch einen TCP-Spoofing-Kern (TSK) 280,
einen Backbone-Protokoll-Kern (BPK) 282, einen Priorisierungs-Kern
(PK) 284 und einen Pfadauswahl-Kern (PSK) 286.
Diese vier Kerne machen im Wesentlichen die Funktionalität des leistungsverbessernden
Proxys 200 aus.
-
Die
Plattformumgebung 210 führt
eine Anzahl von Funktionen aus. Eine solche Funktion besteht darin, die
verschiedenen PEP-Kerne 280, 282, 284, 286 gegenüber der
Implementierung bestimmter Einschränkungen abzuschirmen. Das heißt die Plattformumgebung 210 führt Funktionen
aus, die verschiedene PEP-Kerne 280, 282, 284, 286 nicht
direkt ausführen
können,
da die Implementierung dieser Funktion plattformspezifisch ist.
Diese Anordnung hat den vorteilhaften Effekt, dass plattformspezifische
Details gegenüber
den PEP-Kernen 280, 282, 284, 286 versteckt
werden, so dass die PEP-Kerne 280, 282, 284, 286 portierbarer
gemacht werden. Ein Beispiel einer plattformspezi fischen Funktion
ist die Belegung bzw. Zuweisung eines Puffers. Bei manchen Plattformen
werden Puffer erzeugt, wenn sie benötigt werden, während in
anderen Plattformen Puffer beim Start erzeugt werden und in verknüpften Listen
für eine
spätere
Benutzung organisiert sind. Es ist anzumerken, dass plattformspezifische
Funktionen nicht auf Funktionen beschränkt sind, die allen Kernen 280, 282, 284, 286 gemein
sind. Eine Funktion, die für
einen bestimmten Kern spezifisch ist, bspw. die Zuweisung eines
Steuerungsblocks für
TCP-Spoofing, kann ebenfalls in der Plattformumgebung implementiert
sein, um plattformspezifische Details vor dem Kern zu verstecken.
-
Bei
einer beispielhaften Ausführungsform
stellt die Plattformumgebung 210 den Task- bzw. Aufgaben-Kontext
bereit, in dem die PEP-Kerne 280, 282, 284, 286 laufen.
Bei einer anderen beispielhaften Ausführungsform laufen alle PEP-Kerne 280, 282, 284, 286 in
dem gleichen Task-Kontext aus Effizienzgründen; dies ist jedoch nicht
notwendig.
-
Ferner
stellt die Plattformumgebung 210 bei einer beispielhaften
Ausführungsform
eine Schnittstelle zwischen der PEP-Funktionalität (in den Kernen 280, 282, 284, 286 verkörpert) und
der anderen Funktionalität des
Netzwerk-Gateways 120, 140 bereit. Die Plattformumgebung 210 kann
die Schnittstelle zwischen der PEP-Funktionalität und der Routing-Funktion 240 bereitstellen,
wie dies in 2 gezeigt ist. Es ist anzumerken,
dass die plattformspezifischen Funktionen, die in 2 gezeigt
sind, Beispiele sind und nicht als abschließende Liste betrachtet werden
dürfen.
Es ist ferner anzumerken, dass die PEP-Kerne, die in 2 als
einander berührend
gezeigt sind (280, 282 und 284, 286),
eine direkte Prozessschnittstelle zueinander haben können. Ferner
können
die Kerne 280, 282, 284, 286 direkte
Schnittstellen umfassen, um die Leistung zu verbessern, im Gegensatz
zu einem Routen aller Daten durch die Plattformumgebung 210 (wie
in 2 gezeigt).
-
Zusätzlich zu
den PEP-Kernen 280, 282, 284 und 286 kann
die PEP-Endpunktplattform 210 einen Datenkomprimierungskern
(CK) 290 und einen Verschlüsselungskern (EK) 292 verwenden.
Diese Kerne 280, 282, 284, 286, 290 und 292,
wie zuvor beschrieben, erleichtern eine Kommunikation zwischen zwei
Gruppen von Hosts 110, 150 durch Ausführen einer
Vielzahl von leistungsverbessernden Funktionen entweder alleine oder
in Kombination. Diese leistungsverbessernden Funktionen umfassen
ein selektives TCP-Spoofing, ein Drei-Wege-Handshake-Spoofing, ein
lokales Daten-Acknowledgement, ein Multiplexen der TCP-Verbindung auf
die Backbone-Verbindung, eine Datenkomprimierung/-Verschlüsselung,
Priorisierung und Pfadauswahl.
-
Ein
selektives TCP-Spoofing wird von dem TSK 280 ausgeführt und
umfasst einen Satz von Benutzer-konfigurierbaren Regeln, die verwendet
werden, um zu bestimmen, welche TCP-Verbindungen gespooft werden sollten.
Ein selektives TCP-Spoofing
verbessert die Leistung, indem TCP-Spoofing-bezogene Ressourcen,
wie bspw. Pufferplatz, Steuerungsblöcke etc., nicht für TCP-Verbindungen
verbraucht werden, für welche
TCP-Verbindungen der Benutzer festgelegt hat, dass ein Spoofing
nicht vorteilhaft ist oder nicht erforderlich ist, und in dem die
Verwendung von angepassten Parametern für TCP-Verbindungen unterstützt wird, die
gespooft werden.
-
Insbesondere
unterscheidet der TSK 280 unter vielen TCP-Verbindungen
basierend auf den Anwendungen, die sie benutzen. Das heißt, dass
der TSK 280 unter diesen TCP-Verbindungen unterscheidet,
um festzulegen, welche Verbindung gespooft werden sollte, sowie
die Art und Weise, in der die Verbindungen gespooft wird; bspw.
ob der Drei-Wege-Handshake gespooft werden soll, die bestimmten
Timeout-Parameter für die
gespooften Verbindungen, etc. TCP-Spoofing wird dann nur für jene TCP-Verbindungen
ausgeführt,
die mit der Anwendung verknüpft
sind, für
die ein hoher Durchsatz oder reduzierte Verbindungs-Startlatenz
(oder beides) erforderlich sind. Im Ergebnis sichert der TSK 280 TCP-Spoofing-Ressourcen
nur für
jene TCP-Verbindungen, für
die ein hoher Durchsatz oder eine reduzierte Verbindungs-Startlatenz
(oder beides) erforderlich ist. Ferner erhöht der TSK 280 die
Gesamtzahl der TCP-Verbindungen, die aktiv sein können, bevor
die TCP-Spoofing-Ressourcen ausgehen, da jede aktive TCP-Verbindung,
die keinen hohen Durchsatz benötigt, nicht
belegte Ressourcen sind.
-
Ein
Kriterium zur Identifizierung von TCP-Anwendungsverbindungen, für die TCP-Spoofing
ausgeführt und
nicht ausgeführt
werden sollte, ist das TCP-Port-Nummern-Feld, das in den zu sendenden
TCP-Paketen enthalten ist. Allgemein werden die eindeutigen Port-Nummern
jedem Anwendungstyp zugeordnet. Welche TCP-Port-Nummern gespooft
und nicht gespooft werden sollten, kann in dem TSK 280 gespeichert
werden. Der TSK 280 ist ebenfalls neu konfigurierbar, um
es einem Benutzer oder einem Operator zu erlauben, die TCP-Port-Nummern
neu zu konfigurieren, die gespooft und nicht gespooft werden sollen.
Der TSK 280 erlaubt es auch einem Benutzer oder Operator,
zu steuern, welche TCP-Verbindungen gespooft werden sollen, basierend auf
anderen Kriterien. Allgemein kann eine Entscheidung, ob eine TCP-Verbindung
gespooft wird, auf jedem Feld innerhalb eines TCP-Pakets basieren.
Der TSK 280 erlaubt es einem Benutzer, zu spezifizieren,
welche Felder geprüft
werden sollen und welche Werte in diesen Feldern TCP-Verbindungen
identifizieren, die gespooft oder nicht gespooft werden sollen.
Ein anderes Beispiel einer möglichen
Benutzung dieser Fähigkeit besteht
darin, dass der Benutzer oder Operator die IP-Adresse des TCP-Pakets auswählt, um
zu steuern, für welche
Benutzer-TCP-Spoofing
ausgeführt
werden soll. Der TSK 280 erlaubt es auch einem Benutzer,
mehrere Felder zur gleichen Zeit zu betrachten. Als Ergebnis ermöglicht der
TSK 280 einem Benutzer oder Operator, mehrere Kriterien
zur Auswahl der zu spoofenden TCP-Verbindungen zu verwenden. Beispielsweise kann
durch Auswahl sowohl der IP-Adresse als auch der TCP-Port-Nummernfelder
der Systemoperator ein TCP-Spoofing nur für spezifische Anwendungen von
spezifischen Benutzern erlauben.
-
Die
Benutzer-konfigurierbaren Regeln können fünf beispielhafte Kriterien
umfassen, die von dem Benutzer oder Operator beim Erzeugen einer
selektiven TCP-Spoofing-Regel spezifiziert werden können: Ziel-IP-Adresse;
Quell-IP-Adresse; TCP-Port-Nummern (die sowohl auf die TCP-Ziel-
und Quell-Port-Nummern
anwendbar sind); TCP-Optionen und IP-differenzierte Services-(DS)-Feld.
Allerdings können,
wie zuvor ausgeführt,
andere Felder innerhalb des TCP-Pakets benutzt werden.
-
Wie
zuvor diskutiert, können
zusätzliche
zur Unterstützung
an der selektiven TCP-Spoofing-Regeln für jedes dieser Kriterien UND-ODER-Kombinationsoperatoren
verwendet werden, um die Kriterien miteinander zu verknüpfen. Beispiels weise
kann eine Regel, indem der UND-Kombinationsoperator verwendet wird,
definiert werden, um ein TCP-Spoofing für FTP-Daten zu sperren, die von einem speziellen
Host empfangen werden. Ebenfalls kann die Reihenfolge, in der die
Regeln spezifiziert sind, wesentlich sein. Es ist für eine Verbindung
möglich,
dass sie die Kriterien mehrerer Regeln erfüllt. Deshalb kann der TSK 280 Regeln
in der Reihenfolge, die vom Operator spezifiziert wird, anwenden,
indem die Aktion der ersten zutreffenden Regel genommen wird. Eine
Default-Regel kann ebenfalls gesetzt werden, die die Aktion definiert,
die für
TCP-Verbindungen
genommen werden soll, die auf keine der definierten Regeln passt.
Der Satz von Regeln, die von dem Operator ausgewählt werden, kann in einem selektiven
TCP-Spoofing-Auswahlprofil
definiert werden.
-
Als
Beispiel sei angenommen, dass ausreichend Pufferplatz zugewiesen
wurde, um fünf
TCP-Verbindungen zu spoofen; falls vier Anwendungen mit geringer
Geschwindigkeit (d.h. Anwendungen, die von ihrer Natur aus keine
hohen Geschwindigkeiten erfordern) zusammen mit einer Hochgeschwindigkeitsanwendung Verbindungen
aufbauen, hat die Hochgeschwindigkeitsverbindung Zugriff auf nur
1/5 des verfügbaren
Spoofing-Pufferplatzes.
Falls fünf
Verbindungen mit niedriger Geschwindigkeit aufgebaut werden, vor
der Hochgeschwindigkeitsverbindung, kann die Hochgeschwindigkeitsverbindung überhaupt
nicht gespooft werden. Indem der selektive Spoofing-Mechanismus
des TSK 280 verwendet wird, belegen die Verbindungen mit
niedriger Geschwindigkeit keinen Spoofing-Pufferplatz. Deshalb hat
die Hochgeschwindigkeitsverbindung immer Zugriff auf den gesamten
Pufferplatz, was dessen Leistung verbessert im Vergleich zu einer
Implementierung ohne das selektive TCP-Spoofing-Merkmal des TSK 280.
-
Der
TSK 280 erleichtert auch ein Spoofing des herkömmlichen
Drei-Wege-Handshakes. Ein Drei-Wege-Handshake-Spoofing umfasst ein lokales Antworten
auf eine Verbindungsanfrage, um eine TCP-Verbindung parallel mit
dem Weiterleiten der Verbindungsanforderung über die Backbone-Verbindung 130 (1) aufzubauen.
Dies erlaubt es dem originären
IP-Host (bspw. 110), den Punkt zu erreichen, an dem er
in der Lage ist, die Daten zu senden, die er mit lokalen Geschwindigkeiten
senden muss, d.h. Geschwindigkeiten, die unabhängig von der Latenz der Backbone-Verbindung 130 sind.
Ein Drei-Wege-Handshake-Spoofing
ermöglicht
es den Daten, die der IP-Host 110 senden muss, dass sie
zu dem Ziel-IP-Host 150 gesendet werden, ohne auf einen
End-zu-End-Aufbau der TCP-Verbindung zu warten. Für Backbone-Verbindungen 130 mit
hoher Latenz reduziert dies die Zeit wesentlich, die benötigt wird,
um die TCP-Verbindung aufzubauen und insbesondere die Gesamtzeit,
die benötig
wird, um eine Antwort (von einem IP-Host 150) auf die Daten
zu erhalten, die der IP-Host 110 sendet.
-
Ein
spezifisches Beispiel, bei dem diese Technik nützlich ist, betrifft eine Internet-Webpage-Zugangs- bzw.
Zugriffsanwendung. Mit dem Drei-Wege-Handshake-Spoofing kann eine
Anforderung eines IP-Hosts, eine Webpage zu erhalten, auf dem Weg
zu einem Web-Server sein, ohne auf den End-zu-End-Aufbau der TCP-Verbindung
warten zu müssen,
wodurch die Zeit reduziert wird, die benötigt wird, um die Webpage herunterzuladen.
-
Mit
einer lokalen Datenbestätigung
bzw. einem lokalen Daten-Acknowledgement bestätigt der TSK 280 in
dem Netzwerk-Gateway 120 (bspw.) lokal Datensegmente, die
von dem IP-Host 110 empfangen werden. Dies ermöglicht es,
dass der sendende IP-Host 110 zusätzliche Daten sofort sendet.
Noch wichtiger benutzt das TCP empfangene Bestätigungen als Signale zur Erhöhung der
aktuellen TCP-Fenstergröße. Im Ergebnis
ermöglicht
das lokale Senden von Bestätigungen,
dass der sendende IP-Host 110 sein TCP-Fenster mit einer
viel schnelleren Geschwindigkeit erhöht als dies durch End-zu-End-TCP-Bestätigungen
unterstützt würde. Der
TSK 280 (der Spoofer) nimmt die Verantwortung für eine zuverlässige Auslieferung
der Daten an, die er bestätigt
hat.
-
In
dem BPK 282 werden mehrere TCP-Verbindungen auf eine einzelne
Backbone-Verbindung gemultiplext und von dieser getragen. Dies verbessert
die Systemleistung, indem die Daten für mehrere TCP-Verbindungen
durch ein einzelnes Backbone-Verbindungs-Acknowledgement (ACK) bestätigt werden
können, was
die Anzahl des Acknowledgement-Verkehrs, der zur Aufrechterhaltung
eines hohen Durchsatzes über
die Backbone-Verbindung 130 erforderlich ist, wesentlich
reduziert. Zusätzlich
wählt der
BPK 282 ein Backbone-Verbindungsprotokoll aus, das optimiert
wird, um einen hohen Durchsatz für
die jeweilige Verbindung bereitzustellen. Unterschiedliche Backbone-Verbindungsprotokolle
können
von dem BPK 282 bei unterschiedlichen Backbone-Verbindungen eingesetzt
werden, ohne die grundlegende TCP-Spoofing-Implementierung zu verändern. Das
Backbone-Verbindungsprotokoll, das von dem BPK 282 ausgewählt wurde,
liefert eine passende Unterstützung
für eine
zuverlässige
Hochgeschwindigkeitsauslieferung von Daten über die Backbone- Verbindung 130,
wobei die Details der Beeinträchtigung
(bspw. hohe Latenz) der Verbindung gegenüber der TCP-Spoofing-Implementierung versteckt
werden.
-
Das
Multiplexen durch den BPK 282 ermöglicht die Verwendung eines
Backbone-Verbindungsprotokolls, das individuell zur Benutzung mit
der bestimmten Verbindung maßgeschneidert
ist und eine Technik zur Anhebung der Leistung des Backbone-Verbindungsprotokolls
ist, mit einer viel geringeren Abhängigkeit von der einzelnen
Leistung der TCP-Verbindungen, die gespooft werden, als bei herkömmlichen
Verfahren. Ferner macht die Fähigkeit,
das Backbone-Protokoll für
unterschiedliche Backbone-Verbindungen maßzuschneidern, die Anwendung
der Erfindung bei unterschiedlichen Systemen möglich.
-
Der
PEP 200 kann optional einen Datenkomprimierungskern 290 zum
Komprimieren der TCP-Daten und einen Verschlüsselungskern 292 zum
Verschlüsseln
der TCP-Daten aufweisen. Die Datenkomprimierung erhöht die Datenmenge,
die über
die Backbone-Verbindung getragen werden kann. Unterschiedliche Kompressionsalgorithmen
können
von dem Datenkomprimierungskern 290 unterstützt werden,
und mehr als ein Kompressionstyp kann zur gleichen Zeit unterstützt werden.
Der Datenkomprimierungskern 290 kann optional eine Komprimierung
auf einer TCP-Verbindungsbasis anwenden, bevor die TCP-Daten mehrerer
TCP-Verbindungen auf die Backbone-Verbindung gemultiplext werden,
oder auf einer Backbone-Verbindungsbasis, nachdem die TCP-Daten
der mehreren TCP-Verbindungen auf die Backbone-Verbindung gemultiplext
wurden. Welche Option verwendet wird, wird dynamisch basierend auf
den benutzerkonfigurierten Regeln und den spezifischen Kompressionsalgorithmen
festgelegt, die verwendet werden. Beispielhaf te Datenkomprimierungsalgorithmen
sind in US-Patenten Nr. 5,973,630, 5,955,976 offenbart. Der Verschlüsselungskern 292 verschlüsselt die
TCP-Daten für
eine sichere Übertragung über die
Backbone-Verbindung 130. Die Verschlüsselung kann mit jeder herkömmlichen
Technik ausgeführt
werden. Es versteht sich, dass die entsprechenden Spoofer (in dem
zuvor ausgeführten
Beispiel das Netzwerk-Gateway 140) geeignete Kerne zur
Dekomprimierung und Entschlüsselung
aufweisen, wobei beide mit jeder herkömmlichen Technik ausgeführt werden
können.
-
Der
PK 284 liefert einen priorisierten Zugang zu der Backbone-Verbindungskapazität. Beispielsweise kann
die Backbone-Verbindung in N (N > 1)
unterschiedliche Teilverbindungen aufgetrennt werden, wobei jede einen
unterschiedlichen Prioritätswert
besitzt. Bei einer beispielhaften Ausführungsform können vier
Prioritätswerte
unterstützt
werden. Der PK 284 benutzt benutzerdefinierte Regeln, um
unterschiedliche Prioritäten
zuzuweisen, und damit unterschiedliche Teilverbindungen der Backbone-Verbindung,
auf unterschiedliche TCP-Verbindungen. Es versteht sich, dass der
PK 284 auch nicht TCP-Verkehr priorisieren kann (beispielsweise
UDP (User Datagram Protocol)-Verkehr),
bevor der Verkehr über
die Backbone-Verbindung 130 gesendet wird.
-
Der
PK 284 benutzt ebenfalls benutzerdefinierte Regeln, um
zu steuern, wie viel der Kapazität
der Backbone-Verbindung 130 für jeden
Prioritätswert
verfügbar
ist. Beispielhafte Kriterien, die verwendet werden können, um
die Priorität
zu bestimmen, umfassen Folgende: Ziel-IP-Adresse; Quell-IP-Adresse; IP next
protocol; TCP-Port-Nummern (die sowohl für TCP-Ziel- als auch Quell-Port-Nummern
angewendet werden kön nen);
UDP-Port-Nummern (die sowohl für
die UDP-Ziel- als auch Quell-Port-Nummern angewendet werden können); und
das IP differentiated services (DS) Feld. Der Datentyp in den TCP-Datenpaketen kann
ebenfalls als Kriterium verwendet werden. Beispielsweise könnte Videodaten
die höchste
Priorität
gegeben werden, Übertragungskritische
Daten könnten
ebenfalls mit einer hohen Priorität versehen werden. Wie beim
selektiven TCP-Spoofing
kann jedes Feld in dem IP-Paket von dem PK 284 verwendet
werden, um die Priorität
zu bestimmen. Es ist jedoch anzumerken, dass bei bestimmten Szenarien
die Folge der Verwendung eines solchen Feldes darin bestehen kann,
dass unterschiedliche IP-Pakete des gleichen Stroms (beispielsweise TCP-Verbindung)
unterschiedliche Prioritäten
zugewiesen bekommen; diese Szenarien sollten vermieden werden.
-
Wie
zuvor erwähnt,
können
zusätzlich
zur Unterstützung
selektiver Priorisierungsregeln für jedes dieser Kriterien UND-
und ODER-Kombinationsoperatoren verwendet werden, um die Kriterien
miteinander zu verknüpfen.
Beispielsweise kann die Verwendung des UND-Kombinationsoperators
eine Regel definieren, um eine Priorität für SNMP-Daten zuzuweisen, die
von einem bestimmten Host empfangen werden. Ebenfalls kann die Reihenfolge,
in der die Regeln spezifiziert werden, wesentlich sein. Es ist für eine Verbindung
möglich,
Kriterien mehrerer Regeln zu erfüllen.
Deshalb kann der PK 284 Regeln in der Reihenfolge anwenden, die
von dem Operator spezifiziert sind, wobei die Aktion der ersten
passenden Regel genommen wird. Eine Default-Regel kann ebenfalls
eingestellt werden, die die Aktion definiert, die für IP-Pakete
zu verwenden ist, die keine der definierten Regeln erfüllen. Der
Satz von Regeln, der von dem Operator ausgewählt wird, kann in einem Priorisierungsprofil
definiert werden.
-
Im
Hinblick auf die Pfadauswahl-Funktionalität ist der PSK 286 verantwortlich
für die
Bestimmung, welcher Pfad ein IP-Paket nehmen soll, um sein Ziel
zu erreichen. Der von dem PSK 286 ausgewählte Pfad
kann festgelegt werden, indem die Pfadauswahlregeln angewendet werden.
Der PSK 286 bestimmt ebenfalls, welche IP-Pakete weitergeleitet
werden sollen, indem ein alternativer Pfad verwendet wird, und welche
IP-Pakete fallen gelassen werden sollen, wenn einer oder mehrere
Hauptpfade ausfallen. Pfadauswahlparameter können ebenfalls konfiguriert
werden, indem Profile verwendet werden. Die Pfadauswahlregeln können gestaltet
werden, um Flexibilität
mit Bezug auf die Zuweisung von Pfaden bereitzustellen, während sichergestellt
wird, dass alle Pakete, die den gleichen Verkehrsstrom betreffen
(beispielsweise die gleiche TCP-Verbindung), den gleichen Pfad nehmen
(obgleich es möglich
ist, Segmente der gleichen TCP-Verbindung über unterschiedliche Pfade
zu senden, wobei dieses Segment auftrennend negative Nebenwirkungen
haben kann). Beispielhafte Kriterien, die verwendet werden können, um
einen Pfad auszuwählen,
umfassen die Folgenden: Priorität
des IP-Pakets, wie
von dem PK 284 eingestellt (sollte das üblichste Kriterium sein): Ziel-IP-Adresse; Quell-IP-Adresse;
IP next protocol; TCP-Port-Nummern (was sowohl auf die TCP-Ziel-
als auch Quell-Port-Nummern angewendet werden kann); UDP-Port-Nummern (was sowohl
auf die UDP-Ziel- als auch Quell-Port-Nummern angewendet werden kann); und
das IP differentiated services (DS) Feld. Ähnlich zu dem selektiven TCP-Spoofing
und der Priorisierung kann der PSK 284 einen Pfad bestimmen,
indem ein beliebiges Feld in dem IP-Paket verwendet wird.
-
Wie
bei den Priorisierungskriterien (Regeln) können die UND- und ODER-Kombinationsoperatoren verwendet
werden, um Kriterien miteinander zu verknüpfen. Beispielsweise kann unter
Verwendung des UND-Kombinationsoperators eine Regel definiert werden,
um einen Pfad für
SNMP-Daten auszuwählen,
die von einem spezifischen Host empfangen werden. Ebenfalls ist
die Reihenfolge, in der die Regeln spezifiziert werden, wesentlich.
Es ist für
eine Verbindung möglich,
das Kriterium mehrerer Regeln zu erfüllen. Deshalb kann der PSK 286 Regeln
anwenden, die von dem Operator spezifiziert sind, wobei die Aktion
der ersten passenden Regel herangezogen wird. Eine Default-Regel
kann ebenfalls eingestellt werden, die die Aktion definiert, die
eingesetzt werden soll für
IP-Pakete, die auf keine der definierten Regeln passen. Der Satz
von Regeln, die von dem Operator ausgewählt werden, kann in einem Pfadauswahlprofil
definiert werden.
-
Rein
beispielhaft kann eine Pfadauswahlregel den Pfad basierend auf jeder
der nachfolgenden Pfadinformationen auswählen, in der IP-Pakete die
Regel erfüllen:
Ein Hauptpfad, ein Zweitpfad und ein Drittpfad. Der Hauptpfad wird
in jeder Auswahlregel spezifiziert. Der Zweitpfad wird nur verwendet,
wenn der Hauptpfad ausgefallen ist. Falls der Zweitpfad nicht spezifiziert
ist, können
jegliche IP-Pakete, die die Regel erfüllen, verworfen werden, wenn
der Hauptpfad ausgefallen ist. Der Drittpfad wird nur spezifiziert,
falls ein Zweitpfad spezifiziert ist. Der Drittpfad wird ausgewählt, falls
sowohl der Haupt- als auch der Zweitpfad ausgefallen sind. Falls kein
Drittpfad spezifiziert ist, werden jegliche IP-Pakete, die die Regel
erfüllen,
verworfen, wenn sowohl der Haupt- als auch der Zweitpfad ausgefallen
sind. Die Pfadauswahl kann verallgemei nert werden derart, dass die
Pfadauswahlregel bis zu N Pfade auswählen kann, wobei der N-te Pfad
verwendet wird, falls der (N–1)-te Pfad
ausgefallen ist. Die zuvor angegebenen Beispiele, in denen N = 3
ist, sind rein beispielhaft, obgleich N typischerweise eine ziemlich
kleine Zahl ist.
-
Beispielhaft
wird der Betrieb des Systems 100 nachfolgend beschrieben.
Zuerst wird eine Backbone-Verbindung zwischen den PEPs 200 der
zwei Netzwerk-Gateways 120, 140 (d.h. den beiden
Spoofern) errichtet, die an jedem Ende der Backbone-Verbindung 130 angeordnet
sind, für
die das TCP-Spoofing gewünscht
wird. Wann immer ein IP-Host 110 eine TCP-Verbindung initiiert, überprüft der TSK 280 des
PEP 200, der lokal zu dem IP-Host 110 liegt, seine
konfigurierten selektiven TCP-Spoofing-Regeln.
Falls die Regeln anzeigen, dass die Verbindung nicht gespooft werden
soll, ermöglicht
der PEP 200, dass die TCP-Verbindung von Ende zu Ende ungespooft
erfolgt. Falls die Regeln anzeigen, dass die Verbindung gespooft
werden soll, antwortet der Spoofing PEP 200 lokal auf den
TCP-Drei-Wege-Handshake
des IP-Hosts. Parallel dazu sendet der Spoofing PEP 200 eine
Nachricht über
die Backbone-Verbindung 130 an sein Partner-Netzwerk-Gateway 140,
um ihn zu bitten, ein TCP-Drei-Wege-Handshake
mit dem IP-Host 150 auf dessen Seite der Backbone-Verbindung 130 zu
initiieren. Daten werden dann zwischen dem IP-Host 110, 150 mit
dem PEP 200 des Netzwerk-Gateways 120 ausgetauscht,
die empfangenen Daten werden lokal bestätigt und über die Backbone-Verbindung 130 über die
Hochgeschwindigkeits-Backbone-Verbindung
weitergeleitet, wobei die Daten basierend auf den konfigurierten
Komprimierungsregeln geeignet komprimiert werden. Die Priorität der TCP-Verbindung
wird bestimmt, wenn die Verbindung aufgebaut ist. Der BPK 282 kann
die Verbin dung mit anderen empfangenen Verbindungen über eine
einzelne Backbone-Verbindung multiplexen, der PK 284 bestimmt
die Priorität
der Verbindung, und der PSK 286 bestimmt den Pfad, den
die Verbindung nehmen soll.
-
Der
PEP 200, wie zuvor beschrieben, verbessert vorteilhafterweise
die Netzwerkleistung, indem TCP-Spoofing-bezogene Ressourcen belegt werden, wie
beispielsweise Pufferplatz, Steuerungsblöcke, etc., nur für TCP-Verbindungen,
für die
Spoofing vorteilhaft ist. Indem der Drei-Wege-Handshake gespooft
wird, um die Datenantwortzeiten zu verringern; indem die Anzahl
der ACKs reduziert wird, die übertragen
werden, indem ein lokales Acknowledgement ausgeführt wird, und indem mehrere
TCP-Verbindungen mit einem einzelnen ACK bestätigt werden; indem eine Datenkomprimierung
erfolgt, um die Datenmenge zu erhöhen, die übertragen werden kann; indem
Prioritäten
den unterschiedlichen Verbindungen zugewiesen werden; und indem mehrere
Pfade für
herzustellende Verbindungen definiert werden.
-
3 zeigt
einen beispielhaften Stack, der das Verhältnis zwischen dem TCP-Stack
und den PEP-Kernen 280, 282, 284, 286 der
vorliegenden Erfindung darstellt. Der TSK 280 ist hauptsächlich verantwortlich
für die
Funktionen, die das TCP-Spoofing
betreffen. Der TSK 280 umfasst in einer beispielhaften
Ausführungsform
zwei Basiselemente: eine Transportschicht, die einen TCP-Stack 303 und
einen IP-Stack 305 einschließt; und eine TCP-Spoofing-Anwendung 301.
Die Transportschicht ist verantwortlich für die Interaktion mit den TCP-Stacks
(beispielsweise 303) der IP-Hosts 110, die mit
einer lokalen LAN-Schnittstelle 220 eines PEP 210 verbunden
sind.
-
Der
TSK 280 implementiert das TCP-Protokoll, das die geeigneten
TCP-Zustandsmaschinen umfasst und die gespooften TCP-Verbindungen
abschließt.
Die TCP-Spoofing-Anwendung 301 sitzt auf der Transportschicht
und wirkt als die Anwendung, die Daten von den Anwendungen des IP-Hosts 110 empfängt und
Daten zu diesem sendet. Aufgrund der Schichtarchitektur des Protokolls
isoliert die TCP-Spoofing-Anwendung 101 die Details des
TCP-Spoofing gegenüber
der Transportschicht, so dass die Transportschicht in der Standardform
arbeiten kann.
-
Wie
in 3 gezeigt, kann die TCP-Spoofing-Anwendung 301 ebenfalls
mit dem BPK 282 gekoppelt sein, der mit den WAN-Schnittstellen 230 verknüpft ist.
Der BPK 282 führt
eine Backbone-Protokoll-Aufrechterhaltung aus, und implementiert
das Protokoll, mit dem die Netzwerk-Gateways 120, 140 (in 1)
kommunizieren. Der BPK 282 stellt eine zuverlässige Auslieferung
von Daten bereit, verwendet eine relativ kleine Menge an Bestätigungsverkehr
und unterstützt
eine allgemeine Backbone-Verwendung (d.h. die Verwendung, die nicht
spezifisch für
TSK ist); ein solches Beispiel ist das zuverlässige Datenprotokoll bzw. reliable
data protocol (RDP).
-
Der
BPK 282 liegt entsprechend einer beispielhaften Ausführungsform über dem
PK 284 und dem PSK 286. Der PK 284 ist
verantwortlich für
die Festlegung der Priorität
der IP-Pakete und
dann die Belegung der Übertragungsmöglichkeiten
basierend auf der Priorität.
Der PK 284 kann ebenfalls den Zugriff auf den Pufferplatz
steuern, indem die Warteschlangengröße gesteuert wird, die mit
dem Senden und Empfangen von IP-Paketen
verknüpft
ist. Der PSK 286 bestimmt, welchen Pfad ein IP-Paket nehmen
soll, um sein Ziel zu erreichen. Der von dem PSK 286 ausgewählte Pfad
kann bestimmt werden, indem Pfadauswahlregeln angewendet werden.
PSK 286 kann ebenfalls festlegen, welches IP-Paket weitergeleitet
werden soll, indem ein alternativer Pfad verwendet wird, und welche
Pakete fallen gelassen werden sollen, wenn einer oder mehrere Hauptpfade
ausfallen. Es ist anzumerken, dass die zuvor erwähnte Anordnung rein beispielhaft
ist; andere Anordnungen wären
für den
Fachmann ebenfalls erkennbar.
-
4A und 4B zeigen
Flussdiagramme des Aufbaus einer gespooften TCP-Verbindung, indem ein
Drei-Wege-Handshake-Spoofing
verwendet wird, bzw. indem kein Drei-Wege-Handshake-Spoofing verwendet
wird. Der TCP-Spoofing-Kern 280 baut eine gespoofte TCP-Verbindung
auf, wenn ein TCP <SYN>-Segment von dessen
lokalem LAN empfangen wird oder wenn eine Connection Request bzw.
Verbindungsanforderungsnachricht von dessen TSK-Peer bzw. Partner empfangen wird. Es
ist anzumerken, dass das Drei-Wege-Handshake-Spoofing gesperrt werden
kann, um einen End-zu-End-Maximum-Segment-Größen(MSS)-Austausch zu unterstützen, der nachfolgend genauer
beschrieben werden wird. Zum Zwecke der Erläuterung wird der gespoofte
TCP-Verbindungsaufbauprozess mit Bezug auf einen lokalen Host 400,
einen lokalen PEP-Endpunkt 402, einen entfernten PEP-Endpunkt 404 und
einen entfernten Host 406 beschrieben. Wie zuvor ausgeführt, liefert
der TSK 280 innerhalb jedes PEP-Endpunkts 402 und 404 die
Spoofing-Funktionalität.
-
In
Schritt 401 sendet der lokale Host 400 ein TCP-<SYN>-Segment an den lokalen
PEP-Endpunkt 402 an einer lokalen LAN-Schnittstelle 220.
Wenn ein TCP-Segment von der lokalen LAN-Schnittstelle 220 empfangen
wird, bestimmt die Plattformumgebung 402, ob es bereits
einen TCP-Verbindungs-Steuerungsblock (CCB)
gibt, der der TCP-Verbindung zugeordnet ist, die mit dem TCP-Segment
verknüpft
ist. Falls es kein CCB gibt, prüft
die Umgebung 402, ob das TCP-Segment ein <SYN>-Segment ist, das zu einem lokalen Ziel
gesendet werden soll. Falls dies der Fall ist, stellt das <SYN>-Segment einen Versuch
dar, eine neue (nicht lokale) TCP-Verbindung aufzubauen, und die
Umgebung 402 reicht das Segment an den TCP-Spoofing-Kern 280 weiter,
um die Disposition der TCP-Verbindung festzulegen. Wenn ein TCP-<SYN>-Segment von der LAN-Schnittstelle 220 für eine neue
TCP-Verbindung empfangen wird, bestimmt der TCP-Spoofing-Kern 280 zuerst, ob
die Verbindung gespooft werden soll. Falls die Verbindung gespooft
werden soll, verwendet der TSK 280 (in einer beispielhaften
Ausführungsform)
die Priorität,
die in dem ausgewählten
TCP-Spoofing-Parameterprofil angegeben ist und den Partnerindex
(der von der Umgebung 210 mit dem TCP-<SYN>-Segment
bereitgestellt wird), um den Handle der Backbone-Verbindung aufzubauen,
der verwendet werden sollte, um diese gespoofte TCP-Verbindung zu
tragen. In der beispielhaften Ausführungsform wird der Partnerindex
in den höheren
14 Bits des Handles angegeben, und die Priorität wird in den zwei niedrigeren
Bits des Handles angegeben. Der Backbone-Verbindungs-Handle wird dann
eingesetzt (über
die TSK-Steuerungsblock-(CB)-Abbildungstabelle),
um den TCB zu finden, der mit der Backbone-Verbindung verknüpft ist. Der TSK 280 des PEP-Endpunkts 402 überprüft dann,
ob die Backbone-Verbindung steht. Falls die Backbone-Verbindung
steht, bestimmt der TSK 280, ob die Anzahl der gespooften
TCP-Verbindungen, die bereits die ausgewählte Backbone-Verbindung verwenden,
noch immer unter der TCP-Verbindungs-Steuerungsblock-(CCB)-Ressourcengrenze
liegt. Die CCB-Ressourcengrenze ist der kleinere Wert der lokalen
Anzahl der CCBs (der als Parameter von der Plattformumgebung 210 bereitgestellt
wird) und der Partner-Anzahl von CCBs (die in der neuesten TSK-Partnerparameter
(TPP) Nachricht von dem TSK-Partner
empfangen wurde), die für
diese Backbone-Verbindung verfügbar
sind. Falls die Anzahl der Verbindungen noch unter der Grenze liegt,
weist der TSK 280 des PEP-Endpunkts 402 eine eindeutige
TCP-Verbindungs-Identifikation (bspw. ein freier CCB-Abbildungstabelleneintragsindex)
der Verbindung zu und ruft die Umgebung 210 auf, einen
TCP-Verbindungs-Steuerungsblock für die Verbindung zu belegen.
-
Der
TSK 280 des PEP-Endpunkts 402 gibt das TCP-<SYN>-Segment
zurück
an die Umgebung 210, um ungespooft weitergeleitet zu werden,
falls einer der vorgenannten Überprüfungen fehlschlägt. Mit
anderen Worten führen
die folgenden Bedingungen dazu, dass die TCP-Verbindung ungespooft
ist. Erstens, falls die selektiven TCP-Spoofing-Regeln anzeigen,
dass die Verbindung nicht gespooft werden soll. Ebenfalls wenn es
keine Backbone-Verbindung für
die Priorität
gibt, mit der die TCP-Verbindung
gespooft werden soll (angezeigt durch Fehlen eines TCB für die Backbone-Verbindung).
Kein Spoofing wird ausgeführt,
falls die Backbone-Verbindung heruntergefahren ist. Zusätzlich,
falls die Anzahl der gespooften TCP-Verbindungen, die bereits von
der Backbone-Verbindung benutzt werden, einen vorbestimmten Schwellenwert
erreicht oder überschreitet,
wird dann kein Spoofing ausgeführt.
Falls es ferner keinen CCB-Verbindungs-Tabelleneintrag
gibt, der verfügbar
ist, oder es keinen CCB gibt, der von dem CCB-Freipool verfügbar ist,
wird die TCP-Verbindung ungespooft weitergeleitet. Für den Fall,
bei dem es keine Backbone-Verbindung gibt, kann der TSK 280 des PEP-Endpunkts 402 ebenfalls
ein Ereignis absenden, um den Ope rator zu alarmieren, dass es eine
Fehlanpassung zwischen den konfigurierten TCP-Spoofing-Parameterprofilen
und dem konfigurierten Satz von Backbone-Verbindungen gibt.
-
Das
Beispiel sei nun fortgeführt.
Falls alle zuvor genannten Prüfungen
bestanden werden, schreibt der TSK 280 des PEP-Endpunkts 402 den
Backbone-Verbindungs-Handle in den Puffer, der das TCP-<SYN>-Segment hält. Es ist
anzumerken, dass dies nicht getan wird, bis ein CCB von der Plattformumgebung 402 erfolgreich
belegt wird, da die Umgebung den Puffer nicht zählt, solange nicht ein CCB
erfolgreich belegt ist. TSK 280 kopiert dann die Parameter
von dem ausgewählten
TCP-Spoofing-Parameterprofil
in den CCB. Folglich wird relevante Information (bspw. die maximale
Segmentgröße, die
von dem Host angezeigt wird (falls kleiner als der konfigurierte
MSS), die anfängliche
Reihenfolgennummer, etc.) aus dem TCP-<SYN>-Segment
kopiert und in den CCB gespeichert. Es ist zu bemerken, dass die
Quell- und die Ziel-IP-Adresse und die Quell- und die Ziel-TCP-Port-Nummer
bereits in den CCB von der Plattformumgebung 402 abgelegt
wurden, als der CCB belegt wurde; die Umgebung 402 benutzt
diese Information, um CCB-Hash-Funktions-Kollisionen zu verwalten.
-
Nach
dem Belegen und dem Einstellen des CCB baut der TCP-Spoofing-Kern 280 des
PEP-Endpunkts 402 eine Connection-Request-(CR)-Nachricht
per Schritt 403 auf und sendet diese an seinen TSK-Partner,
der mit dem entfernten PEP-Endpunkt 404 verknüpft ist.
Die CR-Nachricht enthält
hauptsächlich all
die Information, die aus dem TCP-Spoofing-Parameterprofil und dem
TCP-<SYN>-Segment extrahiert
wurde, und wird in dem lokalen CCB gespeichert, bspw. die Quell-
und Ziel-IP-Adressen, die Quell- und Ziel-TCP-Port-Nummern,
der MSS-Wert, etc., mit Ausnahme der Felder, die nur lokale Bedeutung
haben, wie bspw. die anfängliche
Reihenfolgennummer. (Die IP-Adressen und die TCP-Port-Nummer werden in
einen TCP-Verbindung-Header gesetzt.) Mit anderen Worten enthält die CR-Nachricht
all die Information, welche der Partner-TSK des PEP-Endpunkts 404 für den Aufbau
seiner eigenen CCB benötigt.
Um den lokalen Verbindungsaufbau zu vervollständigen, sendet der TCP-Spoofing-Kern 280 des
lokalen PEP-Endpunkts 402 ein TCP<SYN,ACK>-Segment an den lokalen Host 400 in
Antwort auf das <SYN>-Segment, das empfangen
wurde in Schritt 405. TSK 280 des PEP-Endpunkts 402 führt Schritt 405 gleichzeitig
mit dem Schritt des Sendens der Connection-Request-Nachricht bzw. der Verbindungs-Anforderungsnachricht
(d.h. Schritt 403) aus, falls ein Drei-Wege-Handshake-Spoofing
freigegeben ist. Andernfalls wartet der TSK 280 von 402 auf
eine Verbindungsaufbau-(CE)-Nachricht bzw. Connection-Established-Nachricht
von seinem TSK-Partner des entfernten PEP-Endpunkts 404,
bevor das <SYN,ACK>-Segment gesendet wird.
Bei einer beispielhaften Ausführungsform
wählt der
TSK 280 des PEP-Endpunkts 402 eine zufällige anfängliche
Reihenfolgennummer aus (wie in IETF (Internet Engineering Task Force)
RFC 793 bereitgestellt, um sie für das Senden von Daten zu verwenden.
-
Falls
ein Drei-Wege-Handshake-Spoofing gesperrt ist, wird der MSS-Wert,
der in dem <SYN,ACK>-Segment gesendet wurde,
auf den MSS-Wert gesetzt, der in der CE-Nachricht empfangen wurde.
Falls das Drei-Wege-Handshake-Spoofing freigegeben ist, wird der
MSS-Wert aus dem TCP-Spoofing-Parameterprofil bestimmt, das für die Verbindung
ausgewählt
wurde (und die konfigurierte Pfad-Maximum-Übertragungseinheit (MTU)).
Für diesen
Fall vergleicht dann der TSK 280 des PEP-Endpunkts 402 den
MSS-Wert, der in der Connection-Established-Nachricht emp fangen
wurde, wenn diese ankommt, mit dem Wert, der zu dem lokalen Host
in dem TCP<SYN,ACK>-Segment gesendet wurde.
Falls der MSS-Wert, der in der CE-Nachricht empfangen wurde, kleiner
als der MSS-wert ist, der von dem lokalen Host gesendet wurde, existiert
eine Fehlanpassung einer maximalen Segmentgröße (falls eine MSS-Fehlanpassung
existiert, muss der TSK die Größe der TCP-Datensegmente
vor deren Senden einstellen). Nach dem Senden des TCP<SYN,ACK>-Segment (Schritt 405)
ist der TSK 280 des lokalen PEP-Endpunkts 402 bereit,
um die Annahme von Daten von dem lokalen Host 400 zu starten.
In Schritt 407 sendet der lokale Host 400 ein <ACK>-Segment an den TSK 280 des
PEP-Endpunkts 402;
danach leitet der lokale Host in Schritt 409 ebenfalls
Daten an den TSK 280 des PEP-Endpunkts 402. Wenn
das Drei-Wege-Handshake-Spoofing verwendet wird, muss der TSK 280 nicht
auf die Connection-Established-Nachricht warten, die von dessen
TSK-Partner ankommt, bevor die Daten angenommen und weitergeleitet
werden. Wie in 4A zu sehen, sendet der TSK 280 des
lokalen PEP-Endpunkts 402 in Schritt 411 ein <ACK>-Segment an den lokalen Host und sendet gleichzeitig
die TCP-Daten (TD)
von dem lokalen Host 400 an den Partner-TSK des PEP-Endpunkts 404 (Schritt 413)
vor dem Empfang einer CE-Nachricht von dem Partner-TSK des PEP-Endpunkts 404.
-
Jedoch
akzeptiert der TSK 280 des PEP-Endpunkts 402 keine
Daten von seinem TSK-Partner des PEP-Endpunkts 404 bis
die CE-Nachricht emfangen wurde. TSK 280 des PEP-Endpunkts 402 leitet
jegliche Daten, die von seinem TSK-Partner des PEP-Endpunkts 404 empfangen
wurden, nicht zu dem lokalen Host 400 weiter, bis er das
TCP<ACK>-Segment empfangen
hat, das anzeigt, dass der lokale Host das <SYN,ACK>-Segment empfangen hat (wie in Schritt 407).
-
Wenn
eine Connection-Request-Nachricht von einem Partner-TSK (Schritt 403)
empfangen wurde, belegt der TCP-Spoofing-Kern 280 ein
CCB für
die Verbindung und speichert dann alle relevanten Informationen
aus der CR-Nachricht in den CCB. TSK 280 des PEP-Endpunkts 404 benutzt
dann diese Information, um ein TCP<SYN>-Segment zu erzeugen,
wie in Schritt 415, um dies zu dem entfernten Host 406 zu
senden. Das MSS in dem <SYN>-Segment wird auf den
Wert gesetzt, der von dem TSK-Partner
des PEP-Endpunkts 404 empfangen wurde. Wenn der entfernte
Host mit einem TCP<SYN,ACK>-Segment antwortet
(Schritt 417), sendet der TSK 280 des PEP-Endpunkts 402 eine
Connection-Established-Nachricht
an seinen TSK-Partner des entfernten PEP-Endpunkts 404 (Schritt 419),
die die CE-Nachricht des MSS enthält, die von dem lokalen Host in
dem <SYN,ACK>-Segment gesendet wurde.
Der TSK 280 des PEP-Endpunkts 402 antwortet ebenfalls,
wie in Schritt 421, mit einem TCP<ACK>-Segment,
um den lokalen Drei-Wege-Handshake zu vervollständigen. Der Partner-TSK des PEP-Endpunkts 404 leitet
dann die Daten, die vom TSK 280 empfangen wurden, an den Host
weiter, in Schritt 423. Gleichzeitig sendet in Schritt 425 der
entfernte Host 406 Daten an den Partner-TSK des PEP-Endpunkts 404,
der den Empfang der Daten bestätigt,
indem ein <ACK>-Segment an den entfernten PEP-Endpunkt 404 abgegeben
wird, in Schritt 427. Gleichzeitig mit dem Acknowledgement
werden die Daten an den TSK 280 des PEP-Endpunkts 402 gesendet (Schritt 429).
-
Zu
diesem Zeitpunkt ist der TSK 280 bereit, Daten aus jeder
Richtung zu empfangen und weiterzuleiten. Der TSK 280 leitet
die Daten, wie in Schritt 431, an den lokalen Host weiter,
der wiederum ein <ACK>-Segment sendet (Schritt 433).
Falls die Daten von seinem TSK-Partner vor einer <SYN,ACK>- Segment Antwort von dem lokalen Host
empfangen werden, werden die Daten in eine Warteschlange gesetzt
und dann gesendet, nachdem das <ACK>-Segment in Antwort
auf das <SYN,ACK>-Segment gesendet wurde
(wenn es ankommt).
-
Es
sei nun auf die 48 Bezug genommen.
Eine gespoofte TCP-Verbindung wird aufgebaut, wobei das Drei-Wege-Handshake-Spoofing
gesperrt bzw. nicht freigegeben ist. Bei diesem Szenario sendet
der lokale Host 400 ein TCP<SYN>-Segment, wie in Schritt 451,
an den TSK 280 innerhalb des lokalen PEP-Endpunkts 402.
Im Gegensatz zu dem TCP-Verbindungsaufbau von 4A antwortet der lokale PEP-Endpunkt 402 nicht
auf ein TCP<SYN>-Segment mit einem <SYN,ACK>-Segment, sondern leitet
lediglich eine CR-Nachricht an den entfernten PEP-Endpunkt 404 weiter
(Schritt 453). Als Nächstes
sendet er, in Schritt 455, ein TCP<SYN>-Segment
an den entfernten Host 406. In Antwort darauf übermittelt
der entfernte Host 406 ein TCP<SYN,ACK>-Segment zurück an den entfernten PEP-Endpunkt 404 (in
Schritt 457). Danach leitet der entfernte PEP-Endpunkt 404 in
Schritt 459 eine CE-Nachricht an den lokalen PEP-Endpunkt 402 weiter,
der darauffolgend ein <SYN,ACK>-Segment an den lokalen
Host 400 in Schritt 461 abgibt. Gleichzeitig mit
Schritt 459 gibt der entfernte PEP-Endpunkt 404 ein <ACK>-Segment an den entfernten Host 406 (Schritt 463)
ab.
-
Beim
Empfang des <ACK>-Segments kann der
entfernte Host 406 mit der Datenübertragung beginnen, in Schritt 465.
Sobald der PEP-Endpunkt 404 die Daten von dem entfernten
Host 404 empfängt, überträgt gleichzeitig
der entfernte PEP-Endpunkt 404 in
Schritt 467 die TD-Nachricht an den lokalen PEP-Endpunkt 402 und
sendet ein <ACK>-Segment an den entfernten
Host 406, um den Empfang der Daten zu bestätigen (Schritt 469).
-
Da
der lokale Host 400 ein <SYN,ACK>-Segment von dem lokalen
PEP-Endpunkt 402 empfangen hat, bestätigt der lokale Host 400 die
Nachricht in Schritt 471. Danach sendet der lokale Host 400 Daten
an den lokalen PEP-Endpunkt 402. Bevor der lokale PEP-Endpunkt 402 in
diesem Beispiel die Daten von dem lokalen Host 400 empfängt, leitet
der lokale PEP-Endpunkt 402 die Daten weiter, die von dem
entfernten Host 406 stammen, über die TD-Nachricht (Schritt 467)
an den lokalen Host 400 (in Schritt 475).
-
In
Antwort auf die empfangenen Daten (in Schritt 473) gibt
der lokale PEP-Endpunkt 402 ein <ACK>-Segment
in Schritt 477 ab und leitet die Daten in einer TD-Nachricht
an den entfernten PEP-Endpunkt 404 in Schritt 479 weiter.
Der lokale Host 400 antwortet auf die empfangenen Daten
von Schritt 475 mit einem <ACK>-Segment
zu dem lokalen PEP-Endpunkt 402 (Schritt 481).
Der entfernte PEP-Endpunkt 404 sendet die Daten von dem
lokalen Host 400 als Schritt 483 beim Empfang
der TD-Nachricht.
Nach Empfang der Daten bestätigt
der entfernte Host 406 den Empfang durch Senden eines <ACK>-Segments zurück an den
entfernten PEP-Endpunkt 404, in Schritt 485.
-
5 zeigt
den Strom der Pakete mit der PEP-Architektur
entsprechend einer Ausführungsform
der vorliegenden Erfindung. Wie gezeigt, umfasst ein Kommunikationssystem 500 einen
PEP-Endpunkt 501 auf einer Hub-Seite (oder lokal), der
mit einem PEP-Endpunkt 503 an einem entfernten Ort über eine
Backbone-Verbindung verbunden ist. Auf der Hub-Seite bzw. dem Hub-Ort
(oder dem lokalen Ort) und an jedem entfernten Ort handhaben die
PEP-Endpunkte 501 und 503 IP-Pakete, als Beispiel.
PEP-Endpunkt 501 umfasst ein internes IP-Paket-Routingmodul 501a,
das lokale IP-Pakete empfängt
und diese Pakete mit einem TSK 501b und einem BPK 501c austauscht.
In gleicher Weise umfasst der entfernte PEP-Endpunkt 503 ein internes
IP-Paket-Routingmodul 503a, das in Kommunikation mit einem
TSK 503b und einem BPK 503c steht. Mit Ausnahme
der Tatsache, dass der PEP-Endpunkt 501 auf der Hub-Seite
sehr viel mehr Backbone-Protokollverbindungen unterstützen kann
als ein PEP-Endpunkt 503 auf der entfernten Seite, sind
die PEP-Verarbeitungen
auf der Hub- und der entfernten Seite symmetrisch.
-
Für einen
Verkehr von lokal-zu-WAN (d.h. Upstream-Richtung) empfängt der
PEP-Endpunkt 501 IP-Pakete von seiner lokalen Schnittstelle 220 (2).
Nicht-TCP-IP-Pakete werden zu der WAN-Schnittstelle 230 (2)
weitergeleitet (wenn geeignet). TCP-IP-Pakete werden intern zur
TSK 501b weitergeleitet. TCP-Segmente, die zu Verbindungen
gehören,
die nicht gespooft werden, werden von dem Spoofing-Kern 501b zu
dem Routingmodul 501a gereicht, um unverändert zu
der WAN-Schnittstelle 230 geleitet
zu werden. Für
gespoofte TCP-Verbindungen
schließt
der TCP-Spoofing-Kern 501a lokal die TCP-Verbindung ab. TCP-Daten,
die von einer gespooften Verbindung empfangen werden, werden von
dem Spoofing-Kern 501a zu dem Backbone-Protokollkern 501c gereicht
und dann auf die geeignete Backbone-Protokollverbindung gemultiplext.
Der Backbone-Protokollkern 501c gewährleistet,
dass die Daten über
das WAN ausgeliefert werden.
-
Für Verkehr
von WAN-zu-lokal (d.h. Downstream-Richtung) empfängt der entfernte PEP-Endpunkt 503 IP-Pakete
von seiner WAN-Schnittstelle 230 (2). IP-Pakete,
die nicht an den Endpunkt 503 adressiert sind, werden einfach
an die lokale Schnittstelle 220 (2) (wenn
geeignet) weitergeleitet. IP-Pakete,
die für den
Endpunkt 503 adressiert sind, die einen Next-Protocol-Header-Typ „PBP" haben, werden zu
dem Backbone-Protokollkern 503c geleitet.
Der Backbone-Protokollkern 503c extrahiert die TCP-Daten
und leitet sie an den Spoofing-Kern 503b zur Übertragung
auf die geeignete gespoofte TCP-Verbindung weiter. Zusätzlich zum Übertragen
der TCP-Daten wird die Backbone-Protokollverbindung von dem TCP-Spoofing-Kern 501b benutzt,
um Kontrollinformation zu seinem Partner TCP-Spoofing-Kern 503b in
dem entfernten PEP-Endpunkt 503 zu senden, um den Verbindungsaufbau
und dem Verbindungsabbruch zu koordinieren.
-
Eine
Priorisierung kann an vier Punkten an dem System 500 angewendet
werden, nämlich
innerhalb des Routingmoduls 501a und dem TSK 501b des
PEP-Endpunkts 501 und innerhalb des Routingmoduls 503a und
dem TSK 503b des PEP-Endpunkts 503. In Upstream-Richtung
werden Prioritätsregeln
auf die Pakete der einzelnen TCP-Verbindungen am Eintrittspunkt
zu dem TCP-Spoofing-Kern 501 angewendet.
Diese Regeln ermöglichen
es einem Kunden, zu steuern, welche gespooften Anwendungen höhere und
niedere Prioritätszugriffe
auf die Spoofing-Ressourcen haben. Eine Upstream-Priorisierung wird
ebenfalls vor dem Weiterleiten der Pakete zu dem WAN angewendet.
Dies ermöglicht
es einem Kunden, die relative Priorität der gespooften TCP-Verbindungen
mit Bezug auf die ungespooften TCP-Verbindungen und Nicht-TCP-Verkehr zu steuern
(sowie die relative Priorität
dieser anderen Typen von Verkehr mit Bezug zueinander zu steuern).
Auf der Downstream-Seite wird die Priorisierung verwendet, um den
Zugriff auf den Pufferplatz zu steuern und auf andere Ressourcen
in dem PEP-Endpunkt allgemein und mit Bezug auf das TCP-Spoofing.
-
Auf
der Hub (oder lokalen) Seite kann der PEP-Endpunkt 501 in einem Netzwerk-Gateway
(bspw. ein IP-Gateway) implementiert sein entsprechend einer Ausführungsform
der vorliegenden Erfindung. Auf der entfernten Seite kann der PEP-Endpunkt 503 in
der Komponente der entfernten Seite implementiert sein, bspw. einem
Satellitenterminal, wie bspw. ein Multimedia-Relay, Multimedia-VSAT
oder einer Personal Earth Station (PES) Remote.
-
Die
Architektur des Systems 400 stellt eine Anzahl von Vorteilen
bereit. Zunächst
kann ein TCP-Spoofing sowohl in Upstream- als auch in Downstream-Richtung
erreicht werden. Zusätzlich
unterstützt
das System ein Spoofing des TCP-Verbindungsstarts,
und ein selektives TCP-Spoofing nur mit aktuell gespooften Verbindungen,
die vom Spoofing profitieren können.
Ferner ermöglicht
das System 500 eine Priorisierung unter den gespooften
TCP-Verbindungen für
einen Zugriff auf die TCP-Spoofing-Ressourcen (bspw. verfügbare Bandbreite
und Pufferplatz). Diese Priorisierung wird für alle Typen von Verkehr verwendet,
die nach Systemressourcen ringen.
-
Mit
Bezug auf die Backbone-Verbindung ist das System 500 zur
Anwendung in einem Satellitennetzwerk als WAN geeignet. Das heißt, dass
das Backbone-Protokoll für
Satellitenverwendung optimiert ist, in dem Kontrollblock-Ressourcenanforderungen
minimiert werden und eine effiziente Fehlerentdeckung für verloren gegangene
Pakete bereitgestellt wird. Das System 500 liefert ebenfalls
einen Feedback-Mechanismus,
um maximale Pufferplatzressourceneffizienz zu unterstützen. Ferner
stellt das System 500 einen reduzierten Acknowledgment-Verkehr
bereit, in dem ein einzelnes Backbone-Protokoll-ACK verwendet wird, um die
Daten mehrerer TCP-Verbindungen
zu bestätigen.
-
6 zeigt
den Fluss der IP-Pakete durch einen PEP-Endpunkt entsprechend einer
Ausführungsform der
vorliegenden Erfindung. Wenn IP-Pakete in der lokalen LAN-Schnittstelle 220 empfangen
werden, bestimmt der PEP-Endpunkt 210 (wie durch den Entscheidungspunkt
A gezeigt), ob die Pakete für
einen Host bestimmt sind, der lokal liegt; falls dies der Fall ist,
werden die IP-Pakete zu der passenden lokalen LAN-Schnittstelle 220 geleitet.
Falls die IP-Pakete für
einen entfernten Host bestimmt sind, entscheidet dann der PEP-Endpunkt 210 am
Entscheidungspunkt B, ob der Verkehr ein TCP-Segment ist. Falls
der PEP-Endpunkt 210 feststellt, dass die Pakete tatsächlich TCP-Segmente sind, bestimmt
dann der TSK 280, ob die TCP-Verbindung gespooft werden
soll. Falls jedoch der PEP-Endpunkt 210 feststellt, dass
die Pakete keine TCP-Segmente sind, bearbeitet dann der BPK 282 den
Verkehr zusammen mit dem PK 284 und dem PSK 286 für eine mögliche Übertragung
in das WAN. Es ist anzumerken, dass der BPK 282 keine ungespooften
IP-Pakete verarbeitet; das heißt,
dass die Pakete direkt zum PK 284 fließen. Wie in 6 zu
sehen, wird der Verkehr, der von der WAN-Schnittstelle 230 empfangen
wird, geprüft,
um zu erkennen, ob der Verkehr ein richtiges PBP-Segment (Entscheidungspunkt
D) für
den bestimmten PEP-Endpunkt 210 ist; falls dies bestätigt wird, werden
dann die Pakete zu dem BPK 282 und dann dem TSK 280 gesendet.
-
Eine
Routing-Unterstützung
umfasst das Routen zwischen den Ports des PEP-Endpunkts 210 (2),
beispielsweise von einem Multimedia-VSAT-LAN-Port zu einem anderen.
Hinsichtlich der Architektur passen die Funktionalitäten des
TCP-Spoofings der Priorisierung und der Pfadauswahl zwischen die
IP-Routing-Funktionalität
und das WAN. Die PEP-Funktionalität muss nicht
auf IP-Pakete angewendet werden, die von einem lokalen Port zu einem
lokalen Port innerhalb des gleichen PEP-Endpunkts 210 geroutet
werden. TCP-Spoofing, Priorisierung und Pfadauswahl werden auf IP-Pakete
angewendet, die von einer lokalen PEP-Endpunkt-Schnittstelle empfangen
werden, die dazu bestimmt wurden, für eine andere Seite bzw. einen anderen
Ort als Ziel zu dienen, durch die Routing-Funktion.
-
7 zeigt
das Verhältnis
zwischen den PEP-Endpunkten
und den PEP-Endpunktprofilen entsprechend einer Ausführungsform
der vorliegenden Erfindung. PEP-Parameter sind hauptsächlich konfiguriert über einen
Satz von Profilen 701 und 703, die mit einem oder
mehreren PEP-Endpunkten 705 verknüpft sind. Bei einer beispielhaften
Ausführungsform
sind die PEP-Parameter
konfiguriert auf einer PEP-Endpunkt-Basis, als ob TCP-Spoofing global
freigegeben ist. Diese Parameter werden in den PEP-Endpunkt-Profilen 701 und 703 konfiguriert.
Es ist anzumerken, dass Parameter, die auf spezifische PEP-Kerne
angewendet werden, konfiguriert werden können über andere Typen von Profilen.
Profile 701 und 703 sind ein Netzwerkmanagementkonstrukt;
intern verarbeitet ein PEP-Endpunkt 705 einen Satz von Parametern,
die über
ein oder mehrere Files bzw. Dateien empfangen werden.
-
Wann
immer der PEP-Endpunkt 705 neue Parameter empfängt, vergleicht
die Plattformumgebung die neuen Parameter mit den vorhandenen Parametern,
findet heraus, ab die PEP-Kerne durch die Parameteränderungen
betroffen sind und reicht dann die neuen Parameter an die betroffenen
Kerne. Bei einer beispielhaften Ausführungsform sind alle Parameter
dynamisch installiert. Mit Ausnahme der Parameter, die komponentenspezifisch
sind (wie beispielsweise die IP-Adressen einer Komponente), können alle
Parameter mit Default-Werten definiert werden.
-
Wie
zuvor erwähnt,
kann der PEP-Endpunkt 210 in einer Vielzahl von unterschiedlichen
Plattformen implementiert sein, entsprechend den verschiedenen Ausführungsformen
der vorliegenden Erfindung. Diese Plattformen können ein IP-Gateway, ein Multimedia-Relay, ein Multimedia-VSAT
(Very Small Aperture Terminal) (Terminal mit sehr kleiner Antennenapertur)
und ein Personal Earth Station (PES) Remote umfassen, wie in 8–11 gezeigt.
Allgemein und wie in 2 diskutiert, definiert der
PEP-Endpunkt 210 eine lokale LAN-Schnittstelle 220,
eine Schnittstelle, durch die der PEP-Endpunkt 210 mit
IP-Hosts verbunden
ist, die an dem Ort platziert sind. Eine WAN-Schnittstelle 230 ist eine
Schnittstelle, über
die der PEP-Endpunkt 210 mit anderen
Orten verbunden ist. Es ist anzumerken, dass eine WAN-Schnittstelle 230 physisch
ein LAN-Port sein kann. 8–11 beschreiben
nachfolgend die spezifischen LAN- und
WAN-Schnittstellen der verschiedenen spezifischen PEP-Endpunkt-Plattformen.
Die bestimmten LAN- und WAN-Schnittstellen,
die verwendet werden, hängen
ab von den verwen deten PEP-Endpunkten am entfernten Ort, von der
Konfiguration des Hubs und der PEP-Endpunkte am entfernten Ort und
von den Pfadauswahlregeln, die konfiguriert sein können.
-
8 zeigt
die Schnittstellen des PEP-Endpunkts,
der als ein IP-Gateway implementiert ist, entsprechend einer Ausführungsform
der vorliegenden Erfindung. Beispielhaft hat ein IP-Gateway 801 eine
einzelne lokale LAN-Schnittstelle,
die eine Unternehmensschnittstelle 803 ist. Das IP-Gateway 803 verwendet
zwei WAN-Schnittstellen 805 zum Senden und zum Empfangen
von IP-Paketen zu und von den PEP-Endpunkten am entfernten Ort:
Eine Backbone-LAN-Schnittstelle und eine wide area access (WAA)
LAN-Schnittstelle.
-
Die
Backbone-LAN-Schnittstelle 805 wird verwendet, um IP-Pakete
zu PEP-Endpunkten am entfernten Ort zu senden, beispielsweise über ein
Satelliten-Gateway (SGW) und eine VSAT-Outroute. Eine VSAT-Outroute
kann direkt von Multimedia-Relays
(9) und Multimedia VSATs (10)
empfangen werden (und ist der Hauptpfad, der mit diesen Endpunkten
verwendet wird); IP-Pakete können
jedoch zu einem PES-Remote (11) über eine
VSAT-Outroute gesendet werden.
-
9 zeigt
eine Multimedia-Relay-Implementierung
eines PEP-Endpunkts entsprechend einer Ausführungsform der vorliegenden
Erfindung. Ein Multimedia-Relay besitzt zwei oder drei lokale LAN-Schnittstellen 903.
Ein Multimedia-Relay 901 hat bis zu zwei WAN-Schnittstellen 905 zum
Senden von IP-Paketen zu den PEP-Endpunkten auf der Hubseite: eine
seiner LAN-Schnittstellen und eine serielle PPP-Schnittstelle, und vier oder fünf Schnittstellen
zum Empfang von IP-Paketen von den PEP-Endpunkten auf der Hubseite,
einer VSAT-Outroute, alle LAN-Schnittstellen und eine serielle PPP-Schnittstelle. Es
ist anzumerken, dass eine serielle PPP(Punkt-zu-Punkt-Protokoll)-Schnittstelle und
eine LAN-Schnittstelle allgemein nicht gleichzeitig benutzt werden
sollen.
-
Ein
Multimedia-Relay 901 unterstützt die Verwendung aller LAN-Schnittstellen 903 gleichzeitig,
um IP-Pakete zu und von den PEP-Endpunkten auf der Hubseite zu senden
und zu empfangen. Ferner unterstützt ein
Multimedia-Relay 905 die Verwendung einer VADB (VPN Automatic
Dial Backup) seriellen Schnittstelle zum Senden und Empfangen von
IP-Paketen zu und von den PEP-Endpunkten auf der Hubseite.
-
10 zeigt eine Multimedia-VSAT-Implementierung des PEP-Endpunkts entsprechend
einer Ausführungsform
der vorliegenden Erfindung. Ein Multimedia-VSAT 1001 in
einer beispielhaften Ausführungsform besitzt
zwei lokale LAN-Schnittstellen 1003. Die Unterstützung für ein oder
mehrere lokale serielle PPP-Schnittstellen kann verwendet werden.
Der Multimedia-VSAT 1001 besitzt zwei WAN-Schnittstellen 1005, um
IP-Pakete zu den PPP-Endpunkten auf der Hubseite zu senden: Eine
VSAT-Inroute und eine der LAN-Schnittstellen. Die Multimedia-VSAT 1001 hat
damit drei Schnittstellen zum Empfang von IP-Paketen von den PEP-Endpunkten auf der
Hubseite, der VSAT-Outroute
und beiden LAN-Schnittstellen 1003. Eine Multimedia-VSAT 1003 kann
die Verwendung von beiden LAN-Schnittstellen 1003 zur gleichen
Zeit unterstützen, um
IP-Pakete zu und von den PEP-Endpunkten auf der Hubseite zu senden
und zu empfangen. Der Multimedia-VSAT 1003 unterstützt ferner
die Verwendung einer VADB-seriellen Schnittstelle zum Senden und
Empfangen von IP-Paketen zu und von den PEP-Endpunkten auf der Hubseite.
-
11 zeigt eine PES-Remote-Implementierung eines
PEP-Endpunkts entsprechend einer Ausführungsform der vorliegenden
Erfindung. Ein PES-Remote 1101 kann eine lokale LAN-Schnittstelle
und/oder mehrere lokale IP (beispielsweise PPP, SLIP, etc.) serielle
Schnittstellen aufweisen, die gemeinsam als LAN-Schnittstellen 1103 bezeichnet
werden. Die einzelnen LAN-Schnittstellen 1103 hängen von
der spezifischen PES-Remote-Plattform
ab. PES-Remote 1101 besitzt in einer beispielhaften Ausführungsform
bis zu fünf
WAN-Schnittstellen 1105, um IP-Pakete zu den PEP-Endpunkten
auf der Hubseite zu senden, eine ISDN-Inroute, eine LAN-Schnittstelle,
eine serielle VADB-Schnittstelle,
eine Frame-Relay serielle Schnittstelle und eine IP serielle Schnittstelle,
und bis zu fünf
vorhandene Schnittstellen zum Empfangen von IP-Paketen von den PEP-Endpunkten
auf der Hubseite: eine ISBN-Outroute, eine LAN-Schnittstelle, eine
VADB serielle Schnittstelle, eine Frame-Relay serielle Schnittstelle
und eine IP serielle Schnittstelle. Die physische serielle Frame-Relay-Schnittstelle
kann mehrere Permanent Virtual Circuits (PVCs) unterstützen; einige
davon sind äquivalent
zu lokalen Schnittstellen 1103 und einige davon sind WAN-Schnittstellen 1105.
-
Der
TSK 280 ist verantwortlich für alle Funktionen, die das
TCP-Spoofing betreffen. Der TSK 280 umfasst zumindest zwei
Basisteile, einen TCP-Stack 303 und eine TCP-Spoofing-Anwendung 301,
die in 3 dargestellt ist. Der TCP-Stack 303 kann
dafür verantwortlich
sein, mit den TCP-Stacks der IP-Hosts zu interagieren, die mit den
LAN-Schnittstellen 803, 903, 1003, 1103 der
PEP-Endpunkte verbunden sind. Der TCP-Stack 303 kann auch das TCP-Protokoll
implementieren, das die passenden TCP-Zustandsmaschinen aufweist,
und die gespooften TCP-Verbindungen abschließen. Die TCP-Spoofing-Anwendung 301 kann
auf dem TCP-Stack 303 sitzen und als Anwendung agieren,
die Daten von den IP-Host-Anwendungen empfängt und zu diesen sendet. Die
TCP-Spoofing-Anwendung 301 kann die Details des TCP-Spoofings
gegenüber dem
TCP-Stack 303 so weit wie möglich verstecken, was ermöglicht,
dass der TCP-Stack 303 so weit wie möglich wie ein Standard-TCP-Stack
funktioniert. Die TCP-Spoofing-Anwendung 301 kann
ebenfalls für
die Kopplung mit dem BPK 282 verantwortlich sein.
-
Die
TSK 280 Parameter können über Profile
konfiguriert sein. Die Backbone-Verbindungs-Parameter können konfiguriert
sein, indem die Verbindungsprofile verwendet werden. Die TCP-Spoofing-Auswahlparameter
und die Spoofing-Parameter können
in den TCP-Spoofing-Auswahl- bzw. TCP-Spoofing-Parameter-Profilen definiert sein. Die
TCP-Spoofing-Auswahl-Profile
können
definieren, welche TCP-Spoofing-Parameter-Profile verwendet werden sollen. Die
anderen TSK 280 Parameter und welche TCP-Spoofing-Auswahl-Profil
verwendet werden soll, kann in den PEP-Endpunkt-Profilen 701, 703 definiert
sein. Welches PEP-Endpunkt-Profil 701, 703 von
einem PEP-Endpunkt 705 verwendet werden soll, kann als
Teil einer individuellen spezifischen Konfiguration eines PEP-Endpunkts
konfiguriert sein.
-
Profile
können
ein Netzwerkmanagementkonstrukt sein. Der TSK 280 kann
seine Parameter empfangen mit Ausnahme der Parameter, die die Backbone-Verbindungen
betreffen, als eine Datenstruktur, die zu dem TSK 280 durch
die Plattformumge bung 210 geführt wird. Die Backbone-Verbindungsparameter
können zu
dem TSK 280 über
die Plattformumgebung 210 auf einer Backbone-Verbindungsbasis
geleitet werden. Die Plattformumgebung 210 wiederum kann die Parameter über Dateien
bzw. Files empfangen, die von einem Netzwerkmanager gesendet werden.
-
Der
TSK 280 kann Parameter von der Plattformumgebung 210 beim
Start empfangen und wann immer die Plattformumgebung 210 neue
Parameter empfängt,
die die Änderungen
der TSK 280 bezogenen Parameter enthalten. Wenn der TSK 280 neue
Parameter empfängt,
kann er die neuen Parameter mit den existierenden Parametern vergleichen
und dann eine Aktion starten, um die neuen Parameter basierend darauf,
welche Parameter verändert
wurden, zu installieren. Alle Parameter können dynamisch installiert
werden. In einigen Fällen
werden die Änderungen
nur die neuen TCP-Verbindungen und nicht die TCP-Verbindungen beeinflussen,
die ja bereits gespooft werden. Andererseits könnten einige Parameteränderungen,
wie beispielsweise das Löschen
einer Backbone-Verbindung, erfordern, dass die existierenden gespooften
TCP-Verbindungen beendet werden. Falls das TCP-Spoofing gesperrt wird, können die
TCP-Verbindungen, die bereits gespooft werden, beendet werden, da
alle Backbone-Verbindungen
geschlossen werden, wenn die Plattformumgebung 210 die
Prozedur zum Herunterfahren des TSK 280 veranlasst.
-
Die
TSK-Partner können
Nachrichten tauschen, um ihre Spoofing-Funktionen zu koordinieren. 12 zeigt ein beispielhaftes Format einer TSK-Nachricht 1200.
Die Tabellen A und B beschreiben beispielhafte Nachrichtenfelder
in 12. Andere Nachrichtenformate können verwendet
werden, falls von einer bestimmten Anwendung gefordert. Falls beispielsweise
ein Partner in einer Umgebung verwendet wird, wo mehr Backbone-Verbindungen existieren
können
als von einer 16-Bit-Verbindungsidentifikation
unterstützt
werden, kann eine 32-Bit-Verbindungsidentifikation
statt dessen implementiert werden. Die Tabelle C listet beispielhaft Grundcodes
auf, die mit verschiedenen Nachrichtentypen verknüpft sind.
Grundcodes können über alle
Nachrichtentypen eindeutig sein, um eine Problembehebung zu erleichtern.
-
Tabelle
A – Beispielhafte
TSK-Nachrichten-Feld-Beschreibungen
-
-
Tabelle
B – Beispielhafte
TCP-verbindungsbezogene TSK
-
-
-
Tabelle
C – Beispielhafte
Beendigungs-Grundcodes
-
13 zeigt ein beispielhaftes Format eines TCP-Verbindungs-Headers 1201.
Die Tabelle D beschreibt beispielhafte Felder des TCP-Verbindungs-Headers 1201.
Ein TCP-Verbindungs-Header 1201 kann die
IP-Adressen 1302, 1304 und die TCP-Port-Nummern 1306, 1308 enthalten,
die eindeutig eine TCP-Verbindung
identifizieren. Die TCP-Verbindungs-Header 1201 können in
einer TSK-Nachricht enthalten sein, wenn die TCP- Verbindungs-Identifikation, die als
das Zielverbindungs-Identifikationsfeld
in der TSK-Nachricht verwendet wird, gleich 0 × FFFF gesetzt ist. Ein TCP-Verbindungs-Header 1201 muss
nicht in einer Daten- oder Urgent-Datennachricht verwendet werden,
solange nicht die Datensegmentgröße zumindest
12 Bytes (die Größe eines
beispielhaften Headers) kleiner ist als die ausgewählte maximale
Segmentgröße, die
für die TCP-Verbindung
benutzt wird. Dies kann gewährleisten,
dass der TSK 280 nicht versehentlich eine TSK-Nachricht
erzeugt, die größer ist
als sie durch den Pfad gehandhabt werden kann, der von der Backbone-Verbindung
zu dem TSK-Partner verwendet wird. Die TCP-Verbindungs-Header 1201 können ebenfalls
in TSK-Steuerungsnachrichten
enthalten sein, um dabei zu helfen, zu gewährleisten, dass eine Steuerungsnachricht
auf die richtige TCP-Verbindung abgebildet wird. Dies kann für einige
Typen von TSK-Steuerungsnachrichten nicht erforderlich sein, aber
das Enthalten des Headers kann die Steuerungsnachrichtverarbeitung
vereinfachen und kann auch dabei helfen, Probleme zu suchen.
-
Es
gibt zumindest zwei Typen von Verbindungsidentifikationen, die von
dem TSK 280 verwendet werden. Eine TSK-Partner-Verbindungsidentifikation
(TID) kann jeder TSK-Backbone-Verbindung
zugeordnet werden. Eine TCP-Verbindungs-Identifikation (CID) kann jeder gespooften
TCP-Verbindung zugeordnet werden. Beispielhafte TIDs und CIDs sind
nachfolgend beschrieben.
-
Tabelle
D – Beispielhafte
TCP-Verbindungs-Header-Feldbeschreibungen
-
14 zeigt das Lernen der TSK-Backbone-Verbindungs-Identifikationen
durch einen TSK-Partner, wie nachfolgend beschrieben.
-
Ein
TSK 280, der nicht mehr als einen konfigurierten TSK-Partner
hat, kann eine eindeutige lokale TSK-Partner-Verbindungs-Identifikation (TID)
ungleich Null verwenden für
jeden seiner TSK-Partner. Die TID kann durch die Plattformumgebung 210 zugeordnet
werden, um zu ermöglichen,
dass sie der Identifikation der Umgebung für den Partner entspricht. Der
zugeordnete Wert kann als ein Index in eine Tabelle von TSK- Partner-Steuerungsblockzeigern
verwendet werden. Die lokale TID 1402, 1404 kann
von dem TSK 280 verwendet werden als Quellverbindungs-ID-Wert
in Nachrichten, die nicht mit einem engeren TCP-Verbindung verknüpft sind.
-
Da
es eine 1:1-Abbildung zwischen den TIDs und den Backbone-Verbindungen
(durch Definition) geben kann, kann der Handle einer Backbone-Verbindung,
die von der Plattformumgebung 210 zugeordnet ist, einfach
als TID der Backbone-Verbindung
benutzt werden. Die TID kann als Index in eine Tabelle der TSK-Backbone-Verbindungs-Steuerungsblock
(TCB)-Zeiger verwendet werden, die TCB-Abbildungstabelle 1406.
Die lokale ID 1402, 1404 wird von dem TSK als
Quellverbindungs-ID-Wert in den Nachrichten verwendet, die nicht
mit einer bestimmten TCP-Verbindung
verknüpft
sind, bspw. TSK-Partner-Parameter (TPP)-Nachrichten. Der TSK 280 lernt
die TID, die für
die Backbone-Verbindung
von seinem TSK-Partner verwendet wird, wenn er eine TPP-Nachricht
von seinem Partner empfängt,
und benutzt diesen Wert als Zielverbindungs-ID-Wert in Nachrichten,
die über
die Backbone-Verbindung gesendet werden, die nicht irgendeiner bestimmten
TCP-Verbindung zugeordnet sind. (Das Lernen der TID, die von einem
TSK-Partner verwendet wird, ist kein kritisches Erfordernis für die Kommunikation.
Das Lernen der Partner-TID wird nur als Leistungsoptimierung gemacht,
um ein einfaches Abbilden von Nachrichten TCBs zu ermöglichen
und für
eine leichtere Problemsuche. Es sei angemerkt, dass 0 × FFFF nicht
als ein TID benutzt werden sollte, da 0 × FFFF als Zielverbindungs-ID
gesendet wird, wenn der TSK 280 noch nicht die lokale TID
seines TSK-Partners gelernt hat.
-
Wenn
ein TSK 280 eine Nachricht für eine TCP-Verbindung vor dem Erlernen der TCP
CID weiterleiten muss, die von seinem TSK-Partner der Verbindung
zugeordnet ist, kann der TSK 280 das Zielverbindungs-ID-Feld
in der TSK-Nachricht auf 0 × FFFF
(beispielhaft) setzen. (Damit ist 0 × FFFF keine gültige TCP CID.)
Und falls dies so getan wird, wird die Größe der Nachricht nicht die
ausgewählte
maximale Segmentgröße der TCP-Verbindung übersteigen,
und kann der TSK 280 ebenfalls einen TCP-Verbindungs-Header 1201 enthalten.
Es sei angemerkt, dass dies nicht notwendigerweise nur auf die Connection-Request-Nachrichten anwendbar
ist. Wenn der Drei-Wege-Handshake gespooft wird, kann der TSK 280 die
Datennachrichten an seinen TSK-Partner vor dem Empfangen der Connection-Established-Nachricht weiterleiten
müssen.
Falls ein Fehler auftritt, muss der TSK 280 eine Connection-Terminated-(CT)-Nachricht
an seinen TSK-Partner vor dem Abbruch einer Verbindung senden.
-
Wenn
der TSK 280 eine TSK-TCP-Verbindungsbezogene Nachricht
mit einer Zielverbindungs-ID von 0 × FFFF empfängt, kann der TSK 280 den
TCP-Verbindungs-Header 1201 verwenden, falls vorhanden,
und die Quellverbindungs-ID 1212 in der Nachricht, kombiniert
mit der Information, die angibt, von welcher Backbone-Verbindung
die TSK-Nachricht empfangen wurde (d.h. der Handle, der dem TSK 280 von
der BPK 282 mit der Nachricht übergeben wurde), um die geeignete
CCB für
die Verbindung zu finden. Die Information in dem TCP-Verbindungs-Header 1201 kann
verwendet werden, um die CCB zu finden, indem eine Hash-Funktion benutzt
wird. Wenn es keinen TCP-Verbindungs-Header 1201 gibt,
kann die Quellverbindungs-ID 1212 zusammen mit der aktiven
Hash-Liste des TSKs für
die Backbone-Verbindung benutzt werden, um den CCB zu finden. Falls
es keinen CCB gibt und die TSK-Nachricht eine CR-Nachricht ist,
kann ein CCB belegt werden. Falls die Nachricht keine CR-Nachricht
ist und es keinen CCB gibt, kann die Nachricht verworfen werden.
Diese Verfahren zum Suchen des CCBs einer Nachricht kann weniger
effizient sein als das Benutzen der lokalen TCP CID. Aber diese
Verfahren können
nur für
ein paar Nachrichten beim Start einer Verbindung benutzt werden. 15 zeigt die Zuordnung der TCP-Verbindungs-Identifikationen.
-
Beim
Start ruft die Plattformumgebung 210 den TSK 280 auf,
um jede Backbone-Verbindung zu öffnen,
die jeder TSK-Partner benötigt.
Ein separater Aufruf kann für
jede Backbone-Verbindung durchgeführt werden. Die Plattformumgebung 210 informiert
den TCP-Spoofing-Kern 280, wenn die Backbone-Verbindung aktiv
wird. Der TSK 280 sollte niemals eine Backbone-Verbindung
schließen,
solange dies nicht explizit von der Plattformumgebung 210 angefordert
wird.
-
Jedes
Mal, wenn der TSK 280 informiert wird, dass eine Backbone-Verbindung
von geschlossen nach offen geht, sendet der TSK 280 eine
TSK-Partner-Parameternachricht an seinen TSK-Partner. Eine TPP-Nachricht
wird verwendet, um eine Ressourcenverfügbarkeitsinformation an den
PEP-Endpunkt-Partner zu senden. Die nachfolgende Information kann
in einer TPP-Nachricht
gesendet werden:
- • Die Größe des Pufferplatzes, der zum
Spoofen in WAN-zu-LAN-Richtung
für die
Backbone-Verbindung verfügbar
ist;
- • Die
lokale Anzahl der TCP-Verbindungs-Steuerungsblöcke, die zum Spoofen für diese
Backbone-Verbindung verfügbar
sind.
-
Diese
Werte werden von der Plattformumgebung 210 bereitgestellt,
wenn die Backbone-Verbindung geöffnet
wird (und in dem TCB der Backbone-Verbindung gespeichert). Bis ein
PEP-Endpunkt 705 zumindest eine
TCP-Nachricht von seinem Partner für eine vorgegebene Backbone-Verbindung
empfangen hat, werden keine gespooften TCP-Verbindungen in der Lage
sein, die Verbindung zu benutzen.
-
Falls
die Menge des WAN-zu-LAN-Pufferplatzes oder die Anzahl der CCBs,
die zum Spoofen auf einer Backbone-Verbindung verfügbar sind, sich ändert, wird
die Plattformumgebung 210 den TSK 280 von den Änderungen
informieren. Wann immer der TSK 280 eine Anzeige empfängt, dass
einer oder beide dieser Parameter sich geändert hat, werden die neuen
Werte für
die Parameter in dem TCB der Backbone-Verbindung gespeichert und
eine TPP-Nachricht wird an den TSK-Partner gesendet.
-
Der
TSK 280 benutzt zumindest zwei Typen von Steuerungsblöcken. Die
TSK-Backbone-Verbindungs-Steuerungsblöcke werden verwendet, um Information
betreffend die Backbone-Verbindungen zu speichern, die zu den TSK-Partnern
aufgebaut sind. TCP-Verbindungs-Steuerungsblöcke werden verwendet, um Information
bezüglich
der TCP-Verbindungen zu speichern, die von dem TSK 280 gespooft
werden.
-
Der
TSK 280 kann eine Anzahl von Backbone-Verbindungen zu TSK-Partnern unterstützen, bestimmt durch
die jeweilige PEP-Endpunktplattform-Software. Allgemein ist die
Anzahl gleich der Anzahl der Backbone-Verbindungen, die die PEP-Endpunktplattform
als Ganzes unterstützt.
Backbone-Verbindungen
können für Dinge
anders als TCP-Spoofing verwendet werden und deshalb kann der TSK 280 weniger
Backbone-Verbindungen
unterstützen,
als der PEP-Endpunkt 705 als Ganzes unterstützt. Beim
Start ruft die Plattformumgebung 210 den TSK 280,
um Backbone-Verbindungen zu der Konfiguration des TCP-Spoofing-Kerns hinzuzufügen. Für jede Backbone-Verbindung
liefert die Plattformumgebung 210 den Handle, den sie für die Verbindung
benutzen wird, erhalten von dem Partnerindex des PEP-Endpunktpartners
und der Priorität
der Verbindung. Nach dem Start kann die Plattformumgebung 210 den
TSK 280 aufrufen, um eine Backbone-Verbindung hinzuzufügen, deren
Parameter zu ändern
oder sie zu löschen.
-
Wenn
die Plattformumgebung 210 den TSK 280 aufruft,
eine Backbone-Verbindung zu öffnen
(hinzuzufügen),
stellt die Umgebung 210 ein TCB für die Backbone-Verbindung bereit.
Die Umgebung 210 belegt den TCB, um ein plattformspezifisches
Speichermanagement der TCBs zu ermöglichen. Beispielsweise kann ein
IP-Gateway 801 entworfen sein, um bis zu 16.000 entfernte
PEP-Endpunktpartner (da ein IP-Gateway aktuell bis zu 16.000 entfernte
IP-Subnetze unterstützen
kann) und 64.000 Backbone-Verbindungen
zu unterstützen.
Deshalb können
bis zu 64.000 TCBs benötigt
werden. Andererseits wird ein Multimedia Relay, ein Multimedia VSAT
oder ein PES Remote wahrscheinlich nur wenige PEP-Endpunktpartner
haben und damit nur wenige TCBs. Deshalb wird die IP-Gateway-Implementierung
des TCB-Managements wahrscheinlich komplexer sein als die Implementierung
des TCB- Managements
für das
Multimedia Relay, Multimedia VSAT oder PES Remote.
-
TCBs
werden der TSK 280 durch die Plattformumgebung 210 bereitgestellt,
wenn Backbone-Verbindungen geöffnet
werden. TCBs werden von der TSK 280 an die Plattformumgebung 210 zurückgegeben,
wenn die Backbone-Verbindungen geschlossen werden. Wie an anderer
Stelle angegeben, wird die Belegung und Freigabe von TCBs durch
die Plattformumgebung 210 ausgeführt, um die Benutzung einer
Belegungsstrategie (bspw. dynamisch gegenüber statisch) zu ermöglichen,
die für
die jeweilige Plattform geeignet ist. Eine TCB-Abbildungstabelle,
die von dem TSK 280 erzeugt und aufrechterhalten wird,
wird verwendet, um auf die belegten TCBs zuzugreifen. Die Größe der Abbildungstabelle
(und die Anzahl der erforderlichen TCBs) wird durch den Softwarestand
des PEP-Endpunkts 705 bestimmt. Der TSK-Backbone-Verbindung-Handle,
der von der Plattformumgebung 210 bereitgestellt wird,
wird als Index in die Abbildungstabelle benutzt, wobei der indexierte
Tabelleneintrag auf den TCB zeigt. Dies ist in 16 dargestellt. Der Handle 1602 wird
von der Umgebung 210 an den TSK 280 gereicht,
wenn die Backbone-Verbindung referenziert wird (entweder direkt
oder über
einen CCB einer TCP-Verbindung). Der Handle wird von der BPK 282 an
den TSK 280 ebenfalls gegeben, wann immer eine TSK-Nachricht
von der Backbone-Verbindung des Handles empfangen wird. Der Handle
wird ebenfalls als TSK-Backbone-Verbindungs-Identifikation (TID)
benutzt, die als Quellverbindungs-ID-Wert in TSK-Nachrichten verwendet
wird, die an den TSK-Partner gesendet werden.
-
Ein
TCB 1606 wird verwendet, um die Konfigurationsinformation
zu speichern, die von der Plattformumgebung 210 an den
TSK 280 gereicht wird, über
die Backbone-Verbindung. Sie umfasst ebenfalls den aktuellen Zustand
der Verbindung (OFFEN oder GESCHLOSSEN) und einen Zeiger auf den
Kopf und das Ende der verlinkten Liste der CCBs, die zu den TCP-Verbindungen
gehören,
die momentan von der Backbone-Verbindung benutzt werden. Zugriff
auf die Liste der CCBs kann gefordert werden, um die TCP-Verbindungen
zu finden, die betroffen sind, wenn die Backbone-Verbindungen ausfallen
oder gelöscht
werden.
-
Verbindungs-Steuerungsblöcke 1608 können verwendet
werden, um Information bezüglich
der spezifischen TCP-Verbindungen
zu speichern. CCBs 1608 können von der Plattformumgebung 210 verwaltet
werden, da viele Details ihrer Verwaltung plattformspezifisch sind.
Die Plattformumgebung 210 kann Mechanismen zum Belegen
und Freigaben der CCBs und eine Funktion zum Abbilden eines empfangenen
TCP-Segments auf sein entsprechendes CCB bereitstellen. Wenn ein
TCP-Segment an den TSK 280 geleitet wird, kann die Plattformumgebung 210 einen
Zeiger an den geeigneten CCB 1608 von dem TSK 280 zusammen
mit dem TCP-Segment leiten. Ein NULL-Zeiger kann weitergegeben werden,
falls es keinen CCB 1608 gibt, der momentan mit der einzelnen
TCP-Verbindung verknüpft
ist. Die Abbildung der empfangenen TSK-Nachrichten auf die CCBs
kann jedoch von dem TSK selbst ausgeführt werden.
-
Der
TSK 280 kann eine gewisse Anzahl von CCBs 1608 unterstützen, bestimmt
durch die Konfiguration und/oder durch Kompilation, wenn geeignet,
für die
einzelne PEP-Endpunkt 705 Plattform und Software. Um eine
TCP-Verbindung zu spoofen, sollte ein CCB 1608 in beiden
TSK-Partnern verfügbar
sein. Idealerweise wird die Anzahl der CCBs 1608 groß sein,
um zu gewährleisten,
dass alle TCP-Verbindungen, die der Operator spoofen möchte, gespooft
werden können.
In der Praxis können
die Speicherbeschränkungen
einiger PEP-Endpunkt 503 Plattformen die Anzahl der CCBs 1608 einschränken, so
dass gelegentlich eine TCP-Verbindung nicht gespooft werden kann,
da sein CCB 1608 verfügbar
ist. Wenn eine TCP-Verbindung, die gespooft werden soll, nicht gespooft
werden kann aufgrund eines fehlenden CCB 1608, wird eine
geeignete Statistik inkrementiert und die TCP-Verbindung wird ungespooft
getragen. Die TSK-Partner tauschen Information über die Anzahl der CCBs 1608 aus,
die für
gespoofte TCP-Verbindungen verfügbar
sind, indem eine bestimmte Backbone-Verbindung beim Start (und wann
immer Parameter sich ändern
oder die Backbone-Verbindung neu startet) über TSK-Partner-Parameter-Nachrichten benutzt
wird. Der kleinere Wert der beiden TSK-Partner wird dann als Grenzwert
für die
Backbone-Verbindung benutzt. Beide TSKs 280 verfolgen die
Anzahl der CCBs 1608, die momentan belegt sind (pro Backbone-Verbindung).
Falls eine TCP-Verbindung erfasst wird, aber die aktuelle Anzahl
von CCBs 1608, (für
diese Backbone-Verbindung) belegt sind, an ihrer „verhandelten" Grenze ist, behandelt
der TSK 280 die Verbidung, als ob kein CCB 1608 verfügbar wäre (selbst
wenn einer verfügbar wäre).
-
Aufgrund
von Laufzeitverzögerung
oder weil der PEP-Endpunkt seinen Pool von CCBs 1608 mit
all seinen Partnern teilt, ist es für einen CCB 1608 möglich, verfügbar zu
sein, wenn ein TCP<SYN>-Segment von einem
TSK 280 empfangen wird, aber für einen entsprechenden CCB 1608 nicht
verfügbar
ist an dem TSK-Partner. Die Handhabung dieses Fehlerszenarios wird
nachfolgend beschrieben.
-
Anders
als TCBs 1606, auf die über
die TCB-Abbildungstabelle 1604 zugegriffen
werden kann, sowohl für
TCP-Segmente, die
von dem lokalen LAN empfangen werden, als auch für TSK-Nachrichten, die von
einer Backbone-Verbindung empfangen werden, können die CCBs 1608 unterschiedliche
Mechanismen erfordern, um auf diese über TCP-Segmente gegenüber TSK-Nachrichten zugreifen
zu können.
Beispielhafte Mechanismen sind nachfolgend beschrieben.
-
Die
CCBs 1608, die momentan nicht mit einer TCP-Verbindung verknüpft sind,
können
von der Plattformumgebung 210 in einem CCB-frei-Pool gespeichert
werden. Freie CCBs können
gespeichert werden, indem verschiedene plattformabhängige Verfahren
benutzt werden. Ein erstes Verfahren ist ein Speicherpool, aus dem
CCBs erzeugt werden, indem eine Malloc-Funktion oder Ähnliches
benutzt wird. Mit diesem Verfahren kann die Anzahl der freien CCBs 1608 numerisch
verfolgt werden oder über
die Menge des Pufferplatzes, der zur Benutzung für die Erzeugung der CCBs 1608 bereitgestellt
wird. CCBs 1608 können
dem freien Pool zurückgegeben
werden, indem eine Frei-Funktion oder Ähnliches benutzt wird. Ein
zweites Verfahren erfolgt mittels einer FIFO-Warteschlange. Bei
diesem Verfahren werden alle CCBs 1608 beim Plattformstart
erzeugt und dann zusammen verkettet, indem ihre Zeiger zum nächsten CCB
verwendet werden. Der CCB-Nächst-CCB-Zeiger
wird nachfolgend beschrieben. Ein CCB 1608 kann belegt
werden durch Entfernen aus dem Kopf der FIFO-Warteschlange, und ein CCB 1608 kann
freigegeben werden, indem es an das Ende der FIFO-Warteschlange
gesetzt wird.
-
Ein
CCB 1608, das mit einer TCP-Verbindung verknüpft ist,
kann als aktiv betrachtet werden. Aktive CCBs 1608 werden
in unterschiedlichen Arten referenziert. Zum Abbilden der TSK-Nachrichten,
die von dem TSK-Partner empfangen werden, auf CCBs 1608,
kann der TSK 280 eine CCB-Abbildungstabelle benutzen. Die
CCB-Abbildungstabelle kann ebenfalls von dem TSK 280 in
einer Round-Robin-Weise benutzt werden, um auf CCBs 1608 zuzugreifen,
um TCP-Verbindungs-Timeouts zu prüfen. Um TCP-Segmente, die von dem lokalen Host empfangen
werden, auf CCBs 1508 abzubilden, kann eine CCB-Hash-Funktion 1702 ebenfalls
verwendet werden, um die CCB-Zeiger zu finden. Die CCB-Hash-Funktion 1702 kann
ebenfalls in einigen Fällen benutzt
werden, um die CCBs für
empfangene TSK-Nachrichten zu suchen, wenn die CCB-Abbildungstabelle nicht
benutzt werden kann.
-
Um
zugreifbar zu sein, wenn ein TCP-Segment von dem lokalen LAN empfangen
wird, kann eine Hash-Funktion 1702 verwendet werden. Die
Hash-Funktion 1702 produziert einen Index 1704 in
eine CCB-Hash-Tabelle 1706. Die CCB-Hash-Tabelle 1706 zeigt
auf eine doppelt-verlinkte Liste von CCBs 1708, die auf
den Hash-Wert passen. Jedes CCB 1608 kann ein Next-CCB-Zeigerfeld aufweisen,
das von der Plattformumgebung 210 benutzt wird, um die
verlinkte Liste zu implementieren. 17 zeigt
einen CCB-Zugriff über
die CCB-Hash-Funktion 1702. Das Aufrechterhalten der CCB-Zeiger 1710,
die von der Hash-Funktion benutzt werden, kann in der Verantwortung
der Plattformumgebung 210 liegen. Die Plattformumgebung 210 kann einfach
einen Zeiger auf den passenden CCB an den TSK 280 zusammen
mit einem TCP-Segment
reichen, das an den TSK 280 geleitet wird. Die Umgebung 210 kann
ebenfalls eine Funktionsaufruf-Schnittstelle bereitstellen, die
der TSK 280 aufrufen kann, um die Hash-Funktion selbst
zu benutzen. Diese Schnittstelle kann von dem TSK 280 benutzt
werden, um ein CCB 1608 zu finden, indem die Informati on
in dem TSP-Verbindungs-Header 1201 einer empfangenen TSK-Nachricht 1200 benutzt
wird.
-
Die
Tatsache, dass die Plattformumgebung 210 für die Verwaltung
der CCB-Hash-Tabelle 1706 verantwortlich ist, bedeutet,
dass die Plattformumgebung 210 Zugriff auf einige der Felder
in dem CCB 1608 haben sollte. Um die Plattformumgebung 210 von
der Notwendigkeit abzuhalten, das vollständige Format des CCB 1608 zu
kennen, können
die Felder in dem CCB 1608, die für die Plattformumgebung 210 zugreif
bar sind, in dem CCB 1608 nach vorne gestellt werden. Die
Plattformumgebung 210 kann dann zur Aufrechterhaltung der
nachfolgenden beispielhaften CCB-Felder
verantwortlich sein:
- • der Nächste- und Vorher-CCB-Zeiger
- • die
IP-Adressen und TCP-Port-Nummern, die eindeutig die TCP-Verbindung
identifizieren; und
- • der
Backbone-Verbindungs-Handle, der benutzt wird, um auf das TCP der
Backbone-Verbindung abzubilden, die benutzt wird, um diese gespoofte
Verbindung zu tragen (d.h. der TID des Partners).
-
Allgemein
können
die IP-Adressen und TCP-Port-Nummern
empfangener TCP-Segmente als Eingang in die CCB-Hash-Funktion 1702 benutzt
werden. Allerdings kann die benutzte Hash-Funktion 1702 plattformspezifisch
sein. Da bspw. eine große
Anzahl von TCP-Verbindungen zu unterschiedlichen entfernten Orten
unterstützten
wird, sollte die IP-Gateway-801-Hash-Funktion auf den Teilnetzabschnitt der
IP-Adressen gerichtet sein. Der Teilnetzabschnitt der IP-Adressen
kann jedoch der gleiche sein für
alle TCP-Verbindungen, die mit einem bestimm ten entfernten Ort verknüpft sind.
Deshalb sollte eine Plattformumgebung 210 an einem entfernten
Ort auf den Host-Teil der IP-Adressen stärker gerichtet sein.
-
CCBs 1608 können durch
den TSK 280 für
Funktionsaufrufe an die Plattformumgebung 210 belegt und
freigegeben werden. Eine CCB-Abbildungstabelle 1802, die
von dem TSK 280 erzeugt und aufrechterhalten wird, kann
benutzt werden, um auf CCBs 1608 zum Zwecke der Zeitverarbeitung
zuzugreifen und wenn TSK-Nachrichten von dem BPK 282 empfangen
werden. Eine Abbildungstabelle 1802 kann verwendet werden,
um die TSK-Partner zu unterstützen.
Die Größe der Abbildungstabelle 1802 und
die Anzahl der CCBs 1608, die erforderlich sind, kann von
der Software des PEP-Endpunkts 705 bestimmt werden. Bei
einem vorgegebenen PEP-Endpunkt 705 kann die Anzahl der
Einträge
in der Abbildungstabelle 1802 und die Anzahl der CCBs 1608,
die verfügbar
sind, gleich sein, da der TSK 280 keinen CCB 1608 verwenden
sollte, auf den er nicht über
die Abbildungstabelle 1802 zugreifen kann, und der TSK 280 benötigt keine
Abbildungstabellen-Einträge,
in die er keinen CCB 1608 setzen kann. Jeder Eintrag in
der Abbildungstabelle 1802 hat zumindest zwei Felder:
- • einen
CCB-Zeiger; und
- • einen
Nächster-Eintrag-Index.
-
Der
Nächster-Index
kann verwendet werden, um verlinkte Listen der CCBs zu implementieren.
Zumindest zwei Typen von verlinkten Listen kann aufrechterhalten
werden, indem der Nächster-Eintrag-Index
verwendet wird:
- • eine Freier-Eintrag-Liste 1804;
und
- • eine
aktive CCB Liste 1806.
-
Die
Freie-Eintrag-Liste kann die Liste der freien Abbildungstabellen-Einträge speichern.
Der TSK 280 kann einen Zeiger auf den Anfang und das Ende
der Liste aufrechterhalten und diese Zeiger benutzen, um eine FIFO-Warteschlange
freier Einträge
zu implementieren. Wenn ein neuer CCB 1608 belegt wird,
kann ein Eintrag aus der Freien-Eintrags-Liste 1804 ebenfalls
belegt werden. Der TSK 280 benutzt den Index des Abbildungstabelleneintrags
als lokale TCP CID der TCP-Verbindung.
Wenn ein CCB 1608 freigegeben wird, kann der Abbildungstabellen-Eintrag 1802 des
CCBs in die Freie-Liste 1804 zurückgegeben werden.
-
Aktive
CCB-Listen 1806 können
verwendet werden, um die CCBs 1608 der TCP-Verbindungen
zu verketten, die aktuell aktiv sind. Die CCBs 1608 aller
TCP-Verbindungen, die eine bestimmte Backbone-Verbindung teilen,
können
miteinander verkettet werden. Die Indizes des ersten und des letzten
Eintrags einer CCB-verlinkten Liste einer Backbone-Verbindung kann
mit dem Backbone-Verbindungszustand in dem TCP gespeichert werden,
das mit der Backbone-Verbindung verknüpft ist. Die aktiven CCB-Listen 1806 können als doppelt-verlinkte
Listen implementiert sein, um es einfacher zu machen, Einträge aus der
Mitte der Liste zu entfernen. Um Platz in der CCB-Abbildungstabelle 1802 zu
sparen und die Listen-Aufrechterhaltungssoftware einfacher zu machen,
können
jedoch einzel-verlinkte Listen 1806 verwendet werden. Aktive
CCB-Listen können
für zumindest
zwei Zwecke benutzt werden:
- • um alle
CCB 1608 zu finden, die von einem Versagen oder einer Löschung einer
Backbone-Verbindung beeinflusst werden. Wenn eine Backbone-Verbindung
ausfällt
oder gelöscht
wird, können
alle TCP-Verbindungen, die die Backbone-Verbindung benutzen, beendet
werden; und
- • um
das passende CCB 1608 zu finden, wenn eine TSK-Nachricht mit einem
Ziel-TCP-CID-Wert von 0 × FFFF
empfangen wird, aber ohne einen TCP-Verbindungs-Header.
-
Für den letztgenannten
Fall kann der TSK 280 die aktive CCB-Liste 1806 der
Backbone-Verbindung, von der die TSK-Nachricht empfangen wurde, nach unten
wandern, um einen CCB 1608 mit einer Partner-CID zu finden,
die der Quellenverbindungs-ID in der TSK-Nachricht entspricht.
-
Ein
CCB 1608 kann aus seiner aktiven CCB-Liste 1806 entfernt
werden, wenn der CCB freigegeben wird.
-
18 zeigt die Verwendung der CCB-Abbildungstabelle 1802.
-
Ein
CCB 1608 kann belegt werden, wenn eine neue TCP-Verbindung
erfasst wird, die gespooft werden soll. Der TSK 280 belegt
einen freien Eintrag aus der CCB-Abbildungstabelle 1806 und
ruft dann die Plattformumgebung 210 auf, um den CCB 1608 zu
belegen, und liefert die IP-Adressen und TCP-Port-Nummern, die die
Verbindung eindeutig identifizieren. Die Plattformumgebung 210 kann
ein CCB 1608 aus dem freien CCB-Pool belegen und kann die
bereitgestellten IP-Adressen und Port-Nummern verwenden, um den richtigen Hash-Tabellen-Eintrag
für das
CCB 1608 zu bestimmen. Der CCB-Zeiger kann dann der Hash- Tabelle 1706 hinzugefügt werden
(verkettet mit dem Ende eines existierenden CCBs, der bereits auf
einen Hash-Tabellen-Eintrag abgebildet ist, im Falle einer Hash-Tabellen-Kollision).
Schließlich
bevor der CCB 1608 an den TSK 280 zurückgegeben
wird, kann die Plattformumgebung 210 den TCB-Index-Wert
des CCB eintragen. Wenn der TSK 280 den CCB 1608 empfängt, benutzt
er den TCB-Index in dem CCB 1608, um den TCB 1606 zu finden.
Der CCB 1608 wird dann in die aktive CCB-Liste 1606 für die Backbone-Verbindung
verkettet, die mit der Priorität
der TCP-Verbindung
verknüpft
ist. Wenn ein CCB 1608 für eine neue TCP-Verbindung belegt
wird, die von dem lokalen LAN erfasst wird, bevor tatsächlich der
CCB 1608 in die CCB-Abbildungstabelle gesetzt wird, prüft der TSK 280 zunächst, um
sicherzustellen, dass die Backbone-Verbindung besteht. Falls die
Backbone-Verbindung
nicht besteht, kann die Verbindung nicht gespooft werden und der
CCB 1608 für
die Verbindung wird der Plattformumgebung 210 zurückgegeben.
-
Wenn
ein CCB 1608 freigegeben wird, kann er aus der aktiven
CCB-Liste 1806 herausgenommen werden, sein CCB-Abbildungstabellen-Eintrag
kann an die freie Eintragliste 1804 zurückgegeben werden und der CCB 1608 kann
an die Plattformumgebung 210 zurückgegeben werden. Die Umgebung 210 kann
wiederum den CCB 1608 aus der CCB-Hash-Tabelle 1706 entfernen
und den CCB 1608 in den freien CCB-Pool zurückgeben.
-
Die
Gesamtanzahl der CCBs 1608, die in einer PEP-Endpunktplattform 705 verfügbar sind,
ist konfigurierbar. Der Wert kann tatsächlich bezüglich der Anzahl der CCBs 1608 spezifiziert
werden, die pro PEP-Endpunkt 705 Partner, als Teil eines
PEP-Endpunktprofils 701, 703 verfügbar sind.
Jede PEP- Endpunkt 705 Plattformsoftware
wird jedoch eine maximale Anzahl von CCBs 1608 haben, die
sie unterstützen
kann. Falls der Operator die Anzahl der CCBs 1608 größer als
die von der Software unterstützte
Anzahl konfiguriert, wird die kleinere Anzahl benutzt und ein Ereignis
wird ausgegeben, um den Opertor zu alarmieren, dass dies aufgetreten
ist. In einem PEP-Endpunkt 501, wo der CCB-Pool mit allen
Partnern geteilt wird, kann jedoch der Operator absichtlich die
Partner-CCB-Grenze so konfigurieren, dass ein Multiplizieren der
Grenze durch die Anzahl der Partner mehr CCBs 1608 erfordern
würde als
tatsächlich
existieren, um die Leistung zu verbessern, indem die CCBs 1608 statistisch
geteilt werden.
-
Ist
die Anzahl der CCBs 1608 in einem PEP-Endpunkt 705 konfigurierbar,
kann der Operator den Punkt steuern, an dem TCP-Verbindungen aufhören, gespooft
zu werden. Die Gesamtanzahl der TCP-Verbindungen, die von dem System
getragen werden, kann einen Punkt erreichen, wo die Gesamtgröße der Bandbreite
dividiert durch die Anzahl der TCP-Verbindungen, die aktiv benutzt
werden, kleiner ist als der mögliche Durchsatz
für jede
TCP-Verbindung ohne TCP-Spoofing. Der Operator kann deshalb wünschen,
dass die Anzahl der CCBs 1608 so eingestellt wird, dass
ein Spoofing nur auftritt, wenn die Leistung verbessert wird. Allerdings
ist die TCP-Spoofing-Leistungsverbesserung nicht nur auf einen hohen
Datendurchsatz begrenzt. TCP-Spoofing umfasst das Spoofen des TCP-Drei-Wege-Handshakes
wie zuvor mit Bezug auf die 4A diskutiert.
Abhängig
von den benutzten Anwendungen kann der Operator entscheiden, dass
ein Spoofen des Drei-Wege-Handshakes nützlich ist, selbst wenn der
Durchsatz durch Vorhandensein einer großen Anzahl von TCP-Verbindungen begrenzt
ist. Zusätzlich
für gespoofte
TCP- Verbindungen,
wenn die Ressourcen (bspw. Pufferplatz) niedrig sind, kann eine
Flusssteuerung auf die gespooften TCP-Verbindungen angewendet werden (durch
Schrumpfen der TCP-Fenster,
die von dem PEP-Endpunkt 705 angezeigt werden). Dies ist
nicht möglich
für ungespoofte
TCP-Verbindungen.
-
Zusätzlich zu
der Gesamtzahl der PEP-Endpunkt-CCBs-1608 kann
der Operator ebenfalls den Prozentsatz der verfügbaren CCBs 1608 konfigurieren,
die mit der Backbone-Verbindung
für jede
Priorität
benutzt werden können.
Dies ermöglicht
dem Operator, CCBs 1608 zur Benutzung durch TCP-Verbindungen höherer Priorität zu reservieren.
-
Wenn
ein TCP-Segment von dem lokalen LAN empfangen wird, kann die Plattformumgebung 210 die CCB-Hash-Funktion 1702 benutzen,
um den CCB 1608 zu finden, der mit der TCP-Verbindung verknüpft ist, und
einen Zeiger an diesen CCB 1608 an den TSK 280 zusammen
mit dem TCP-Segment reichen. Ein Index in das TCP-Abbildungsfeld,
das in dem CCB 1608 gespeichert ist, kann dann von dem
TSK 280 benutzt werden, wenn er den TCB 1606 bezeichnen
möchte,
der mit der Backbone-Verbindung verknüpft ist, die benutzt wird,
um die TCP-Verbindung zu spoofen. Für ein TCP-Segment, das von
dem lokalen LAN empfangen wird, sollte der TSK 280 nicht
auf den TCB 1606 zuerst zugreifen müssen, um den CCB 1608 der
Verbindung zu finden.
-
Wenn
eine TSK-Nachricht von dem BPK 282 durch den TSK 280 empfangen
wird, kann der TSK 280 die Ziel-TCP-CID aus der TSK-Nachricht
extrahieren. Falls die TCP-CID nicht 0 × FFFF ist, kann sie den CCB-Abbildungstabellenindex
für den
CCB darstellen, der mit der TCP-Verbindung der TSK-Nachricht verknüpft ist.
Falls die TCP-CID 0 × FFFF
ist, sollte der TSK 280 bestimmen, ob eine neue TCP-CID
erforderlich ist (da die TSK-Nachricht
eine Connection-Request-Nachricht sein kann), falls die Nachricht
einer existierenden TCP-Verbindung gehört, für die der TSK-Partner noch
keine TCP-CID empfangen hat, oder falls die Nachricht verworfen
werden soll, da keine der vorherigen zwei Bedingungen anwendbar
ist. Der TSK 280 kann zunächst die Nachricht überprüfen, um
zu sehen, ob es einen TCP Verbindungsheader 1201 gibt,
der in der Nachricht enthalten ist. Falls ein TCP-Verbindungsheader 1201 enthalten
ist, kann der TSK 280 die Information in dem TCP-Verbindungsheader 1201 als
Eingabe in die Hash-Funktion 1702 verwenden, um den CCB 1608 zu
finden. Falls kein TCP-Verbindungsheader 1201 in der Nachricht
enthalten ist, kann der TSK 280 die Liste aktiver CCBs 1608,
die aktuell mit der Backbone-Verbindung verknüpft ist, über die die Nachricht empfangen wurde,
durchsuchen, um eine Übereinstimmung
mit der Quellen-TCP-CID in der TSK-Nachricht zu finden. Der BPK 282 kann
an den TSK 280 den Handle reichen, um die geeignete TCB 1606 zu
finden, wenn er die TSK-Nachricht
an den TSK reicht. 19 zeigt das Verhältnis zwischen
einem CCB 1608 und einem TCB 1606.
-
Die
Priorität
einer gespooften TCP-Verbindung kann für die Verbindung bestimmt werden
zum Zeitpunkt, zu dem die CCB der Verbindung belegt wird. Der TSK 280 benutzt
nur die Priorität,
um die geeignete Backbone-Verbindung zu bestimmen, um eine gespoofte
TCP-Verbindung zu tragen. Nach Durchführung dieser Bestimmung braucht
der TSK 280 keine Referenzierung auf die Priorität einer
TCP-Verbindung.
-
Für eine belegte
CCB 1608 aufgrund des Empfangs einer Connection-Request(CR)-Nachricht
wird die Priorität
gleich der Priorität
der Backbone-Verbindung gesetzt, über die die CR-Nachricht 1506 empfangen wurde,
d.h. die Backbone-Verbindung, über die
die CR-Nachricht 1506 empfangen wurde, wird als Backbone-Verbindung
für die
gespoofte TCP-Verbindung benutzt. Für ein CCB 1608, das
aufgrund des Empfangs eines TCP-<SYN>-Segments belegt werden
wird, ist die Priorität
die Priorität,
die in dem ausgewählten TCP-Spoofing-Parameter-Profil
angezeigt ist. Vor dem tatsächlichen
Verwenden einer CCB 1608, die für die Verbindung belegt ist, überprüft jedoch
der TSK 280, um sicherzustellen, dass eine Backbone-Verbindung
zu dem geeigneten TSK-Partner aktuell mit dem in dem TCP-Spoofing-Parameter-Profil
angezeigten Prioritätswert
vorhanden ist. Falls die gewünschte
Backbone-Verbindung nicht steht (oder nicht vorhanden ist), wird
der CCB 1608 nicht belegt und die TCP-Verbindung wird nicht
gespooft. Die Priorität
einer TCP-Verbindung,
die nicht gespooft wird, kann durch Priorisierungsregeln bestimmt
werden, die in dem PK 284 implementiert sind.
-
Das
Nachfolgende beschreibt das Handling von gespooften TCP-Verbindungen.
-
Der
TCP-Spoofing-Kern 280 kann eine gespoofte TCP-Verbindung
aufbauen, wenn er ein TCP-<SYN>-Segment von seinem
lokalen LAN empfängt,
oder er eine Connection-Request-Nachricht
von seinem TSK-Partner empfängt. 4A und 4B zeigen
den Aufbau einer gespooften TCP-Verbindung mit oder ohne ein Drei-Wege-Handshake-Spoofing.
Ein Drei-Wege-Handshake-Spoofing
kann gesperrt sein, um einen End-zu-End-MSS-Austausch zu unterstützen.
-
Wenn
ein TCP-Segment von dem lokalen LAN empfangen wird, prüft die Plattformumgebung 210,
um zu sehen, ob es bereits ein CCB 1608 gibt, das der TCP-Verbindung
zugeordnet ist, die mit dem TCP-Segment verknüpft ist. Falls es kein CCB 1608 gibt,
prüft die
Umgebung, um zu sehen, ob das TCP-Segment ein <SYN>-Segment
ist, das an ein nicht lokales Ziel zu senden ist. Falls dies der
Fall ist, stellt das <SYN>-Segment einen Versuch
dar, eine neue (nicht lokale) TCP-Verbindung aufzubauen und die
Umgebung reicht das Segment an den TSK 280, um die Disposition
der TCP-Verbindung festzulegen.
-
Wenn
ein TCP-<SYN>-Segment von dem lokalen
LAN für
eine neue TCP-Verbindung empfangen wird, muss der TSK 280 zuerst
bestimmen, ob die Verbindung gespooft werden soll. Falls die Verbindung
gespooft werden soll, kann der TSK 280 die Priorität benutzen,
die in dem ausgewählten
TCP-Spoofing-Parameter-Profil
angegeben ist, und den Partnerindex (der durch die Umgebung mit
dem TCP-<SYN>-Segment bereitgestellt
wird), um den Handle der Backbone-Verbindung aufzubauen, der verwendet
werden soll, um diese gespoofte TCP-Verbindung zu tragen. Der Backbone-Verbindungs-Handle
wird dann benutzt (über
die TCB-Abbildungstabelle),
um den TCP zu finden, der mit der Backbone-Verbindung verknüpft ist. Der TSK 280 prüft dann,
um zu sehen, ob die Backbone-Verbindung aufgebaut ist bzw. steht.
Falls die Backbone-Verbindung nicht steht, prüft der TSK 280, um
zu sehen, ob die Anzahl der gespooften TCP-Verbindungen, die bereits die
ausgewählte
Backbone-Verbindung benutzen, immer noch unterhalb der CCB-Ressourcen-Grenze
ist. Die CCB-Ressourcen-Grenze ist der kleinere Wert von der lokalen
Anzahl der CCBs (die als Parameter von der Plattformumgebung 210 bereitgestellt
werden) und der Partneranzahl der CCBs (in der letzten TPP-Nachricht von
dem TSK-Partner empfangen), die für diese Backbone-Verbindung verfügbar ist.
Falls die Anzahl der Verbindungen immer noch unterhalb der Grenze
ist, ordnet der TSK 280 eine eindeutige TCP-Verbindungsidentifikation
(beispielsweise einen freien CCB-Abbildungstabellen-Eintrag-Index)
der Verbindung zu und ruft die Umgebung auf, um einen TCP-Verbindungs-Steuerungsblock für die Verbindung
zu belegen.
-
Der
TSK 280 wird das TCP-<SYN>-Segment zurück an die
Umgebung 210 geben, um ungespooft weitergeleitet zu werden,
falls irgendeine der Prüfungen
fehlschlägt.
Mit anderen Worten, falls:
- • die selektiven TCP-Spoofing-Regeln
anzeigen, dass die Verbindung nicht gespooft werden sollte;
- • es
keine Backbone-Verbindung für
die Priorität
gibt, mit der die TCP-Verbindung gespooft werden sollte (durch das
Fehlen eines TCB für
die Backbone-Verbindung
angezeigt);
- • es
eine Backbone-Verbindung gibt, aber die Backbone-Verbindung nicht steht;
- • die
Anzahl der gespooften TCP-Verbindungen, die bereits diese Backbone-Verbindung
benutzen, an (oder über)
der Grenze liegt; oder
- • es
keinen CCB-Abbildungstabellen-1802-Eintrag gibt, der verfügbar ist,
oder es kein CCB 1608 gibt, das aus dem CCB-Freipool verfügbar ist,
wird dann die TCP-Verbindung ungespooft weitergeleitet.
-
Für den Fall,
bei dem es keine Backbone-Verbindung
gibt, kann der TSK 280 ebenfalls ein Ereignis absenden,
um den Operator zu alarmieren, dass es eine Fehlanpassung zwischen
den konfigurierten TCP-Spoofing-Parameter-Profilen und dem konfigurierten
Satz von Backbone-Verbindungen gibt.
-
Falls
alle zuvor genannten Prüfungen
durchlaufen werden, schreibt der TSK 280 den Backbone-Verbindungs-Handle
in den Puffer, der das TCP-<SYN>-Segment 401 hält. Dies
wird nicht getan, bis ein CCB 1608 erfolgreich von der
Plattformumgebung 210 belegt wird, da die Umgebung 210 den
Puffer nicht zählt, solange
nicht ein CCB erfolgreich belegt ist). Der TSK 280 kopiert
dann die Parameter aus dem ausgewählten TCP-Spoofing-Parameter-Profil
in den CCB. Dann wird relevante Information (die maximale Segmentgröße, die
von dem Host angegeben wird (falls kleiner als die konfigurierte
MSS), die anfängliche
Sequenznummer, etc.) aus dem TCP-<SYN>-Segment 401 kopiert
und in den CCB 1608 gespeichert. Die Quell- und Ziel-IP-Adresse
und die Quell- und Ziel-TCP-Port-Nummern wurden bereits in die CCB
von der Plattformumgebung 210 platziert, als der CCB belegt
wurde. Die Umgebung 210 benötigt diese Information, um
die CCB-Hash-Funktionskollisionen
zu verwalten.
-
Nach
dem Belegen und Einstellen der CCB 1608 baut der TSK 280 eine
Connection-Request-Nachricht 403 auf und sendet diese an
den TSK-Partner. Die CR-Nachricht 403 enthält hauptsächlich alle
Information, die aus dem TCP-Spoofing-Parameter-Profil und dem TCP-<SYN>-Segment 401 extrahiert
wurde und speichert sie in der lokalen CCB 1608, beispielsweise
die Quell- und Ziel-IP-Adressen, die Quell- und Ziel-TCP-Port-Nummern, der MSS-Wert,
etc., mit Ausnahme von Feldern, wie beispielsweise die anfängliche Reihenfolgen-
bzw. Sequenznummer, die nur lokale Bedeutung haben. Die IP-Adressen
und TCP-Port-Nummern
werden in einen TCP-Verbindungsheader 1201 gesetzt. Mit
anderen Worten enthält
die CR-Nachricht 403 alle Information, die der Partner-TSK
benötigt,
um sein eigenes CCB 1608 aufzubauen.
-
20 zeigt den Abschluss des lokalen Verbindungsaufbaus. 20 ist identisch zu 4A und 4B,
wird hier aber aus Klarheitsgründen
und zum besseren Verständnis
wiederholt. Der TSK 280 muss ein TCP-<SYN,ACK>-Segment 405 in Antwort auf das
empfangene <SYN>-Segment 401 senden.
Der TSK 280 kann dies gleichzeitig mit dem Senden der CR-Nachricht 403 tun,
falls ein Drei-Wege-Handshake-Spoofing freigegeben ist. Anderenfalls
muss er auf eine CE-Nachricht 459 von seinem TSK-Partner 404 warten,
bevor das <SYN,ACK>-Segment 405 gesendet
wird. Der TSK 280 nimmt eine beliebige Anfangssequenznummer
(folgend den Richtlinien, die in RFC 793 bereitgestellt
werden, deren gesamter Inhalt hiermit durch Bezugnahme aufgenommen
wird), um sie zum Senden von Daten zu benutzen. Falls das Drei-Wege-Handshake-Spoofing
gesperrt ist, wird der MSS-Wert, der in dem <SYN,ACK>-Segment 461 gesendet wird, gleichgesetzt
zu dem MSS-Wert, der in der CE-Nachricht 459 empfangen
wurde. Falls jedoch der MSS-Wert größer ist als der konfigurierte
MSS-Wert, wird der konfigurierte MSS-Wert statt dessen gesendet
werden. Falls das Drei-Wege-Handshake-Spoofing freigegeben ist,
wird der MSS-Wert von dem TCP-Spoofing-Parameter-Profil bestimmt,
das für
die Verbindung ausgewählt
wurde. Für
diesen Fall muss der TSK 280 dann den MSS-Wert, der in
der CE-Nachricht 419 empfangen wurde, wenn sie ankommt,
mit dem Wert vergleichen, der dem lokalen Host in der dem TCP-<SYN,ACK>-Segment 405 gesendet
wurde. Falls der MSS-Wert, der in der CE-Nachricht 419 empfangen
wurde, kleiner ist als der MSS-Wert, der dem lokalen Host gesendet
wurde, existiert eine maximale Segmentgrößenfehlanpassung. Das MSS-Fehlanpassungs-Handling
wird nachfolgend beschrieben.
-
Nach
dem Senden des TCP-<SYN,ACK>-Segments 405 ist
der TSK 280 bereit, die Annahme von Daten von dem lokalen
Host zu starten. Wenn ein Drei-Wege-Handshake-Spoofing benutzt wird,
muss der TSK 280 nicht auf die CE-Nachricht 419 warten,
die von seinem TSK-Partner 404 ankommt, bevor die Daten
angenommen und weitergeleitet werden. Würde dies getan, würde dies
dem Zweck des Spoofens des Drei-Wege-Handshakes entgegenwirken.
Der TSK 280 wird jedoch nicht Daten von seinem TSK-Partner 404 annehmen,
bis die CE-Nachricht 419 empfangen wurde. Und der TSK 280 wird
keine Daten an den lokalen Host 400 weiterleiten, die von
seinem TSK-Partner 404 empfangen wurden, bis er das TCP<ACK>-Segment 407 empfangen
hat, das anzeigt, dass der lokale Host 400 das <SYN,ACK>-Segment 405 empfangen
hat.
-
Wenn
eine CR-Nachricht 403 von einem Partner-TSK 280 empfangen
wird, kann der TSK 280 ein CCB für die Verbindung belegen und
dann alle relevante Information aus der CR-Nachricht 403 in dem CCB 1608 speichern.
Die Handhabung des Falls, bei dem kein CCB verfügbar ist, wird nachfolgend
beschrieben. Der TSK 280 kann dann diese Information benutzen,
um ein TCP-<SYN>-Segment 415 zu
erzeugen, um es an den lokalen Host zu senden. Die MSS in dem <SYN>-Segment 415 kann
auf den Wert gesetzt werden, der von dem TSK-Partner empfangen wird.
Wenn der lokale Host mit einem TCP-<SYN,ACK>-Segment 417 antwortet, kann
der TSK 280 eine CE-Nachricht 419 an seinen TSK-Partner 402 senden,
wobei in der CE-Nachricht 419 die MSS enthalten ist, die
von dem lokalen Host in dem <SYN,ACK>-Segment 417 gesendet
wurde. Der TSK 280 kann auch mit einem TCP-<ACK>-Segment 421 antworten, um den
lokalen Drei-Wege-Handshake zu vervollständigen. An diesem Punkt ist
der TSK 280 bereit, Daten von beiden Richtungen zu empfangen
und weiterzuleiten. Falls Daten von seinem TSK-Partner ankommen,
bevor eine <SYN,ACK>-Segmentantwort von dem lokalen Host
empfangen wird, können
die Daten in eine Warteschlange gebracht werden und dann nach dem
Senden des <ACK>-Segments in Antwort
auf das <SYN,ACK>-Segment gesendet werden (wenn
es ankommt).
-
Es
gibt viele TCP-Verbindungsaufbau-Fehlerszenarien,
die von dem TSK 280 gehandhabt werden können. Das Nachfolgende beschreibt
einige beispielhafte Szenarien.
-
Eine
TCP-Verbindung kann durch die Kombination der verknüpften Ziel-
und Quell-IP-Adressen und der Ziel- und Quell-TCP-Port-Nummern eindeutig
identifiziert werden. Es ist für
zwei Hosts möglich,
zu versuchen, gleichzeitig die gleiche TCP-Verbindung aufzubauen,
wobei das TCP-<SYN>-Segment von jedem
Host einander durchläuft.
Bei einem TCP-Spoofing in der vorliegenden Erfindung kann dies zu
zwei CR-Nachrichten 403 führen, die einander durchlaufen.
Um diese Situation zu handhaben, wenn der TSK 280 eine
CR-Nachricht 403 vor dem Belegen eines CCB 608 für die TCP-Verbindung
empfängt,
kann er zunächst
prüfen,
um zu sehen, ob es bereits einen CCB 1608 gibt, der für die TCP-Verbindung
belegt wurde (indem die CCB-Hash-Funktion 1702 auf die
IP-Adressen und die TCP-Port-Nummern verwendet wird, die in dem
TCP-Verbindungsheader 1201 der CR-Nachricht 403 enthalten
sind). Falls es bereits einen belegten CCB 1608 gibt, kann
dann der TSK 280 die CR-Nachricht 403 so behandeln,
als wäre
sie eine CE-Nachricht 419, wobei die TCP-CID seines TSK-Partners
aus der CE-Nachricht 403 extrahiert wird. 21A zeigt
den Start der gleichen TCP-Verbindung von jedem Host.
-
Jeder
TSK-Partner sollte in der Lage sein, einen CCB 1608 für jede TCP-Verbindung
zu belegen, um die Verbindung spoofen zu können. Wenn ein TCP-<SYN>-Segment 401 für eine neue
Verbindung empfangen wird und kein CCB 1608 verfügbar ist
(oder die Anzahl der CCBs, die für
diesen TSK-Partner belegt wurden, die Grenze erreicht hat), kann
das TCP-<SYN>-Segment 401 ungespooft
weitergeleitet werden. Dies ist in 22 dargestellt.
Aufgrund der Ausbreitungsverzögerung
(oder dem möglichen Überbuchen
von CCBs, falls sie innerhalb der TSK-Partner geteilt werden), ist
es für
ein CCB 1608 möglich,
verfügbar
zu sein, wenn ein TCP-<SYN>-Segment 401 empfangen
wird, aber es für
ein CCB 1608 möglich
ist, dass es an dem TSK-Partner nicht verfügbar ist.
-
Wenn
ein CR 403 für
eine neue Verbindung empfangen wird und kein CCB 1608 verfügbar ist,
kann der TSK 280 auf die CR-Nachricht 403 mit
einer No Resource bzw. Keine-Ressource(NR)-Nachricht 439 antworten
(mit einem Grund-Code, der anzeigt "Kein CCB verfügbar"). Alle nachfolgenden Datennachrichten,
die von dem TSK-Partner entsprechend dieser TCP-Verbindung empfangen werden, können einfach
verworfen werden.
-
Wenn
ein TSK 280 eine NR-Nachricht 439 mit einem Grund-Code
von "Kein CCB verfügbar" in Antwort auf eine
CR-Nachricht 403 empfängt, kann
der TSK 280 den aktuellen Zustand der TCP-Verbindung auf "Nicht gespooft" setzen und den "Nicht gespooft"-Zeitgeber der Verbindung
starten. Ein Zweck des "Nicht
gespooft"-Zustands
besteht darin, es dem TSK 280 zu ermöglichen, sich zu erinnern,
dass er diese Verbindung nicht spoofen konnte, und damit zu ermöglichen,
dass die Verbindung ungespooft aufgebaut wird bei einem Neuversuch
durch den lokalen Host 400. Falls der TSK 280 ein
Nicht-<SYN>-Segment für die TCP-Verbindung im "Nicht gespooft"-Zustand empfängt, bevor
er ein <SYN>-Segment 401 empfängt, kann
der TSK 280 das Nicht-<SYN>-Segment verwerfen
und mit einem <RST>-Segment 437 antworten.
Falls der TSK 280 ein TCP-<SYN>-Segment 401 empfängt, während er
in dem "nicht gespooften" Zustand ist, kann
der TCP das <SYN>-Segment 401 ungespooft
weiterleiten und mit dem Warten auf ein Nicht-<SYN>-Segment
beginnen (in der Zwischenzeit wird jedes zusätzliche <SYN>-Segment 401,
das ungespooft empfangen wird, weitergeleitet). Wenn ein TSK 280 ein
Nicht-<SYN>-Segment empfängt, nachdem er ein <SYN>-Segment 401 empfangen
hat, kann der TSK 280 annehmen, dass die Verbindung erfolgreich
ungespooft aufgebaut sein muss und gibt deshalb den CCB 1608 der
Verbindung frei (nachdem er das empfangene Segment ungespooft weitergeleitet
hat). In jedem Fall kann der CCB der Verbindung freigegeben werden,
wenn der "Nicht
gespooft"-Zeitgeber der Verbindung
ausläuft. 23 zeigt Verbindungsaufbauszenarien, wenn keine
CCBs an dem TSK-Partner verfügbar
sind.
-
Aufgrund
von Laufzeitverzögerung
ist es dem letzten verfügbaren
CCB 1608 möglich,
von jedem TSK-Partner für unterschiedliche
TCP-Verbindungen belegt zu werden, falls ein Host jeder Seite des
Netzwerks ein TCP-<SYN>-Segment 401 zur
gleichen Zeit sendet. Dies ist in 24 dargestellt.
Diese Situation kann dazu führen,
dass jede Verbindung ungespooft weitergeleitet wird, selbst wenn
es ein CCB 1608 an jedem Ende der Backbone-Verbindung gibt,
das verwendet werden könnte,
um eine der Verbindungen zu spoofen. Da jedoch dieses Szenario sehr
selten ist, wird der verfügbare
CCB 1608 einfach verwendet werden, um die nächste TCP-Verbindung
zu spoofen.
-
Wenn
ein TSK 280 eine CR-Nachricht 403 empfängt und
ein TCP-<SYN>-Segment 401 an
einen lokalen Host sendet, kann er einen lokalen Antwort-Zeitgeber
starten. Falls der Zeitgeber abläuft
bevor eine TCP-<SYN,ACK>-Segment-Antwort 405 von
dem Host empfangen wird, kann der TSK 280 das <SYN>-Segment 401 neu
senden und den Zeitgeber erneut starten. Der TSK 280 wird
das <SYN>-Segment 401 N
mal neu übertragen,
wobei der Neuversuchs-Zähler
N entweder eine zusammengestellte Zeitkonstante oder ein vom Operator
konfigurierbarer Parameter ist. Falls der TSK 280 keine <SYN,ACK>-Segment-405-Antwort nach
N-Versuchen empfängt, kann
daraus geschlossen werden, dass der Host nicht erreichbar ist. Er
kann ein TCP-<RST>-Segment 437 an
den lokalen Host senden für
den Fall, dass das Problem nur für
den Verkehr von dem lokalen Host existiert, und damit der lokale
Host momentan kein <SYN>-Segment 401 empfangen
hat, sendet eine CT-Nachricht 435 an seinen TSK-Partner
(mit einem Grund-Code,
der „keine
Antwort vom lokalen Host" anzeigt)
und dann die Verbindung schließt,
wobei jegliche Datensegmente verworfen werden, die von seinem TSK-Partner
empfangen wurden und für
eine spätere
Auslieferung in eine Warteschlange gesetzt wurden, und wobei die
CCB 1608 der Verbindung freigegeben wird.
-
Das
Verhalten eines TSK 280, wenn er eine CT-Nachricht 435 empfängt, hängt davon
ab, ob der Kern bereits lokal die TCP-Verbindung (d.h. durch Senden
des TCP-<SYN,ACK>-Segments) aufgebaut hat oder nicht.
Falls der TSK 280 die TCP-Verbindung lokal nicht aufgebaut hat,
kann der TSK 280 einfach die Verbindung schließen und
den CCB der Verbindung freigeben. Nichts muss mehr an den lokalen
Host gesendet werden. Falls der TSK 280 die TCP-Verbindung
lokal aufgebaut hat, kann der TSK 280 ein TCP-<RST>-Segment 437 an
den lokalen Host senden und dann die Verbindung schließen.
-
Das „Keine-Antwort-vom-Ziel-Host"-Fehlerszenario ist
in 25 dargestellt.
-
Wenn
der TSK 280 ein TCP-<SYN>-Segment 401 empfängt und
ein TCP-<SYN,ACK>-Segment 405 in
Antwort darauf sendet, kann er einen lokalen Antwort-Zeitgeber starten.
Falls der Zeitgeber abläuft,
bevor eine TCP-<ACK>-Segment-405-Antwort
von dem Host empfangen wurde, um den Drei-Wege-Handshake zu beenden,
kann der TSK 280 das <SYN,ACK>-Segment 405 erneut
senden und den Zeitgeber erneut starten. Der TSK 280 kann
das <SYN,ACK>-Segment 405 N
mal neu übertragen,
wobei der Neuversuchs-Zähler
N entweder eine zusammengesetzte Zeitkonstante oder ein vom Operator
konfigurierbarer Parameter ist. Falls der TSK 280 keine <ACK>-Segment-407-Antwort
nach N-Versuchen emfängt,
kann er daraus schließen,
dass der Host nicht erreichbar ist. Er kann ein TCP-<RST>-Segment 437 an
den lokalen Host senden, nur für
den Fall, dass das Problem nur für
den Verkehr von dem lokalen Host existiert und somit der lokale
Host tatsächlich das <SYN,ACK>-Segment 405 nicht
empfängt,
sendet eine CT-Nachricht 435 an seinen TSK-Partner (mit
einem Grund-Code, der „keine
Antwort vom lokalen Host" anzeigt)
und schließt
die Verbindung, wobei jegliche Datensegmente verworfen werden, die
von seinem TSK-Partner empfangen worden wären (nachdem die CE-Nachricht 419 von
dem TSK empfangen wurde) und für
eine spätere
Auslieferung in die Warteschlange gesetzt worden wäre, bevor
der CCB 1608 der Verbindung freigegeben wurde.
-
Wenn
der TSK-Partner die CT-Nachricht 435 empfängt, kann
er ein TCP-<RST>-Segment 437 an
den lokalen Host senden und die Verbindung schließen. Das „Keine-Antwort-von-dem-Quell-Host"-Fehlerszenario ist
in 26 dargestellt.
-
Nachdem
eine TCP-Verbindung zwischen einem lokalen Host und dem TSK 280 aufgebaut
ist, können der
Host und der TSK 280 Daten untereinander senden. Wenn ein
Datensegment empfangen wird, wird die Plattformumgebung 210 an
den Zeiger auf den CCB 1608 an den TSK 280 zusammen
mit dem empfangenen TCP-Segment
weitergeben. Die Existenz eines CCBs 1608 für die TCP-Verbindung des Segments
(für einen Typ
eines TCP-Segments, der nicht ein <SYN>-Segment 401 ist)
kann als Zeichen dafür
benutzt werden, ob die Verbindung gespooft werden soll oder nicht.
Das Vorhandensein eines CCB 1608 garantiert, dass die TCP-Verbindung gespooft
werden wird (wie in der vorhergehenden Diskussion bezüglich des „nicht
gespooften" Zustands
angegeben). Das Fehlen eines CCBs 1608 kann anzeigen, dass
die TCP-Verbindung
nicht gespooft werden soll.
-
Mit
Bezug auf ein Senden von Daten an den Host (und eine Wiedergewinnung
aus fallengelassenen Datensegmenten) sollte der TSK 280 all
den relevanten Internet-Engineering-Task-Force-(IETF)-Standards folgen,
die TCP betreffen, ein schließlich
der Standards, die einen langsamen Start und eine Stauvermeidung regeln.
Mit Bezug auf den Empfang von Daten von dem Host, kann der TCP ein
Empfangsfenster 441 dem Host anzeigen und die Daten lokal
bestätigen,
die vom Host empfangen werden. Bestätigte Daten können von dem
TSK 280 an seinen TSK-Partner
weitergeleitet werden. Dies ist in 27 dargestellt.
-
Das
Empfangsfenster 441, das von dem TSK 280 dem lokalen
Host in jedem gegebenen TCP-<ACK>-Segment 405 angezeigt
wird, kann das Minimum der Fenster sein, das durch mehrere Berechnungen
bestimmt wurde. Diese Fenster können
durch die Empfangsfenstergröße bestimmt
werden, die in dem ausgewählten
TCP-Spoofing-Profil der TCP-Verbindung konfiguriert ist, durch die
vorhergehende angezeigte Fenstergröße und die Menge an Pufferplatz,
die für
das TCP-Spoofing verfügbar
ist.
-
Ein
Host wird normalerweise eine TCP-Verbindung durch Senden eines TCP-<FIN>-Segments 443 beenden.
Ein <FIN>-Segment 443 zeigt an, dass
der Host keine Daten zum Senden mehr hat, aber die Verbindung nicht
beendet, bis der andere Host ebenfalls ein <FIN>-Segment 443 gesendet
hat, das anzeigt, dass er ebenfalls keine Daten mehr zum senden
hat. Wie in einigen Fällen,
kann ein Host eine Verbindung durch Senden eines TCP-<RST>-Segments 437 beenden.
Ein <RST>-Segment 437 beendet
sofort eine TCP-Verbindung. Allgemein wird eine TCP-Verbindung nur
beendet, indem ein <RST>-Segment 437 benutzt
wird, wenn die Anwendung absichtlich eine Unterbrechung des TCP-Datenflusses
wünscht
oder die Anwendung sicher ist, dass es keine Daten mehr gibt, die übertragen
werden müssen
und die Beendigung der TCP-Verbindung
schneller wünscht
als dies durch Austauschen eines <FIN>-Segments 443 möglich ist.
Der TSK 280 handhabt diese Verbindungs-Beendigungsnachrichten
wie nachfolgend beschrieben.
-
Wenn
ein TSK 280 ein TCP-<FIN>-Segment 443 empfängt, kann
er in einen lokalen FIN-Wartezustand gehen, ein TCP-<ACK>-Segment 407 senden,
um den Empfang des <FIN>-Segments 443 zu
bestätigen
und eine Termination-Pending-(TP)-445-Nachricht (Beendigung-Anhängig-Nachricht)
an seinen TSK-Partner senden. Nach Empfang des <FIN>-Segments 443 kann
der TSK 280 jegliche TCP-Daten verwerfen, die auf der TCP-Verbindung
von dem lokalen Host empfangen werden. Der TSK 280 kann
jedoch weitermachen, Daten anzunehmen und weiterzuleiten, die er
von seinem TSK-Partner empfängt,
bis er eine TP-Nachricht 445 von dem TSK-Partner empfängt. Wenn
der TSK 280 eine TP-Nachricht 445 von seinem TSK-Partner
empfängt,
kann er in einen lokalen FIN-Anhängig-
bzw. FIN-Pending-Zustand gehen. Der TSK 280 kann dann ein
Senden jeglicher Datensegmente fortsetzen, die nicht gesendet und
bestätigt
wurden. Nachdem alle Daten gesendet und bestätigt wurden, kann der TSK 280 dann
ein TCP-<FIN>-Segment 443 an den
lokalen Host senden. Falls es keine Daten gibt, die übrig bleiben,
wenn die TP-Nachricht empfangen wird, kann das <FIN>-Segment 443 sofort
gesendet werden. Wenn der lokale Host das <FIN>-Segment 443 bestätigt, kann
der TSK 280 den „Wartezeit"-Zeitgeber der Verbindung
starten und in den „Wartezeit"-Zustand gehen.
-
Wenn
der TSK 280 eine TP-Nachricht 445 von seinem TSK-Partner
empfängt,
während
er in dem Datenübertragungszustand
ist, kann er in einen Partner-FIN-Wartezustand gelangen. Der TSK 280 kann
dann ein Senden jeglicher Datensegmente fortsetzen, die noch nicht
gesendet und bestätigt
wurden. Nach dem alle Daten gesendet und bestätigt wurden, kann der TSK 280 ein
TCP-<FIN>-Segment 443 an
den lokalen Host senden und in einen Partner-FIN-Anhängig-Zustand
gelangen. Falls keine Daten mehr übrig sind, wenn die TP-Nachricht
empfangen wird, kann das <FIN>-Segment 443 sofort
gesendet werden und der TSK 280 kann in den Partner-FIN-Anhängig-Zustand
gehen. Der TSK 280 setzt die Annahme, die Bestätigung und
das Weiterleiten von Daten fort, die von seinem lokalen Host empfangen
wurden, bis der lokale Host ein TCP-<FIN>-Segment 443 sendet.
Wenn der lokale Host das TCP-<FIN>-Segment 443 sendet,
während
der TSK 280 in dem Partner-FIN-Anhängig-Zustand ist, kann der
TSK 280 ein TCP<ACK>-Segment 441 senden, um
den Empfang des <FIN>-Segments 443 zu
bestätigen
und sendet eine TP-Nachricht 445 an seinen TSK-Partner. Der TSK 280 kann
dann seinen „Wartezeit"-Zeitgeber starten
und in den „Wartezeit"-Zustand gehen. 28 zeigt das Handling des gespooften TCP-Verbindungs-<FIN>-Segments 443.
-
Es
ist für
das letze Segment, bspw. das <RST>-Segment 437 oder das <ACK>-Segment 433 die
in Antwort auf ein <FIN>-Segment 443 gesendet
wurden, möglich,
gesendet zu werden, um eine Verbindung zu schließen, die verlorenging. Der
Zweck des „Wartezeit"-Zustands besteht
darin, den CCB 1608 solange wie möglich zu halten, um das letzte
Segment neu zu senden, falls irgendwelche neuen Segmente für die gleiche Verbidnung
von dem lokalen Host empfangen werden. Bei TCP im Allgemeinen stellt
der „Wartezeit"-Zustand ebenfalls
einen gewissen Schutz gegen die Ankunft von alten Segmenten bereit,
die beim Durchlaufen des Netzwerks signifikant verzögert wurden.
Dieses Problem sollte selten sein, aber kann bei Vorhandensein von temporären Routing-Schleifen
auftreten,
-
Wenn
der „Wartezeit"-Zustand erreicht
wird, wird das Segment, das zu dem Zeitpunkt gesendet wurde, an
dem der Zustand erreicht wurde, (logisch) in eine Warteschlange
gesetzt. Dieses Segment kann in Antwort auf jegliche Segmente (anders
als die <SYN>-Segmente 401)
neu gesendet werden, die von dem lokalen Host für die Verbindung empfangen
werden. Falls kein Segment zum Zeitpunkt des Eintritts in den „Wartezeit"-Zustand gesendet wurde, kann ein TCP-<RST>-Segment 437 gesendet
werden in Antwort auf alle nicht-<SYN>-Segmente, die von
dem lokalen Host für
die Verbindung empfangen werden. Falls ein TCP-<SYN>-Segment 401 empfangen
wird, kann der TSK 280 das <SYN>-Segment 401 in
gleicher Weise verarbeiten, wie er dies für ein <SYN>-Segment 401 tut,
das in dem Geschlossen-„Zustand" empfangen wurde,
mit der Ausnahme, dass der TSK 280 eher den existierenden
CCB 1608 wieder verwendet als dass er einen neuen CCB 1608 belegt.
Es sei angemerkt, dass der „Geschlossen-Zustand" ein logischer Zustand
ist, d.h. er repräsentiert
den Zustand, wenn es keinen CCB 1608 gibt, der für eine TCP-Verbindung belegt
werden kann. Eine Zustandsvariable der TCP-Verbindung wird nicht tatsächlich auf „geschlossen" gesetzt. Der TSK 280 kann
nicht annehmen, dass der CCB 1608 (und damit CID), der
von seinem TSK-Partner verwendet wird, bereits freigegeben wurde.
Selbst wenn die zwei TSK-Partner den gleichen Wert für den „Wartezeit"-Zeitablauf verwenden,
macht es die Laufzeitverzögerung
wahrscheinlich, dass die zwei TSK-Partner ihre „Wartezeit"-Zeitgeber nicht gleichzeitig starten.
-
Wann
immer in den „Wartezeit"-Zustand eingetreten
wird, wird der „Wartezeit"-Zeitgeber gestartet.
Der „Wartezeit"-Zeitablauf wird
als Teil eines ausgewählten
TCP-Spoofing-Parameterprofils
einer TCP-Verbindung konfiguriert. Wenn der „wartezeit"-Zeitgeber abläuft, kann der CCB 1608 von
seiner aktiven CCB-Liste seiner Backbone-Verbindung in den CCB-Freipool bewegt werden.
-
Wenn
der TSK 280 ein TCP-<RST>-Segment 437 von
einem Host empfängt,
kann er die TCP-Verbindung, die gespooft wird, beenden. Die Puffer
von Datensegmenten, die nicht bestätigt oder nicht übertragen wurden,
können
freigegeben werden, eine CT-Nachricht 435 wird an den TSK-Partner
gesendet (mit einem Grund-Code, der ein „<RST>-Segment 437 vom
lokalen Host empfangen" anzeigt),
die Verbindung kann geschlossen werden und der CCB 1608 der
Verbindung wird freigegeben.
-
Wenn
der TSK-Partner die CT-Nachricht 435 empfängt, kann
er Puffer von Datensegmenten freimachen, die weder bestätigt noch übertragen
wurden, und sendet ein TCP-<RST> 437 an seinen
lokalen Host. Der TSK 280 kann dann die Verbindung schließen und
den CCB 1608 der Verbindung freigeben. 29 zeigt die Handhabung eines gespooften TCP-Verbindungs-<RST>-Segments 437.
-
Es
gibt viele TCP-Verbindungs-Beendigungsfehlerszenarien, die von dem
TSK 280 gehandhabt werden können. Es gibt ebenfalls viele
Fehlerszenarien, die zu einer Beendigung der TCP-Verbindungen führen können. Das
nachfolgende beschreibt einige dieser beispielhaften Szenarien.
-
Es
ist für
beide Hosts, die in einer TCP-Verbindung
eingebunden sind, möglich,
zu entscheiden, die Verbindung zu beenden. Falls dies geschieht,
können
die TCP-<FIN>-Segmente 443 von jedem Host
einander zugeleitet werden. Bei einem TCP-Spoofing in der vorliegenden
Erfindung kann dies dazu führen,
dass die TP-Nachrichten 445 einander passieren. Dies verursacht
keinerlei Probleme, da die TSK-Partner nicht erzählen können, dass die TP-Nachrichten 445 einander
passiert haben. Jeder TSK-Partner sieht den Normalfall, nämlich den
Empfang einer TP-Nachricht 445 nach dem Senden einer TP-Nachricht 445. 30 zeigt eine simultane normale Verbindungs-Beendigung.
-
Es
ist für
beide Hosts möglich,
die in einer TCP-Verbindung beteiligt sind, zu entscheiden, die
Verbindung mit einem (oder beiden) Hosts zu beenden, die ein TCP-<RST>-Segment 437 statt einem <FIN>-Segment 443 senden.
Bei einem TCP-Spoofing in der vorliegenden Erfindung kann dies dazu
führen,
dass eine TP-Nachricht 445 eine CT-Nachricht 435 passiert
(oder zwei CT-Nachrichten 435 einander passieren). Dies verursacht
ebenfalls keinerlei Probleme. Der TSK 280, der das <RST>-Segment 437 empfängt, kann
die Verbindung schließen,
wenn er die CT-Nachricht 435 sendet, und kann einfach die
TP 445 (oder CT 435) Nachricht verwerfen, wenn
er sie empfängt.
Ein TSK 280, der ein <FIN>-Segment 443 empfängt, kann
ein <RST>-Segment 437 an
seinen lokalen Host senden und die Verbindung schließen, wenn
er die CT-Nachricht 435 empfängt. 31 zeigt
beispielhafte Szenarien, in denen eine Beendigung mit TCP-<RST>-Segmenten 437 beteiligt ist.
-
Nachdem
der TSK 280 ein TCP-<FIN>-Segment 443 sowohl
gesendet als auch empfangen hat, kann er in den „Wartezeit"-Zustand gelangen. Da es jedoch möglich ist,
dass die Auslieferung von Daten zu einem lokalen Host verzögert wird,
ist es möglich,
dass einer der TSK-Partner den „Wartezeit"- Zustand
betritt, während
der andere TSK-Partner noch versucht, Daten auszuliefern. In einem
Extremfall ist es möglich,
dass der „Wartezeit"-Zeitgeber eines
TSKs für
die TCP-Verbindung abläuft
und den CCB 1608 der TCP-Verbindung freigibt, während sein
TSK-Partner noch versucht, Daten auszuliefern. Dies kann vermieden
werden, indem ein letzter Handshake zwischen den TSK-Partnern gefordert
wird, bevor sie den „Wartezeit"-Zustand verlassen. Allerdings
ist der zusätzliche
Overhead für
diesen Handshake nicht wünschenswert,
insbesondere unter der Annahme, dass dieses Szenario selten sein
sollte. Dies würde
noch nicht verhindern, dass der lokale Host, der sowohl gesendet
als auch ein <FIN>-Segment 443 empfangen
hat, seinen „Wartezeit"-Zustand verlässt.
-
Das
Fehlen eines letzten Handshakes kann einige zusätzliche Fehlerszenarien hervorrufen,
die von dem TSK 280 gehandhabt werden können. Ein Szenario besteht
darin, dass ein CCB 1608 an einem TSK-Partner verfügbar ist,
ohne dass er von einem anderen Partner verfügbar wäre. Dies könnte zu einem nicht erfolgreichen
Versuch führen,
eine TCP-Verbindung zu spoofen. Dies kann jedoch schon aus anderen Gründen durch
den TSK 280 gehandhabt werden.
-
Ein
etwas komplizierteres Szenario taucht auf, falls der lokale Host
versucht, die exakt gleiche TCP-Verbindung
neu zu starten, die zuvor existierte. In diesem Fall könnte der
TSK-Partner, der nicht in der Lage war, die Verbindung richtig zu
beenden, eine CR-Nachricht 403 von einer existierenden
Verbindung empfangen, während
er noch die Daten von der vorhergehenden Verkörperung der Verbindung ausliefert.
Der TSK 280 kann erkennen, dass dies aufgetreten ist, da
er die CCB-Hash-Funktion 1702 auf die Information verwendet,
die in dem TCP-Verbindungs-Header 1201 der CR-Nachricht 403 geliefert
wird, um ein existierenden CCB 1608 zu suchen. Diese Überprüfung kann
verhindern, dass der TSK 280 versucht, eine zweite Instanz
der gleichen TCP-Verbindung aufzubauen. Wenn ein TSK 280 eine
CR-Nachricht 403 vor einer erfolgreichen Beendigung der
vorhergehenden Verkörperung
einer Verbindung empfängt,
kann er die CR-Nachricht 403 durch Senden einer CT-Nachricht 435 an
seinen TSK-Partner ablehnen (mit einem Grund-Code, der anzeigt „vorherige
Verkörperung
dieser Verbindung noch anhängig"). Der TSK-Partner
kann dann den Empfang einer CT-Nachricht 435 in Antwort
auf eine CR-Nachricht 403 in der gleichen Weise handhaben,
wie er dies aus anderen Gründen
beim Empfang einer CT-Nachricht 435 tut.
Der TSK 280 kann weitermachen, jeden neuen Versuch abzulehnen,
die gleiche Verbindung neu zu starten, bis entweder die Daten erfolgreich
ausgeliefert sind oder die Verbindung auf Grund eines nicht-wiederherstellbaren
Fehlers heruntergezogen wird (bspw. erreicht er die maximale Versuchszahl,
während
die Neuübertragung
eines Datensegments versucht wird). 32 zeigt
eine von vielen exemplarischen Versionen des vorzeitigen Verbindungsneustart-Szenarios.
-
Die
TSK 280-Ressourcen (bspw. CCBs) sind allgemein sehr wertvoll,
da sie begrenzt sind. Somit ist es wünschenswert, dass der TSK 280 in
der Lage ist, zu erkennen, wann ein Host gestorben ist, um die Ressourcen
freizugeben, die von den TCP-Verbindungen benutzt werden, die mit
dem Host verknüpft
sind. Wenn der TSK 280 ein TCP-Segment an seinen lokalen
Host sendet, der eine Antwort erfordert, kann er deshalb einen Antwort-Zeitgeber
starten, um auf die Antwort zu warten. Falls keine Antwort empfangen
wird, bevor der Zeitgeber abgelaufen ist, sendet der TSK 280 erneut
das TCP-Segment, für
das auf eine Antwort gewartet wird. Der TSK 280 kann das
TCP-Segment N-mal
neu senden, wobei der Versuchszähler
N entweder eine zusammengesetzte Zeitkonstante oder ein von einem
Operator konfigurierbarer Parameter ist. Falls der TSK 280 keine
geeignete Antwort nach N-Versuchen empfängt, kann er daraus schließen, dass
der Host nicht erreichbar ist. Er wird dann einen TCP-<RST>-Befehl 437 an
den lokalen Host senden und eine CT-Nachricht 435 (mit einem Grund-Code,
der anzeigt „keine
Antwort vom lokalen Host")
an seinen TSK-Partner. Der TSK 280 kann dann den Puffer
von jeglichen Datensegmenten befreien, die weder bestätigt noch
gesendet wurden, und schließt
die Verbindung, wobei der CCB 1608 der Verbindung freigegeben
wird.
-
Wenn
der TSK-Partner die CT-Nachricht 435 empfängt, kann
er ein TCP-<RST>-Segment 437 an
seinen lokalen Host senden, falls geeignet den Puffer von den Datensegmenten
befreien, die nicht bestätigt
und nicht gesendet wurden, und die Verbindung schließen, wobei
der CCB 1608 der Verbindung freigegeben wird.
-
33 zeigt die Handhabung für „keine Antwort vom lokalen
Host" für gespoofte
TCP-Verbindungen in dem Datenübertragungszustand. 25 und 26,
die zuvor diskutiert wurden, zeigen andere Fehlerszenarien für „keine
Antwort vom Host an".
-
Der
Antwort-Zeitgeber kann einen Mechanismus zum Erfassen bereitstellen,
dass ein Host gestorben ist, wenn es ausstehende Daten gibt (oder
eine andere Nachricht). Falls jedoch eine TCP-Verbindung im Leerlauf
ist, d.h. falls es mo mentan keine zu übertragenden Daten auf der
Verbindung gibt, kann der Antwort-Zeitgeber nicht laufen. Der „gestorbene" Host könnte selbst
der Grund sein, warum keine Daten übertragen werden. Um zu erkennen,
wann mit Leerlaufverbindungen verknüpfte Hosts sterben, kann der
TSK 280 einen Keepalive-Zeitgeber laufen lassen, wann immer
eine Verbindung im Leerlauf ist. Wenn der Keepalive-Zeitgeber ausläuft, kann
der TSK 280 eine Keepalive-Nachricht an den lokalen Host
senden. Die Länge
des Keepalive-Zeitgebers wird als Teil eines ausgewählten TCP-Spoofing-Parameter-Profils
einer Verbindung konfiguriert und kann von Minuten bis Stunden reichen.
Das Senden der Keepalive-Nachrichten
kann ebenfalls vollständig gesperrt
werden. Nach dem Senden einer TCP-Keepalive-Nachricht kann der TSK 280 seinen
Antwort-Zeitgeber starten und der Prozedur folgen, um zu erkennen,
ob der lokale Host noch „am
Leben" ist.
-
Eine
TCP-Keepalive-Nachricht kann ein Null-Längen-TCP-Datensegment
sein, das mit einer Sequenznummer gesendet wurde, die mit dem letzten
Byte übereinstimmt,
dass bereits gesendet und bestätigt wurde.
Wenn der Host dieses Datensegment empfängt, kann er es verwerfen (da
es Daten darstellt, die bereits empfangen und bestätigt sind).
Der Host kann jedoch auf dieses Datensegment mit einem <ACK>-Segment antworten,
nur für
den Fall, dass das Datensegment neu gesendet wurde, da sein letztes <ACK>-Segment verloren wurde.
Die TCP-Keepalive-Nachrichten
sind in RFC 1122 beschrieben, dessen gesamter Inhalt hiermit durch
Bezugnahme aufgenommen wird.
-
Die
Backbone-Verbindungen können
auf Grund von Verbindungsfehlern zwischen zwei PEP-Endpunkten 705 versagen
oder auf Grund eines Fehlers eines PEP-Endpunkts 705 selbst. Falls
zu irgendeinem Zeitpunkt der BPK 282 anzeigt (über die
Umgebung 210), dass eine Backbone-Verbindung versagt hat,
kann der TSK 280 alle TCP-Verbindungen beenden, die mit
der ausgefallenen Backbone-Verbindung verknüpft sind. Für jede solche TCP-Verbindung
kann der TSK 280 ein TCP-<RST>-Segment 437 an
seinen lokalen Host senden, den Puffer von jeglichen Datensegmenten
befreien, die nicht bestätigt
und nicht gesendet wurden, und die Verbindung schließen, wobei
der CCB 1608 der Verbindung freigegeben wird. Der TSK 280 kann
ebenfalls die TCP-Verbindungen
beenden, die mit einer Backbone-Verbindung verknüpft sind, die aus bestimmten
Gründen
geschlossen werden muss (bspw. da der Operator sie gelöscht hat).
-
Der
TSK 280 kann periodisch bereitgestellt werden über die
Plattformumgebung 210 mit einer Background-Verarbeitungsmöglichkeit.
Eine der Funktionen, die von dem TSK 280 ausgeführt werden,
während
der Background-Verarbeitungsmöglichkeit,
kann darin bestehen, die TCP-Verbindungs-Zeitabläufe bzw.
-Timeouts zu prüfen.
Bei einer beispielhaften Ausführungsform
kann er die Ablaufzeit des Zeitgebers auf einen Timeout-Wert plus
die aktuelle Systemzeit setzen, wann immer der TSK 280 einen
Zeitgeber startet. Um zu prüfen, ob
ein Zeitgeber abgelaufen ist, kann der TSK 280 die Ablaufzeit
des Zeitgebers mit der aktuellen Systemzeit vergleichen, die von
der Plattformumgebung 210 bereitgestellt wird. Die Systemzeit
kann in Form von Zeitticks dargestellt sein. Die Plattformumgebung 210 wandelt
die Timeout-Parameter, (in der Einheit von Dezisekunden) von dem
Netzwerkmanager bereitgestellt werden, in Systemtickzähler um,
bevor die Parameter zu dem TSK 280 geführt werden.
-
Der
TSK 280 kann Gebrauch machen von der CCB-Abbildungstabelle 1802,
um CCBs 1608 zu finden, die eine Zeitverarbeitung benötigen. Der
TSK 280 kann in einer Round-Robin-Weise durch die Abbildungstabelle 1802 (als
ein Array) wandern, um nach gültigen
CCB-Zeigern zu suchen. Wenn ein gültiger CCB-Zeiger gefunden ist, kann der TSK 280 den
CCB 1608 prüfen,
um zu sehen, ob eine Zeitüberschreitung
bzw. Timeout aufgetreten ist, und wenn Ja, die Zeitüberschreitungen
verarbeiten. Um die CPU nicht zu lange unter der Steuerung zu halten,
kann der TSK 280 die Anzahl der CCBs 1608 beschränken, die
geprüft
werden und die Anzahl der Timeouts, die während jedes Background-Aufrufs verarbeitet
werden. Die spezifischen Grenzen können für jede PEP-Endpunktplattform
unterschiedlich sein.
-
Die
PEP-Endpunktplattformumgebung 210 gibt ein IP-Paket, das
von den lokalen LAN-Schnittstellen 803, 903, 1003, 1103 empfangen
wurden, die ein TCP-Protokolltyp haben, den TSK 280 weiter,
falls das TCP-Spoofing global freigegeben ist, und das TCP-Segment
erfüllt
eine oder beide der nachfolgenden Bedingungen:
- • ein TCP-Verbindungs-Steuerungsblock
existiert für
die TCP-Verbindung, zu der das TCP-Segment gehört;
- • das
TCP-Segment ist ein <SYN>-Segment 401,
das für
ein nicht lokales Ziel bestimmt ist. (Lokale TCP-Verbindungen bspw., TCP-Verbindungen
zwischen Hosts, die lokal zu LAN-Ports eines VSAT liegen, und TCP-Verbindungen, die
nicht mit einem bekannten nicht lokalen Ziel-Teilnetz verknüpft sind,
werden nicht zum TSK 280 weitergeleitet.)
-
Ein
TCP-Segment, das keine der Bedingungen erfüllt, wird entweder lokal weitergeleitet
oder ungespooft (wenn geeignet) durch die Plattformumgebung 210 weitergeleitet.
Der TSK 280 wendet Auswahlkriterien auf die TCP-<SYN>-Segmente 401 an,
um zu bestimmen, ob eine Verbindung gespooft werden sollte oder nicht,
Falls ein Verbindungs-Steuerungsblock für die Verbindung existiert,
hat dann die Verbindung bereits ein Auswahlkriterium angewendet,
für alle
TCP-Segmente. Dies umfasst <SYN>-Segmente 401. TCP-<SYN>-Segmente 401 markieren
allgemein den Start einer neuen Verbindung, aber aus der Sicht der TCP-Zustandsmaschine,
kann ein <SYN>-Segment 401 in
der Mitte einer existierenden Verbindung empfangen werden, um die
Verbindung neu zu synchronisieren oder neu zu starten. Die TCP-<SYN>-Segmente 401, die durch das
Auswahlkriterium fallen, werden zurück zu der Plattformumgebung 210 geführt, um
ungespooft weitergeleitet zu werden. Die nachfolgenden TCP-Segmente,
die für
diese TCP-Verbindungen empfangen werden, werden dann mit keinem
vorhandenen CCB 1608 empfangen und werden damit ebenfalls
ungespooft weitergeleitet.
-
Es
gibt zumindest fünf
beispielhafte Kriterien, die von dem Operator in einer selektiven
TCP-Spoofing-Regel spezifiziert werden können. Das erste beispielhafte
Kriterium ist die Ziel-IP-Adresse. Selektives TCP-Spoofing kann
basierend auf den Ziel-IP-Adressen ausgeführt werden. Eine Maske kann
mit jeder IP-Adresse verknüpft
sein, um eine Mehrfach-Adressübereinstimmung
mit einer einzelnen Regel zu unterstützen. Beispielsweise könnte eine
Maske 0.0.0.255 mit einer Adresse 0.0.0.1 verwendet werden, um eine IP-Adresse
der Form x.x.x.1 auszuwählen,
und eine Maske 255.255.255.0 mit einer Adresse 10.1.1.0 könnte verwendet
werden, um alle IP-Adressen in dem 10.1.1.0-Teilnetz auszuwählen. Eine
Maske 0.0.0.0 stellt einen „Unwichtig"-Wert für das IP-Adressfeld
dar, d.h. eine Maske 0.0.0.0 passt auf alle IP-Adressen.
-
Ein
zweites beispielhaftes Kriterium ist die Quell-IP-Adresse, Selektives
TCP-Spoofing kann basierend auf Quell-IP-Adressen ausgeführt werden.
Wie mit Ziel-IP-Adressen kann eine Maske mit jeder IP-Adresse verknüpft werden,
um mit einer einzigen Regel eine Mehrfach-Adressübereinstimmung zu unterstützen.
-
Ein
drittes beispielhaftes Kriterium ist die TCP-Port-Nummer. Ein selektives
TCP-Spoofing kann basierend auf TCP-Port-Nummern ausgeführt werden.
TCP-Port-Nummern können
den Typ der Anwendung identifizieren, die von einer TCP-Verbindung
ausgeführt
werden. Aktuell zugeordnete TCP-Port-Nummern können an dem nachfolgenden Ort
nachverfolgt werden:
http://www.isi.edu/in-notes/iana/assignments/port-numbers.
-
Port-Nummern-Regeln
können
sowohl auf die TCP-Ziel-
als auch Quell-Port-Nummern angewendet werden, d.h. eine TCP-Port-Nummern-Regel
kann angewendet werden, falls entweder die Ziel- oder die Quell-Port-Nummer übereinstimmt.
Ein Wert von 0 wird als „Unwichtig"-Wert für die TCP-Port-Nummern-Felder
verwendet, d.h. ein Port-Nummern-Wert von 0 in einer Regel stimmt
mit allen TCP-Port-Nummern überein.
-
Ein
viertes beispielhaftes Kriterium sind die TCP-Optionen. Ein selektives
TCP-Spoofing kann basierend auf den TCP-Optionen ausgeführt werden,
die vorhanden sind.
-
Ein
fünftes
beispielhaftes Kriterium ist das IP-DS-Feld. Selektives TCP-Spoofing kann
auf der Basis des Differentiated-Services-(DS)-Feld in dem IP-Header
ausgeführt
werden. Eine Bit-Maske wird in Verbindung mit einem konfigurierten
DS-Feldwert verwendet, um bedeutungsvolle Bits zu spezifizieren.
Eine Maske 0 stellt einen „Unwichtig"-wert für das DS-Feld
dar, d.h. eine Maske 0 passt auf alle DS-Feldwerte. Die Verwendung
des IP-Header-DS-Felds wird in RFCs 2474 und 2475 beschrieben,
deren kompletter Inhalt hiermit durch Bezugnahme aufgenommen wird.
-
Zusätzlich zu
der Unterstützung
selektiver TCP-Spoofing-Regeln
für jedes
dieser Kriterien, können UND
und ODER Kombinationsoperatoren ebenfalls unterstützt werden,
um die Kriterien miteinander zu verknüpfen. Beispielsweise kann bei
Verwendung des UND-Kombinationsoperators eine Regel definiert werden, um
TCP-Spoofing für
FTP-Daten (TCP-Port-Nummer 20) zu sperren, die von einem
spezifischen Host empfangen werden. Die Reihenfolge, in der die
Regeln spezifiziert werden, kann ebenfalls wichtig sein. Es ist
möglich,
dass eine Verbindung die Kriterien mehrerer Regeln erfüllt. Deshalb
kann der TSK 280 die Regeln in der Reihenfolge anwenden,
die von dem Operator spezifiziert ist und die Aktion der ersten
Regel heranziehen, die passt. Eine Default-Regel kann ebenfalls
existieren, die die Aktion definiert, die für die TCP-Verbindungen verwendet
wird, die auf keine der definierten Regeln passen.
-
Nach
dem Prüfen
der selektiven TCP-Spoofing-Regeln,
um zu sehen, ob eine TCP-Verbindung gespooft werden soll, können, bevor
tatsächlich
versucht wird, die Verbindung zu spoofen, einige zusätzliche
Prüfungen
ausgeführt
werden:
- • Gibt
es einen verfügbaren
CCB 1608?
- • Besteht
die passende Backbone-Protokollverbindung zu dem Ziel PEP-Endpunkt?
-
Falls
es keinen verfügbaren
CCB 1608 gibt oder die Backbone-Protokollverbindung zu
dem PEP-Endpunkt 705, der mit der Ziel-IP-Adresse dieser
Verbindung verknüpft
ist, besteht nicht, ist ein Spoofing wahrscheinlich nicht möglich.??
-
Selektive
TCP-Spoofing-Regeln können
von dem Operator in einem selektive TCP-Spoofing-Auswahlprofil 3402 definiert
werden. PEP-Endpunkte 705 können dann definiert werden,
um ein bestimmten TCP-Spoofing-Auswahlprofil 3402 zu verwenden.
Alle PEP-Endpunkte 705 in einem Netzwerk können konffiguriert
sein, um das gleiche Profil zu verwenden. Oder es können unterschiedliche
Profile von den unterschiedlichen Teilnetzen der PEP-Endpunkte 705 verwendet
werden. Es gibt kein Erfordernis, das das gleiche TCP-Spoofing-Auswahlprofil
von den zwei PEP-Endpunkten 705 an den Enden einer Backbone-Verbindung verwendet
wird. Die fehlende Notwendigkeit, dass die gleichen Auswahl-TCP-Spoofing-Regeln
von jedem PEP-Endpunkt 705 verwendet werden, ermöglicht es
dem Operator, noch eine Dimension den Regeln hinzuzufügen. Die
hinzugefügte
Dimension kann ermöglichen,
dass das selektive TCP-Spoofing darauf basiert, von welchem Ende
der Backbone-Verbindung die Verbindung ausgeht. Falls beispielsweise
eine FTP-TCP-Verbindung von einem entfernten Ort ausgeht, kann dies
unterschiedlich behandelt werden als eine FTP-TCP-Verbindung, die
von der Hub-Seite ausgeht. Diese Fähigkeit kann nützlich sein,
sollte aber mit Sorgfalt verwendet werden, um unerwartete Nebeneffekte
zu vermeiden im Hinblick darauf, was und was nicht gespooft wird.
-
Selektive
TCP-Spoofing-Regeln können
verwendet werden, um ein passendes TCP-Spoofing-Auswahlprofil 3042 auszuwählen. Ein
TCP-Spoofing-Parameterprofil 3404 kann anzeigen, ob Verbindungen,
die auf das Profil abgebildet sind, gespooft werden sollen, und
falls Ja, definiert es die Spoofing-Parameter, die für die Verbindungen angewendet
werden sollen, die die Regel erfüllen.
Die Parameter des TCP-Spoofing-Parameterprofils 3404 umfassen
(sind aber nicht notwendigerweise darauf beschränkt):
- • Drei-Wege-Handshake-Spoofing – dieser
Parameter zeigt an, ob ein Drei-Wege-Handshake-Spoofing freigegeben
ist oder gesperrt ist, oder nicht;
- • Verbindungspriorität – dieser
Parameter zeigt die Priorität
an, die für
dieses Profil ausgewählt
werden.
- • Prioritätsdisposition – dieser
Parameter zeigt das passende Handling, das Verwerfen oder das Vorwärtsleiten
ungespooft von TCP-Verbindungen an, die auf dieses TCP-Spoofing-Profil
abgebildet sind, falls eine Backbone-Verbindung für die angegebene
Verbindungspriorität
aktuell nicht verfügbar
ist;
- • TCP-Protokoll-bezogene
Parameter – diese
Parameter sind auf den TCP-Protokoll-Betrieb und insbesondere das
Maximum MSS bezogen, das verwendet werden sollte, auf Keepalive,
Antwort und Wartezeit-Timeouts, etc.
-
Wie
zuvor angegeben, kann ein TCP-Spoofing-Parameterprofil 3404 anzeigen,
ob ein TCP-Spoofing freigegeben ist oder nicht. Falls jedoch alle übrigen Parameter
des TCP-Spoofing-Parameterprofils
bedeutungslos sein können,
wenn das TCP-Spoofing gesperrt wird, wird nur ein TCP-Spoofing-Parameterprofil 3404 bei
gesperrtem TCP-Spoofing benötigt.
Mehr noch als die Notwendigkeit, dass ein solches Profil erzeugt
werden soll, kann ein „nicht
gespooftes"-Profil
immer existieren für
die Auswahl durch eine selektive TCP-Spoofing-Regel. Dieser Lösungsweg
kann die Notwendigkeit nach einem expliziten TCP-Spoofing Freigegeben- oder
Gesperrt-Parameter in dem TCP-Spoofing-Parameterprofil
beseitigen. Ein TCP-Spoofing kann immer in jedem TCP-Spoofing-Parameterprofil
freigegeben sein mit Ausnahme des „Nicht-Gespooft"-Profils.
-
Ein
TCP-Spoofing-Auswahlprofil 3042 kann eine Default-Regel
umfassen, die der Operator konfigurieren kann, um das TCP-Spoofing-Parameterprofil 3404 auszuwählen, dass
das für
TCP-Verbindungen verwendet werden soll, die auf keine der konfigurierten
selektiven TCP-Spoofing-Regeln passen. Der Default-Wert kann das „Nicht-Gespooft"-TCP-Spoofing-Parameterprofil
auswählen,
falls TCP-Verbindungen, die nicht auf eine der selektiven TCP-Spoofing-Regeln
passen, nicht gespooft werden sollten.
-
34 zeigt ein beispielhaftes Verhältnis zwischen
PEP-Endpunkten 905, TCP-Spoofing-Auswahlprofilen 3402 und
TCP-Spoofing-Parameterprofilen 3402. TCP-Spoofing-Parameter profile 3402 können von dem
Operator durch Namen referenziert werden, wenn sie konf figuriert
sind, aber die Namen können
in Indexnummern zur Verwendung durch den TSK 280 konvertiert
werden. Eine Indexnummer von 255 kann verwendet werden,
um das „Nicht-Gespooft"-TCP-Spoofing-Parameterprofil 3502 anzuzeigen,
Dies ist beispielhaft in 35 angegeben.
-
Wenn
ein TSK 280 den Drei-Wege-Handshake spooft, indem auf ein
TCP-<SYN>-Segment 401 ohne Warten
auf eine Antwort geantwortet wird, die von dem entfernten Host empfangen
werden soll, kann er eine vom Operator konfigurierte maximale Segmentgröße an den
Host in einer MSS-Option in dem TCP<SYN,ACK>-Segment 403 senden. Später, nachdem
sein TSK-Partner seinen lokalen Drei-Wege-Handshake beendet hat,
kann der TSK 280 den maximalen Segmentgrößenwert
empfangen, der von dem entfernten Host an den TSK-Partner gesendet
wurde. Falls der entfernte Host einen MSS anzeigt, der kleiner ist
als der MSS, der von dem lokalen Host vom TSK gesendet wurde (bspw.
sendet der TSK eine MSS-Option von 1460, während der
entfernte Host eine MSS-Option von 536 sendet), existiert
eine maximale Segmentgrößenfehlanpassung.
-
Eine
maximale Segmentgrößenfehlanpassung
kann dazu führen,
dass der TSK 280 ein TCP-Datensegment von der Backbone-Verbindung
empfängt,
das größer ist
als die maximale Segmentgröße, die
von seinem lokalen Host angegeben wurde. Der TSK 280 könnte es
einfach weiterleiten. Und in vielen Fällen würde dies funktionieren, da
die Puffergröße des Hosts
tatsächlich
gleich ist zu der MTU. In einigen Fällen würde jedoch die größere Segmentgröße den Puffer
des Hosts überlaufen
lassen, was dazu führt,
dass das Segment verworfen wird. Jede Neuübertragung des Segments würde in ähnlicher
Weise verworfen werden.
-
Um
dieses Problem zu verhindern, enthält der TSK 280 eine
Fähigkeit,
Datensegmente neu zu bemessen, die eher von seinem TSK-Partner empfängt, bevor
sie an den lokalen Host gesendet werden. Diese Fähigkeit ist nachfolgend beschrieben.
Neu bemessene Segmente benötigen
jedoch CPU und können
dem TSK 280 Komplexität
hinzufügen.
Der TSK 280 kann von einer Operatorkonfiguration abhängen, um
das Problem zu verhindern. Der Operator konfiguriert den MSS, der
für eine
Verbindung in einem TCP-Spoofing-Parameterprofil verwendet wird,
und benutzt Auswahlregeln, um die Verbindung auf das Profil abzubilden.
-
Während bekannt
ist, welche Hosts auf welche MSS-Werte abgebildet werden, scheint
es arbeitsintensiv zu sein (es erscheint, dass der Operator benötigt wird,
um diesen Wert für
alle Hosts des Netzwerks zu bestimmen), ist aber in der Praxis nicht
so schwierig. Erstens unterstützen
die meisten TCP-Implementierungen (bei denen die Anzahl mit der
Zeit ansteigt) einen MSS, der auf der MTU der Pfade basiert, die
von der Verbindung benutzt werden, wobei der Default-Wert der MSS
(1460 Bytes) ist, der von der Ethernet MTU (1500 Bytes) unterstützt wird.
Wenn ein Host eine TCP-Verbindung initiiert, sendet er eine MSS-Option
in seinem TCP-<SYN>-Segment 401. Somit
lernt der TSK 280 den MSS des initiierenden Hosts, wenn
er versucht, eine Verbindung aufzubauen. Es ist nur die MSS des
antwortenden Hosts, die von dem TSK 280 „geraten" werden muss, um
das TCP-Drei-Wege-Handshake zu spoofen. Ein TSK-Partner, der eine
CR-Nachricht 403 empfängt,
kann den MSS-Wert in der CR-Nachricht
verwenden, um die Verbindung auf seiner Seite der Verbindung zu
initiieren. Da die meisten VSAT-basierten Intranet-TCP-Verbindungen
von den Anwendungen auf der Client-Seite (bspw. Webbrowser) initiiert
werden, bedeutet dies allgemein, dass es nur die Hosts auf der Server-Seite
sind, für
die der Operator die unterstützten
MSS-Werte kennen muss. Da die Hosts auf der Server-Seite dazu tendieren,
Server zu sein, unterstützen
die Hosts auf der Server-Seite sehr wahrscheinlich den maximalen
(für Ethernet)
MSS-Wert vn 1460 Byte.
-
Obgleich
jedoch das Konfigurieren des MSS nicht schwierig sein sollte, umfasst
das Spoofing in der vorliegenden Erfindung einen zusätzlichen
Mechanismus, der in Fällen
eingesetzt werden kann, in denen der Operator der MSS nicht sicher
sein kann. Dieser Mechanismus ist in der Fähigkeit zu sehen, das Drei-Wege-Handshake-Spoofing
zu sperren, um damit der MSS eine Verbindung zu ermöglichen,
die von Ende zu Ende festgelegt wird. Der Operator kann das Drei-Wege-Handshake-Spoofing über einen
Parameter in dem TCP-Spoofing-Parameter in dem TCP-Spoofing-Parameterprofil 3404 sperren.
Im Normalfall wird das Drei-Wege-Handshake-Spoofing freigegeben
sein, um die Leistungsvorteile zu haben, die es bereitstellt.
-
Wie
zuvor angedeutet, kann ein Spoofen des Drei-Wege-Handshakes möglicherweise zu einer MSS-Fehlanpassung
führen,
falls der PEP-Endpunkt 705 ein größeres MSS in dem TCP<SYN,ACK>-Segment 405 angibt,
das er sendet, als der entfernte Host endgültig in seiner <SYN,ACK>-Segment 405 angegeben
hat.
-
Um
sich von einer MSS-Fehlanpassung dynamisch zu erholen, falls der
TSK 280 ein TCP-Datensegment von der Backbone-Verbindung
empfängt,
das größer ist
als die maximale Seg mentgröße, die
er an den lokalen Host auf der Verbindung senden kann, könnte der
TSK 280 das Segment in mehrere kleinere Segmente aufbrechen,
bevor sie zu dem lokalen Host weitergeleitet werden. Dies könnte in
der TCP-Schicht geschehen, nicht in der IP-Schicht, d.h. dies wird
nicht über
IP-Paketfragmentierung getan.
-
Das
Aufbrechen eines großen
Segments in zwei oder mehrere kleinere Segmente ist in 36 gezeigt. Bei einem freigegebenen Drei-Wege-Handshake-Spoofing
wird der TSK 280 auf ein TCP-<SYN>-Segment 401 mit
einem TCP-<SYN,ACK>-Segment 461 antworten,
das einen MSS-Wert anzeigt, der gleich dem Wert ist, der in dem
ausgewählten
TCP-Spoofing-Parameterprofil 3404 konfiguriert ist. Falls
der entfernte Host 406 auf das TCP-<SYN>-Segment 415 antwortet,
dass von dem entfernten PEP-Endpunkt 404 gesendet wurde,
mit einem TCP-<SYN,ACK>-Segment 467,
das ein MSS hat, das kleiner ist als das von dem lokalen PEP-Endpunkt 402 an
den lokalen Host 400 gesendete, kann der lokale Host 400 ein
TCP-Datensegment 463 senden, das größer ist als der von dem entfernten
Host 406 gesendete MSS. Wenn dies passiert, muss der TSK 280 in
dem entfernten PEP-Endpunkt 404 die große TD-Nachricht 465 in mehrere kleinere
TCP-Datensegmente 469, 471 aufbrechen, bevor sie
an den entfernten Host 406 weitergeleitet werden.
-
Das
Aufbrechen großer
Segmente in ausreichend kleine Segmente garantiert, dass die Segmente
von dem lokalen Host angenommen werden. Aber das Aufbrechen großer Segmente
in kleinere Segmente hat für den
PEP-Endpunkt 705 einen CPU-Nachteil, der damit einhergeht. Das
Ausmaß des
CPU-Nachteils für
eine einzelne PEP-Endpunktplattform kann abhängig sein von der Pufferstrategie,
die in der Plattform verwendet wird. Falls bspw. eine Kette von
kleinen physischen Puffern verwendet wird, umfasst das Aufbrechen
eines großen
Segments in kleine Segmente hauptsächlich das Aufbrechen der Pufferkette
in geeignete Plätze
und kann ohne Kopieren von Daten ausgeführt werden. Falls jedoch ein
einzelner großer
physischer Puffer verwendet wird, würde das Aufbrechen eines großen Segments
in kleine Segmente ein Datenkopieren umfassen.
-
Während maximale
Segmentgrößenfehlanpassungen
eine CPU-Strafe bzw. einen Nachteil nach sich ziehen, verbessert
das Senden großer
Segmente über
die Backbone-Verbindung die Bandbreiteneffizienz durch Reduzieren
des Header-Überhangs
bzw. Overheads. In einigen Fällen
kann es wünschenswerter
sein, Bandbreite effizienter zu nutzen auf Kosten der Verwendung
von CPU in den PEP-Endpunkten 705. Falls ein Segment neu
bemessen implementiert ist, kann der Operator die für eine TCP-Verbindung zu verwendende MSS
absichtlich größer als
die aktuell von dem Host unterstützte
MSS konfigurieren.
-
Falls
eine MSS-Fehlanpassung auftritt, falls von dem Operator so konfiguriert,
könnte
der TCP-Spoofing-Kern 280 versuchen, den Host am sendenden
Ende dazu zu bringen, die Größe des MSS
zu reduzieren, die er verwendet, um Daten über das Wide Area Network zu
senden. Ein Mechanismus, der verwendet werden könnte, um dies auszuführen, basiert
auf dem Path MTU (PMTU) Discovery-Algorithmus, der in RFC 1191 beschrieben
ist, dessen gesamter Inhalt hiermit durch Bezugnahme aufgenommen
wird. Die PMTU-Discovery arbeitet, indem das „Nichtfragmentieren"-Bit in dem IP-Header
aller IP-Pakete, die gesendet werden, gesetzt wird, einschließlich der
TCP-Datensegmente. Falls dann ein Paket von einem Router empfangen
wird, das zu groß ist
für die
MTU des nächsten
Sprungs des Pfads, sendet der Router eine ICMP „Datagramm-zu-groß"-Nachricht. Die ICMP „Datagramm-zu-groß"-Nachricht umfasst
ein Kennzeichen des nächsten
Sprung-MTU. Dies
ermöglicht,
dass der Host die ursprünglichen
TCP-Datensegmente
in kleinere Segmente aufbricht und sie nochmals sendet.
-
Um
einer maximalen Segmentgrößenfehlanpassung
entgegenzutreten, könnte
der TSK 280 versuchen, das PMTU-Discovery-Verhalten des End-Hosts aufzurufen.
Falls der TSK 280 eine CE-Nachricht 419 von seinem
TSK-Partner mit einem MSS empfängt,
das kleiner ist als das MSS, das es bereits lokal zu dem End-Host
gesendet hat, würde
der TSK 280 eine ICMP-„Datagramm-zu-groß"-Nachricht an den
Host erzeugen, die an einen MTU-Wert, der mit dem kleineren MSS übereinstimmt.
Der Host würde
hoffentlich darauf reagieren, indem er kleinere TCP-Datensegmente zu
senden beginnt. Falls dies nicht so ist, könnte der TSK-280-Partner
dazu gezwungen werden, kontinuierlich größere Segmente in kleinere Segmente
aufzubrechen. Aber dies ist nicht anders als wenn keine ICMP-Nachricht
gesendet würde.
Es sei angemerkt, dass selbst wenn die ICMP-„Datagramm-zu-groß"-Nachricht nicht
arbeitet, der End-Host bereits einige größere TCP-Datensegmente gesendet
haben kann, die von dem TSK 280 lokal bestätigt werden
würden.
Diese großen
Datensegmente müssten
in kleinere Segmente vor dem Senden an den Ziel-Host aufgebrochen
werden. Aber die CPU, die dies durchführen muss, würde nur
für die
ersten paar Datensegmente beansprucht werden.
-
Das
Reduzieren der maximalen Segmentgröße, die von dem Host verwendet
wird, ist in 37 dargestellt. Wenn der lokale
PEP-Endpunkt 402 die CE-Nachricht 473 empfängt, die
anzeigt, dass ein kleinerer MSS von dem entfernten Host 406 verwendet
wird, als dies von dem lokalen Host 400 angezeigt wurde,
kann der TSK 280 eine ICMP-„Datagramm-zu-groß"-Nachricht 475 senden,
die anzeigt, dass der MTU des Netzwerks nun gleich dem MSS ist,
der von dem entfernten Host 406 gesendet wurde, plus der
Größe des IP-
und TCP-Headers (40 Byte). Der lokale Host 400 kann dann
das Starten der TCP-Datensegmente 477 beginnen, die mit
dem MSS übereinstimmen,
der von dem entfernten Host 406 verwendet wird.
-
Wie
zuvor angegeben, würde
der Versuch, die maximale Segmentgröße, die von einem Host gesendet wird,
zu reduzieren, von einer Operatorkonfiguration gesteuert. Im Normalfall
würde die
MSS-Reduktion freigegeben sein. Aber der Operator könnte sie
für spezifische
Verbindungen mittels der TCP-Spoofing-Parameterprofile,
die für
die Verbindungen ausgewählt
werden, sperren. Der Operator könnte
das Abschalten der MSS-Reduktions-ICMP-Nachrichten
auswählen,
entweder weil einige unvorhergesehene Nebenwirkungen der Benutzung
mit bestimmten Hosts eingetreten sind oder wegen einer Entscheidung,
die CPU in den PEP-Endpunkten 705 zum Aufbrechen großer Segmente
in kleine Segmente einzusetzen, um Bandbreiteneffizienz für das Wide
Area Network zu gewinnen, die mit der Verwendung größerer Pakete über das
WAN verknüpft
ist.
-
Falls
aus einem bestimmten Grund ein Host den MSS-Wert ignoriert, der
ihm von den TSK gesendet wurde, und ein Segment größer als
die konfigurierte MSS an den TSK sendet, kann der TSK das Segment verwerfen.
Dies kann möglicherweise
dazu führen,
dass die TCP-Verbindung fehlschlägt
und eine In tervention des Operators erfordert, um dies zu korrigieren.
Allerdings könnte
das Nichtverwerfen solcher Segmente dazu führen, dass die Backbone-Verbindung
ausfällt
und ein Backbone-Verbindungsausfall
würde viele
TCP-Verbindungen anstelle nur einer betreffen.
-
Wenn
ein TSK 280 eine Fenstergröße bestimmen muss, um sie in
einem TCP-Segment anzugeben, startet er durch Aufruf der Plattformumgebung 210,
um die aktuelle LAN zu WAN-Puffergröße zu erhalten,
die für
die Backbone-Verbindung verfügbar
ist, die mit der gespooften TCP-Verbindung verknüpft ist. Der TSK 280 dividiert
dann diese Anzahl durch die Anzahl der TCP-Verbindungen, die aktuell
die Backbone-Verbindung benutzen (der TSK verfolgt die Anzahl der
TCP-Verbindungen, die eine Backbone-Verbindung benutzen, in dem TCB
der Backbone-Verbindung
und erhöht
den Zähler,
wann immer ein CCB belegt wird und verringert den Zähler, wann
immer ein CCB freigegeben wird.) Der TSK 280 wandelt dann
diesen Wert von Puffer in Bytes durch Multiplizieren der Anzahl
der Puffer mit dem MSS um, der von dem lokalen Host benutzt wird,
um TCP-Segmente an den TSK 280 zu senden. Dieser Wert stellt
die mögliche
Fenstergröße dar,
die angezeigt werden kann. Der TSK muss jedoch zwei zusätzliche Überprüfungen durchführen, bevor
er diesen wert verwendet. Der mögliche
Wert wird zuerst mit der Fenstergrößen-Grenze verglichen. Falls der mögliche Wert
größer ist
als die Fenstergrößen-Grenze,
wird statt dessen die Fenstergrößen-Grenze angezeigt.
Falls der mögliche
Wert kleiner ist als die Fenstergrößen-Grenze, prüft der TSK 280 dann,
um zu sehen, ob das Anzeigen des möglichen Werts das Fenster auf
einen Wert schrumpfen ließe,
der kleiner ist als der zuvor angezeigte (d.h. es würde das
rechte Ende des drehenden Fensters nach links bewegt). Ein TCP-Empfänger wird
das Fenster nicht schrumpfen. Falls deshalb der mögliche Wert
das Fenster schrumpfen würde,
zeigt der TSK 280 statt dessen das kleinste mögliche Fenster
an, das nicht das zuvor angezeigte Fenster schrumpfen würde (d.h. der
Wert, der anzeigt, dass das rechte Ende des Fensters an der gleichen
Stelle gehalten wird).
-
38 zeigt ein Compute rsystem 3601, auf
dem die Ausführungsform
der vorliegenden Erfindung implementiert sein kann. Ein solches
Computersystem 3601 kann als Server konfiguriert sein,
um den Code auszuführen,
der die PEP-Funktionen
des PEP-Endpunkts 210, wie zuvor diskutiert, ausführt. Das
Computersystem 3601 umfasst einen Bus 3603 oder
einen anderen Kommunikationsmechanismus zur Kommunikation von Information,
und einen Prozessor 3605, der mit dem Bus 3603 zur
Verarbeitung der Information gekoppelt ist. Das Computersystem 3601 umfasst
ebenfalls einen Hauptspeicher 3607, wie beispielsweise
einen Speicher mit wahlfreiem Zugriff (RAM) oder einer anderen dynamischen
Speichervorrichtung, die mit dem Bus 3603 gekoppelt ist,
um Information und Befehle zu speichern, die von dem Prozessor 3605 ausgeführt werden.
Zusätzlich
kann der Hauptspeicher 3607 zum Speichern temporärer Variablen
oder anderer Zwischeninformation während der Ausführung der
Befehle verwendet werden, die von dem Prozessor 3605 ausgeführt werden.
Der Hauptspeicher 3607 kann ebenfalls verwendet werden,
um PEP-Steuerungsblöcke und
Puffer zu teilen, die Pakete speichern. Das Computersystem 3601 umfasst
ferner einen Nur-Lese-Speicher (ROM) 3609 oder eine andere
statische Speichervorrichtung, die mit dem Bus 3603 zum
Speichern statischer Information und Befehle für den Prozessor 3605 verbunden
ist. Eine Speichervorrichtung 3611, wie beispielsweise
eine Magnetplatte oder eine optische Platte, ist vorgesehen und
mit dem Bus 3603 zum Speichern von Information und Befehlen verbunden.
-
Das
Computersystem 3601 kann über den Bus 3603 mit
einem Display 3613 gekoppelt sein, wie beispielsweise eine
Kathodenstrahlröhre
(CRT), um Information einem Computernutzer anzuzeigen. Eine Eingabevorrichtung 3615,
die alphanumerische und andere Tasten umfasst, ist mit dem Bus 3603 zur
Kommunikation von Information und zur Befehlsauswahl an den Prozessor 3605 verbunden.
Ein anderer Typ von Benutzereingabevorrichtung ist die Cursorsteuerung 3617,
wie beispielsweise eine Maus, ein Trackball oder Cursorrichtungstasten
zur Kommunikation von Richtungsinformation und Befehlsauswahlen
an den Prozessor 3605 und zum Steuern der Cursorbewegung
auf dem Display 3613.
-
Ausführungsformen
werden auf die Benutzung des Computersystems 3601 bezogen,
um die PEP-Funktionen des PEP-Endpunkts 210 auszuführen. Entsprechend
einer Ausführungsform
wird dieser automatische Update-Lösungsweg von dem Computersystem 3601 in
Antwort auf den Prozessor 3605 bereitgestellt, der ein
oder mehrere Sequenzen einer oder mehrerer Befehle ausführt, die
in dem Hauptspeicher 3607 gespeichert sind. Solche Befehle
können
in den Hauptspeicher 3607 aus einem anderen computerlesbaren Medium,
wie beispielsweise eine Speichervorrichtung 3611, gelesen
werden. Die Ausführung
der Sequenzen von Befehlen, die in dem Hauptspeicher 3607 enthalten
sind, lässt
den Prozessor 3605 die hier beschriebenen Verfahrensschritte
ausführen.
Einer oder mehrere Prozessoren in einer Mehrprozessor-Anordnung
können ebenfalls
verwendet werden, um die Sequenz bzw. Folge von Befehlen auszuführen, die
in dem Hauptspeicher 3607 enthalten sind. In alternativen
Ausführungsformen
kann eine fest verdrahtete Schaltung anstelle oder in Kombination
mit Softwarebefehlen verwendet werden. Somit sind die Ausführungsformen
nicht auf spezifische Kombinationen von Hardwareschaltung und Software
begrenzt.
-
Der
Begriff "computerlesbares
Medium", wie er
hier verwendet wird, betrifft jegliches Medium, das bei der Bereitstellung
von Befehlen an den Prozessor 3605 zur Ausführung der
PEP-Funktionen des PEP-Endpunkts 210 teilhaben kann. Ein
solches Medium kann viele Formen annehmen, einschließlich, aber
nicht beschränkend
auf nicht flüchtige
Medien, flüchtige
Medien und Übertragungsmedien.
Nicht flüchtige
Medien umfassen beispielsweise optische oder magnetische Platten,
wie beispielsweise eine Speichervorrichtung 3611. Flüchtige Medien
umfassen dynamische Speicher, wie beispielsweise den Hauptspeicher 3607. Übertragungsmedien
umfassen Koaxialkabel, Kupferleitungen und Faseroptiken, einschließlich der
Drähte
bzw. Leitungen des vorhandenen Busses 3603. Das Übertragungsmedium
kann ebenfalls die Form akustischer Wellen oder Lichtwellen annehmen,
wie beispielsweise jene, die während
einer Funkwellen- und Infrarotdatenkommunikation erzeugt werden.
-
Allgemeine
Formen von computerlesbaren Medien umfassen beispielsweise eine
Floppy Disk, eine flexible Disk, eine Harddisk, Magnetbänder oder
andere magnetische Medien, ein CD-ROM, andere optische Medien, Lochkarten,
Papierbänder
und andere physikalische Medien mit Lochmustern, RAM, PROM, und EPROM,
ein FLASH-EPROM oder andere Speicherchips oder Karten, Trägerwellen,
wie nachfolgend beschrieben, oder andere Medien, von denen ein Computer
lesen kann.
-
Verschiedene
Formen computerlesbarer Medien können
beteiligt sein, ein oder mehrere Sequenzen einer oder mehrerer Befehle
für den
Prozessor 3605 zur Ausführung
zu tragen. Beispielsweise können
die Befehle anfänglich
auf einer Magnetplatte eines entfernten Computers liegen. Der entfernte
Computer kann die Befehle, die die Ausführung der PEP-Funktionen des
PEP-Endpunkts 210 betreffen, in seinen dynamischen Speicher
laden, und die Befehle über
eine Telefonleitung unter Einsatz eines Modems senden. Ein Modem, das
lokal am Computersystem 3601 vorhanden ist, kann die Daten
auf der Telefonleitung empfangen und einen Infrarotsender benutzen,
um die Daten in ein Infrarotsignal umzuwandeln. Ein Infrarotdetektor,
der mit dem Bus 3603 verbunden ist, kann die Daten, die
in dem Infrarotsignal getragen werden, empfangen und die Daten auf
den Bus 3603 bringen. Der Bus 3603 trägt die Daten
zu dem Hauptspeicher 3607, aus dem der Prozessor 3605 die
Befehle holt und ausführt.
Diese Befehle, die von dem Hauptspeicher 3607 empfangen
werden, können
optional auf der Speichervorrichtung 3611 entweder vor
oder nach der Ausführung
durch den Prozessor 3605 gespeichert werden.
-
Das
Computersystem ×01
umfasst auch eine oder mehrere Kommunikationsschnittstellen 3619,
die mit dem Bus 3603 gekoppelt sind. Die Kommunikationsschnittstellen 3619 bieten
eine Zwei-Wege-Datenkommunikation, die die Netzwerkverbindungen 3621 und 3622 koppelt,
die mit einem local area network (LAN) 3623 bzw. einem
wide area network 3624 verbunden sind. Ein WAN 3624 entsprechend
einer Ausführungsform
der vorliegenden Erfindung kann ein Satellitennetzwerk sein. Beispielsweise
kann die Kommunikationsschnittstelle 3619 eine Netzwerkschnittstellenkarte
sein, die mit jedem Paket vermittelten LAN verbunden werden kann.
Als weiteres Beispiel kann eine Kommunikationsschnittstelle 3619 eine
asymmetrical digital subscriber line (ADSL) Karte sein, eine integrated
services digital network (ISDN) Karte sein, ein Kabelmodem oder ein
Modem sein, um eine Datenkommunikationsverbindung mit einer entsprechenden
Telefonleitung herzustellen. Drahtlose Verbindungen können ebenfalls
implementiert sein. Bei einer solchen Implementierung sendet die
Kommunikationsschnittstelle 3619 und empfängt elektrische,
elektromagnetische oder optische Signale, die digitale Datenströme tragen,
die verschiedene Typen von Information darstellen.
-
Die
Netzwerkverbindung 3621 stellt typischerweise eine Datenkommunikation über ein
oder mehrere Netzwerke zu anderen Datenvorrichtungen bereit. Die
Netzwerkverbindung 3621 kann beispielsweise eine Verbindung
durch ein Local-area-Netzwerk 3623 zu
einem Host-Computer 3625 oder zu einem Datengerät bereitstellen,
das von einem Internet Service Provider (ISP) 3627 betrieben
wird. Der ISP 3627 stellt wiederum Datenkommunikationsdienste über das
Internet 505 bereit. Zusätzlich ist das LAN 3623 mit
einem Intranet ×29 verbunden.
Das Intranet ×29,
das LAN ×23
und das Internet 505 benutzen alle elektrische, elektromagnetische oder
optische Signale, die digitale Datenströme tragen. Die Signale durch
die verschiedenen Netzwerke und die Signale auf der Netzwerkverbindung 3621 und
durch die Kommunikationsschnittstelle 3519, die digitale Daten
zu und von dem Computersystem 3601 tragen, sind beispielhafte
Formen von Trägerwellen,
die Information tragen.
-
Das
Computersystem 3601 kann Nachrichten senden und Daten empfangen,
einschließlich
Programmcode, über
das Netzwerk/die Netzwerke, Netzwerkverbindung 3621 und
Kommunikationsschnittstelle 3619. Bei dem Internetbeispiel
könnte
ein Server ×31
einen Anforderungscode für
ein Anwendungsprogramm über
das Internet 505, ISP 3627, LAN 3623 und
Kommunikationsschnittstelle 3619 senden.
-
Der
empfangene Code kann von dem Prozessor 3605 bei dessen
Empfang ausgeführt
werden und/oder in der Speichervorrichtung 3611, oder einem
nicht flüchtigen
Speicher zur späteren
Ausführung
gespeichert werden. Auf diese Art und Weise kann das Computersystem 3601 Anwendungscode
in Form einer Trägerwelle
erhalten.
-
Das
Computersystem 3601 kann Mitteilungen senden und Daten
empfangen, einschließlich
Programmcode, über
das Netzwerk/die Netzwerke, die Netzwerkverbindung 3621 und
Kommunikationsschnittstellen 3619.
-
Die
hier beschriebenen Techniken liefern mehrere Vorteile gegenüber bekannten
Lösungen,
um die Netzwerkleistung zu verbessern, insbesondere in einem paketvermittelten
Netzwerk wie das Internet. Ein lokaler PEP-Endpunkt und ein entfernter
PEP-Endpunkt kommunizieren, um den Austausch von Daten über eine
TCP-Spoofing-Funktionalität
zu optimieren. Eine Vereinfachung der Konfiguration der Endpunkte
durch Verwendung von Profilen wird bereitgestellt.
-
Offensichtlich
sind zahlreiche Modifikationen und Veränderungen der vorliegenden
Erfindung im Lichte der vorherigen Lehren möglich. Es versteht sich deshalb,
dass innerhalb des Rahmens der angehängten Ansprüche die Erfindung auch anders
als speziell hier beschrieben praktiziert werden kann.