IPv4与IPv6业务-IP性能技术介绍-D.docx

， ， IPv4与IPv6业务IP性能技术介绍 技术介绍IPv4/IPv6 业务 技术介绍 IPv4/IPv6 业务 目 录 i i 目 录 IP性能 1 接收和发送定向广播报文 1 接口的TCP最大报文段长度 1 TCP的SYN Cookie功能 1 防止Naptha攻击功能 2 TCP定时器及缓冲区 2 ICMP差错报文发送功能 3 技术介绍IPv4/IPv6 业务 技术介绍 IPv4/IPv6 业务 IP 性能 PAGE PAGE 1 IP 性能 在一些特定的网络环境里，需要调整 IP 的参数，以便网络性能达到最佳。影响 IP 性能的配置包括： 接收和发送定向广播报文 接口的 TCP 最大报文段长度 TCP 的 SYN Cookie 和防止 Naptha 攻击功能 TCP 定时器 TCP 连接的接收和发送缓冲区的大小 ICMP 差错报文发送功能 接收和发送定向广播报文 定向广播报文是指发送给特定网络的广播报文。该报文的目的 IP 地址中网络号码字段为特定网络的网络号，主机号码字段为全 1。 如果允许设备接收并转发目的地址为接口所在网络的定向广播报文，黑客就可以利用这样的报文来攻击网络系统，给网络的安全带来了很大的隐患。因此，缺省情况下，设备禁止接收和转发接口所在网络的定向广播报文。 在某些应用环境下，设备需要转发定向广播报文，例如： 使用 UDP Helper 功能，将广播报文转换为单播报文发送给指定的服务器。 使用 Wake on LAN（网络唤醒）功能，发送定向广播报文唤醒远程网络中的计算机。 在上述情况下，用户可以通过命令配置设备允许接收和转发定向广播报文。 接口的TCP 最大报文段长度 接口上 TCP 最大报文段长度决定了该接口上的 TCP 报文是否需要分段。当接口上发送的 TCP 报文的长度小于接口上 TCP 最大报文段长度时，TCP 报文不需要分段；否则，需要对 TCP 报文按照最大报文段长度进行分段处理。 TCP 的SYN Cookie 功能 一般情况下，TCP 连接的建立需要经过三次握手，即： TCP 连接请求的发起者向目标服务器发送 SYN 报文； 目标服务器收到SYN 报文后，建立处于SYN_RECEIVED 状态的TCP 半连接， 并向发起者回复 SYN ACK 报文，等待发起者的回应； 发起者收到 SYN ACK 报文后，回应 ACK 报文，这样 TCP 连接就建立起来了。 利用 TCP 连接的建立过程，一些恶意的攻击者可以进行 SYN Flood 攻击。攻击者向服务器发送大量请求建立 TCP 连接的 SYN 报文，而不回应服务器的 SYN ACK 报文，导致服务器上建立了大量的 TCP 半连接。从而，达到耗费服务器资源，使服务器无法处理正常业务的目的。 SYN Cookie 功能用来防止 SYN Flood 攻击。当服务器收到 TCP 连接请求时，不建立 TCP 半连接，而直接向发起者回复 SYN ACK 报文。服务器接收到发起者回应的ACK 报文后，才建立连接，并进入 ESTABLISHED 状态。通过这种方式，可以避免在服务器上建立大量的 TCP 半连接，防止服务器受到 SYN Flood 攻击。 防止 Naptha 攻击功能 Naptha 攻击类似于 SYN Flood 攻击，所不同的是 Naptha 攻击可利用 TCP 连接的 CLOSING 、 ESTABLISHED 、 FIN_WAIT_1 、 FIN_WAIT_2 、 LAST_ACK 和 SYN_RECEIVED 六种 状态来达 到攻击目 的，而 SYN Flood 只是利用 SYN_RECEIVED 状态。 Naptha 攻击通过控制大量主机与服务器建立 TCP 连接，并使这些连接处于同一种状态（上述六种状态中的一种），而不请求任何数据，从而达到消耗服务器的内存资源，导致服务器无法处理正常业务的目的。 防止 Naptha 攻击功能通过加速 TCP 状态的老化，来降低服务器遭受 Naptha 攻击的风险。使能防止 Naptha 攻击功能后，设备周期性地检测处于上述六种状态的 TCP 连接数，如果检测到某个状态的 TCP 连接数目超过设定的最大连接数，则加速该状态下 TCP 连接的老化。 TCP 定时器及缓冲区 synwait 定时器：当发送 SYN 报文时，TCP 启动 synwait 定时器，如果 synwait 超时前未收到回应报文，则 TCP 连接建立不成功。 finwait 定时器：当 TCP 的连接状态为 FIN_WAIT_2 时，启动 finwait 定时器， 如果在定时器超时前没有收到报文，则 TCP 连接终止；如果收到 FIN 报文， 则 T