- 浏览: 314744 次
- 性别:
- 来自: 上海
文章分类
最新评论
-
JQ_AK47:
...
Linux下直接发送以太包 -
winsen2009:
谢谢分享,如果能再来一个列子就更好了,刚接触看完还是不懂的用
UNPv1_r3读书笔记: SCTP编程
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严
禁用于任何商业用途。
msn: yfydz_no1@hotmail.com
来源:http://yfydz.cublog.cn
禁用于任何商业用途。
msn: yfydz_no1@hotmail.com
来源:http://yfydz.cublog.cn
1. 前言 普通防火墙限制流量方法是一旦流量超过限制值就丢包,所丢弃的包由连接双方重新发包来恢复,这样的缺点就是流量带宽仍然被浪费了一部分,也浪费了防火墙的一部分处理能力,对于非TCP流量,基本只能用此方法,但对于TCP流量,可以找到更好的流量限制方法,让TCP通信双方自动降低通信速度。 2. 基本原理 在TCP包头中有一个16位的window字段,用来表示接收方的接收缓冲区能接收多少数据,发送方一次不能发送超过该值的数据,这样起到控制流量的作用。 本文提出的TCP流量控制方法就是根据此window值处理,一旦防火墙发现TCP连接的流量超过限值,并不丢包,正常转发,但向发送方发送一个ACK包,不带任何数据,因此不影响正常通信,此ACK包中window值为0,表示接收方已经不能接收数据,发送方TCP收到此包后,会自动降低发送速度,这样防火墙上就不用丢掉本来就是合法的包,因而没有带宽浪费。 对于TCP通信双方本身,如果防火墙采用丢包方法来限制,丢包较多时发送方也会采用诸如slow start等算法来减少发送速度以适应限制值,但不论如何防火墙也要丢不少包,浪费了一些处理能力和网络的带宽。 3. 实验结果 测试用HTTP下载一个大约1M字节的文件,限制下载流量为10Kbytes,用超量丢包的方法,所丢包累计超过490K字节,相当于通信双方所传输数据几乎有1/3被丢弃;而使用调整window值的方法,没有丢包,防火墙构造的ACK包自动降低了发送方发送速度,但限制的流量速度虽然设的是 10K,但实际大约只是6K左右。通过抓包分析,当防火墙发出window为0的ACK包后,发送方停顿了好几秒钟才重新发送新包。 4. 结论 通过发送0窗口值的TCP确认包的方法来限制TCP流量是可行的,减少了防火墙的丢包,本质上节约了带宽,缺点是流量限制值不如丢包方式准确,但可以保证肯定不超过限值,可以通过实验找一个平均因子来修正流量设定值来达到期望的带宽限制值。 发表于: 2006-07-26,修改于: 2006-07-26 08:44,已浏览2980次,有评论7条 推荐 投诉 网友: skipjack 时间:2006-07-26 17:06:10 IP地址:218.247.216.★ 两个疑问: 1)防火墙发了一个win=0的ack包,那么真实的目的地发送的ack包,防火墙如果处理? 2)这个win=0的ack包,他的ack_seq值是多少?是数据包数据首部序号,还是尾部序号?如果是尾部序号,那么这个原先的数据包在防火墙转发后通住目的地过程中丢失了,发送方将不会再重传了呀? 网友: yfydz 时间:2006-07-26 17:09:42 IP地址:218.247.216.★ 1. 纯粹的ACK不占用序列号,接收方后续的ACK防火墙同样转发就行 2. 取接收方最后一个通过防火墙的包的ACK 网友: 本站网友 时间:2006-08-05 20:14:01 IP地址:221.194.171.★ 在linux上怎么具体实现,原理都是明白的。 网友: yfydz 时间:2006-08-07 08:41:00 IP地址:218.247.216.★ 怎么实现那就是看每个人的水平了,又没有现成的 网友: skipjack 时间:2006-08-22 15:52:02 IP地址:218.247.216.★ 很简单 1)抓包发现应该做流量限制 2)反转这个数据包的源和目的IP地址与端口 3)设置win为0,设置ack_seq值,并重新计算校验和 4)返弹回这个数据包 5)OK~ 网友: yfydz 时间:2006-08-22 16:34:33 IP地址:218.247.216.★ FT,嘴那么不严,:) 网友: 本站网友 时间:2007-09-18 17:23:23 IP地址:220.248.75.★ 更好的实现还是进行流量限制。 不过Drop Tail的方法显然不合适,已经给出了结果了。 合适的方法是,RED。
发表评论
-
Linux内核中流量控制(24)
2011-01-10 16:33 2208本文档的Copyleft归yfydz所 ... -
Linux内核中流量控制(23)
2011-01-10 16:30 1492本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(22)
2011-01-10 16:29 1937本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(21)
2011-01-10 16:28 1350本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(20)
2011-01-10 16:27 1525本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(19)
2011-01-10 16:27 1978本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(18)
2011-01-10 16:26 1569Linux内核中流量控制(18) ... -
Linux内核中流量控制(17)
2011-01-10 16:25 1947本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(16)
2011-01-10 16:25 1803本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(15)
2011-01-10 16:24 1888本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(14)
2011-01-10 16:23 1958本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(13)
2011-01-10 16:22 2636本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(12)
2011-01-10 16:21 2109本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(11)
2011-01-10 16:21 3234本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(10)
2011-01-10 16:20 2004本文档的Copyleft归yfydz所 ... -
Linux内核中流量控制(9)
2011-01-10 16:19 1831本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(8)
2011-01-10 16:18 1497本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(7)
2011-01-10 16:18 2923本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(6)
2011-01-10 16:17 1493本文档的Copyleft归yfydz所有,使用GPL发布,可以 ... -
Linux内核中流量控制(5)
2011-01-10 16:16 1728本文档的Copyleft归yfydz所有,使用GPL发布,可以 ...
相关推荐
比如,通过分析外部网络向内部网络发起的TCP或UDP连接总数是否超过设定的阈值,管理员可以根据需要限制该方向的新连接发起数量,或者限制向内部网络某一IP地址发起新连接,以保证其它连接可以正常建立。
本人珍藏的一套穿越局域网网关防火墙,建立TCP连接的代码;这套代码本来是linux平台下的,已经被我移植到windows平台,代码在vs2005下编译通过,同时程序调试通过。通过这套代码,你可以了解防火墙的穿越原理、加深...
网络工程师考试复习资料 TCP流量控制
帮助您理解TCP穿透,NAT穿透,网络通信如何通过防火墙
linux防火墙-tcp wrapper的简单配置说明.docx
Netfilter防火墙中反TCP端口扫描系统的研究与实现.pdf
socksmon 使用您的HTTP拦截代理监视任意TCP流量
TCP流量控制1
尽管如此,许多情况下,防火墙会准许反向(inbound)TCP数据包通过防火墙到达指定端口,这些端口是主机内防火墙背后的一些程序和外界连接用的。通过发送TCP SYN数据包来代替UDP或者ICMP应答数据包,tcptraceroute...
TCP协议中flow control简述。包括窗口控制、Nagle算法等。
本文详细介绍了H3C防火墙会话建立转发过程。包括tcp/udp/icmp/rawip等。通过本资源,你会对防火墙有更深层次的理解。
天融信防火墙策略配置方法 cisco设备: 1.创建ACL规则 ip access-list extended 445 deny tcp any any eq 445 deny tcp any any eq 135 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any ...
解压后,管理员身份,运行 Tcpview_CHS.exe,可以看到有哪些在连接网络,并发出和收到多少数据. 对于P2P之类的软件,在后台偷流量,严重占用上行带宽,引起网页都无法打开,能很快揪出来。 我以这种方式揪出ppstrea*...
允许modbusTCP服务穿过控制器或者modbusTCP服务穿过防火墙的方法
此工具可以通过DNS协议转发TCP流量,支持非编译客户端 socks5
该防火墙支持监控包括传输控制协议和 UDP 的所有的互联网传输协议。同时程序具有实时文件防修改监控功能,可以杜绝其他程序对主要系统文件的修改,而且你可以进行一键还原。同时和一些商业版的防火墙一样,支持以IP...
Ch5_TCP流量控制1
前言 关于TCP服务器最大并发连接数有一种误解就是“因为端口号上限为65535,所以TCP服务器理论上的可承载的最大并发连接数也是...这个测试主要是想搞明白Linux下哪些参数配置限制了连接数的最大值,上限是多少。 一、先