Passa al contenuto principale

18.2 Information carried in the Transport Header (Informazioni trasportate nell'intestazione di trasporto)

18.2 Information carried in the Transport Header (Informazioni trasportate nell'intestazione di trasporto)

Per TCP, un ricevitore TCP con capacità ECN informa il suo peer TCP nell'intestazione TCP al momento dell'instaurazione della connessione che supporta ECN a livello TCP. Questo documento non considera i potenziali pericoli introdotti dalle modifiche all'intestazione di trasporto all'interno della rete. Notiamo che quando si utilizza IPsec, l'intestazione di trasporto è protetta sia in modalità tunnel che trasporto [ESP, AH].

Un'altra questione riguarda i pacchetti TCP con indirizzi IP di origine falsificati che trasportano informazioni ECN non valide nell'intestazione di trasporto. Per completezza, qui esaminiamo alcuni dei modi possibili in cui un nodo che falsifica l'indirizzo IP di origine di un altro nodo potrebbe utilizzare i due flag ECN nell'intestazione TCP per avviare un attacco denial-of-service. Tuttavia, questi attacchi richiedono che l'attaccante sia in grado di utilizzare un numero di sequenza TCP valido, e qualsiasi attaccante con questa capacità e la capacità di falsificare gli indirizzi IP di origine può compromettere una connessione TCP senza l'uso dei flag ECN. Pertanto, ECN non aggiunge alcuna nuova vulnerabilità a questo riguardo.

Un pacchetto di riconoscimento con l'indirizzo IP di origine del ricevitore di dati TCP falsificato potrebbe includere il bit ECE impostato. Se accettato dal mittente di dati TCP come pacchetto valido, questo riconoscimento falsificato potrebbe causare al mittente di dati TCP di dimezzare inutilmente la sua finestra di congestione. Tuttavia, per essere accettato dal mittente di dati, tale riconoscimento falsificato dovrebbe avere il numero di sequenza corretto a 32 bit così come un numero di riconoscimento valido. Un attaccante in grado di inviare con successo tale riconoscimento falsificato potrebbe anche inviare un pacchetto RST falsificato, o eseguire altre azioni ugualmente dannose per la connessione TCP.

Un pacchetto con l'indirizzo IP di origine del mittente di dati TCP falsificato potrebbe includere il bit CWR impostato. Ancora una volta, per essere accettato, tale pacchetto dovrebbe avere un numero di sequenza valido. Inoltre, l'impatto sulle prestazioni di tale pacchetto falsificato è limitato. Un pacchetto falsificato con il bit CWR impostato potrebbe causare al ricevitore di dati TCP di inviare meno pacchetti ECE di quanto avrebbe fatto altrimenti, se il ricevitore di dati stava inviando pacchetti ECE al momento della ricezione del pacchetto CWR falsificato.