Passa al contenuto principale

8. Considerazioni sulla sicurezza (Security Considerations)

8.1. Segnali di perdita e congestione (Loss and Congestion Signals)

Il rilevamento delle perdite e il controllo della congestione comportano fondamentalmente il consumo di segnali, come ritardo, perdita e marcature ECN, da entità non autenticate. Un attaccante può far sì che gli endpoint riducano il loro tasso di invio manipolando questi segnali: eliminando pacchetti, alterando strategicamente il ritardo del percorso o modificando i codepoint ECN.

8.2. Analisi del traffico (Traffic Analysis)

I pacchetti che trasportano solo frame ACK possono essere identificati euristicamente osservando la dimensione del pacchetto. I modelli di conferma possono esporre informazioni sulle caratteristiche del collegamento o sul comportamento dell'applicazione. Per ridurre le informazioni divulgate, gli endpoint possono raggruppare le conferme con altri frame oppure possono utilizzare frame PADDING con un potenziale costo per le prestazioni.

8.3. Segnalazione errata delle marcature ECN (Misreporting ECN Markings)

Un ricevitore può segnalare erroneamente le marcature ECN per alterare la risposta di congestione di un mittente. La soppressione dei rapporti di marcature ECN-CE potrebbe causare un aumento del tasso di invio di un mittente. Questo aumento potrebbe portare a congestione e perdita.

Un mittente può rilevare la soppressione dei rapporti marcando occasionalmente i pacchetti che invia con una marcatura ECN-CE. Se un pacchetto inviato con una marcatura ECN-CE non viene segnalato come marcato CE quando il pacchetto viene confermato, allora il mittente può disabilitare ECN per quel percorso non impostando i codepoint ECN-Capable Transport (ECT) nei pacchetti successivi inviati su quel percorso [RFC3168].

Segnalare marcature ECN-CE aggiuntive farà sì che un mittente riduca il suo tasso di invio, il che ha un effetto simile all'annuncio di limiti di controllo del flusso di connessione ridotti e quindi non si ottiene alcun vantaggio nel farlo.

Gli endpoint scelgono il controllore di congestione che utilizzano. I controllori di congestione rispondono ai rapporti di ECN-CE riducendo il loro tasso, ma la risposta può variare. Le marcature possono essere trattate come equivalenti alla perdita [RFC3168], ma possono essere specificate altre risposte, come [RFC8511] o [RFC8311].

Ultimo aggiornamento il