Кроме того, неполные контрольные суммы несовместимы с механизмами аутентификации на уровне IP (такими, как IPsec AH), которые используют криптографические хэш-функции для всего пакета. В результате, если требуется одновременно с неполными контрольными суммами обеспечивать криптографическую аутентификацию, последняя должна выполняться для данных приложения. Возможным вариантом будет появление протокола, подобного Secure RTP. Однако такая аутентификация на «прикладном уровне» не защищает согласование опций и машину состояний DCCP от обманных пакетов. Альтернативой может служить использование IPsec ESP и шифрование заголовков DCCP для защиты от атак с проверкой корректности заголовков DCCP для аутентификации источника пакета, содержащего заголовок (владелец корректного ключа). Такая схема защищает от повторного использования пакетов (благодаря порядковым номерам DCCP), она не обеспечивает достаточной защиты от некоторых MITM-атак, поскольку данные пакета не связаны с его заголовком. Таким образом, аутентификация на уровне приложения может потребовать связи с IPsec ESP или иным механизмом, обеспечивающим комплексное защитное решение. Связанные с этим издержки могут оказаться неприемлемыми для некоторых приложений, которым подходят неполные контрольные суммы.
В целом авторы надеются, что неполные контрольные суммы DCCP позволят использовать некоторые функции, реализация которых без этого может оказаться затруднительной. Хотя с поддержкой неполных контрольных сумм не связано значительных расходов и сложностей, их применение в настоящее время не представляется целесообразным. Практика покажет насколько неполные контрольные суммы полезны на самом деле.
Нормативные документы
| [RFC793] | Postel, J., «Протокол TCP», STD 7, RFC 793, Сентябрь 1981 |
| [RFC1191] | Mogul, J. и S. Deering, «Path MTU discovery», RFC 1191, Ноябрь 1990 |
| [RFC2119] | Bradner, S., «Key words for use in RFCs to Indicate Requirement Levels», BCP 14, RFC 2119, Март 1997. |
| [RFC2434] | Narten, T. и H. Alvestrand, «Guidelines for Writing an IANA Considerations Section in RFCs», BCP 26, RFC 2434, October 1998. |
| [RFC2460] | Deering, S. и R. Hinden, «Спецификация IPv6», RFC 2460, Декабрь 1998. |
| [RFC3168] | Ramakrishnan, K., Floyd, S., and D. Black, «Добавление явных уведомлений о перегрузке (ECN) в IP», RFC 3168, Сентябрь 2001 |
| [RFC3309] | Stone, J., Stewart, R., and D. Otis, «Stream Control Transmission Protocol (SCTP) Checksum Change», RFC 3309, Сентябрь 2002. |
| [RFC3692] | Narten, T., «Assigning Experimental and Testing Numbers Considered Useful», BCP 82, RFC 3692, Январь 2004. |
| [RFC3775] | Johnson, D., Perkins, C., and J. Arkko, «Поддержка мобильности в IPv6», RFC 3775, Июнь 2004 |
| [RFC3828] | Larzon, L-A., Degermark, M., Pink, S., Jonsson, L-E., and G. Fairhurst, «Протокол UDP-Lite», RFC 3828, Июль 2004 |
Дополнительная литература
| [B98] | Bellovin, S. M., «Cryptography and the Internet», CRYPTO '98 (LNCS 1462), pp 46-55, Август 1988. |
| [BB01] | Bellovin, S.M. и M. Blaze, «Cryptographic Modes of Operation for the Internet», 2nd NIST Workshop on Modes of Operation, Август 2001. |
| [M85] | Morris, R. T., «A Weakness in the 4.2BSD Unix TCP/IP Software», Computer Science Technical Report 117, AT&T Bell Laboratories, Murray Hill, NJ, Февраль 1985. |
| [PMTUD] | Mathis, M. и J. Heffner, «Path MTU Discovery», Work in Progress, Март 2006. |
| [RFC792] | Postel, J., «Протокол ICMP», STD 5, RFC 792, Сентябрь 1981 |
| [RFC1812] | Baker, F., «Requirements for IP Version 4 Routers», RFC 1812, Июнь 1995. |
| [RFC1948] | Bellovin, S., «Defending Against Sequence Number Attacks», RFC 1948, Май 1996. |
| [RFC1982] | Elz, R. и R. Bush, «Serial Number Arithmetic», RFC 1982, Август 1996. |
| [RFC2018] | Mathis, M., Mahdavi, J., Floyd, S., and A. Romanow, «TCP Selective Acknowledgement Options», RFC 2018, October 1996. |
| [RFC2401] | Kent, S. и R. Atkinson, «Security Architecture for the Internet Protocol», RFC 2401, Ноябрь 1998. |
| [RFC2463] | Conta, A. и S. Deering, «Протокол ICMPv6», RFC 2463, Декабрь 1998. |
| [RFC2581] | Allman, M., Paxson, V., и W. Stevens, «Контроль насыщения в TCP», RFC 2581, Апрель 1999 |
| [RFC2960] | Stewart, R., Xie, Q., Morneault, K., Sharp, C., Schwarzbauer, H., Taylor, T., Rytina, I., Kalla, M., Zhang, L., and V. Paxson, «Stream Control Transmission Protocol», RFC 2960, Октябрь 2000. |
| [RFC3124] | Balakrishnan, H. и S. Seshan, «The Congestion Manager», RFC 3124, Июнь 2001. |
| [RFC3360] | Floyd, S., «Inappropriate TCP Resets Considered Harmful», BCP 60, RFC 3360, Август 2002. |
| [RFC3448] | Handley, M., Floyd, S., Padhye, J., and J. Widmer, «TCP Friendly Rate Control (TFRC): Protocol Specification», RFC 3448, Январь 2003. |
| [RFC3540] | Spring, N., Wetherall, D., и D. Ely, «Устойчивый механизм сигнализации насыщения с помощью ECN-nonce», RFC 3540, Июнь 2003 |
| [RFC3550] | Schulzrinne, H., Casner, S., Frederick, R., and V. Jacobson, «RTP: A Transport Protocol for Real-Time Applications», STD 64, RFC 3550, Июль 2003. |
| [RFC3611] | Friedman, T., Caceres, R., and A. Clark, «RTP Control Protocol Extended Reports (RTCP XR)», RFC 3611, Ноябрь 2003. |
| [RFC3711] | Baugher, M., McGrew, D., Naslund, M., Carrara, E., and K. Norrman, «The Secure Real-time Transport Protocol (SRTP)», RFC 3711, Март 2004. |
| [RFC3819] | Karn, P., Bormann, C., Fairhurst, G., Grossman, D., Ludwig, R., Mahdavi, J., Montenegro, G., Touch, J., and L. Wood, «Advice for Internet Subnetwork Designers», BCP 89, RFC 3819, Июль 2004. |
| [RFC4086] | Eastlake, D., 3rd, Schiller, J., and S. Crocker, «Randomness Requirements for Security», BCP 106, RFC 4086, Июнь 2005. |
| [RFC4341] | Floyd, S. и E. Kohler, «Profile for Datagram Congestion Control Protocol (DCCP) Congestion Control ID 2: TCP-like Congestion Control», RFC 4341, Март 2006. |
| [RFC4342] | Floyd, S., Kohler, E., and J. Padhye, «Profile for Datagram Congestion Control Protocol (DCCP) Congestion Control ID 3: TCP-Friendly Rate Control (TFRC)», RFC 4342, Март 2006. |
| [SHHP00] | Spatscheck, O., Hansen, J.S., Hartman, J.H., and L.L. Peterson, «Optimizing TCP Forwarder Performance», IEEE/ACM Transactions on Networking 8(2):146-157, Апрель 2000. |
| [SYNCOOKIES] | Bernstein, D.J., «SYN Cookies»(по состоянию на март 2006) |
| [VBK05] | Vanit-Anunchai, S., Billington, J., and T. Kongprakaiwoot, «Discovering Chatter and Incompleteness in the Datagram Congestion Control Protocol», FORTE 2005, pp 143-158, Октябрь 2005. |
Адреса авторов
Eddie Kohler
4531C Boelter Hall
UCLA Computer Science Department
Los Angeles, CA 90095 USA
EMail: ude.alcu.sc@relhok
Mark Handley
Department of Computer Science
University College London
Gower Street
London WC1E 6BT UK
EMail: ku.ca.lcu.sc@yeldnah.m
Sally Floyd
ICSI Center for Internet Research
1947 Center Street, Suite 600
Berkeley, CA 94704 USA
EMail: gro.rici@dyolf