拥塞的发生与不可避免

拥塞发生的主要原因在于网络能够提供的资源不足以满足用户的需求,这些资源包括缓存空间、链路带宽容量和中间节点的处理能力。由于互联网的设计机制导致其缺乏“接纳控制”能力,因此在网络资源不足时不能限制用户数量,而只能靠降低服务质量来继续为用户服务,也就是“尽力而为”的服务。

但是,是不是说只要增加网络资源,就能避免拥塞呢?答案却是否定的!拥塞虽然是由于网络资源的稀缺引起的,但单纯增加资源并不能避免拥塞的发生。例如增加缓存空间到一定程度时,只会加重拥塞,而不是减轻拥塞,由于输出链路的容量和处理机的速度并没有得到提高,当数据包经过长时间排队完成转发时,它们很可能早已超时,从而引起源端超时重发,而这些数据包还会继续传输到下一路由器,从而浪费网络资源,加重网络拥塞。事实上,缓存空间不足导致的丢包更多的是拥塞的“症状”而非原因。

另外,增加链路带宽及提高处理能力可能会使得上述情况缓解一些,但往往又会将瓶颈转移到其他的地方。问题的实质往往是整个系统的各个部分的不匹配。只有所有的部分都平衡了,问题才会得到解决。

拥塞控制与流量控制的区别

两者目的不同:

  1. 拥塞控制的目的是防止过多的数据注入到网络中,这样可以使网络中的路由器或链路不致过载。它是一个全局性的过程,涉及到所有的主机、所有的路由器,以及降低网络传输性能有关的所有因素。

  2. 流量控制的目的是确保一个快速的发送方不会持续地以超过接收方吸收能力的速率传输数据。它是个端到端的问题。

两者实现端不同:

拥塞窗口是发送方使用的拥塞控制,滑动窗口是接收方使用的流量控制。

拥塞控制方法

发送方维持一个叫做拥塞窗口cwnd(congestion window)的状态变量。拥塞窗口的大小取决于网络的拥塞程度,并且动态地在变化。发送方让自己的发送窗口等于拥塞窗口,另外考虑到接受方的接收能力,发送窗口可能小于拥塞窗口。

发送方控制拥塞窗口的原则是:只要网络没有出现拥塞,拥塞窗口就再增大一些,以便把更多的分组发送出去。但只要网络出现拥塞,拥塞窗口就减小一些,以减少注入到网络中的分组数。

几种拥塞控制方法:

  1. 慢启动( slow-start )
  2. 拥塞避免( congestion avoidance )
  3. 快速恢复( fast recovery )。

慢启动

慢启动算法的思路是这样的。当主机发送数据时,如果立即把大量数据字节注入到网络,那么就有可能引起网络拥塞,因为现在并不清楚网络的负荷情况。经验证明,较好的方法是先探测一下,即由小到大主键增大发送窗口。

初始拥塞窗口cwnd=1个SMSS,假设没有出现丢包情况且每个数据包都有相应的ACK。每接收到一个好的ACK响应。慢启动算法会以min(N,SMSS)来增加cwnd值。这里的N是指在未经确认的传输数据中能通过这一“好的ACK”确认的字节数(以SMSS为单位)。所谓的“好的ACK”是指新接收的ACK号大于之前收到的ACK。

因此,在接收到一个数据段的ACK后,通常cwnd值会增加到2,接着会增加到2,接着会发送两个数据段。如果成功收到相应的新的ACK,cwnd会由2变4,由4变8,以此类推。

拥塞避免

在慢启动阶段,cwnd会快速增长,需要确认一个慢启动阈值ssthresh。一旦到达阈值,TCP会进入拥塞避免阶段。慢启动阈值不是固定的,而是随时间改变的。它的主要目的是,在没有丢包发生的情况下,记住上一次“最好的”操作窗口估计值。

拥塞避免算法的思路是让拥塞窗口cwnd缓慢的增大,及每经过一个往返时间RTT就把发送方的拥塞窗口cwnd加1,而不是加倍。这样,拥塞窗口cwnd按线性规律缓慢增长,比慢启动算法的拥塞窗口增长速率缓慢得多。

拥塞检测

计时器到时

如果计时器到时,那么存在着非常严重的拥塞的可能性,一个报文段可能已在网络中丢失并且没有关于该发送段的消息。在这种情况下,TCP做出强烈的反应:

  1. 设置ssthresh为当前cwnd的一半。
  2. 设置cwnd为一个SMSS的大小。
  3. 启动慢启动阶段。

三个重复ACK

发送方收到3个重复ACK时使用快速恢复算法。快速恢复算法基于TCP快重传机制。

快重传规定,发送方只要一连收到3个重复的确认就应当立即重传对方尚未收到的报文段,而不必继续等待为丢失的报文段设置重传计时器到期。

快速恢复算法规定,当发送方连续收到三个重复确认时,考虑到如果网络出现拥塞的话就不会收到好几个重复的确认,所以发送方现在认为网络可能没有出现拥塞。所以此时不执行慢启动算法,就执行“乘法减小”算法:

  1. 把ssthresh门限减半。
  2. 而是将cwnd设置为ssthresh的大小
  3. 然后执行拥塞避免算法。

与TCP拥塞控制相关的攻击

一种常用的攻击方式是基于接收端的不当行为。它们都可以使TCP发送端以一个比正常状态更快的速率进行数据发送。

ACK分割攻击

ACK分割攻击的原理是:将原有的确认字节范围拆分成多个ACK信号并返回给发送端。由于TCP拥塞控制是基于ACK数据包的到达进行操作的(而不是依据ACK信号中的ACK字段)。这样发送端的CWND会比正常情况更快速地增长。要解决这一问题,可通过计算每个ACK能确认的数据量(而不是一个数据包的到达)来判断是否为真的ACK

重复ACK欺骗攻击

重复ACK欺骗攻击可以使发送端在快速恢复阶段增长它的拥塞窗口。在标准快速恢复模式中,每次接收到重复ACK cwnd 都会增长。这种攻击会比正常情况更快地生成多余的重复ACK。

转载: http://www.cnblogs.com/alec1312/p/5848890.html