Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows Vista (http://forum.oszone.net/forumdisplay.php?f=66)
-   -   Лимит незавершенных TCP соединений (http://forum.oszone.net/showthread.php?t=104108)

Blast 01-04-2008 12:59 772307

Лимит незавершенных TCP соединений
 
В Windows Vista SP2 и Windows 7 лимита нет.


Что такое "незавершенные подключения"?

В Windows XP/Vista введен лимит на количество незавершенных соединений.
Это сделано с целью обезопасить систему от атак типа DoS (Denial of Service), разновидностью которой является SYN-атака, механизм которой вкратце описан ниже. А так же с целью замедлить распространение сетевых вирусов и червей, которые могут попасть на компьютер.

Незавершенные (в англ. half open, "полуоткрытые") соединения - это соединения, находящиеся в процессе установки. Процесс установки состоит из трех этапов.
  1. Клиент посылает серверу запрос на TCP соединение или сообщение
    синхронизации SYN.
  2. Сервер отвечает на сообщение SYN подтверждающим сообщением ACK-SYN.
  3. Клиент подтверждает сообщение ACK-SYN сервера, отправляя сообщение ACK.
По окончании этих трех этапов соединение считается установленным, и клиент может обмениваться данными с сервером.

Проблема возникает в том случае, когда сервер отправил сообщение ACK-SYN обратно клиенту, но не получил подтверждения - сообщения ACK. Такое соединение считается незавершенным. Сервер сохраняет отложенное соединение в памяти, ожидая ответа клиента. Хранящиеся в памяти незавершенные соединения в итоге удаляются, освобождая ресурсы сервера.

Создание таких незавершенных соединений осуществляется путем IP спуфинга. Система злоумышленника посылает сообщение SYN атакуемому серверу. Сообщения выглядят легитимными, но на самом деле они ссылаются на клиентскую систему, которая не в состоянии ответить на сообщение
ACK-SYN сервера. Это означает, что сервер никогда не сможет отправить сообщение ACK клиенту. Незавершенные соединения сохраняются в памяти,
постепенно занимая все ресурсы сервера, который лишается возможности устанавливать новые соединения. Конечно, по достижении таймаута эти соединения будут удаляться, однако система злоумышленника посылает сообщения методом IP спуфинга быстрее, чем сервер успевает высвобождать ресурсы. В большинстве случаев жертва такой атаки будет испытывать проблемы с установлением новых легитимных входящих соединений.

Такой метод атаки не оказывает влияния на текущие соединения, включая исходящие. Однако он потребляет огромное количество памяти, снижая мощность сервера и приводя к его аварийному отключению.

Источник
Перевод с английского: Vadikan


Зачем люди отключают лимит?

Считается, что отключение лимита положительно сказывается на скорости работы в P2P сетях: uTorrent, BitTorrent, BitComet, Azureus, BitSpirit, eMule (eDonkey) и прочих. Но на деле же увеличение лимита или его отключение может сказаться лишь на скорости соединения в начале закачки.

Как отключить лимит?

Есть ряд программ, написанных "народными умельцами". Они могут называться как угодно - что-нибудь вроде Vista TCP/IP Patch (это вымышленное название, любые совпадения с имеющимися программами случайны :)), но все они выполняют одну и ту же задачу - замену текущей версии файла tcpip.sys на "хакнутую" версию.

Внимание! Поскольку эта операция нарушает лицензионное соглашение (EULA), мы не будем размещать ссылки на программы на нашем форуме, а также будем препятствовать их размещению в сообщениях участников. Если такая программа вам нужна, найдите ее самостоятельно при помощи поисковых систем.

Ruzzz 01-04-2008 20:46 772675

Цитата:

Цитата Blast
Но на деле же увеличение лимита или его отключение может сказаться лишь на скорости соединения в начале закачки. »

Если не использовать"хакнутую" версию tcpip.sys, и при этом участвовать в разадче файлов с большим кол-вом сидов/пиров то возникает проблемы:
- Скорость падает из-за того что на раздаче никто не отдает быстро, и скорость может быть увеличена за счет кол-ва, причем сидеры отдающие тебе не постоянны, нужны постоянные соединения, для запросов "дай мне кусочек файла"
- Из-за большого кол-ва соед. торрент клиент, очень медленно (но чаще вообще НЕ) пробивается к торрент серверу для передачи статистики. Получается "замкнутый круг": для того чтобы уменьшить кол-во соед. нужно выключить какую-то раздучу, но в этом случае при выключении, статистику именно по этой разадче мы передать не сможем (хост не отвечает и все такое). Эта проблема сказывается особенно когда нам нужно выключить торрент клиент, в этот момент он начинает слать статистику обо всех раздачах, что конешно же заканчивается не удачей, и ваша статистика не учитывается.
- А сколько проблем с одновременным серфингом, получением почты, мгоновенные сообщения.

Думаю стоит сказать что существуют серверные ОС от микрософта, которые не устанавливают лимит. Возможно это кому-то поможет в выборе ОС.

PS Ветка которую удалили содержала много ценного :( хотя бы дали бы возможность скачать ее всю тем кто был подписан на нее :) И мы бы еще больше полюбили бы и так любимый нами форум :)

Busla 01-04-2008 22:11 772741

Ruzzz, а точно ли в этом проблема? - лимит, ведь, на входящие...

Про torrent не скажу, а на eMule проблем с этим ограничением не встречал - 6 мегабитисходящего трафика забиваются на 100% без напрягов. И аська в параллель работает, и jabber и инет бровзится...

Blast 02-04-2008 10:05 772955

Ruzzz, соединение может быть проблематичным при большем количестве "мервых" пиров, а так как соединения происходят часто из-за того, что отваливаются одни раздающие и появляются другие, то вцелом может сказываться и на скорости, но из-за проблем при соединении.

Ruzzz 02-04-2008 10:34 772977

Vancouver, рад видет! ) В теме которую удалили вы много чего сделали полезного!

А вот это не совсем понимаю:
Цитата:

Цитата Busla
лимит, ведь, на входящие... »

Лимит как раз на кол-во одновременных попыток установить исходящее соединение, вроде )

Busla, именно о том что вы написали я и хотел сказать постом выше вашего:
Цитата:

Цитата Ruzzz
нужны постоянные соединения, для запросов "дай мне кусочек файла »

но факт остается фактом проблема существует, и если она не будет обсуждатся на этом форуме, она будет обсуждатся на другом.

Ruzzz 04-04-2008 09:44 774351

Вообщем, со всем согласен!!! Не нада нарушать лицензионное соглашение!!!
Но если все же у вас проблемы, пишите, спрашивайте, чем смогу помогу!

mike345 04-05-2008 13:03 794419

Игорь Лейко, Вы считаете что ущербная работа p2p клиентов это нормальная ситуация?
Если нет, то как предлагаете выйти из нее?
Насколько я знаю, это ограничение появилось в SP2 - можете мотивировать его введение?

Кстати в висте как с этим ограничением? Оно есть?

Игорь Лейко 04-05-2008 13:39 794448

Цитата:

Цитата mike345
Вы считаете что ущербная работа p2p клиентов это нормальная ситуация? »

Если эти клиенты используют те же технологии, что и сетевые черви - то кто же в этом виноват?
У uTorrent, к примеру, есть настройка, при которой он и сам нормально работает, и другим не мешает. Скачиватель обновлений для WoW тоже работает нормально. А вот если клиент долбится в Интернет наугад или на авось...
Цитата:

Насколько я знаю, это ограничение появилось в SP2 - можете мотивировать его введение?
Об этом уже сто раз было говорено - замедлить распространение вредоносных программ, использующих сканирование интернета для поиска машин, которые можно заразить.
На нормальной работе оно никак не сказывается, поскольку от реально существующего узла ответ приходит сразу же.
В висте это ограничение тоже есть.

mercuryn 04-05-2008 17:01 794616

Игорь Лейко,
Цитата:

Цитата Игорь Лейко
Об этом уже сто раз было говорено - замедлить распространение вредоносных программ, использующих сканирование интернета для поиска машин, которые можно заразить. »

Цитата:

Цитата Игорь Лейко
На нормальной работе оно никак не сказывается, поскольку от реально существующего узла ответ приходит сразу же. »

Я всё пытаюсь сообразить, почему у Игорь Лейко в огороде бузина, а в Киеве дядька... Ведь надо же так сказать заумно, чтоб никто ничего не понял, а может и понимать нечего???
Почитал творчество Игорь Лейко в юридической области - скакание по верхушкам.
Зачем же, Павлик Морозов, Вам это всё надо???

mike345 05-05-2008 00:40 794912

Цитата:

Цитата Игорь Лейко
Если эти клиенты используют те же технологии, что и сетевые черви - то кто же в этом виноват? »

Может наоборот, сетевые черви используют те же технологии, что и нормальные программы? Кто же в этом виноват, что защита виндовс не может отличить одно от другого?

Цитата:

Цитата Игорь Лейко
А вот если клиент долбится в Интернет наугад или на авось... »

А если я, как админ, захочу просканировать _свои_ сети на предмет уязвимостей? Что не имею права? Или для этого Unix машиной пользоваться? ;)

Цитата:

Цитата Игорь Лейко
На нормальной работе оно никак не сказывается, поскольку от реально существующего узла ответ приходит сразу же. »

Скорость падает? Значит сказывается!

И еще, есть такой метод защиты от спама - задержка ответа.

Есть стандарты. И нефиг микрософту свои несовместимые "усовершенствования" вводить! Да еще и ультимативным образом...

mercuryn 07-05-2008 12:41 796894

Господа, а это имеет отношение к этой теме???
IE7Pro возможности
читать дальше »
Улучшает возможности вкладок Internet Explorer
1. Двойной клик для закрытия.
2. Открытие новой вкладки из строки адреса.
3. Включение/отключение обозревателя истории вкладок.
4. Включение/отключение восстановления от сбоев.
5. Строка меню над строкой адреса.
6. Возможность скрыть панель поиска.
7. Увеличивает максимальное количество одновременных подключений к сайту.
8. Программа для просмотра кода страницы.

Blast 07-05-2008 12:44 796900

mercuryn, нет, это совсем не то, в вашем случае речь идет об одновременных закачках в IE, по умолчанию их число равняется двум, но одним параметром реестра изменить это можно легко.

Craager 09-06-2010 14:01 1430699

Подскажите, как выставить значение в 5 или 10 минут, чтобы при этом простое было отключение от сервера (разрыв TCP соединения) подключившегося человека.

Всё, нашёл: net config server /autodisconnect:время_до_отключения half-open connections, по умолчанию равен 15 минутам

severagent007 08-10-2010 07:52 1514067

А какой лимит по умолчанию одновременных подкл.? 10? Дайте пожалуйста кто - нибудь подписанный TCPIP.SYS !!!
Заранее спасибо! :bow:

Vadikan 08-10-2010 09:20 1514111

severagent007, просьба удивительна в контексте жирного текста в шапке. Но все даже проще - установите SP2, там нет ограничений.

severagent007 08-10-2010 10:13 1514137

Цитата:

Цитата mercuryn
Увеличивает максимальное количество одновременных подключений к сайту »

а сколько должно быть у меня 10, а
Цитата:

Цитата severagent007
Дайте пожалуйста кто - нибудь подписанный TCPIP.SYS !!!
Заранее спасибо! »

дайте, диск накрылся, а тср стал неподписаным. Наверно в результате применения веб-ускорителя(демо-версия, нифига не ускорил, я его удалил)
Дайте пожалуйста кто - нибудь подписанный TCPIP.SYS !!! спасибо! :bow:

Wu-Tang 18-11-2012 19:12 2027786

Народ, помогите пожалуйста с вопросом. http://forum.oszone.net/post-2022538-131.html


Время: 11:23.

Время: 11:23.
© OSzone.net 2001-