Лимит незавершенных TCP соединений
 

---

Что такое "незавершенные подключения"?

В Windows XP/Vista введен лимит на количество незавершенных соединений.
Это сделано с целью обезопасить систему от атак типа DoS (Denial of Service), разновидностью которой является SYN-атака, механизм которой вкратце описан ниже. А так же с целью замедлить распространение сетевых вирусов и червей, которые могут попасть на компьютер.

Незавершенные (в англ. half open, "полуоткрытые") соединения - это соединения, находящиеся в процессе установки. Процесс установки состоит из трех этапов.

1. Клиент посылает серверу запрос на TCP соединение или сообщение
   синхронизации SYN.
2. Сервер отвечает на сообщение SYN подтверждающим сообщением ACK-SYN.
3. Клиент подтверждает сообщение ACK-SYN сервера, отправляя сообщение ACK.

По окончании этих трех этапов соединение считается установленным, и клиент может обмениваться данными с сервером.

Проблема возникает в том случае, когда сервер отправил сообщение ACK-SYN обратно клиенту, но не получил подтверждения - сообщения ACK. Такое соединение считается незавершенным. Сервер сохраняет отложенное соединение в памяти, ожидая ответа клиента. Хранящиеся в памяти незавершенные соединения в итоге удаляются, освобождая ресурсы сервера.

Создание таких незавершенных соединений осуществляется путем IP спуфинга. Система злоумышленника посылает сообщение SYN атакуемому серверу. Сообщения выглядят легитимными, но на самом деле они ссылаются на клиентскую систему, которая не в состоянии ответить на сообщение
ACK-SYN сервера. Это означает, что сервер никогда не сможет отправить сообщение ACK клиенту. Незавершенные соединения сохраняются в памяти,
постепенно занимая все ресурсы сервера, который лишается возможности устанавливать новые соединения. Конечно, по достижении таймаута эти соединения будут удаляться, однако система злоумышленника посылает сообщения методом IP спуфинга быстрее, чем сервер успевает высвобождать ресурсы. В большинстве случаев жертва такой атаки будет испытывать проблемы с установлением новых легитимных входящих соединений.

Такой метод атаки не оказывает влияния на текущие соединения, включая исходящие. Однако он потребляет огромное количество памяти, снижая мощность сервера и приводя к его аварийному отключению.

Источник
Перевод с английского: Vadikan


Зачем люди отключают лимит?

Считается, что отключение лимита положительно сказывается на скорости работы в P2P сетях: uTorrent, BitTorrent, BitComet, Azureus, BitSpirit, eMule (eDonkey) и прочих. Но на деле же увеличение лимита или его отключение может сказаться лишь на скорости соединения в начале закачки.

Как отключить лимит?

Есть ряд программ, написанных "народными умельцами". Они могут называться как угодно - что-нибудь вроде Vista TCP/IP Patch (это вымышленное название, любые совпадения с имеющимися программами случайны :)), но все они выполняют одну и ту же задачу - замену текущей версии файла tcpip.sys на "хакнутую" версию.

Внимание! Поскольку эта операция нарушает лицензионное соглашение (EULA), мы не будем размещать ссылки на программы на нашем форуме, а также будем препятствовать их размещению в сообщениях участников. Если такая программа вам нужна, найдите ее самостоятельно при помощи поисковых систем.

Если не использовать"хакнутую" версию tcpip.sys, и при этом участвовать в разадче файлов с большим кол-вом сидов/пиров то возникает проблемы:
- Скорость падает из-за того что на раздаче никто не отдает быстро, и скорость может быть увеличена за счет кол-ва, причем сидеры отдающие тебе не постоянны, нужны постоянные соединения, для запросов "дай мне кусочек файла"
- Из-за большого кол-ва соед. торрент клиент, очень медленно (но чаще вообще НЕ) пробивается к торрент серверу для передачи статистики. Получается "замкнутый круг": для того чтобы уменьшить кол-во соед. нужно выключить какую-то раздучу, но в этом случае при выключении, статистику именно по этой разадче мы передать не сможем (хост не отвечает и все такое). Эта проблема сказывается особенно когда нам нужно выключить торрент клиент, в этот момент он начинает слать статистику обо всех раздачах, что конешно же заканчивается не удачей, и ваша статистика не учитывается.
- А сколько проблем с одновременным серфингом, получением почты, мгоновенные сообщения.

Думаю стоит сказать что существуют серверные ОС от микрософта, которые не устанавливают лимит. Возможно это кому-то поможет в выборе ОС.

PS Ветка которую удалили содержала много ценного :( хотя бы дали бы возможность скачать ее всю тем кто был подписан на нее :) И мы бы еще больше полюбили бы и так любимый нами форум :)

Ruzzz, а точно ли в этом проблема? - лимит, ведь, на входящие...

Про torrent не скажу, а на eMule проблем с этим ограничением не встречал - 6 мегабитисходящего трафика забиваются на 100% без напрягов. И аська в параллель работает, и jabber и инет бровзится...

Ruzzz, соединение может быть проблематичным при большем количестве "мервых" пиров, а так как соединения происходят часто из-за того, что отваливаются одни раздающие и появляются другие, то вцелом может сказываться и на скорости, но из-за проблем при соединении.

Vancouver, рад видет! ) В теме которую удалили вы много чего сделали полезного!

А вот это не совсем понимаю: Лимит как раз на кол-во одновременных попыток установить исходящее соединение, вроде )

Busla, именно о том что вы написали я и хотел сказать постом выше вашего: но факт остается фактом проблема существует, и если она не будет обсуждатся на этом форуме, она будет обсуждатся на другом.

Вообщем, со всем согласен!!! Не нада нарушать лицензионное соглашение!!!
Но если все же у вас проблемы, пишите, спрашивайте, чем смогу помогу!

Игорь Лейко, Вы считаете что ущербная работа p2p клиентов это нормальная ситуация?
Если нет, то как предлагаете выйти из нее?
Насколько я знаю, это ограничение появилось в SP2 - можете мотивировать его введение?

Кстати в висте как с этим ограничением? Оно есть?

Если эти клиенты используют те же технологии, что и сетевые черви - то кто же в этом виноват?
У uTorrent, к примеру, есть настройка, при которой он и сам нормально работает, и другим не мешает. Скачиватель обновлений для WoW тоже работает нормально. А вот если клиент долбится в Интернет наугад или на авось...
Об этом уже сто раз было говорено - замедлить распространение вредоносных программ, использующих сканирование интернета для поиска машин, которые можно заразить.
На нормальной работе оно никак не сказывается, поскольку от реально существующего узла ответ приходит сразу же.
В висте это ограничение тоже есть.

Игорь Лейко, Я всё пытаюсь сообразить, почему у Игорь Лейко в огороде бузина, а в Киеве дядька... Ведь надо же так сказать заумно, чтоб никто ничего не понял, а может и понимать нечего???
Почитал творчество Игорь Лейко в юридической области - скакание по верхушкам.
Зачем же, Павлик Морозов, Вам это всё надо???

Может наоборот, сетевые черви используют те же технологии, что и нормальные программы? Кто же в этом виноват, что защита виндовс не может отличить одно от другого?

А если я, как админ, захочу просканировать _свои_ сети на предмет уязвимостей? Что не имею права? Или для этого Unix машиной пользоваться? ;)

Скорость падает? Значит сказывается!

И еще, есть такой метод защиты от спама - задержка ответа.

Есть стандарты. И нефиг микрософту свои несовместимые "усовершенствования" вводить! Да еще и ультимативным образом...

Господа, а это имеет отношение к этой теме???
IE7Pro возможности

mercuryn, нет, это совсем не то, в вашем случае речь идет об одновременных закачках в IE, по умолчанию их число равняется двум, но одним параметром реестра изменить это можно легко.

Подскажите, как выставить значение в 5 или 10 минут, чтобы при этом простое было отключение от сервера (разрыв TCP соединения) подключившегося человека.

Всё, нашёл: net config server /autodisconnect:время_до_отключения half-open connections, по умолчанию равен 15 минутам

А какой лимит по умолчанию одновременных подкл.? 10? Дайте пожалуйста кто - нибудь подписанный TCPIP.SYS !!!
Заранее спасибо! :bow:

severagent007, просьба удивительна в контексте жирного текста в шапке. Но все даже проще - установите SP2, там нет ограничений.

а сколько должно быть у меня 10, а дайте, диск накрылся, а тср стал неподписаным. Наверно в результате применения веб-ускорителя(демо-версия, нифига не ускорил, я его удалил)
Дайте пожалуйста кто - нибудь подписанный TCPIP.SYS !!! спасибо! :bow:

Народ, помогите пожалуйста с вопросом. http://forum.oszone.net/post-2022538-131.html