|
Subject: anti-replay window (комп) gen. The packet size of the anti-replay window. Это цитата из справочника команд для роутера, поэтому более подробьного контекста дать не могу, могу только разъяснить: packet size - размер пакета как единицы передаваемых данных; anti-replay - защита от повторной передачи сообщения, когда возникает путаница в данных. А вот что за окно, которое каким-то непонятным образом связано с пакетом - первый раз сама вижу... Может, у кого-нибудь есть какие-то догадки? Заранее благодарна! |
|
опустим произношение слово router, рекомендую переводить его словом "маршрутизатор", чтобы было проще и понятнее. Далее см. http://xgu.ru/wiki/IPsec_%D0%B2_Linux#.D0.9A.D0.BE.D0.BD.D1.84.D0.B8.D0.B3.D1.83.D1.80.D0.B8.D1.80.D0.BE.D0.B2.D0.B0.D0.BD.D0.B8.D0.B5_Security_Association ... Механизм anti-replay позволяет предотвратить атаки злоумышленников, использующих отправку ранее перехваченных зашифрованных пакетов против уязвимых узлов (так называемая "replay attack"). При выборе значения replay-window следует учесть, что если оно будет слишком маленьким, то в случае, если пакеты будут приходить в другом порядке (вызванном, например, следованием пакетов различными маршрутами или задержками на промежуточных узлах), то "запоздавшие" пакеты могут быть просто отброшены. Так что рекомендуется ставить размер окна как можно большим. При получении узлом зашифрованного пакета, его sequence-номер проверяется на предмет попадания в "окно" и на предмет дубливания с sequence-номерами ранее полученных пакетов. Если sequence-номер пакета больше, чем значение счётчика replay-seq, то пакет принимается и его номер отмечается в специальной битовой маске (replay.bitmap) как полученный; если sequence-номер пакета меньше, чем значение replay-seq - replay-window, то он отбрасывается, если же, он попадает в "окно", то проверяется, был ли получен пакет с таким номером ранее, если да, то он будет так же отброшен. Значения replay-seq, replay-oseq и replay.bitmap обновляются по мере получения пакетов. Так же в механизме учитываются не только сами sequence-номера пакетов, но и время ожидания "запаздывающих" пакетов. |
| Ох, alk, Surzheon, какое вам спасибо!!! Все, теперь поняла :) |
| You need to be logged in to post in the forum |