TCP/IP
TCP セグメント図
再送制御はシーケンス番号と確認応答番号を用いて行われ、相手側から送信セグメントの確認応答がない場合には再送処理を行うことによってデータの回復を行う
ウィンドウサイズ
- TCP 通信において受信側が現在受信可能なデータサイズを送信側に伝えるために使用されるフィールド
- 送信側ではウィンドウサイズで指定されたデータを送信し、そのデータの受信確認応答を待つ間に、最新の確認応答内のウィンドウサイズを確認してデータを送信することを繰り返す
- データの確認応答を待たずに次のデータ送信を行うことで、TCP では効率のよいデータ転送が可能となっている
- ウィンドウサイズに「0」がセットされていた場合には、送信側はデータ送信を停止し受信側のバッファ回復を待つ
脆弱性
- 脆弱性
- 仕様が公開されている
- 発信元 IP アドレスの偽装が可能
- UDP, ICMP
- パケットの暗号化機能が標準装備されてない
- 対策
- 発信元アドレス偽装への対策
- 発信元 IP アドレスにプライベートアドレスや特別な用途に使用するアドレスが設定されたインターネットからのインバウンドパケットを遮断
- プライベートアドレスを使用しているセグメントにおいて、発信元 IP アドレスにグローバルアドレスが設定されたアウトバウンドパケットを遮断
- パケット秘匿化のための対策
- IPSec, TLS, SSH, S/MIME
- IPv6
- 発信元アドレス偽装への対策