Livello di Rete Flashcards
Domande sul livello di rete: IPv4, IPv6, NAT
1
Q
- Di cosa si occupa livello di rete?
A
- Piano dati (forwarding)
- Piano controllo (routing)
A incapsula in IP → R1in → forwarding → R1out → … → B
2
Q
- Come si definisce la probabilità di errore?
A
Probabilità che un bit sia sbagliato $P_e$
- bit corretto 1-Pe
- n bit corretti (1-Pe)^n
- almeno un bit errato 1-(1-Pe)^n
3
Q
- Differenza tra inoltro ed instradamento?
A
Inoltro: operazione locale di trasferimento su collegamento in uscita (es. vedi svincolo autostradale)
Instradamento: processo globale che determina percorsi (es. vedi piano di viaggio)
4
Q
- Cos’è la tabella di forwarding?
A
Intestazione pacchetto → interfaccia di uscita
5
Q
- Come viene calcolata?
A
- tradizionalmente: comunica con altri router distribuiti e calcola forwarding table autonomamente
- SDN: router eseguono forwarding ma controller remoto gestisce piano di controllo (routing)
6
Q
- Quali servizi potrebbe offrire una rete?
A
- consegna garantita: assicura che pacchetto raggiunge dest
- ritardo limitato: assicura che pacchetto raggiunge dest entro tempo
- ordinata: pacchetti arrivano in ordine esatto
- banda minima garantita: emula collegamento trasmissivo
- servizi di sicurezza: cifrare pacchetti
7
Q
- Nella realtà che servizio offre Internet?
A
Best effort (nessuna garanzia di consegna, ordine, ritardo, banda)
8
Q
- Quali sono altre soluzioni?
A
ATM: consegna ordinata, ritardo e banda
Intserv: ritardo ed congestion avoidance
Best-effort è sufficiente (semplice e scalabile)
9
Q
- Da quali elementi principali è composto un router?
A
- porte ingresso: funzioni a livello collegamento, funzione di ricerca uscita corretta
- struttura di commutazione: collega fisicamente ingresso a uscita
- porte uscita: memorizzano e trasmettono verso collegamento in uscita
- processore instradamento: funzioni del piano di controllo (tradizionalmente tabelle di inoltro e routing, in SDN comunica con controller remoto)
10
Q
- Cosa contengono le tabelle di routing?
A
Indicano come inoltrare i pacchetti verso dest corretta
- dest: subnet, ip
- gateway o NH: ip del router successivo
- netmask: parte di IP rete
- interfaccia: quale interfaccia deve essere usata per inviare pacchetti
- metric: valore numerico della rotta
- flags
11
Q
- Da chi e come viene realizzata una tabella di routing?
A
Tabella aggiornata da processore di instradamento o SDN
Righe sono ordinate, ultima è altrimenti.
12
Q
- Come viene inoltrato un pacchetto che arriva al router?
A
- Elaborazione livello fisico, controllo numero versione, checksum, TTL pacchetto, aggiornamento contatori,
- Confronto prefisso (più lungo) dell’indirizzo di destinazione
- Inoltro all’interfaccia di NH
Routing table in SRAM
13
Q
- Come può avvenire commutazione?
A
- di memoria: ingresso → memoria → uscita (limite banda memoria)
- tramite bus: ingresso → bus → uscita (se arrivano + pacchetti solo uno usa bus)
- rete interconnessione: matrice di commutazione (n ingressi x n uscite bus)
14
Q
- Cosa avviene alle porte di uscita?
A
Memoria porta di uscita → trasmette sul collegamento in uscita
Se le code diventano troppo lunghe → finisce memoria → perdono pacchetti
15
Q
- Perchè i pacchetti si accodano in ingresso e come si gestisce?
A
Struttura di commutazione non è abbastanza veloce per trasferire i pacchetti.
Due pacchetti su stessa porta di uscita, una dovrà aspettare (Head-Of-The-Line blocking)
16
Q
- Perchè i pacchetti si accodano in uscita e come si gestisce?
A
Struttura di commutazione N volte più veloce della velocità di linea (trasmissione).
Se si accodano si può scartare oppure notificare congestione
17
Q
- Quando deve essere grande il buffer?
A
prodotto RTT x capacità link
Quando ci sono molto flussi TCP, buffer può essere meno (competizione dei flussi aumenta capacità router di assorbire fluttuazioni del traffico)
Incremento buffer → meno perdita pacchetti MA ritardi di coda più lunghi
Bufferbloat: coda costante di pacchetti, con buffer che rimane pieno causando ritardi persistenti.
Gestione attiva delle code (Active Queue Management AQM, RED Random Early Decetion, PIE Proportional Integral controller Enhanced)
18
Q
- Come possono essere gestite le code dei router
A
- FCFS
- FIFO
- Priority Queue
- Round Robin
19
Q
- Cosa è la politica FIFO?
A
First In First Out
20
Q
- Cosa è la politica a code di priorità?
A
Diverse priorità, ognuna con propria coda (es. pacchetti gestione rete più importanti)
All’interno di ogni coda, si adotta FIFO.
Prelazione o senza prelazione (attendere fine trasmissione)
21
Q
- Cosa è la politica RR?
A
Alternanza ciclica fra classi (se una vuota, passa a quella dopo)
22
Q
- Cosa è la politica WFQ?
A
Ogni classe ha peso (determina frazione di banda disponibile)
23
Q
- Da quanti byte sono formati gli header IPv4?
A
20 byte + opzioni
24
Q
- Quali sono i campi principali del pacchetto IPv4?
A
- Versione
- Length header
- Tipo di servizio: diversi tipi di datagrammi IPv4
- Lunghezza del datagramma: IP+dati
- Identificatore, Flag, Offset: frammentazione IPv4
- TTL: decrementato ad ogni hop
- Protocollo: protocllo trasporto
- Checksum header
- IP srg, dest
- Opzioni
- Dati
25
17. Cos’è un’interfaccia? Quante ne può avere un host IPv4?
Confine tra host e collegamento fisico.
IP richiede che ogni interfaccia abbia indirizzo
26
18. Come sono fatti indirizzi IPv4
32 bit/mask
27
19. Come si ottengono blocchi IP?
Si chiede a ISP o direttamente a ICANN
28
20. Cos’è il DHCP?
Dynamic Host Configuration Protocol: assegna IP in modo automatico.
Protocollo client-server
29
21. Quali sono i passaggi del DHCP?
1. DHCP discover: IPsrg=0.0.0.0, IPdest=broadcast
2. DHCP offer: IPdest=broadcast, informazioni DHCP
3. DHCP request: sceglie offerta e informa server
4. DHCP ACK: conferma parametri
Non è possibile mantenere connessione TCP tra sottoreti diverse
30
22. Cosa è la frammentazione IP?
Pacchetti IP vengono divisi in pacchetti più piccoli per adattarsi a MTU
31
23. Esiste frammentazione in IPv6?
IPv6 non fornisce frammentazione su router intermedi (deve avvenire da sorgente e destinazione)
IPv6 richiede che ogni link abbia un MTU di almeno 1280 ottetti (non byte perchè potrebbe avere dimensione diversa a livello 2)
Se non c’è livello 2 deve fornire meccanismo di frammentazione
32
24. IPv6 l’MTU della rete?
Path MTU discovery
Viene inviato MTU a destinazione
Se tratta ha MTU più basso, riceve ICMPv6 che indica MTU supportato.
Si abbassa MTU e si riprova.
33
25. Efficienza di IPv6?
Header dimensione fissa (40byte)
Payload deve avere lunghezza giusta (troppo grande se persa richiede costo di ritrasmissione alto)
34
26. Come avviene la frammentazione in IPv4?
Chiunque può frammentare pacchetti ma solo destinazione assembla. In reti multipath sorgono problemi per frammenti overlappati e/o duplicati
35
28. Cosa è il NAT?
Network Address Translation: tecnica per risolvere la mancanza di indirizzi
Router NAT sostituisce IP privato con ip pubblico
36
29. Cosa è il NAT Statico?
Mappatura 1:1 ma non risolve problema indirizzi IP
37
30. Cosa è il NAT dinamico?
Accoppiamento IP privato e pubblico creata quando necessaria.
Non risolve problema indirizzi: #privati che vogliono comunicare all’esterno=#pubblici
38
31. Cosa è il NAPT?
Network Access Port Translation
Si usano porte per identificare indirizzo
39
32. Cos’è IPSec?
IP Security: insieme di protocolli e tecnologie per garantire sicurezza. Autenticazione, integrità e crittografia dei dati
IPsec AH: autenticazione e integrità
IPsec ESP: AH+crittografia dati
40
33. Quali sono i problemi con il NAT?
NAT modifica IP e porte, deve ricalcolare checksum
Se IPSec utilizza IP e porte per checksum, dopo NAT non sono più validi
AH e ESP non passano attraverso NAT. Necessario NAT traversal per permettere compatibilità.
AH protegge integrità IP → NAT cambia IP → controllo fallisce
ESP non include IP nell’hash → Non rompe integrità
41
34. NAT seguito da IPSec e problematiche
NAT poi IPSec
IPSec garantisce sicurezza con autenticazione ma non compatibile con NAT
NAT potrebbe presentare vulnerabilità
42
35. Tunnel IP-over-IP con NAT e problematiche
Incapsula IP originali in nuovi pacchetti, creando tunnel sicuro
Richiede strati di incapsulamento che aumentano sovraccarico. Aumento di latenza
43
36. Come viene gestito pacchetto in entrata?
Host esterni possono solo rispondere, non iniziare comunicazione (a meno di port forwarding)
Interno → NAT: controlla se esiste binding, altrimenti lo crea e inoltra
44
37. Come viene gestito pacchetto in uscita?
NAT ← Esterno: se corrispondenza esiste fa entrare, altrimenti scarta
Ogni binding ha timer di scadenza
45
38. NAT agisce in maniera deterministica?
Traduzione non avviene linearmente
- binding: traduzione del pacchetto
- filter: determina se deve essere tradotto (con altre politiche indipendenti da binding esistente)
46
39. Che problema si ha con l’UDP+NAT?
TCP crea connessione quindi gestisce benissimo binding
UDP no: si crea stato per qualcosa che non ha stato
47
40. Quali sono alcune soluzioni al NAT+UDP?
- Symmetric NAT
- Full Cone NAT
- Retricted Cone NAT
- Port Restricted Cone NAT
48
41. Symmetric NAT?
IPin:Portin → 1:1 → IPout:Portout
Possono ricevere pacchetti esclusivamente da host con cui ho già creato mapping.
Da problemi nel peer-to-peer
49
42. Full Cone NAT?
IPin:Portin → IPout:portout ← tutto il mondo
Può entrare tutto
50
43. Restricted Cone NAT?
Simile al Full Cone ma aggiunge un filtro sull’IP destinatario.
Non funziona Referral&Handover (cambia IP)
51
44. Port Restricted Cone NAT?
Filtro sulla porta di destinazione.
52
45. Cosa è la funzionalità Hairpin NAT?
Dispositivo comunica con altro nella stessa rete ma usando indirizzo NATtato.
53
46. Cos’è STUN?
Protocollo e funzioni per scoprire presenza e tipo di NAT
54
47. Come è progettato STUN?
Protocollo client-server
Server ritorno al client l’indirizzo IP pubblico e porta UDP esterni.
Se c’è un solo NAT va bene, altrimenti no
55
48. Come funziona STUN?
Funziona solo con un NAT, se ce ne sono di più (cosa molto probabile) fallisce
56
49. Come può essere classificato NAT rispetto al binding?
- Endpoint Independent: NAT riusa binding per pacchetti con stesso IPsrg, PortSrg indipendentemente da destinazione (Full Cone NAT)
- Endpoint Address Dependent: NAT riusa binding per stessa IPsrg, PortSrg, IPdest indipendentemente da Porta dest
- Endpoint Port Dependent: NAT riusa binding per stesso IPSrg,PortSrg,PortDest indipendentemente da IP dest
- Endpoint address and port dependent: NAT riusa binding per tutti i pacchetti della stesso quintupla
57
50. Come si può comportare il NAT con le porte?
- Port Preservation: cerca di non cambiare porta, se piu host usano stessa porta solo il primo non ce l’avrà cambiata. Problemi di connessione quando più host tentano di comunicare con stessa porta
- Port Overloading: quando più host usano stessa porta, il secondo vince e cambia
- Port Multiplexing: NAT cerca di multiplexare i flussi di traffico della stessa porta in base a IP,Port Dest
58
51. Come può avvenire il refresh del timer?
Binding NAT ha timer, dopo di che non vale, tuttavia può essere aggiornato
- bidirezionale: sia pacchetti di entrata che uscita → DOS
- outbound: pacchetti in uscita rinfrescano timer (necessario keep-alive interno)
- inbound: pacchetti in entrata (keep-alive esterno) → DOS
- stato del protocollo di trasporto: cerca di capire il tipo di protocollo per fare la cosa giusta (non ci riesce) → DOS
59
52. Cosa sono dispositivi UPnP?
Tecnologia che permette a dispositivi di connettersi automaticamente in rete.
Consente ai dispositivi di scoprire IP esterno del NAT attraverso IGD (Internet Gateway Device, protocollo per interagire con NAT).
Si occupa tutto lui ma potrebbe aprire porte che non sappiamo.
60
52. Perchè nacque IPv6?
Per affrontare il problema della mancanza di indirizzi IPv4
61
53. Come può essere indirizzo IPv6?
128bit
1. Unicast (comunicazione uno a uno)
1. global (pubblico, univoco globalmente)
2. link-local (usato per comunicazione in rete locale `ff80::/10` Per autoconfigurazione e mancanza di router
3. Unique Local Address (ULA) reti private
4. IPv6-mapped-IPv4: retrocompatibilità
2. Multicast (stesso pacchetto a più destinatari) `ff00::/8`
3. Anycast (invia pacchetto al nodo più vicino in gruppo)
62
54. Come è fatta l’intestazione IPv6?
Più piccolo di header IPv4.
(40byte)
- versione
- classe di traffico (QoS)
- lunghezza payload: indica dimensione dei dati trasportati
- intestazione successiva: protocollo successivo
- limite di hop (tipo TTL)
- indirizzo sorgente e destinazione
63
55. Quali sono le principali differenze con IPv4?
- eliminazione frammentazione (scartato se pkt troppo grande)
- nessun checksum
- gestione opzioni non c’è
64
56. Come avviene la transizione v4→v6?
Tunneling: si incapsula pacchetto IPv6 in IPv4. Viene riconosciuto da numero di protocollo 41
65
57. Come funziona l’autoconfigurazione?
Anche senza router IPv6 riesce a configurare il proprio IP link-local (private ed interno ad una rete)
IPv6 permette ai dispositivi di generare indirizzo unicast globale.
Router trasmettono periodicamente il prefix che possono usare
1. Crea NodeID
2. Entra nel gruppo Solicited-Node Multicast Address
3. Invia messaggio DAD
4. Usa IP link-local per chiedere RA (Router Advertisement)
5. Ricevuto RA costruisce indirizzo Unicast Globale
6. Esegue altro DAD
7. Imposta router di default
8. Naviga su internet
Per DNS (potrebbe essere trasmesso da RA con estensione) altrimenti usa DHCPv6 o usare quello di IPv4
66
58. Quali sono alcuni indirizzi speciali?
`2001:DB8::/32` usato a scopo di test
`::/128` non specificato
`::1/128` loopback
`2000::/3` unicast globale
`FC00::/7` unicast locale unico
`FE80::/10` unicast locale su link
`FF00::/8` multicast
`64:ff9b::/96` Ipv6 mapped to Ipv4
67
59. Cos’è l’Interface ID? Come viene assegnato?
Parte dell’indirizzo che identifica univocamente interfaccia di rete.
Viene creato
- con MAC (EUI-64)
- Manualmente
- Numero pseudocasuale
- CGA (Cryptographically generated address)
68
60. IPv6 e sicurezza vs IPv4?
- ICMPv6 viene usato per molte funzioni quindi non deve essere bloccato, può essere usato per DOS
- ARP non esiste e si usa ND, NS (ARP-spoofing gone)
- CGA e DAD possono essere usati per attacchi DOS
- Vulnerabilità a livello applicativo (soprattutto se mappati a ipv4)
- attacco di frammentazione non possibile
- IPSec è nativo in IPv6, quindi si può usare.
- Dato che è più recente, bug di implementazione
69
61. Perchè è più semplice da usare
Lato utente, non amministrazione
1. Auto-conf (attaccante può entrare in rete facilmente)
2. Spazio di indirizzamento (controllare indirizzi è difficile)
3. NAT spariti (più firewall)
70
62. Cosa vuol dire on-link in IPv6?
Subnet: segmento di rete identificato da prefisso
Più flessibile e scalabile.
on-link → capacità di un nodo di comunicare direttamente con altro nella stessa rete senza passare da router.
Non dipende solo dal prefisso. Dipende da RA
71
63. Qual è la differenza tra subnet IPv4 e on-link IPv6?
IPv4
- subnet definita da IP e mask
- Stessa subnet = onlink
IPv6
- prefix
- stato di on-link non prefisso
- onlink dipende dalle info ricevute da RA (anche prefissi diversi possono essere on-link)
72
64. Come funziona l’inoltro SDN?
Ricerca destinazione (match)
Inoltro del pacchetto (action)
73
65. Cosa è il match?
Non solo su IP ma anche sul altri campi (es. vari protocolli)
Maggior granularità
74
66. Cosa comporta l’action?
Inoltro (può essere fatto su più porte)
Bilanciamento del carico
Riscrittura di valori header
Scarto del pacchetto
Invio a server speciale.
75
67. Cosa sono i middlebox?
Dispositivo di rete intermediario che svolge funzioni diverse da router IP
76
68. Quali servizi offrono i middlebox?
- Traduzione NAT
- Servizi di sicurezza
- Miglioramento prestazioni (caching, compressione, bilanciamento)
77
69. Cosa è ICMP?
Protocollo per gestione e controllo di rete.
Si trova sopra IP (i messaggi vengono incapsulati in IP)
Campo tipo e codice funzione
78
70. Quali sono i suoi utilizzi principali?
- Ping echo request, echo reply
- Traceroute: percorso tra due host
- Controllo di congestione (obsoleto) messaggio di riduzione del tasso di trasmissione.
79
71. Perchè ICMP viene filtrato?
Per sicurezza, può essere usato per attacchi DOS.
80
72. Permette multiplexing?
ICMP non usa porte, implementa multiplexing a livello di sistema operativo usando ID messaggio
81
73. ICMPv6 usa ARP?
IPv6 elimina ARP, gestione dinamica MTU, struttura avanzata dei messagg. Usa NDP
82
74. In IPv6 qual è la dimensione dei pacchetti?
Notifica IPv4 con pacchetto PacketTooBig, introduce gamma più ampia di messaggi (Router Solicitation, Advertisement)
83
76. Quali migliorie portano i socket ICMP?
Inviare e ricevere messaggi ICMP in modo semplice. Simile a socket RAW
- catturano traffico ICMP
- inviare direttamente pacchetti ICMP
83
75. Cosa sono i socket ICMP?
tipo speciale di socket che invia e riceve ICMP
prima era necessario creare header ICMP, incapsulare in IP, usare socket IP-RAW
84
77. Cos’è il DNS? Perchè è nato?
Domain Name System
Nato per creare astrazione indipendente da indirizzo IP.
Creare e usare servizi senza occuparsi degli indirizzi.
85
78. Quali sono le caratteristiche del DNS?
Database distribuito (centralizzato non possibile per la mole di modifiche)
Uso della cache e scalabilità sono cruciali
86
79. Qual è la struttura del DNS?
1. Root Level, gestiti da universita
2. TLDs, .com, .org, .it
3. SLDs
4. Third Level Domains (e oltre), spesso definiscono specifici servizi.
87
80. Perchè caching? Come avviene?
Perchè ci sono tantissime domande di DNS resolve, quindi deve essere efficiente e veloce.
Si evita di andare fino al TLD
88
80a. Come avviene inizializzazione?
| Sul Client
DHCP da IPv4
RA in IPv6
89
81. A cosa serve DynDNS?
Server DNS senza cache (deve aggiornarsi ogni volta, utile per IP dinamici o dietro NAT)
90
81a. Sicurezza DNS?
Vulnerabile a DNS poisoning.
91
82. Perchè tradurre da IP a MAC?
Non sempre necessaria (es. reti point to point)
Nelle LAN utile per trovare MAC a cui trasferire dati livello link
92
83. Come avviene?
ARP IPv4
NDP IPv6
93
83a. Cosa è indirizzo MAC?
Identificatore 48bit, necessario per instradare pacchetti in LAN Ethernet
94
6.2.1 ARP
Address Resolution Protocol
Mappare IP to MAC, Host che vuole saperlo manda richiesta in broadcast e il dispositivo rispondea
95
84a. Come funziona ARP?
- IP/MAC mittente, IP dest, FF:*6 come MAC
- Tutti i dispositivi lo analizzano, solo IP richiesto lo elabora e risponde
- Arp Replay in modalità unicast contenente proprio MAC
96
85. Che tipi di ARP ci sono?
Solicited (richiesta da un host a tutti)
Unsolicited (host invia risposta senza richiesta)
97
86. Cosa è cache ARP e quanto dura?
Mappa IP→MAC
Hint livello 4 che mantengono valida ARP Cache
98
86a. Alternative ad ARP?
Reti in cui broadcast non è supportato, si usa controller (sistema di request/reply) esegue traduzioni IP/MAC
Reti flat: necessario implementare ARP
Reti gerarchiche: si può implementare request reply
99
87. Come è fatto un pacchetto ARP?
Hardware and protocol type: necessari perchè ARP può essere usato da qualsiasi protocollo
HW length, PR length
Operazione
HW address (MAC)
PR address (IP)
HW address target
PR address target
100
88. Quali sono i pacchetti ICMP usati da NDP?
133 - Router Solicitation: host chiede di conoscere router
134 - Router Advertisement: router avvertono
135 - Neighbor Solicitation: Richiesta indirizzo accesso rete (es MAC) ad host. Multicast se vuole scoprire indirizzo, Unicast se vuole verificare raggiungibilità
136 - Neightbor Advertisement - Risposta alla 135
137 - Redirect Message: router informano su miglior instradamento
101
89. Come funziona NDP per scoprire un indirizzo?
1. Nodo invia NS ad altro nodo (di cui sa IP)
2. Risponde con NA
Per i router
RS poi RA (vengono anche inviati periodicamente)
102
90. Come funziona NDP per controllare proprio indirizzo?
- NS con proprio IP
- Se arriva NA, allora qualcuno ha già questo IP
103
91. Come funziona NDP per controllare raggiungibilità vicini?
NS, se risponde NA allora è raggiungibile
NS si distinguono per mittente, scoperta dei vicini il nodo inserisce tutti indirizzi a 0.
104
92. Quali sono le differenze tra ARP e NDP?
ARP non è incapsulato in IPv4
NDP è messaggio ICMPv6 che è incapsulato in IPv6
105
92. Quali sono le differenze tra ARP e NDP?
ARP non è incapsulato in IPv4
NDP è messaggio ICMPv6 che è incapsulato in IPv6
