TCP Fast Open

[Cypress]

Estimadísimos, leyendo barrapunto sobre el release de la nueva versión de linux 6.3

Me encontre con esta implementación experimental de TCP que me parecio interesante de compartir.

Les paso lo traducido de la página de google:

Resumen: Hoy en día los servicios web están dominadas por flujos TCP tan cortos que terminan después del handshake, Este handshake es una fuente significativa de la latencia para dichos flujos.

En este artículo se describe el diseño, implementación y despliegue del protocolo TCP Fast Open, un nuevo mecanismo que permite el intercambio de datos durante handshake inicial de TCP. Al hacerlo, TCP Fast Open reduce la latencia de aplicaciones de red, disminuyendo el retardo experimentado por dichos cortos transferencias TCP.

Nos dirigimos a los problemas de seguridad inherentes al permitir el intercambio de datos durante el protocolo de enlace de tres vías, que es mitigado mediante un token de seguridad para verificar la propiedad de la dirección IP.
Detallamos otros repliegue mecanismos de defensa y abordamos cuestiones que enfrentamos con middleboxes, la compatibilidad hacia atrás para las pilas de red existentes y la implementación incremental. Basado en el análisis de tráfico y emulación de red, se muestra que TCP Fast Open disminuiría transacción HTTP latencia de la red por el tiempo de carga 15% y página entera-más del 10% en promedio, y en algunos casos hasta el 40%


Este proyectito de google fue implementado con el nuevo release de linux 3.6 como cliente.

Más información: TCP Fast Open
Implementación en el kernel: https://lwn.net/Articles/508865/

Saludos,

[hystd]

Interesante!!!

Al principio cuando estaba leyendo los artículos, no paraba de rondarme en la cabeza la idea de ver cómo iba a comportarse TFO para transferencias masivas de datos, y de si iba a garantizar la transferencia tal y como lo hace TCP.

En TCP el cliente envía las peticiones sin esperar a recibir el ACK anterior (n-1). Posteriormente los ACK's anteriores se irán recibiendo, y en caso de no recibir el correspondiente en la secuencia, volvería a emitir el mensaje (ese PDU) para su recepción... de ahí la "garantía en la transferencia".

Hasta que leí:

The client TCP sends a SYN that contains both the TFO cookie (specified as a TCP option) and data from the client application.

The server TCP validates the TFO cookie by duplicating the encryption process based on the source IP address of the new SYN. If the cookie proves to be valid, then the server TCP can be confident that this SYN comes from the address it claims to come from. This means that the server TCP can immediately pass the application data to the server application.

From here on, the TCP conversation proceeds as normal: the server TCP sends a SYN-ACK segment to the client, which the client TCP then acknowledges, thus completing the three-way handshake. The server TCP can also send response data segments to the client TCP before it receives the client's ACK.

Ya salí de la duda y me pareció bastante interesante.

Ahora la cuestión es ver que si una vez el cliente se ha "autenticado" con la cookie, y la comunicación se realiza de forma normal, ¿no es posible bypasear esa autenticación? ¿tan segura es la cookie basada simplemente en encriptar la IP del cliente? ¿Qué algoritmo utiliza para el cifrado de la cookie?

Un saludo.