ОБЗОР  СЕТЕВОГО  ПРОТОКОЛА  TEREDO   НА  ОСНОВЕ  СТАНДАРТА  RFC  4380

Кокоулин  Андрей  Николаевич

канд.  техн.  наук,  доцент,  Пермского  национального  исследовательского  политехнического  университета, 

РФ,  г.  Пермь

E-mail: 

Андреев  Роман  Александрович

студент,  Пермского  национального  исследовательского  политехнического  университета, 

РФ,  г.  Пермь

E-mail:  

Бадртдинов  Артём  Сергеевич

студент,  Пермского  национального  исследовательского  политехнического  университета, 

РФ,  г.  Пермь

E-mail: 

Салимзебаров  Эльдар  Дамирович

студент,  Пермского  национального  исследовательского  политехнического  университета, 

РФ,  г.  Пермь

E-mail:  

Феофилова  Полина  Андреевна

студент,  Пермского  национального  исследовательского  политехнического  университета, 

РФ,  г.  Пермь

E-mail:  

REVIEW  OF  THE  TEREDO  INTERNET  PROTOCOL  BASED  ON  THE  STANDARD  RFC  4380

Andrei  Kokoulin

candidate  of  technical  sciences,  docent  of  Perm  National  Research  Polytechnic  University, 

Russia,  Perm

Andreev  Roman

student  of  Perm  National  Research  Polytechnic  University

Russia,  Perm

Artem  Badrtdinov

student  of  Perm  National  Research  Polytechnic  University

Russia,  Perm

Eldar  Salimzebarov

student  of  Perm  National  Research  Polytechnic  University

Russia,  Perm

Polina  Feofilova

student  of  Perm  National  Research  Polytechnic  University

Russia ,  Perm

АННОТАЦИЯ

В  данной  статье  рассмотрен  сетевой  протокол  Teredo,  разобрана  его  структура,  механизм  работы.  Приведены  статистические  данные  по  отказам  в  работе  протокола.

ABSTRACT

This  paper  reviews  network  protocol  Teredo,  its  structure  and  operating  principle  are  considered.  Statistical  data  on  the  denial  of  Teredo  service  is  reported.

Ключевые  слова:  Teredo;  сетевой  протокол;  трансляция  сетевых  адресов.

Keywords:  Teredo;  Internet  Protocol;  Network  Address  Translation.

IPv6  является  следующей  версией  протокола  IP  и  для  поддержания  новой  версии  много  сетей  и  хостов  вынуждены  обновлять  свое  ПО,  чтобы  использовать  ее  функции  и  возможности.  Ожидается,  что  часть  пользователей  интернета  не  смогут  использовать  протокол  IPv6  из-за  устройства  преобразования  сетевых  адресов  (NAT),  которые  применяются  во  многих  домашних  и  организационных  сетях.  Такие  устройства  редко  обновляются  или  заменяются,  особенно  в  небольших  сетях.  Однако  механизмы  перехода,  которые  туннелируют  IPv6  непосредственно  по  IPv4,  такие  как  ISATAP  и  6to4,  обычно  не  работают  через  NAT.

Microsoft  акцентирует  внимание  на  IPv6,  и  поэтому  был  создан  механизм  перехода  с  IPv4  на  IPv6,  который  решит  эту  проблему.  Механизм  был  направлен  через  каналы  IETF  (The  Internet  Engineering  Task  Force),  и  IETF  опубликовали  стандарт  RFC  4380,  в  котором  содержится  описание  работы  протокола.  Первоначально  он  назывался  протоколом  Shipworm,  что  дословно  переводится  как  «корабельный  червь»,  но  это  название  было  слишком  сильно  похоже  на  название  вредоносного  ПО,  потому  протокол  был  переименован  в  Teredo  [1]. 

Протокол  туннелирования  Teredo  представляет  собой  протокол,  который  обеспечивает  связь  IPv6  через  не  поддерживающие  IPv6  устройства  NAT  (Network  Address  Translation  —  трансляция  сетевых  адресов).

На  рисунке  1  представлена  структура  протокола  Teredo.  Она  состоит  из  трех  главных  компонентов:  клиенты,  серверы  и  активные  узлы  сети.  Клиенты  Teredo  —  это  узлы,  стремящиеся  к  использованию  данного  протокола  для  достижения  одноранговых  узлов  сети  в  IPv6  сети.  Например,  узлу  нужно  достичь  сервера,  который  работает  только  в  IPv6.  Клиенты  —  это  узлы  двойного  стека  (IPv4  и  IPv6)  которые  «захвачены»  одним  или  несколькими  трансляторами  сетевых  адресов  IPv4.  Клиенты  Teredo  всегда  принимают  и  отправляют  Teredo  IPv6  трафик  туннелированный  в  UDP  по  протоколам  IPv4.

Рисунок  1.  Структура  Teredo

Клиент  Teredo.  Компьютер  с  поддержкой  IPv4  и  IPv6,  расположенный  за  маршрутизатором,  выполняющим  преобразование  NAT  адресов  в  IPv4.  Клиент  Teredo  создает  туннельный  интерфейс  Teredo  и  конфигурирует  маршрутизируемый  IPv6-адрес  с  помощью  сервера  Teredo.  Посредством  этого  интерфейса  клиенты  Teredo  осуществляют  коммуникации  с  другими  клиентами  Teredo  и  узлами  IPv6-сегментов  в  Интернете  (через  ретранслятор  Teredo).

Сервер  Teredo.  Публичный  сервер,  подключенный  к  структуре  Интернета  IPv4  и  сегменту  IPv6  в  Интернете.  Сервер  Teredo  помогает  конфигурировать  адрес  клиента  Teredo  и  содействует  исходному  обмену  данными  между  двумя  клиентами  Teredo  или  между  клиентом  Teredo  и  IPv6-узлом.  Для  содействия  в  осуществлении  коммуникаций  среди  клиентских  компьютеров  Windows,  использующих  Teredo,  корпорация  Microsoft  развернула  серверы  Teredo  в  сетевой  структуре  IPv4  Интернета.

Ретранслятор  Teredo.  Конечная  точка  туннеля  Teredo.  Ретранслятор  Teredo  —  это  маршрутизатор  IPv6/IPv4,  который  может  пересылать  пакеты  между  клиентами  Teredo  в  IPv4-структуре  Интернета  и  узлами  IPv6.

Узел-ретранслятор  Teredo.  Узел,  поддерживающий  IPv4  и  IPv6  и  играющий  роль  самостоятельного  ретранслятора  Teredo.  По  сути,  узел-ретранслятор  Teredo  позволяет  клиенту  Teredo  с  глобальным  IPv6-адрссом  создать  туннель  через  структуру  IPv4  Интернета  и  напрямую  связываться  с  узлами,  подключенными  к  сетевым  сегментам  IPv6  в  Интернете.

Системы  Windows  Vista  и  Windows  Server  2008  содержат  функции  узла-ретранслятора  Teredo,  которая  включается  при  назначении  компьютеру  глобального  IPv6-адреса  [1]. 

В  случае  Teredo,  начальная  транзакция  пакетов,  которая  появляется  на  сервере,  является  эхо-запросом  ICMPv6,  которому  сервер  логично  ответит  эхо-ответом  ICMP.  Следующим  пакетом,  замеченным  в  сервере,  является  входящий  TCP  SYN  пакет,  предполагая,  что  установка  Teredo  все  еще  продолжается.  Далее,  сервер  генерирует  ответ  в  виде  пакета  SYN+ACK.  Если  сервер  впоследствии  видит  входящий  ACK  пакет,  это  значит,  что  соединение  завершено.  На  рисунке  2  представлен  обмен  пакетами  в  Teredo.

Рисунок  2.  Обмен  пакетами  в  Teredo

Интенсивность  отказов  для  Teredo  довольно  высока.  По  данным  Ripe  Work  Coordination  Centre  (Ripe  NCC),  приблизительно  37  %  соединений  Teredo,  где  сигнальный  пакет  ICMPv6  был  замечен  на  сервере,  не  завершаются  успешно.  Из  них  объем  соединений,  равный  приблизительно  28  %,  перестает  работать  при  начальном  обмене  пакетами  ICMPv6,  в  ответ  не  приходит  никакого  SYN  пакета.  Оставшиеся  9  %  неработающих  соединений  приводят  к  сбою  в  стадии  TCP  квитирования  SYN  пакетов,  так  как  не  приходит  никакого  ACK  пакета,  который  бы  завершал  начальное  квитирование  SYN.  На  рисунке  3  представлена  диаграмма  интенсивности  отказов  при  использовании  Teredo.

Рисунок  3.  Интенсивность  отказов  Teredo

Кажется,  что  по  сравнению  с  IPv4,  IPv6  по  Teredo  является  чрезвычайно  медленным  и  сильно  подверженным  отказу.  Однако,  большинство  пользователей  не  испытывают  этих  проблем  с  Teredo.  В  то  время  как  Teredo  включен  по  умолчанию  в  Windows  7  и  Windows  8,  данные  сбои  происходят  не  по  вине  приложений  [2].

Данный  протокол  позволяет  решить  проблему  с  ограничением  сетевых  адресов  путем  перехода  на  Ipv6,  но  из-за  механизма  перехода  с  ipv4  на  ipv6  приходится  использовать  дополнительные  сервера  и  ретрансляторы  Teredo,  что  в  свою  очередь  вызывают  много  отказов.  Так  как  протокол  работает  не  стабильно,  очень  высока  вероятность  атаки  злоумышленников  на  корпоративные  сети,  приводящие  к  серьёзным  последствиям. 

В  настоящее  время  существует  малое  количество  брандмауэров,  способных  обрабатывать  протокол  Teredo,  и  таким  образов  применение  этого  протокола  позволяет  обойти  любой  фильтр  пакетов,  что  в  свою  очередь  вызывает  много  сомнений  у  пользователей.  Таким  образом  данному  протоколу  стоит  акцентировать  свое  внимание  на  безопасности  соединений. 

Список  литературы:

1. Технологии  перехода  на  IPv6  [Электронный  ресурс]  —  Режим  доступа.  —  URL: http://www.irbis.vegu.ru/repos/10492/Html/36.htm  дата  обращения:  3.05.2015.
2. Testing  Teredo  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  https://labs.ripe.net/Members/gih/testing-teredo  дата  обращения:  26.05.2015.
3. RFC  4380  Teredo,  C.  Huitema,  Microsoft  2006  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  https://tools.ietf.org/html/rfc4380#section-2.8  дата  обращения:  27.05.2015.