From e32f7df2b27c5ebff1063983de9fc0dd2100cdd3 Mon Sep 17 00:00:00 2001 From: Simone Piccardi Date: Fri, 23 Sep 2016 22:23:15 +0000 Subject: [PATCH] Revisione in aereo --- tcpsock.tex | 596 ++++++++++++++++++++++++++++------------------------ 1 file changed, 321 insertions(+), 275 deletions(-) diff --git a/tcpsock.tex b/tcpsock.tex index 14e2611..2ebac7b 100644 --- a/tcpsock.tex +++ b/tcpsock.tex @@ -547,19 +547,20 @@ solo l'amministratore può usare queste porte. Data l'assoluta inconsistenza in termini di sicurezza di un tale metodo, al giorno d'oggi esso è in completo disuso. -Data una connessione TCP si suole chiamare \textit{socket pair} (da non -confondere con la coppia di socket della omonima funzione \func{socketpair} di -sez.~\ref{sec:ipc_socketpair} che fanno riferimento ad una coppia di socket -sulla stessa macchina, non ai capi di una connessione TCP) la combinazione dei -quattro numeri che definiscono i due capi della connessione e cioè l'indirizzo -IP locale e la porta TCP locale, e l'indirizzo IP remoto e la porta TCP -remota. Questa combinazione, che scriveremo usando una notazione del tipo -(\texttt{195.110.112.152:22}, \texttt{192.84.146.100:20100}), identifica -univocamente una connessione su Internet. Questo concetto viene di solito -esteso anche a UDP, benché in questo caso non abbia senso parlare di -connessione. L'utilizzo del programma \cmd{netstat} permette di visualizzare -queste informazioni nei campi \textit{Local Address} e \textit{Foreing - Address}. +Data una connessione TCP, ma la cosa vale anche per altri protocolli del +livello di trasporto come UDP, si suole chiamare \itindex{socket~pair} +\textit{socket pair}\footnote{da non confondere con la coppia di socket della + omonima funzione \func{socketpair} di sez.~\ref{sec:ipc_socketpair} che + fanno riferimento ad una coppia di socket sulla stessa macchina, non ai capi + di una connessione TCP.} la combinazione dei quattro numeri che definiscono +i due capi della connessione e cioè l'indirizzo IP locale e la porta TCP +locale, e l'indirizzo IP remoto e la porta TCP remota. Questa combinazione, +che scriveremo usando una notazione del tipo (\texttt{195.110.112.152:22}, +\texttt{192.84.146.100:20100}), identifica univocamente una connessione su +Internet. Questo concetto viene di solito esteso anche a UDP, benché in +questo caso non abbia senso parlare di connessione. L'utilizzo del programma +\cmd{netstat} permette di visualizzare queste informazioni nei campi +\textit{Local Address} e \textit{Foreing Address}. \subsection{Le porte ed il modello client/server} @@ -573,13 +574,13 @@ gestire connessioni multiple. Se eseguiamo un \cmd{netstat} su una macchina di prova (il cui indirizzo sia \texttt{195.110.112.152}) potremo avere un risultato del tipo: -\begin{verbatim} +\begin{Terminal} Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN -\end{verbatim} +\end{Terminal} essendo presenti e attivi un server SSH, un server di posta e un DNS per il caching locale. @@ -601,31 +602,31 @@ Dato che in genere una macchina è associata ad un solo indirizzo IP, ci si può chiedere che senso abbia l'utilizzo dell'indirizzo generico per specificare l'indirizzo locale; ma a parte il caso di macchine che hanno più di un indirizzo IP (il cosiddetto \textit{multihoming}) esiste sempre anche -l'indirizzo di loopback, per cui con l'uso dell'indirizzo generico si possono -accettare connessioni indirizzate verso uno qualunque degli indirizzi IP -presenti. Ma, come si può vedere nell'esempio con il DNS che è in ascolto +l'indirizzo di \textit{loopback}, per cui con l'uso dell'indirizzo generico si +possono accettare connessioni indirizzate verso uno qualunque degli indirizzi +IP presenti. Ma, come si può vedere nell'esempio con il DNS che è in ascolto sulla porta 53, è possibile anche restringere l'accesso ad uno specifico indirizzo, cosa che nel caso è fatta accettando solo connessioni che arrivino -sull'interfaccia di loopback. +sull'interfaccia di \textit{loopback}. Una volta che ci si vorrà collegare a questa macchina da un'altra, per esempio quella con l'indirizzo \texttt{192.84.146.100}, si dovrà lanciare su quest'ultima un client \cmd{ssh} per creare una connessione, e il kernel gli assocerà una porta effimera (ad esempio la 21100), per cui la connessione sarà -espressa dalla socket pair (\texttt{192.84.146.100:21100}, +espressa dalla \textit{socket pair} (\texttt{192.84.146.100:21100}, \texttt{195.110.112.152:22}). Alla ricezione della richiesta dal client il server creerà un processo figlio per gestire la connessione, se a questo punto eseguiamo nuovamente il programma \cmd{netstat} otteniamo come risultato: -\begin{verbatim} +\begin{Terminal} Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN tcp 0 0 195.110.112.152:22 192.84.146.100:21100 ESTABLISHED -\end{verbatim} +\end{Terminal} Come si può notare il server è ancora in ascolto sulla porta 22, però adesso c'è un nuovo socket (con lo stato \texttt{ESTABLISHED}) che utilizza anch'esso @@ -636,7 +637,7 @@ sul socket originale. Se a questo punto lanciamo un'altra volta il client \cmd{ssh} per una seconda connessione quello che otterremo usando \cmd{netstat} sarà qualcosa del genere: -\begin{verbatim} +\begin{Terminal} Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN @@ -644,19 +645,19 @@ tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN tcp 0 0 195.110.112.152:22 192.84.146.100:21100 ESTABLISHED tcp 0 0 195.110.112.152:22 192.84.146.100:21101 ESTABLISHED -\end{verbatim} +\end{Terminal} cioè il client effettuerà la connessione usando un'altra porta effimera: con questa sarà aperta la connessione, ed il server creerà un altro processo figlio per gestirla. Tutto ciò mostra come il TCP, per poter gestire le connessioni con un server concorrente, non può suddividere i pacchetti solo sulla base della porta di -destinazione, ma deve usare tutta l'informazione contenuta nella socket pair, -compresa la porta dell'indirizzo remoto. E se andassimo a vedere quali sono i -processi\footnote{ad esempio con il comando \cmd{fuser}, o con \cmd{lsof}, o - usando l'opzione \texttt{-p}.} a cui fanno riferimento i vari socket -vedremmo che i pacchetti che arrivano dalla porta remota 21100 vanno al primo -figlio e quelli che arrivano alla porta 21101 al secondo. +destinazione, ma deve usare tutta l'informazione contenuta nella +\textit{socket pair}, compresa la porta dell'indirizzo remoto. E se andassimo +a vedere quali sono i processi (ad esempio con il comando \cmd{fuser}, o con +\cmd{lsof}, o usando l'opzione \texttt{-p}) a cui fanno riferimento i vari +socket vedremmo che i pacchetti che arrivano dalla porta remota 21100 vanno al +primo figlio e quelli che arrivano alla porta 21101 al secondo. \section{Le funzioni di base per la gestione dei socket} @@ -672,34 +673,41 @@ precedente in sez.~\ref{sec:sock_creation}. \label{sec:TCP_func_bind} La funzione \funcd{bind} assegna un indirizzo locale ad un -socket.\footnote{nel nostro caso la utilizzeremo per socket TCP, ma la +socket,\footnote{nel nostro caso la utilizzeremo per socket TCP, ma la funzione è generica e deve essere usata per qualunque tipo di socket - \const{SOCK\_STREAM} prima che questo possa accettare connessioni.} È usata -cioè per specificare la prima parte dalla socket pair. Viene usata sul lato -server per specificare la porta (e gli eventuali indirizzi locali) su cui poi -ci si porrà in ascolto. Il prototipo della funzione è il seguente: -\begin{prototype}{sys/socket.h} -{int bind(int sockfd, const struct sockaddr *serv\_addr, socklen\_t addrlen)} - - Assegna un indirizzo ad un socket. - - \bodydesc{La funzione restituisce 0 in caso di successo e -1 per un errore; - in caso di errore la variabile \var{errno} viene impostata secondo i - seguenti codici di errore: + \const{SOCK\_STREAM} prima che questo possa accettare connessioni.} ed è +usata cioè per specificare la prima parte dalla \textit{socket pair}. Viene +usata sul lato server per specificare la porta (e gli eventuali indirizzi +locali) su cui poi ci si porrà in ascolto. Il prototipo della funzione è il +seguente: + + +\begin{funcproto}{ +\fhead{sys/socket.h} +\fdecl{int bind(int sockfd, const struct sockaddr *serv\_addr, socklen\_t + addrlen)} +\fdesc{Assegna un indirizzo ad un socket.} +} + +{La funzione ritorna $0$ in caso di successo e $-1$ per un errore, nel qual + caso \var{errno} assumerà uno dei valori: \begin{errlist} + \item[\errcode{EACCES}] si è cercato di usare una porta riservata senza + sufficienti privilegi. + \item[\errcode{EADDRINUSE}] qualche altro socket sta già usando l'indirizzo. \item[\errcode{EBADF}] il file descriptor non è valido. \item[\errcode{EINVAL}] il socket ha già un indirizzo assegnato. \item[\errcode{ENOTSOCK}] il file descriptor non è associato ad un socket. - \item[\errcode{EACCES}] si è cercato di usare una porta riservata senza - sufficienti privilegi. + \end{errlist} + ed \errval{EFAULT} nel suo significato generico, inoltre per i socket di + tipo \const{AF\_UNIX}: + \begin{errlist} \item[\errcode{EADDRNOTAVAIL}] il tipo di indirizzo specificato non è disponibile. - \item[\errcode{EADDRINUSE}] qualche altro socket sta già usando l'indirizzo. \end{errlist} - ed anche \errval{EFAULT} e per i socket di tipo \const{AF\_UNIX}, - \errval{ENOTDIR}, \errval{ENOENT}, \errval{ENOMEM}, \errval{ELOOP}, - \errval{ENOSR} e \errval{EROFS}.} -\end{prototype} + ed \errval{ELOOP}, \errval{ENAMETOOLONG}, \errval{ENOENT}, \errval{ENOMEM}, + \errval{ENOTDIR} e \errval{EROFS} nel loro significato generico.} +\end{funcproto} Il primo argomento è un file descriptor ottenuto da una precedente chiamata a \func{socket}, mentre il secondo e terzo argomento sono rispettivamente @@ -720,17 +728,19 @@ cui risponde (l'elenco di queste porte, e dei relativi servizi, è in \conffile{/etc/services}). Con \func{bind} si può assegnare un indirizzo IP specifico ad un socket, -purché questo appartenga ad una interfaccia della macchina. Per un client TCP +purché questo appartenga ad una interfaccia della macchina. Per un client TCP questo diventerà l'indirizzo sorgente usato per i tutti i pacchetti inviati sul socket, mentre per un server TCP questo restringerà l'accesso al socket solo alle connessioni che arrivano verso tale indirizzo. Normalmente un client non specifica mai l'indirizzo di un socket, ed il kernel sceglie l'indirizzo di origine quando viene effettuata la connessione, sulla -base dell'interfaccia usata per trasmettere i pacchetti, (che dipenderà dalle -regole di instradamento usate per raggiungere il server). Se un server non -specifica il suo indirizzo locale il kernel userà come indirizzo di origine -l'indirizzo di destinazione specificato dal SYN del client. +base dell'interfaccia usata per trasmettere i pacchetti, che dipenderà dalle +regole di instradamento usate per raggiungere il server (è comunque possibile +impostarlo in maniera specifica con i comandi di gestione avanzata del +routing, vedi sez.~7.3.4 di \cite{AGL}). Se un server non specifica il suo +indirizzo locale il kernel userà come indirizzo di origine l'indirizzo di +destinazione specificato dal SYN del client. Per specificare un indirizzo generico, con IPv4 si usa il valore \const{INADDR\_ANY}, il cui valore, come accennato in @@ -792,36 +802,40 @@ connessione con un server TCP,\footnote{di nuovo la funzione è generica e \const{SOCK\_SEQPACKET}, essa attiverà la procedura di avvio (nel caso del TCP il \textit{three way handshake}) della connessione.} il prototipo della funzione è il seguente: -\begin{prototype}{sys/socket.h} - {int connect(int sockfd, const struct sockaddr *servaddr, socklen\_t + + +\begin{funcproto}{ +\fhead{sys/socket.h} +\fdecl{int connect(int sockfd, const struct sockaddr *servaddr, socklen\_t addrlen)} - - Stabilisce una connessione fra due socket. - - \bodydesc{La funzione restituisce zero in caso di successo e -1 per un - errore, nel qual caso \var{errno} assumerà i valori: +\fdesc{Stabilisce una connessione fra due socket.} +} + +{La funzione ritorna $0$ in caso di successo e $-1$ per un errore, nel qual + caso \var{errno} assumerà uno dei valori: \begin{errlist} + \item[\errcode{EACCES}, \errcode{EPERM}] si è tentato di eseguire una + connessione ad un indirizzo \textit{broadcast} senza che il socket fosse + stato abilitato per il \textit{broadcast}. + \item[\errcode{EAFNOSUPPORT}] l'indirizzo non ha una famiglia di indirizzi + corretta nel relativo campo. + \item[\errcode{EAGAIN}] non ci sono più porte locali libere. + \item[\errcode{EALREADY}] il socket è non bloccante (vedi + sez.~\ref{sec:file_noblocking}) e un tentativo precedente di connessione + non si è ancora concluso. \item[\errcode{ECONNREFUSED}] non c'è nessuno in ascolto sull'indirizzo remoto. - \item[\errcode{ETIMEDOUT}] si è avuto timeout durante il tentativo di - connessione. - \item[\errcode{ENETUNREACH}] la rete non è raggiungibile. \item[\errcode{EINPROGRESS}] il socket è non bloccante (vedi sez.~\ref{sec:file_noblocking}) e la connessione non può essere conclusa immediatamente. - \item[\errcode{EALREADY}] il socket è non bloccante (vedi - sez.~\ref{sec:file_noblocking}) e un tentativo precedente di connessione - non si è ancora concluso. - \item[\errcode{EAGAIN}] non ci sono più porte locali libere. - \item[\errcode{EAFNOSUPPORT}] l'indirizzo non ha una famiglia di indirizzi - corretta nel relativo campo. - \item[\errcode{EACCES}, \errcode{EPERM}] si è tentato di eseguire una - connessione ad un indirizzo \textit{broadcast} senza che il socket fosse - stato abilitato per il \textit{broadcast}. + \item[\errcode{ENETUNREACH}] la rete non è raggiungibile. + \item[\errcode{ETIMEDOUT}] si è avuto timeout durante il tentativo di + connessione. \end{errlist} - altri errori possibili sono: \errval{EFAULT}, \errval{EBADF}, - \errval{ENOTSOCK}, \errval{EISCONN} e \errval{EADDRINUSE}.} -\end{prototype} + ed inoltre \errval{EADDRINUSE}, \errval{EBADF}, \errval{EFAULT}, + \errval{EINTR}, \errval{EISCONN} e \errval{ENOTSOCK} e nel loro significato + generico.} +\end{funcproto} Il primo argomento è un file descriptor ottenuto da una precedente chiamata a \func{socket}, mentre il secondo e terzo argomento sono rispettivamente @@ -829,9 +843,9 @@ l'indirizzo e la dimensione della struttura che contiene l'indirizzo del socket, già descritta in sez.~\ref{sec:sock_sockaddr}. La struttura dell'indirizzo deve essere inizializzata con l'indirizzo IP e il -numero di porta del server a cui ci si vuole connettere, come mostrato -nell'esempio sez.~\ref{sec:TCP_daytime_client}, usando le funzioni illustrate -in sez.~\ref{sec:sock_addr_func}. +numero di porta del server a cui ci si vuole connettere usando le funzioni +illustrate in sez.~\ref{sec:sock_addr_func} come mostrato nell'esempio che +vedremo in sez.~\ref{sec:TCP_daytime_client}. Nel caso di socket TCP la funzione \func{connect} avvia il \textit{three way handshake}, e ritorna solo quando la connessione è stabilita o si è @@ -846,13 +860,13 @@ seguenti: secondi, se dopo 75 secondi non ha ricevuto risposta viene ritornato l'errore. Linux invece ripete l'emissione del SYN ad intervalli di 30 secondi per un numero di volte che può essere stabilito dall'utente. Questo - può essere fatto a livello globale con una opportuna - \func{sysctl},\footnote{o più semplicemente scrivendo il valore voluto in - \sysctlfile{net/ipv4/tcp\_syn\_retries}, vedi - sez.~\ref{sec:sock_ipv4_sysctl}.} e a livello di singolo socket con - l'opzione \const{TCP\_SYNCNT} (vedi sez.~\ref{sec:sock_tcp_udp_options}). Il - valore predefinito per la ripetizione dell'invio è di 5 volte, che comporta - un timeout dopo circa 180 secondi. + può essere fatto a livello globale con una opportuna \func{sysctl} (o più + semplicemente scrivendo il valore voluto in + \sysctlfile{net/ipv4/tcp\_syn\_retries}, vedi + sez.~\ref{sec:sock_ipv4_sysctl}) e a livello di singolo socket con l'opzione + \const{TCP\_SYNCNT} (vedi sez.~\ref{sec:sock_tcp_udp_options}). Il valore + predefinito per la ripetizione dell'invio è di 5 volte, che comporta un + timeout dopo circa 180 secondi. \item Il client riceve come risposta al SYN un RST significa che non c'è nessun programma in ascolto per la connessione sulla porta specificata (il @@ -877,16 +891,16 @@ seguenti: \end{enumerate} Se si fa riferimento al diagramma degli stati del TCP riportato in -fig.~\ref{fig:TCP_state_diag} la funzione \func{connect} porta un socket -dallo stato \texttt{CLOSED} (lo stato iniziale in cui si trova un socket -appena creato) prima allo stato \texttt{SYN\_SENT} e poi, al ricevimento del -ACK, nello stato \texttt{ESTABLISHED}. Se invece la connessione fallisce il -socket non è più utilizzabile e deve essere chiuso. +fig.~\ref{fig:TCP_state_diag} la funzione \func{connect} porta un socket dallo +stato \texttt{CLOSED} (lo stato iniziale in cui si trova un socket appena +creato) prima allo stato \texttt{SYN\_SENT} e poi, al ricevimento dell'ACK, +nello stato \texttt{ESTABLISHED}. Se invece la connessione fallisce il socket +non è più utilizzabile e deve essere chiuso. Si noti infine che con la funzione \func{connect} si è specificato solo -indirizzo e porta del server, quindi solo una metà della socket pair; essendo -questa funzione usata nei client l'altra metà contenente indirizzo e porta -locale viene lasciata all'assegnazione automatica del kernel, e non è +indirizzo e porta del server, quindi solo una metà della \textit{socket pair}; +essendo questa funzione usata nei client l'altra metà contenente indirizzo e +porta locale viene lasciata all'assegnazione automatica del kernel, e non è necessario effettuare una \func{bind}. @@ -902,58 +916,65 @@ il socket dallo stato \texttt{CLOSED} a quello \texttt{LISTEN}. In genere si chiama la funzione in un server dopo le chiamate a \func{socket} e \func{bind} e prima della chiamata ad \func{accept}. Il prototipo della funzione, come definito dalla pagina di manuale, è: -\begin{prototype}{sys/socket.h}{int listen(int sockfd, int backlog)} - Pone un socket in attesa di una connessione. - - \bodydesc{La funzione restituisce 0 in caso di successo e -1 in caso di - errore. I codici di errore restituiti in \var{errno} sono i seguenti: + +\begin{funcproto}{ +\fhead{sys/socket.h} +\fdecl{int listen(int sockfd, int backlog)} +\fdesc{Pone un socket in attesa di una connessione.} +} + +{La funzione ritorna $0$ in caso di successo e $-1$ per un errore, nel qual + caso \var{errno} assumerà uno dei valori: \begin{errlist} + \item[\errcode{EADDRINUSE}] qualche altro socket sta già usando l'indirizzo. \item[\errcode{EBADF}] l'argomento \param{sockfd} non è un file descriptor valido. \item[\errcode{ENOTSOCK}] l'argomento \param{sockfd} non è un socket. \item[\errcode{EOPNOTSUPP}] il socket è di un tipo che non supporta questa operazione. - \end{errlist}} -\end{prototype} + \end{errlist} +} +\end{funcproto} La funzione pone il socket specificato da \param{sockfd} in modalità passiva e predispone una coda per le connessioni in arrivo di lunghezza pari a \param{backlog}. La funzione si può applicare solo a socket di tipo -\const{SOCK\_STREAM} o \const{SOCK\_SEQPACKET}. - -L'argomento \param{backlog} indica il numero massimo di connessioni pendenti -accettate; se esso viene ecceduto il client al momento della richiesta della -connessione riceverà un errore di tipo \errcode{ECONNREFUSED}, o se il -protocollo, come accade nel caso del TCP, supporta la ritrasmissione, la -richiesta sarà ignorata in modo che la connessione possa venire ritentata. +\const{SOCK\_STREAM} o \const{SOCK\_SEQPACKET}. L'argomento \param{backlog} +indica il numero massimo di connessioni pendenti accettate; se esso viene +ecceduto il client al momento della richiesta della connessione riceverà un +errore di tipo \errcode{ECONNREFUSED}, o se il protocollo, come accade nel +caso del TCP, supporta la ritrasmissione, la richiesta sarà ignorata in modo +che la connessione possa venire ritentata. Per capire meglio il significato di tutto ciò occorre approfondire la modalità con cui il kernel tratta le connessioni in arrivo. Per ogni socket in ascolto infatti vengono mantenute due code: \begin{enumerate} \item La coda delle connessioni incomplete (\textit{incomplete connection - queue}) che contiene un riferimento per ciascun socket per il quale è - arrivato un SYN ma il \textit{three way handshake} non si è ancora concluso. - Questi socket sono tutti nello stato \texttt{SYN\_RECV}. + queue}) che contiene una voce per ciascun socket per il quale è arrivato + un SYN ma il \textit{three way handshake} non si è ancora concluso. Questi + socket sono tutti nello stato \texttt{SYN\_RECV}. \item La coda delle connessioni complete (\textit{complete connection queue}) - che contiene un ingresso per ciascun socket per il quale il \textit{three - way handshake} è stato completato ma ancora \func{accept} non è ritornata. + che contiene una voce per ciascun socket per il quale il \textit{three way + handshake} è stato completato ma ancora \func{accept} non è ritornata. Questi socket sono tutti nello stato \texttt{ESTABLISHED}. \end{enumerate} Lo schema di funzionamento è descritto in fig.~\ref{fig:TCP_listen_backlog}: -quando arriva un SYN da un client il server crea una nuova voce nella coda -delle connessioni incomplete, e poi risponde con il SYN$+$ACK. La voce resterà -nella coda delle connessioni incomplete fino al ricevimento dell'ACK dal -client o fino ad un timeout. Nel caso di completamento del \textit{three way - handshake} la voce viene spostata nella coda delle connessioni complete. -Quando il processo chiama la funzione \func{accept} (vedi -sez.~\ref{sec:TCP_func_accept}) la prima voce nella coda delle connessioni -complete è passata al programma, o, se la coda è vuota, il processo viene -posto in attesa e risvegliato all'arrivo della prima connessione completa. +quando arriva un segmento SYN da un client il kernel crea una voce nella coda +delle connessioni incomplete e risponde con il segmento SYN$+$ACK. La voce +resterà nella coda delle connessioni incomplete fino al ricevimento del +segmento ACK dal client o fino ad un timeout. + +Nel caso di completamento del \textit{three way handshake} la voce viene +spostata nella coda delle connessioni complete. Quando il processo chiama la +funzione \func{accept} (vedi sez.~\ref{sec:TCP_func_accept}) gli viene passata +la prima voce nella coda delle connessioni complete, oppure, se la coda è +vuota, il processo viene posto in attesa in stato di \textit{sleep} e +risvegliato all'arrivo della prima connessione completa. \begin{figure}[!htb] - \centering \includegraphics[width=11cm]{img/tcp_listen_backlog} + \centering \includegraphics[width=12cm]{img/tcp_listen_backlog} \caption{Schema di funzionamento delle code delle connessioni complete ed incomplete.} \label{fig:TCP_listen_backlog} @@ -963,58 +984,68 @@ Storicamente il valore dell'argomento \param{backlog} era corrispondente al massimo valore della somma del numero di voci possibili per ciascuna delle due code. Stevens in \cite{UNP1} riporta che BSD ha sempre applicato un fattore di 1.5 a detto valore, e fornisce una tabella con i risultati ottenuti con vari -kernel, compreso Linux 2.0, che mostrano le differenze fra diverse -realizzazioni. +kernel, compreso anche il vecchio Linux 2.0, che mostrano le differenze fra +diverse realizzazioni. In Linux il significato di questo valore è cambiato a partire dal kernel 2.2 -per prevenire l'attacco chiamato \itindex{SYN~flood} \textit{SYN - flood}. Questo si basa sull'emissione da parte dell'attaccante di un grande -numero di pacchetti SYN indirizzati verso una porta, forgiati con indirizzo IP -fasullo\footnote{con la tecnica che viene detta \textit{ip spoofing}.} così -che i SYN$+$ACK vanno perduti e la coda delle connessioni incomplete viene -saturata, impedendo di fatto ulteriori connessioni. - -Per ovviare a questo il significato del \param{backlog} è stato cambiato a -indicare la lunghezza della coda delle connessioni complete. La lunghezza -della coda delle connessioni incomplete può essere ancora controllata usando -la funzione \func{sysctl} con il parametro -\constd{NET\_TCP\_MAX\_SYN\_BACKLOG} o scrivendola direttamente in -\sysctlfile{net/ipv4/tcp\_max\_syn\_backlog}. Quando si attiva la protezione -dei syncookies però (con l'opzione da compilare nel kernel e da attivare -usando \sysctlfile{net/ipv4/tcp\_syncookies}) questo valore viene ignorato e -non esiste più un valore massimo. In ogni caso in Linux il valore -di \param{backlog} viene troncato ad un massimo di \const{SOMAXCONN} se è -superiore a detta costante (che di default vale 128).\footnote{il valore di - questa costante può essere controllato con un altro parametro di - \func{sysctl}, vedi sez.~\ref{sec:sock_ioctl_IP}.} - -La scelta storica per il valore di questo parametro era di 5, e alcuni vecchi -kernel non supportavano neanche valori superiori, ma la situazione corrente è -molto cambiata per via della presenza di server web che devono gestire un gran -numero di connessioni per cui un tale valore non è più adeguato. Non esiste -comunque una risposta univoca per la scelta del valore, per questo non -conviene specificarlo con una costante (il cui cambiamento richiederebbe la -ricompilazione del server) ma usare piuttosto una variabile di ambiente (vedi -sez.~\ref{sec:proc_environ}). +per prevenire il \textit{denial of service} chiamato \itindex{SYN~flood} +\textit{SYN flood}. Questo attacco si basa sull'emissione da parte +dell'attaccante di un grande numero di segmenti SYN indirizzati verso una +porta, forgiati con indirizzo IP fasullo (con la tecnica che viene detta +\textit{ip spoofing}); in questo modo i segmenti SYN$+$ACK di risposta vanno +perduti e la coda delle connessioni incomplete viene saturata, impedendo di +fatto ulteriori connessioni. + +Per ovviare a questo problema il significato del \param{backlog} è stato +cambiato e adesso indica la lunghezza della coda delle connessioni +complete. La lunghezza della coda delle connessioni incomplete può essere +ancora controllata ma occorre usare esplicitamente la funzione \func{sysctl} +con il parametro \constd{NET\_TCP\_MAX\_SYN\_BACKLOG} o scrivere il valore +direttamente sul file \sysctlfile{net/ipv4/tcp\_max\_syn\_backlog}. + +Quando si attiva la protezione dei \textit{syncookies} però (con l'opzione da +compilare nel kernel e da attivare usando \func{sysctl} o scrivendo nel file +\sysctlfile{net/ipv4/tcp\_syncookies}, vedi sez.~\ref{sec:sock_ipv4_sysctl}) +questo valore viene ignorato e non esiste più un valore massimo. In ogni caso +in Linux il valore di \param{backlog} viene sempre troncato ad un massimo di +\const{SOMAXCONN} se è superiore a detta costante (che di default vale 128); +per i kernel precedenti il 2.4.25 questo valore era fisso e non modificabile, +nelle versioni successive può essere controllato con un parametro di +\func{sysctl}, o scrivendo nel file \sysctlfile{net/core/somaxconn} +(vedi sez.~\ref{sec:sock_ioctl_IP}). + +La scelta storica per il valore assegnato a questo argomento era di 5, e +alcuni vecchi kernel non supportavano neanche valori superiori, ma la +situazione corrente è molto cambiata per via della presenza di server web che +devono gestire un gran numero di connessioni per cui un tale valore non è più +adeguato. Non esiste comunque una risposta univoca per la scelta del valore, +per questo non conviene specificarlo con una costante (il cui cambiamento +richiederebbe la ricompilazione del server) ma usare piuttosto una variabile +di ambiente (vedi sez.~\ref{sec:proc_environ}). Stevens tratta accuratamente questo argomento in \cite{UNP1}, con esempi presi -da casi reali su web server, ed in particolare evidenzia come non sia più vero -che il compito principale della coda sia quello di gestire il caso in cui il -server è occupato fra chiamate successive alla \func{accept} (per cui la coda -più occupata sarebbe quella delle connessioni completate), ma piuttosto quello -di gestire la presenza di un gran numero di SYN in attesa di concludere il -\textit{three way handshake}. - -Infine va messo in evidenza che, nel caso di socket TCP, quando un SYN arriva -con tutte le code piene, il pacchetto deve essere ignorato. Questo perché la -condizione in cui le code sono piene è ovviamente transitoria, per cui se il -client ritrasmette il SYN è probabile che passato un po' di tempo possa -trovare nella coda lo spazio per una nuova connessione. Se invece si -rispondesse con un RST, per indicare l'impossibilità di effettuare la -connessione, la chiamata a \func{connect} nel client ritornerebbe con una -condizione di errore, costringendo a inserire nell'applicazione la gestione -dei tentativi di riconnessione, che invece può essere effettuata in maniera -trasparente dal protocollo TCP. +da casistiche reali trovate su dei server web, ed in particolare evidenzia +come non sia più vero che il compito principale della coda sia quello di +gestire il caso in cui il server è occupato fra chiamate successive alla +\func{accept} (per cui la coda più occupata sarebbe quella delle connessioni +completate), ma piuttosto quello di gestire la presenza di un gran numero di +SYN in attesa di concludere il \textit{three way handshake}. + +Infine va messo in evidenza che, nel caso di socket TCP, quando un segmento +SYN arriva con tutte le code piene, il pacchetto verrà semplicemente +ignorato. Questo avviene perché la condizione in cui le code sono piene è +ovviamente transitoria, per cui se il client ritrasmette in seguito un +segmento SYN, come previsto dal protocollo, è probabile che essendo passato un +po' di tempo esso possa trovare nella coda lo spazio per una nuova +connessione. + +Se al contrario si rispondesse immediatamente con un segmento RST, per +indicare che è impossibile effettuare la connessione, la chiamata a +\func{connect} eseguita dal client fallirebbe ritornando una condizione di +errore. In questo modo si sarebbe costretti ad inserire nell'applicazione la +gestione dei tentativi di riconnessione, che invece grazie a questa modalità +di funzionamento viene effettuata in maniera trasparente dal protocollo +TCP. \subsection{La funzione \func{accept}} @@ -1022,59 +1053,62 @@ trasparente dal protocollo TCP. La funzione \funcd{accept} è chiamata da un server per gestire la connessione una volta che sia stato completato il \textit{three way - handshake},\footnote{la funzione è comunque generica ed è utilizzabile su - socket di tipo \const{SOCK\_STREAM}, \const{SOCK\_SEQPACKET} e - \const{SOCK\_RDM}.} la funzione restituisce un nuovo socket descriptor su + handshake},\footnote{come le precedenti, la funzione è generica ed è + utilizzabile su socket di tipo \const{SOCK\_STREAM}, \const{SOCK\_SEQPACKET} + e \const{SOCK\_RDM}.} la funzione restituisce un nuovo socket descriptor su cui si potrà operare per effettuare la comunicazione. Se non ci sono connessioni completate il processo viene messo in attesa. Il prototipo della funzione è il seguente: -\begin{prototype}{sys/socket.h} -{int accept(int sockfd, struct sockaddr *addr, socklen\_t *addrlen)} - - Accetta una connessione sul socket specificato. - - \bodydesc{La funzione restituisce un numero di socket descriptor positivo in - caso di successo e -1 in caso di errore, nel qual caso \var{errno} viene - impostata ai seguenti valori: +\begin{funcproto}{ +\fhead{sys/socket.h} +\fdecl{int accept(int sockfd, struct sockaddr *addr, socklen\_t *addrlen)} +\fdesc{Accetta una connessione sul socket specificato.} +} + +{La funzione ritorna un numero di socket descriptor positivo in caso di + successo e $-1$ per un errore, nel qual caso \var{errno} assumerà uno dei + valori: \begin{errlist} - \item[\errcode{EBADF}] l'argomento \param{sockfd} non è un file descriptor - valido. - \item[\errcode{ENOTSOCK}] l'argomento \param{sockfd} non è un socket. - \item[\errcode{EOPNOTSUPP}] il socket è di un tipo che non supporta questa - operazione. \item[\errcode{EAGAIN} o \errcode{EWOULDBLOCK}] il socket è stato impostato come non bloccante (vedi sez.~\ref{sec:file_noblocking}), e non ci sono connessioni in attesa di essere accettate. - \item[\errcode{EPERM}] le regole del firewall non consentono la connessione. + \item[\errcode{EBADF}] l'argomento \param{sockfd} non è un file descriptor + valido. + \item[\errcode{ECONNABORTED}] la connessione è stata abortita. + \item[\errcode{EINTR}] la funzione è stata interrotta da un segnale. \item[\errcode{ENOBUFS}, \errcode{ENOMEM}] questo spesso significa che l'allocazione della memoria è limitata dai limiti sui buffer dei socket, non dalla memoria di sistema. - \item[\errcode{EINTR}] la funzione è stata interrotta da un segnale. + \item[\errcode{ENOTSOCK}] l'argomento \param{sockfd} non è un socket. + \item[\errcode{EOPNOTSUPP}] il socket è di un tipo che non supporta questa + operazione. + \item[\errcode{EPERM}] le regole del firewall non consentono la connessione. \end{errlist} - Inoltre possono essere restituiti gli errori di rete relativi al nuovo - socket, diversi a secondo del protocollo, come: \errval{EMFILE}, - \errval{EINVAL}, \errval{ENOSR}, \errval{ENOBUFS}, \errval{EFAULT}, - \errval{EPERM}, \errval{ECONNABORTED}, \errval{ESOCKTNOSUPPORT}, - \errval{EPROTONOSUPPORT}, \errval{ETIMEDOUT}, \errval{ERESTARTSYS}.} -\end{prototype} + ed inoltre nel loro significato generico: \errval{EFAULT}, \errval{EINVAL}, + \errval{EMFILE}, \errval{ENFILE}; infine a seconda del protocollo e del + kernel possono essere restituiti errori di rete relativi al nuovo socket + come: \errval{ENOSR}, \errval{ESOCKTNOSUPPORT}, \errval{EPROTONOSUPPORT}, + \errval{ETIMEDOUT}, \errval{ERESTARTSYS}.} +\end{funcproto} La funzione estrae la prima connessione relativa al socket \param{sockfd} in attesa sulla coda delle connessioni complete, che associa ad nuovo socket con le stesse caratteristiche di \param{sockfd}. Il socket originale non viene toccato e resta nello stato di \texttt{LISTEN}, mentre il nuovo socket viene -posto nello stato \texttt{ESTABLISHED}. Nella struttura \param{addr} e nella -variabile \param{addrlen} vengono restituiti indirizzo e relativa lunghezza -del client che si è connesso. - -I due argomenti \param{addr} e \param{addrlen} (si noti che quest'ultimo è -passato per indirizzo per avere indietro il valore) sono usati per ottenere -l'indirizzo del client da cui proviene la connessione. Prima della chiamata -\param{addrlen} deve essere inizializzato alle dimensioni della struttura il -cui indirizzo è passato come argomento in \param{addr}; al ritorno della -funzione \param{addrlen} conterrà il numero di byte scritti dentro -\param{addr}. Se questa informazione non interessa basterà inizializzare a -\val{NULL} detti puntatori. +posto nello stato \texttt{ESTABLISHED}. + +I due argomenti \param{addr} e \param{addrlen} (si noti che quest'ultimo è un +\textit{valure-result argument} passato con un puntatore per riavere indietro +il valore) sono usati rispettivamente per ottenere l'indirizzo del client da +cui proviene la connessione e la lunghezza dello stesso (la dimensione dipende +da quale famiglia di indirizzi si sta utilizzando). + +Prima della chiamata \param{addrlen} deve essere inizializzato alle dimensioni +della struttura degli indirizzi cui punta \param{addr}; al ritorno della +funzione \param{addrlen} conterrà il numero di byte scritti +dentro \param{addr}. Se questa informazione non interessa basterà +inizializzare a \val{NULL} detti puntatori. Se la funzione ha successo restituisce il descrittore di un nuovo socket creato dal kernel (detto \textit{connected socket}) a cui viene associata la @@ -1131,7 +1165,7 @@ Oltre a tutte quelle viste finora, dedicate all'utilizzo dei socket, esistono alcune funzioni ausiliarie che possono essere usate per recuperare alcune informazioni relative ai socket ed alle connessioni ad essi associate. Le due funzioni più elementari sono queste, che vengono usate per ottenere i dati -relativi alla socket pair associata ad un certo socket. +relativi alla \textit{socket pair} associata ad un certo socket. La prima funzione è \funcd{getsockname} e serve ad ottenere l'indirizzo locale associato ad un socket; il suo prototipo è: @@ -1411,9 +1445,9 @@ invii sempre una stringa alfanumerica, il formato della stringa non è specificato dallo standard, per cui noi useremo il formato usato dalla funzione \func{ctime}, seguito dai caratteri di terminazione \verb|\r\n|, cioè qualcosa del tipo: -\begin{verbatim} +\begin{Verbatim} Wed Apr 4 00:53:00 2001\r\n -\end{verbatim} +\end{Verbatim} questa viene letta dal socket (\texttt{\small 34}) con la funzione \func{read} in un buffer temporaneo; la stringa poi deve essere terminata (\texttt{\small 35}) con il solito carattere nullo per poter essere stampata (\texttt{\small @@ -1442,10 +1476,11 @@ Se abilitiamo il servizio \textit{daytime}\footnote{in genere questo viene fornito direttamente dal \textsl{superdemone} \cmd{inetd}, pertanto basta assicurarsi che esso sia abilitato nel relativo file di configurazione.} possiamo verificare il funzionamento del nostro client, avremo allora: -\begin{verbatim} -[piccardi@gont sources]$ ./daytime 127.0.0.1 +\begin{Console} +[piccardi@gont sources]$ \textbf{./daytime 127.0.0.1} Mon Apr 21 20:46:11 2003 -\end{verbatim}%$ +\end{Console} +%$ e come si vede tutto funziona regolarmente. @@ -1925,14 +1960,15 @@ porta 7 che è riservata), alla partenza esso eseguirà l'apertura passiva con la sequenza delle chiamate a \func{socket}, \func{bind}, \func{listen} e poi si bloccherà nella \func{accept}. A questo punto si potrà controllarne lo stato con \cmd{netstat}: -\begin{verbatim} -[piccardi@roke piccardi]$ netstat -at +\begin{Console} +[piccardi@roke piccardi]$ \textbf{netstat -at} Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State ... tcp 0 0 *:echo *:* LISTEN ... -\end{verbatim} %$ +\end{Console} +%$ che ci mostra come il socket sia in ascolto sulla porta richiesta, accettando connessioni da qualunque indirizzo e da qualunque porta e su qualunque interfaccia locale. @@ -1946,12 +1982,12 @@ connessione è stabilita; la \func{connect} ritornerà nel client\footnote{si dopo un altro mezzo RTT quando il terzo segmento (l'ACK del client) viene ricevuto.} e la \func{accept} nel server, ed usando di nuovo \cmd{netstat} otterremmo che: -\begin{verbatim} +\begin{Terminal} Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 *:echo *:* LISTEN tcp 0 0 roke:echo gont:32981 ESTABLISHED -\end{verbatim} +\end{Terminal} mentre per quanto riguarda l'esecuzione dei programmi avremo che: \begin{itemize} \item il client chiama la funzione \code{ClientEcho} che si blocca sulla @@ -1964,14 +2000,15 @@ mentre per quanto riguarda l'esecuzione dei programmi avremo che: \end{itemize} e se usiamo il comando \cmd{ps} per esaminare lo stato dei processi otterremo un risultato del tipo: -\begin{verbatim} -[piccardi@roke piccardi]$ ps ax +\begin{Console} +[piccardi@roke piccardi]$ \textbf{ps ax} PID TTY STAT TIME COMMAND ... ... ... ... ... 2356 pts/0 S 0:00 ./echod 2358 pts/1 S 0:00 ./echo 127.0.0.1 2359 pts/0 S 0:00 ./echod -\end{verbatim} %$ +\end{Console} +%$ (dove si sono cancellate le righe inutili) da cui si evidenzia la presenza di tre processi, tutti in stato di \textit{sleep} (vedi tab.~\ref{tab:proc_proc_states}). @@ -1991,21 +2028,23 @@ l'immediata stampa a video. Tutto quello che scriveremo sul client sarà rimandato indietro dal server e ristampato a video fintanto che non concluderemo l'immissione dei dati; una sessione tipica sarà allora del tipo: -\begin{verbatim} -[piccardi@roke sources]$ ./echo 127.0.0.1 +\begin{Console} +[piccardi@roke sources]$ \textbf{./echo 127.0.0.1} Questa e` una prova Questa e` una prova Ho finito Ho finito -\end{verbatim} %$ +\end{Console} +%$ che termineremo inviando un EOF dal terminale (usando la combinazione di tasti ctrl-D, che non compare a schermo); se eseguiamo un \cmd{netstat} a questo punto avremo: -\begin{verbatim} -[piccardi@roke piccardi]$ netstat -at +\begin{Console} +[piccardi@roke piccardi]$ \textbf{netstat -at} tcp 0 0 *:echo *:* LISTEN tcp 0 0 localhost:33032 localhost:echo TIME_WAIT -\end{verbatim} %$ +\end{Console} +%$ con il client che entra in \texttt{TIME\_WAIT}. Esaminiamo allora in dettaglio la sequenza di eventi che porta alla @@ -2048,10 +2087,10 @@ ignorato, non avendo predisposto la ricezione dello stato di terminazione, otterremo che il processo figlio entrerà nello stato di \textit{zombie} (si riveda quanto illustrato in sez.~\ref{sec:sig_sigchld}), come risulterà ripetendo il comando \cmd{ps}: -\begin{verbatim} +\begin{Terminal} 2356 pts/0 S 0:00 ./echod 2359 pts/0 Z 0:00 [echod ] -\end{verbatim} +\end{Terminal} Dato che non è il caso di lasciare processi \textit{zombie}, occorrerà ricevere opportunamente lo stato di terminazione del processo (si veda @@ -2083,10 +2122,10 @@ l'esecuzione nel padre ripartirà subito con il ritorno della funzione l'esecuzione del programma in risposta ad una connessione) con un errore di \errcode{EINTR}. Non avendo previsto questa eventualità il programma considera questo un errore fatale terminando a sua volta con un messaggio del tipo: -\begin{verbatim} -[root@gont sources]# ./echod -i +\begin{Console} +[root@gont sources]# \textbf{./echod -i} accept error: Interrupted system call -\end{verbatim}%# +\end{Console} Come accennato in sez.~\ref{sec:sig_gen_beha} le conseguenze di questo comportamento delle \textit{system call} possono essere superate in due modi @@ -2340,14 +2379,14 @@ Vediamo allora cosa succede nel nostro caso, facciamo partire una connessione con il server e scriviamo una prima riga, poi terminiamo il server con un \texttt{C-c}. A questo punto scriviamo una seconda riga e poi un'altra riga ancora. Il risultato finale della sessione è il seguente: -\begin{verbatim} -[piccardi@gont sources]$ ./echo 192.168.1.141 +\begin{Console} +[piccardi@gont sources]$ \textbf{./echo 192.168.1.141} Prima riga Prima riga Seconda riga dopo il C-c Altra riga [piccardi@gont sources]$ -\end{verbatim} +\end{Console} Come si vede il nostro client, nonostante la connessione sia stata interrotta prima dell'invio della seconda riga, non solo accetta di inviarla, ma prende @@ -2380,8 +2419,8 @@ il client ed il server; i risultati\footnote{in realtà si è ridotta la lunghezza dell'output rispetto al reale tagliando alcuni dati non necessari alla comprensione del flusso.} prodotti in questa occasione da \cmd{tcpdump} sono allora i seguenti: -\begin{verbatim} -[root@gont gapil]# tcpdump src 192.168.1.141 or dst 192.168.1.141 -N -t +\begin{Console} +[root@gont gapil]# \textbf{tcpdump src 192.168.1.141 or dst 192.168.1.141 -N -t} tcpdump: listening on eth0 gont.34559 > anarres.echo: S 800922320:800922320(0) win 5840 anarres.echo > gont.34559: S 511689719:511689719(0) ack 800922321 win 5792 @@ -2394,7 +2433,7 @@ anarres.echo > gont.34559: F 12:12(0) ack 12 win 5792 gont.34559 > anarres.echo: . ack 13 win 5840 gont.34559 > anarres.echo: P 12:37(25) ack 13 win 5840 anarres.echo > gont.34559: R 511689732:511689732(0) win 0 -\end{verbatim} +\end{Console} Le prime tre righe vengono prodotte al momento in cui lanciamo il nostro client, e corrispondono ai tre pacchetti del \textit{three way handshake}. @@ -2436,23 +2475,23 @@ ACK da parte del client. A questo punto la connessione dalla parte del server è chiusa, ed infatti se usiamo \cmd{netstat} per controllarne lo stato otterremo che sul server si ha: -\begin{verbatim} -anarres:/home/piccardi# netstat -ant +\begin{Console} +anarres:/home/piccardi# \textbf{netstat -ant} Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State ... ... ... ... ... ... tcp 0 0 192.168.1.141:7 192.168.1.2:34626 FIN_WAIT2 -\end{verbatim} +\end{Console} cioè essa è andata nello stato \texttt{FIN\_WAIT2}, che indica l'avvenuta emissione del segmento FIN, mentre sul client otterremo che essa è andata nello stato \texttt{CLOSE\_WAIT}: -\begin{verbatim} -[root@gont gapil]# netstat -ant +\begin{Console} +[root@gont gapil]# \textbf{netstat -ant} Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State ... ... ... ... ... ... tcp 1 0 192.168.1.2:34582 192.168.1.141:7 CLOSE_WAIT -\end{verbatim} +\end{Console} Il problema è che in questo momento il client è bloccato dentro la funzione \texttt{ClientEcho} nella chiamata a \func{fgets}, e sta attendendo dell'input @@ -2525,13 +2564,14 @@ le funzioni, ed inoltre si verifica la presenza di un eventuale end of file in caso di lettura. Con questa modifica il nostro client echo diventa in grado di accorgersi della chiusura del socket da parte del server, per cui ripetendo la sequenza di operazioni precedenti stavolta otterremo che: -\begin{verbatim} -[piccardi@gont sources]$ ./echo 192.168.1.141 +\begin{Console} +[piccardi@gont sources]$ \textbf{./echo 192.168.1.141} Prima riga Prima riga Seconda riga dopo il C-c EOF sul socket -\end{verbatim}%$ +\end{Console} +%$ ma di nuovo si tenga presente che non c'è modo di accorgersi della chiusura del socket fin quando non si esegue la scrittura della seconda riga; il protocollo infatti prevede che ci debba essere una scrittura prima di ricevere @@ -2567,13 +2607,14 @@ Cominciamo ad analizzare il primo caso, il crollo della rete. Ripetiamo la nostra sessione di lavoro precedente, lanciamo il client, scriviamo una prima riga, poi stacchiamo il cavo e scriviamo una seconda riga. Il risultato che otterremo è: -\begin{verbatim} -[piccardi@gont sources]$ ./echo 192.168.1.141 +\begin{Console} +[piccardi@gont sources]$ \textbf{./echo 192.168.1.141} Prima riga Prima riga Seconda riga dopo l'interruzione Errore in lettura: No route to host -\end{verbatim}%$ +\end{Console} +%$ Quello che succede in questo è che il programma, dopo aver scritto la seconda riga, resta bloccato per un tempo molto lungo, prima di dare l'errore @@ -2584,8 +2625,8 @@ del caso precedente, il programma è bloccato nella lettura dal socket. Se poi, come nel caso precedente, usiamo l'accortezza di analizzare il traffico di rete fra client e server con \cmd{tcpdump}, otterremo il seguente risultato: -\begin{verbatim} -[root@gont sources]# tcpdump src 192.168.1.141 or dst 192.168.1.141 -N -t +\begin{Console} +[root@gont sources]# \textbf{tcpdump src 192.168.1.141 or dst 192.168.1.141 -N -t} tcpdump: listening on eth0 gont.34685 > anarres.echo: S 1943495663:1943495663(0) win 5840 anarres.echo > gont.34685: S 1215783131:1215783131(0) ack 1943495664 win 5792 @@ -2610,7 +2651,7 @@ arp who-has anarres tell gont arp who-has anarres tell gont arp who-has anarres tell gont ... -\end{verbatim} +\end{Console} In questo caso l'andamento dei primi sette pacchetti è esattamente lo stesso di prima. Solo che stavolta, non appena inviata la seconda riga, il programma @@ -2667,8 +2708,8 @@ un valore di tentativi più basso, possiamo evitare la scadenza della \textit{ARP cache} e vedere cosa succede. Così se ad esempio richiediamo 4 tentativi di ritrasmissione, l'analisi di \cmd{tcpdump} ci riporterà il seguente scambio di pacchetti: -\begin{verbatim} -[root@gont gapil]# tcpdump src 192.168.1.141 or dst 192.168.1.141 -N -t +\begin{Console} +[root@gont gapil]# \textbf{tcpdump src 192.168.1.141 or dst 192.168.1.141 -N -t} tcpdump: listening on eth0 gont.34752 > anarres.echo: S 3646972152:3646972152(0) win 5840 anarres.echo > gont.34752: S 2735190336:2735190336(0) ack 3646972153 win 5792 @@ -2682,19 +2723,20 @@ gont.34752 > anarres.echo: P 12:45(33) ack 12 win 5840 gont.34752 > anarres.echo: P 12:45(33) ack 12 win 5840 gont.34752 > anarres.echo: P 12:45(33) ack 12 win 5840 gont.34752 > anarres.echo: P 12:45(33) ack 12 win 5840 -\end{verbatim} +\end{Console} e come si vede in questo caso i tentativi di ritrasmissione del pacchetto iniziale sono proprio 4 (per un totale di 5 voci con quello trasmesso la prima volta), ed in effetti, dopo un tempo molto più breve rispetto a prima ed in corrispondenza dell'invio dell'ultimo tentativo, quello che otterremo come errore all'uscita del client sarà diverso, e cioè: -\begin{verbatim} -[piccardi@gont sources]$ ./echo 192.168.1.141 +\begin{Console} +[piccardi@gont sources]$ \textbf{./echo 192.168.1.141} Prima riga Prima riga Seconda riga dopo l'interruzione Errore in lettura: Connection timed out -\end{verbatim}%$ +\end{Console} +%$ che corrisponde appunto, come ci aspettavamo, alla ricezione di un \errcode{ETIMEDOUT}. @@ -2703,18 +2745,19 @@ fa da server. Al solito lanciamo il nostro client, scriviamo una prima riga per verificare che sia tutto a posto, poi stacchiamo il cavo e riavviamo il server. A questo punto, ritornato attivo il server, scriviamo una seconda riga. Quello che otterremo in questo caso è: -\begin{verbatim} -[piccardi@gont sources]$ ./echo 192.168.1.141 +\begin{Console} +[piccardi@gont sources]$ \textbf{./echo 192.168.1.141} Prima riga Prima riga Seconda riga dopo l'interruzione Errore in lettura Connection reset by peer -\end{verbatim}%$ +\end{Console} +%$ e l'errore ricevuti da \func{read} stavolta è \errcode{ECONNRESET}. Se al solito riportiamo l'analisi dei pacchetti effettuata con \cmd{tcpdump}, avremo: -\begin{verbatim} -[root@gont gapil]# tcpdump src 192.168.1.141 or dst 192.168.1.141 -N -t +\begin{Console} +[root@gont gapil]# \textbf{tcpdump src 192.168.1.141 or dst 192.168.1.141 -N -t} tcpdump: listening on eth0 gont.34756 > anarres.echo: S 904864257:904864257(0) win 5840 anarres.echo > gont.34756: S 4254564871:4254564871(0) ack 904864258 win 5792 @@ -2725,7 +2768,7 @@ anarres.echo > gont.34756: P 1:12(11) ack 12 win 5792 gont.34756 > anarres.echo: . ack 12 win 5840 gont.34756 > anarres.echo: P 12:45(33) ack 12 win 5840 anarres.echo > gont.34756: R 4254564883:4254564883(0) win 0 -\end{verbatim} +\end{Console} Ancora una volta i primi sette pacchetti sono gli stessi; ma in questo caso quello che succede dopo lo scambio iniziale è che, non avendo inviato nulla @@ -2977,12 +3020,13 @@ Riprendiamo la situazione affrontata in sez.~\ref{sec:TCP_server_crash}, terminando il server durante una connessione, in questo caso quello che otterremo, una volta scritta una prima riga ed interrotto il server con un \texttt{C-c}, sarà: -\begin{verbatim} -[piccardi@gont sources]$ ./echo 192.168.1.1 +\begin{Console} +[piccardi@gont sources]$ \textbf{./echo 192.168.1.1} Prima riga Prima riga EOF sul socket -\end{verbatim}%$ +\end{Console} +%$ dove l'ultima riga compare immediatamente dopo aver interrotto il server. Il nostro client infatti è in grado di accorgersi immediatamente che il socket connesso è stato chiuso ed uscire immediatamente. @@ -3005,8 +3049,8 @@ Tra l'altro se si ricollega la rete prima della scadenza del timeout, potremo anche verificare come tutto quello che si era scritto viene poi effettivamente trasmesso non appena la connessione ridiventa attiva, per cui otterremo qualcosa del tipo: -\begin{verbatim} -[piccardi@gont sources]$ ./echo 192.168.1.1 +\begin{Console} +[piccardi@gont sources]$ \textbf{./echo 192.168.1.1} Prima riga Prima riga Seconda riga dopo l'interruzione @@ -3015,7 +3059,8 @@ Quarta riga Seconda riga dopo l'interruzione Terza riga Quarta riga -\end{verbatim} +\end{Console} +%$ in cui, una volta riconnessa la rete, tutto quello che abbiamo scritto durante il periodo di disconnessione restituito indietro e stampato immediatamente. @@ -3140,9 +3185,10 @@ nostro client infatti presenta ancora un problema, che nell'uso che finora ne abbiamo fatto non è emerso, ma che ci aspetta dietro l'angolo non appena usciamo dall'uso interattivo e proviamo ad eseguirlo redirigendo standard input e standard output. Così se eseguiamo: -\begin{verbatim} -[piccardi@gont sources]$ ./echo 192.168.1.1 < ../fileadv.tex > copia -\end{verbatim}%$ +\begin{Console} +[piccardi@gont sources]$ \textbf{./echo 192.168.1.1 < ../fileadv.tex > copia} +\end{Console} +%$ vedremo che il file \texttt{copia} risulta mancare della parte finale. Per capire cosa avviene in questo caso occorre tenere presente come avviene la -- 2.30.2