TCP擁塞控制機(jī)制缺陷的建模分析與修正.pdf

1、傳輸控制協(xié)議（Transmission Control Protocol，TCP）的擁塞控制機(jī)制旨在充分利用帶寬資源的同時(shí)，避免網(wǎng)絡(luò)陷入嚴(yán)重的擁塞。但最近的研究發(fā)現(xiàn)，TCP擁塞控制在一些網(wǎng)絡(luò)場(chǎng)景中暴露出了諸多設(shè)計(jì)缺陷，嚴(yán)重影響了網(wǎng)絡(luò)的通信性能。研究并修正這些缺陷，對(duì)于網(wǎng)絡(luò)的未來(lái)發(fā)展具有十分重要的意義。本論文以低速率拒絕服務(wù)攻擊，數(shù)據(jù)中心“多對(duì)一”數(shù)據(jù)傳輸，和高帶寬延遲積網(wǎng)絡(luò)等網(wǎng)絡(luò)場(chǎng)景為例，對(duì)TCP擁塞控制存在的缺陷進(jìn)行了多角度的建模分析

2、，并深入研究了這些缺陷的修正方案。具體而言，本論文的主要工作和創(chuàng)新點(diǎn)包括：
　　第一，通過建立TCP吞吐量模型，研究并修正了低速率拒絕服務(wù)攻擊（Low-rate Denial of Service attack,LDoS）下TCP擁塞控制算法的缺陷。拒絕服務(wù)攻擊（DoS）正嚴(yán)重威脅著Internet的安全，而LDoS是DoS攻擊的典型代表。這種新型DoS通過周期性地發(fā)送攻擊報(bào)文來(lái)迫使TCP不斷超時(shí)重傳，僅需極低的平均攻擊速率（相對(duì)

3、于洪泛式DoS攻擊）便可顯著降低TCP吞吐量。本文建立了給定網(wǎng)絡(luò)環(huán)境及LDoS攻擊配置下的TCP吞吐量模型。該模型首次揭示了慢啟動(dòng)的安全性缺陷，即TCP在慢啟動(dòng)結(jié)束時(shí)的擁塞窗口很大，但在整個(gè)慢啟動(dòng)階段的平均吞吐量卻較低。這意味著，攻擊者在慢啟動(dòng)結(jié)束后發(fā)動(dòng)攻擊，只需少量攻擊報(bào)文便能令網(wǎng)絡(luò)擁塞并迫使TCP超時(shí)，而同時(shí)TCP的吞吐量會(huì)很低。受此啟發(fā)，本文設(shè)計(jì)了一個(gè)新的攻擊策略NewShrew，并通過仿真證實(shí)該策略比現(xiàn)有LDoS的速率更低且效率

4、更高。另一方面，TCP吞吐量模型指出LDoS攻擊速率與鏈路緩存大小呈正相關(guān)。本文據(jù)此提出一個(gè)LDoS防御方案來(lái)修正TCP的安全性缺陷。該防御方案在受到LDoS攻擊時(shí)動(dòng)態(tài)增加鏈路緩存大小，迫使攻擊者提高攻擊速率，并避免合法TCP因丟包過多而超時(shí)，從而大幅提高TCP吞吐量。仿真表明，該方案可以將TCP在LDoS下的吞吐量提高260％以上。
　　第二，通過建立TCP Incast現(xiàn)象發(fā)生率模型，研究并修正了數(shù)據(jù)中心網(wǎng)絡(luò)“多對(duì)一”通信場(chǎng)景

5、中TCP超時(shí)重傳算法的缺陷。數(shù)據(jù)中心網(wǎng)絡(luò)常見一類“多對(duì)一”的通信場(chǎng)景，即多個(gè)服務(wù)器同時(shí)通過TCP向一個(gè)收方應(yīng)用發(fā)送數(shù)據(jù)。隨著并行服務(wù)器的增多，TCP連接會(huì)經(jīng)歷多次超時(shí)重傳，而這些連接整體的吞吐量也因此驟降至理想值的十分之一以下，此即所謂的TCP Incast現(xiàn)象。本論文的Incast發(fā)生率模型定量地描述了TCP連接參數(shù)以及數(shù)據(jù)中心網(wǎng)絡(luò)環(huán)境對(duì)Incast發(fā)生率的影響，揭示了TCP超時(shí)重傳在數(shù)據(jù)中心“多對(duì)一”通信模式下的缺陷，即Incast

6、發(fā)生率與超時(shí)重傳概率呈正相關(guān)，而后者又與并行連接發(fā)送窗口的方差以及并行連接的數(shù)量呈正相關(guān)。為了克服TCP的這一缺陷，本文提出了一個(gè)基于創(chuàng)新的“滑動(dòng)連接窗口”機(jī)制的Incast修正方案：AICC。該方案通過在收方應(yīng)用層配置TCP通告窗口(advised window)來(lái)約束并行連接發(fā)送窗口的方差，并自適應(yīng)地調(diào)節(jié)滑動(dòng)連接窗口以合理地控制并行連接的數(shù)量。仿真表明，即使是處于動(dòng)態(tài)的網(wǎng)絡(luò)環(huán)境（多個(gè)瓶頸鏈路且存在背景流量），AICC也能夠避免Inc

7、ast的發(fā)生并使TCP保持較高的吞吐量。
　　第三，通過建立擁塞程度反饋與擁塞控制系統(tǒng)模型，設(shè)計(jì)了一個(gè)基于高精度擁塞程度反饋的擁塞控制協(xié)議（ECDN-ACC），修正了TCP擁塞避免算法在高帶寬延遲積網(wǎng)絡(luò)中的缺陷。通信技術(shù)的飛速發(fā)展使得網(wǎng)絡(luò)帶寬與延遲的范圍都不斷增加，最終形成了高帶寬延遲積網(wǎng)絡(luò)。在這種網(wǎng)絡(luò)中，TCP擁塞避免算法暴露出了低帶寬利用率、不公平、不穩(wěn)定的缺陷。擁塞避免僅憑丟包與否來(lái)粗略地推斷網(wǎng)絡(luò)是否擁塞，因此其窗口調(diào)節(jié)是粗

8、粒度的，難以適應(yīng)高帶寬延遲積網(wǎng)絡(luò)中復(fù)雜多變的擁塞狀況。要從根本上解決這一缺陷，需要向發(fā)送端反饋高精度的擁塞程度信息以支持細(xì)粒度的窗口調(diào)節(jié)。根據(jù)這一思路，本文設(shè)計(jì)了一個(gè)基于高精度擁塞程度反饋的擁塞控制協(xié)議ECDN-ACC。在該協(xié)議中，網(wǎng)絡(luò)借助IP identifier域的隨機(jī)性將擁塞程度的滑動(dòng)平均值編碼于ECN域中并反饋給發(fā)送端，后者再根據(jù)擁塞程度來(lái)精確、適應(yīng)性地調(diào)節(jié)發(fā)送窗口。本論文從統(tǒng)計(jì)學(xué)的角度證明了ECDN-ACC擁塞反饋的準(zhǔn)確性，并