rfc2474.txt

RFC文档

DS字段中的DSCP字段可以有64个不同的码值。这个码值空间划分为三个部分（三个
池）：有32个建议码值的池一用作[CONS]中定义的标准操作，有16个码值的池二为[CONS]
中定义的实验与本地使用（EXP/LU）预留，剩下的有16个池三的值开始四是用作实验与本
地使用，但可能会在标准指定的池一耗尽后补充使用。这三个池的定义如下表（‘x’指‘0’
或‘1’）：
池             码值空间                 分配策略
   ----        ---------------          -----------------

    1              xxxxx0                 标准操作
    2              xxxx11                 EXP/LU
    3              xxxx01                 EXP/LU (*)

（*）可能将来需要使用作标准操作

本文指定的八个建议码值（‘xxx000’），是从上面所说的池一中取的。这些码值必须被
映射，不是映射到特定的PHB，而是按先前4.2.2.2中所要求的最低要求来提供与[RFC791]
中定义的IP优先级（当今的一些设备所用）的最小限度的向后兼容性。
7.	安全性考虑

本节讨论由差分服务的引入所带来的安全性问题，主要问题在于拒绝访问攻击与未授权
的业务流的窃取服务的潜在可能性（7.1）。7.2节着重讲在IPsec的情况下差分服务的操作，
还有它与IPsec隧道模式和其他隧道模式协议的交互。有关差分服务整个结构的安全性问题
的广泛讨论请参阅[ARCH]。
7.1盗用与拒绝差分服务

差分服务的最初目标在于在相同的网络基础结构下，为业务流提供不同级别的服务。许
多技术都可以用来达到这一目标，即最终一些包将受到与其它包不同的（比如说更好的）服
务。将网络中的流映射于特定的转发行为将最终得到不同（好或坏）的服务，而这个服务从
根本上说是由DS码值所决定的。因此我们的对手可以通过改变码值，使码值代表增强服务，
或直接将有这种码值的包注入网络来得到更好的服务。作为这个问题的极端，当修改过的或
注入的流耗尽了用来转发它与其它业务流的资源时，这种盗用服务就成了拒绝服务攻击。对
于这种盗用与拒绝服务攻击的防范措施在于DS域边界的业务流整形与DS域网络基础构造
的安全性与整体性的结合。DS与边界节点必须保证所有进入域中的流所作的标记码值对本
地情况都是恰当的，且必要的话对流重新做标记。这些DS边界节点是防范基于码值修改的
盗用与拒绝服务攻击的第一道防线，因为这种攻击的成功表示攻击流所用的码值是不正确的
码值。需要指出的是边缘节点可以是DS域中任一流的源节点。DS域内的节点依靠DS码
字来确定流转发的PHB，不用再使用码值之前检查它。所以，内部节点可依赖DS域边界节
点的正确操作来防止得到不正确码值流或超出预备级别的服务而中断域的正常工作。
7.2  与IPsec和隧道技术的交互

在[ESP,AH]中定义的IPsec协议没有对IP包头的DS字段进行加密计算（在隧道模式中，
在外部的IP包头的DS字段未加密）。网络节点对DS字段的改变对于IPsec的端到端安全
性并没有任何影响，因为它不能使任何IPsec的校验失败。作为结论，IPsec并不提供任何
用来防范我们对手改变DS字段（换句话说，是中间人攻击）的方法，正如同我们对手对
DS字段的改变对IPsec的端到端安全性没作用一样。
IPsec的隧道模式对封装了的IP头中的DS字段提供安全保证。在隧道模式下的IPsec
包有两个包头：外部包头由隧道入口节点提供，而封装了的内部包头由包的源提供。但差封
服务网络（全部或部分）建立了IPsec隧道后，中间网络节点只能在外部包头的DS地段操
作了。在隧道的出口节点，IPsec的操作包括去掉外部包头与按包的内部包头转发（如果要
求这样的话）。IPsec协议要求内部包头的DS字段在解封装的过程中不改变，以次来保证在
IPsec隧道两端之间对DS字段的修改不会达到盗用与拒绝服务攻击的目的。本文对这一条
件没有变动。如果内部IP由于隧道出口节点在域内而未被DS边界节点处理的话，隧道的
出口节点就成为对于业务流出隧道的边界节点，因此必须确保得到的业务流有正确的DS码
值。
当在IPsec隧道出口的解封装过程中包含足够强度的对已封装的包的密码完整性的校验
（此处的强度是由本地安全策略决定的）时，隧道的出口节点可以安全的假设内部包头的
DS字段在与其到达隧道入口节点的值是相同。所以我们可以得到结论：DS域中的非安全链
路的安全性可以通过足够强度的IPsec隧道来保证。这一结论及其含义适用于任何进行完整
性校验的隧道协议技术，但内部包头DS字段的安全程度还有赖于隧道协议所进行的校验的
强度。在使用缺乏足够信任度的、可能经过当前DS域外的节点（或是易受攻击）的隧道的
情况下，封装了的包必须被当作是从DS域外来到了域边界来处理。
8.	致谢

作者在此感谢差分服务工作组，谢谢你们有助于定型本文的的讨论。
9.	参考资料

[AH]       Kent, S. and R. Atkinson, "IP Authentication Header",
               RFC 2402, November 1998.

   [ARCH]      Blake, S., Black, D., Carlson, M., Davies, E., Wang, Z.
               and W. Weiss, "An Architecture for Differentiated
               Services", RFC 2475, December 1998.

   [CBQ]       S. Floyd and V. Jacobson, "Link-sharing and Resource
               Management Models for Packet Networks", IEEE/ACM
               Transactions on Networking, Vol. 3 no. 4, pp. 365-386,
               August 1995.

   [CONS]      Narten, T. and H. Alvestrand, "Guidelines for Writing an
               IANA Considerations Section in RFCs", RFC 2434, October
               1998.

   [DRR]       M. Shreedhar and G. Varghese, "Efficient Fair Queueing
               using Deficit Round Robin", Proc. ACM SIGCOMM 95, 1995.

   [ESP]       Kent, S. and R. Atkinson, "IP Encapsulating Security
               Payload (ESP)", RFC 2406, November 1998.

   [HPFQA]     J. Bennett and Hui Zhang, "Hierarchical Packet Fair
               Queueing Algorithms", Proc. ACM SIGCOMM 96, August 1996.

   [IPv6]      Deering, S. and R. Hinden, "Internet Protocol, Version 6
               (IPv6) Specification", RFC 2460, December 1998.

   [RFC791]    Postel, J., Editor, "Internet Protocol", STD 5, RFC 791,
               September 1981.

   [RFC1122]   Braden, R., "Requirements for Internet hosts -
               communication layers", STD 3, RFC 1122, October 1989.

   [RFC1812]   Baker, F., Editor, "Requirements for IP Version 4
               Routers", RFC 1812, June 1995.

   [RFC2119]   Bradner, S., "Key words for use in RFCs to Indicate
               Requirement Levels", BCP 14, RFC 2119, March 1997.

   [RPS]       D. Stiliadis and A. Varma, "Rate-Proportional Servers:  A
               Design Methodology for Fair Queueing Algorithms", IEEE/
               ACM Trans. on Networking, April 1998.

10.	作者地址
   Kathleen Nichols
   Cisco Systems
   170 West Tasman Drive
   San Jose, CA  95134-1706

   Phone:  +1-408-525-4857
   EMail: kmn@cisco.com


   Steven Blake
   Torrent Networking Technologies
   3000 Aerial Center, Suite 140
   Morrisville, NC  27560

   Phone:  +1-919-468-8466 x232
   EMail: slblake@torrentnet.com


   Fred Baker
   Cisco Systems
   519 Lado Drive
   Santa Barbara, CA  93111

   Phone:  +1-408-526-4257
   EMail: fred@cisco.com


   David L. Black
   EMC Corporation
   35 Parkwood Drive
   Hopkinton, MA  01748

   Phone:  +1-508-435-1000 x76140
   EMail: black_david@emc.com

11.	版权陈述
版权? the Internet Society(1998)。版权所有。
本文和它的翻译可能被复制和提供给别人，并且引出一些评论或者解释它或援助它执行
可能被准备，拷贝，出版和分配，不管是整体的还是局部的，没有任何限制，提供这上面的
版权告示和包含所有拷贝和起源工作的章节。但是，这个文章它自己本身不能以任何方式修
改，例如通过移走版权告示或因特网团体或别的因特网组织的参考书目，除了发展因特网标
准的需要，在这种情况下，定义在因特网标准过程中的版权程序应该要有，或者需要翻译成
不同于英语的别的语言。
这个受限的许可同意以上的声明是永久的，并且它将不会被因特网团体或它的继任者或
设计者废除。
包含在这儿的这个文件和通知作为一个基础来提供。这个因特网团体和这个因特网工程
任务迫使它宣布所有的授权，表达或隐含，包括但是不限制任何授权，在这儿信息的用途不
破坏任何权利或任何隐含的购买授权或一个特别的目的。


RFC2474—Definition of the Differentiated Services Field (DS Field)
in the IPv4 and IPv6 Headers
                 IPv4与IPv6包头中差分服务字段（DS Field）的定义
1

1
RFC中文翻译计划