Сети и протоколы
IP-пакеты: тест с выбором ответа
Шесть вопросов поперёк всего юнита. Каждый отражает решение, которое ты принимаешь в реальном инциденте — packet, который где-то гибнет; соединение, которое зависает только на больших payload; prefix, который темнеет с одной AS — не поле для пересказа, а поведение, которое надо объяснить.
Убедись, что связываешь семантику header, longest-prefix forwarding, MTU и PMTUD, NAT traversal и модель безопасности на уровне IP — тот синтез, к которому вели отдельные уроки.
Мониторинг сообщает, что IPv4-роутер пересчитывает header checksum на каждом пересылаемом packet, а аналогичный IPv6-роутер — нет. Почему разница и на что вместо этого опирается IPv6?
В FIB роутера есть и 10.0.0.0/8 через eth0, и 10.4.0.0/16 через eth1. Приходит packet для 10.4.2.9. Какой путь побеждает и какой принцип это решает?
Сервис за WireGuard VPN работает на мелких запросах, но загрузка файлов зависает навсегда без ошибки. tcpdump показывает, что клиент переотправляет один и тот же большой segment примерно раз в секунду. Корневая причина и самый надёжный фикс?
WebRTC-функция падает у части пользователей мобильного оператора и сваливается на relay. Оператор использует CGNAT. Почему CGNAT затрудняет прямое соединение peer-to-peer и какой принципиальный долгосрочный фикс?
Твой сайт доступен из офиса, но клиент на одном ISP получает полный timeout. Запрос к looking-glass внутри этого ISP показывает твой prefix как RPKI 'invalid'. Что вероятнее всего случилось и что делать первым?
Атакующий шлёт мелкие spoofed UDP-запросы к открытым resolvers с IP твоего сервера в source, и твой канал тонет под многогигабитными ответами, которые ты не запрашивал. Какая одна защита, применённая в сети атакующего, останавливает атаку в истоке?
Сквозная линия юнита — жизнь одного packet: header несёт TTL, protocol и адреса (IPv6 убирает per-hop checksum); роутеры пересылают по longest-prefix match в железном FIB, который BGP держит глобально согласованным; несовпадение MTU требует fragmentation или уменьшения, а заблокированный ICMP превращает это в тихий PMTUD black hole; NAT и CGNAT меняют облегчение исчерпания адресов на сломанную end-to-end достижимость, которую обходят STUN/TURN/ICE и в итоге IPv6; а поскольку IP не аутентифицирует ни source, ни маршрут, защитой служат BCP 38, uRPF и RPKI — все они требуют кооперации операторов. Каждый сбой сводится к этой же механике.