# TCP/IP Stack: Grundlagen der Internet-Protokollfamilie

TL;DR / Management Summary Während das OSI-Modell (Artikel 721) die Theorie beschreibt, ist der TCP/IP-Stack die reale Implementierung. Er besteht aus vier Schichten: Netzzugang, Internet (IP), Transport (TCP/UDP) und Anwendung. Ein Senior Admin versteht die Mechanik hinter dem TCP 3-Way-Handshake (Verbindungsaufbau) und den Unterschied zum verbindungslosen UDP. Dieses Wissen ist entscheidend für das Tuning von Firewalls (OPNsense) und die Optimierung von Anwendungs-Latenzen.

# 1. Die 4 Schichten des TCP/IP Stacks

Die pragmatische Sicht.

1. Network Access: Entspricht OSI 1-2. (Ethernet, WiFi, ARP).
2. Internet (IP): Entspricht OSI 3. (IPv4, IPv6, ICMP, IGMP).
3. Transport: Entspricht OSI 4. (TCP, UDP).
4. Application: Entspricht OSI 5-7. (HTTP, SSH, DNS, TLS).

# 2. TCP: Transmission Control Protocol

Verlässlichkeit um jeden Preis.

TCP ist ein verbindungsorientiertes Protokoll. Es garantiert, dass Pakete in der richtigen Reihenfolge und vollständig ankommen.

# Der 3-Way-Handshake

1. SYN: Client -> Server (“Wollen wir reden? Sequenz X”).
2. SYN-ACK: Server -> Client (“Ja, gerne! Sequenz Y, bestätige X”).
3. ACK: Client -> Server (“Alles klar, los geht’s! Bestätige Y”).

• Wichtig: Firewalls (OPNsense) nutzen diesen Handshake für Stateful Inspection (Artikel 554).

# 3. UDP: User Datagram Protocol

Schnelligkeit vor Sicherheit.

UDP schickt Pakete einfach ab, ohne auf eine Antwort zu warten (Fire and Forget).

• Vorteil: Minimaler Overhead, keine Latenz durch Handshakes.
• Nachteil: Keine Garantie auf Zustellung oder Reihenfolge.
• Einsatz: DNS, VoIP, Streaming, Gaming, WireGuard (Artikel 566).

# 4. Deep Dive: IP-Adressierung & Subnetting

Die Postanschrift im Netz.

Jedes IP-Paket enthält eine Quell- und eine Ziel-Adresse.

• Subnetzmaske: Trennt den Host-Teil vom Netz-Teil.
• Standard-Gateway: Die IP des Routers (z.B. OPNsense), an den Pakete für fremde Netze geschickt werden.

# 5. Day-2 Operations: TCP Window Scaling

Den Durchsatz optimieren.

Damit TCP bei hohen Geschwindigkeiten (10G+) nicht ausbremst, nutzt es das Window Scaling.

• Konzept: Der Empfänger teilt dem Sender mit, wie viele Daten er puffern kann, bevor eine Bestätigung (ACK) kommen muss.
• Tuning: Ein Senior Admin erhöht die TCP-Puffer im Linux-Kernel (Artikel 707), um “Long Fat Networks” (hohe Bandbreite + hohe Latenz) zu bewältigen.

# 6. Troubleshooting & “War Stories”

Wenn die Pakete ‘feststecken’.

# Top 3 Fehlerbilder

1. Symptom: “Connection Reset by Peer” (TCP RST).

   • Ursache: Eine Firewall im Pfad hat den State verloren oder die Applikation ist abgestürzt.
   • Tool: tcpdump zeigt das R (Reset) Flag.

2. Symptom: Hohe Latenz trotz freier Leitung.

   • Ursache: TCP Retransmissions. Pakete gehen verloren und müssen neu angefordert werden.
   • Fix: Layer-1 Prüfung (Kabel) oder QoS-Check (Artikel 552).

3. Symptom: DNS-Timeouts (UDP).

   • Ursache: UDP ist zustandslos. Wenn eine Firewall-Regel die Antwort-Pakete blockiert, wartet der Client ewig.

# “War Story”: Der “SYN-Flood” DDoS

Ein Webserver war nicht mehr erreichbar. Die CPU-Last war bei 0%. Die Entdeckung: Ein Angreifer schickte Millionen von SYN Paketen, aber antwortete nie auf das SYN-ACK des Servers. Das Ergebnis: Der TCP-Stack des Servers war mit tausenden “halboffenen” Verbindungen (SYN_RECV) gefüllt und verweigerte legitimen Usern den Zugriff. Lösung: Aktivierung des SYN-Proxy in der OPNsense (Artikel 590). Lehre: Verstehen Sie den Handshake, um den Unterschied zwischen einer Überlastung (CPU) und einem Protokoll-Angriff (State) zu erkennen.

# 7. Monitoring & Reporting

Stack-Analyse.

# Netstat / SS (Shell)

Überwachen Sie die aktiven Verbindungen am Host:

# Zeigt alle TCP-Verbindungen und deren Status
ss -tan

• KPI: Anzahl der ESTABLISHED Verbindungen vs. TIME_WAIT.

# 8. Fazit & Empfehlung

TCP/IP ist das Skelett unserer digitalen Welt.

• Empfehlung: Nutzen Sie für Echtzeit-Applikationen bevorzugt UDP-basierte VPNs (WireGuard), um TCP-Meltdown-Effekte zu vermeiden.
• Wichtig: Meistern Sie die IP-Adressierung und das Subnetting (Artikel 725) im Schlaf. Routing-Fehler durch falsche Masken sind die häufigste Ursache für Netzwerkausfälle.

# Anhang: Cheatsheet (Wichtige Ports)

# Referenzen

• RFC 793: Transmission Control Protocol
• RFC 791: Internet Protocol
• TCP/IP Illustrated (W. Richard Stevens) - Das Standardwerk