Differenze tra porte TCP e UDP e quando utilizzare ciascuna

Quando ci addentriamo nel mondo delle reti, prima o poi sorge spontanea la domanda tipica: Quali sono le reali differenze tra le porte TCP e UDP? e quando è meglio usare l'uno o l'altro. Sebbene a prima vista si vedano solo i numeri di porta (80, 443, 3389, 53...), sotto ci sono due modi molto diversi di trasferire dati su Internet, che incidono sulla velocità. affidabilità e anche nella sicurezza.

In questo articolo lo analizzeremo con calma Come funzionano TCP e UDP, quale ruolo svolgono le porte e quali protocolli utilizza ciascuno.come influenzano le attività quotidiane come la navigazione, i giochi online, le videochiamate o la connessione tramite desktop remoto e quali implicazioni hanno in termini di prestazioni, sicurezza informatica e configurazione del firewall.

TCP e UDP: due modi diversi per trasportare i dati

Prima di discutere delle porte, è importante capire che TCP (Transmission Control Protocol) e UDP (User Datagram Protocol) sono protocolli di livello trasporto del modello TCP/IP e definiscono lo stile di comunicazione tra origine e destinazione.

TCP è un protocollo orientato alla connessionePrima di inviare i dati, stabilisce un canale logico tra mittente e destinatario utilizzando il noto "three-way handshake" (SYN, SYN-ACK, ACK). Da lì, numera i segmenti, si assicura che arrivino in ordine, rileva gli errori, richiede la ritrasmissione e adatta la velocità di trasmissione in base alla rete e alla capacità del destinatario.

UDP, d'altra parte, è un protocollo senza connessioneNon esiste una fase di stabilimento; il mittente invia semplicemente i datagrammi alla destinazione senza attendere conferma o tracciamento. Non ordina i pacchetti, non garantisce la consegna né applica meccanismi di controllo del flusso o della congestione. In cambio, riduce notevolmente overhead e latenza.

In base a ciò, la grande differenza pratica è che TCP dà priorità all'affidabilità e alla coerenza dei datimentre UDP punta sulla velocità e sulla semplicitàaccettando che alcune informazioni potrebbero andare perse lungo il percorso.

Cos'è esattamente una porta TCP o UDP?

Una porta, sia in TCP che in UDP, è semplicemente un numero da 0 a 65535 che identifica quale servizio o applicazione deve raggiungere un flusso di dati all'interno di un dispositivo. Insieme all'indirizzo IP, forma il famoso "socket" (IP:porta) che le applicazioni utilizzano per ascoltare e inviare traffico.

Quando parliamo di "porta TCP" o "porta UDP", non stiamo parlando di numeri diversi, ma piuttosto diversi tipi di trasporto associati allo stesso numero di portaAd esempio, 53/TCP e 53/UDP coesistono per DNS, oppure 3389/TCP e 3389/UDP per RDP a partire da alcune versioni.

La numerazione è organizzata in tre ranghi con usi chiaramente differenziati condivisi da TCP e UDP:

• Porte conosciute (0-1023): riservato da IANA per servizi standard come HTTP (80/TCP), HTTPS (443/TCP), FTP (21/TCP), SSH (22/TCP), DNS (53/TCP e 53/UDP), ecc.
• Porte registrate (1024-49151): assegnato ad applicazioni specifiche, come 3306/TCP per MySQL o 1194/UDP in molte distribuzioni OpenVPN.
• Porte dinamiche o private (49152-65535): utilizzati temporaneamente dai client per sessioni effimere; vengono assegnati al volo dal sistema operativo.

Grazie a questa organizzazione, un singolo server può Ascolta su più servizi contemporaneamente (web, email, database, VPN…) senza che i flussi di dati si mescolino, poiché ognuno occupa la propria porta.

Caratteristiche principali del TCP: affidabilità prima di tutto

TCP è progettato in modo che i dati arrivano completi, senza errori e nello stesso ordine in cui sono stati inviatianche su una rete IP che, per sua natura, è basata sul "massimo sforzo" e non garantisce nulla.

Per raggiungere questo obiettivo, TCP utilizza diversi meccanismi abbastanza sofisticati:

• Numerazione dei segmenti e ACKOgni segmento ha un numero di sequenza e il ricevitore invia degli acknowledgment (ACK). È possibile utilizzare ACK selettivi per convalidare più segmenti contemporaneamente.
• checksum: tutti i segmenti contengono un checksum per rilevare il danneggiamento dei dati; se il checksum fallisce, il segmento viene scartato e richiesto nuovamente.
• temporizzatoriSe trascorre un certo periodo di tempo senza ricevere un ACK da un segmento, il mittente presume la perdita e lo ritrasmette automaticamente.
• Filtro duplicatoSe lo stesso segmento arriva due volte, TCP rileva il duplicato in base alla sua numerazione e lo scarta.

Inoltre, TCP implementa controllo del flusso basato sulla finestra scorrevole: il ricevitore annuncia quanti byte può memorizzare nel suo buffer e il mittente non può superare tale limite finché non riceve nuovi ACK che "fanno scorrere" la finestra.

Parallelamente, TCP include un controllo della congestione con una propria finestra (finestra di congestione), che tenta di impedire che la rete si satura. Se rileva una perdita di pacchetti (indicativa di congestione in un router), riduce la velocità; quando la strada è libera, la aumenta nuovamente in modo controllato (fasi di partenza lenta, di evitamento della congestione e di fase stabile).

Con il tempo sono apparsi algoritmi di congestione sempre più avanzati, come Tahoe e Reno nei loro primi giorni, Vegas, CUBIC (molto usato in Linux) o BBR, progettato da Google per sfruttare al meglio la larghezza di banda disponibile senza sovraccaricare la rete.

Un altro vantaggio importante è quello TCP è full-duplex e consente il multiplexingI dati possono essere inviati e ricevuti simultaneamente sullo stesso canale e un host può mantenere più socket aperti verso destinazioni o servizi diversi contemporaneamente.

Intestazione TCP, MSS e sovraccarico

Ogni segmento TCP trasporta un'intestazione che, come minimo, occupa 20 byte (più opzioni se disponibili)In esso troviamo:

• Porto di origine e destinazione (Porta di origine, Porta di destinazione).
• Sequenza di numeri y numero di conferma (RICEVUTA).
• Bandiere come SYN, ACK, FIN, RST, URG, ecc.
• Dimensioni della finestra della receptionvitale per il controllo del flusso.
• checksum e possibili opzioni (ad esempio, ridimensionamento della finestra).

La dimensione massima del segmento è determinata da MSS (dimensione massima del segmento), definito a livello di trasporto. Di solito viene calcolato come: MSS = MTU − Intestazione IP − Intestazione TCPIn una tipica rete Ethernet (MTU 1500) e con intestazioni minime, si parla di circa 1460 byte di dati utili.

Sebbene questa intestazione relativamente grande aumenti il ​​sovraccarico, consente TCP integrare tutti quei meccanismi di controllo che gli conferisce un elevato livello di affidabilità.

Stabilire e chiudere connessioni TCP: handshake a 3 vie e END

Per iniziare a scambiare dati con TCP, è necessario prima Stabilire una connessione logica tra client e serverIl processo classico è la stretta di mano a 3 vie:

1. Il client invia un segmento con il bandiera SYN e un numero di sequenza iniziale.
2. Il server risponde con SIN-ACK, indicando il proprio numero di sequenza e confermando quello del cliente.
3. Il client invia un segmento finale con ACK Da lì, entrambe le parti possono iniziare a inviare dati in modo bidirezionale.

Questa negoziazione dei numeri di sequenza rende difficile per un aggressore esterno falsificare facilmente una connessione TCP già stabilitaTuttavia, se si trova nel mezzo (MitM), può comunque manipolare il traffico.

Per chiudere la sessione, una delle parti invia un segmento con ENDL'altra parte risponde con un ACK e solitamente invia anche il proprio FIN, che deve essere confermato. In alcuni casi, può persistere una connessione "semi-aperta", in cui una parte ha chiuso la connessione ma l'altra continua a inviare dati.

Attacchi e vulnerabilità correlati al TCP

Proprio per questa connessione, TCP è suscettibile agli attacchi SYN flood denial-of-serviceL'aggressore invia un gran numero di segmenti SYN falsi, lasciando il server con numerose connessioni semi-aperte che consumano risorse.

Per mitigare questi attacchi, solitamente vengono applicate misure come le seguenti: limitare il numero di connessioni simultanee (globale o tramite IP), filtra per intervalli di indirizzi attendibili o utilizzare tecniche come Biscotti SYN, che ritardano l'effettiva prenotazione delle risorse fino a quando non si ottiene una conferma affidabile.

Un altro attacco classico è il Previsione del numero di sequenza TCPSe un aggressore riesce a indovinare i valori che un host legittimo utilizzerà, può iniettare pacchetti falsi che sembrano far parte della connessione. Per raggiungere questo obiettivo, in genere intercettano il traffico tra due computer attendibili, ne stimano lo schema di numerazione e talvolta lanciano attacchi denial-of-service contro l'host reale per "silenziarlo" mentre ne falsificano la sessione.

Una volta stabilita la connessione, l'attaccante può iniettare dati arbitrariCiò può portare alla chiusura della sessione o a un comportamento imprevisto nell'applicazione di destinazione. I sistemi e i dispositivi più vecchi e privi di patch sono spesso i bersagli più facili per queste tecniche.

Cos'è UDP e perché è così veloce?

UDP è stato progettato con una filosofia diversa: inviare datagrammi con il minimo overhead possibilelasciando quasi tutto il controllo ai livelli superiori. Non stabilisce una pre-connessione, non riordina, non ritrasmette né regola la velocità di trasmissione.

Il mittente invia semplicemente datagrammi UDP alla porta di destinazione, supponendo che il ricevitore abbia un socket aperto in ascolto. In caso di congestione, se il ricevitore è più lento o se un router decide di ignorare i pacchetti, UDP non fa assolutamente nulla per correggerli.

La sua testiera è molto piccola, solo 8 byte, con quattro campi base:

• Porto di origine.
• porto di arrivo.
• Lunghezza del datagramma.
• checksum (per intestazione e dati).

Grazie a questa semplicità, La maggior parte del pacchetto è dedicata al carico utile.Ciò migliora notevolmente l'efficienza, soprattutto nelle comunicazioni in tempo reale e negli ambienti in cui ridurre al minimo la latenza è una priorità.

Tuttavia, poiché non esiste alcun controllo del flusso o della congestione, se un trasmettitore è molto più veloce del ricevitore o della reteI datagrammi inizieranno ad andare persi e la responsabilità di gestire tale perdita ricade interamente sull'applicazione.

Vantaggi e svantaggi pratici di TCP e UDP

In breve, potremmo dire che TCP è più lento ma molto affidabile e UDP è più veloce ma meno affidabilePassiamo ora a casi d'uso concreti.

TCP è l'opzione ideale quando l'integrità dei dati è fondamentale: e-mail, navigazione web, trasferimento file, amministrazione remota, database… In tutti questi casi, non ha senso ricevere informazioni corrotte o incomplete, anche se ci vogliono qualche millisecondo in più.

UDP brilla in ambienti in cui l'immediatezza è la priorità, come juegos onlineVoIP, videochiamate, streaming live, DNS, DHCP… In questo caso è preferibile perdere un pacchetto e far sì che il video si pixelli per un momento, piuttosto che interrompere la riproduzione e attendere una ritrasmissione.

In termini di consumo di dati, Inoltre, TCP ha un overhead maggiore rispetto a UDP.Le sue intestazioni sono più grandi e generano traffico aggiuntivo da conferme e ritrasmissioni. Nei test reali con VPN Si è osservato che OpenVPN su TCP può consumare diversi punti percentuali di dati in più rispetto a UDP per ottenere le stesse informazioni utili.

In termini di pura sicurezza, nessuno dei due protocolli è progettato per crittografare o autenticare da solo, sebbene La struttura TCP rende l'iniezione di traffico dannoso un po' più difficile Grazie al tracciamento delle sequenze e agli ACK. In pratica, quando utilizziamo TLS, VPN o tunnel crittografati, sia TCP che UDP si affidano a livelli superiori per proteggere il contenuto.

Infine, UDP consente il multicasting e la trasmissione naturalmente, il che semplifica l'invio dello stesso flusso a più destinatari contemporaneamente (videoconferenze, streaming a più client, protocolli di scoperta), cosa che TCP, essendo strettamente punto a punto, non può fare.

Come TCP e UDP si inseriscono nelle VPN

I servizi VPN si basano su TCP o UDP per creare il tunnel crittografato tra client e server. In pratica, La maggior parte dei protocolli VPN moderni preferisce UDP perché riduce la latenza e supporta meglio gli scenari di perdita moderata di pacchetti.

In OpenVPN, ad esempio, puoi scegliere tra Tunnel TCP o UDPQuando si utilizza UDP, gran parte dell'affidabilità è delegata alle applicazioni all'interno del tunnel (solitamente TCP, come HTTP/HTTPS), evitando un doppio livello di controllo degli errori che aggiungerebbe solo ritardo.

Ciò significa che un tunnel OpenVPN su UDP Potrebbe perdere alcuni pacchetti, ma se il traffico HTTP (che utilizza TCP) viaggia all'interno, sarà il TCP interno a richiedere la ritrasmissione quando necessario. Il risultato pratico è una connessione sicura, affidabile a livello applicativo, ma molto più veloce a livello di trasporto.

WireGuard fa un ulteriore passo avanti e Utilizza esclusivamente UDP come meccanismo di trasporto.Tutta la complessità viene spostata nella sua logica crittografica e di controllo, ottenendo tempi di configurazione minimi e un roaming molto veloce quando cambiamo rete (ad esempio, da Wi-Fi a 4G) senza che la VPN sia percepibile.

Tuttavia, negli ambienti in cui i firewall sono molto restrittivi con UDP (alcune reti aziendali), molte VPN sono costrette a Passaggio a TCP per bypassare filtri e proxy, al costo di un leggero aumento della latenza.

TCP vs UDP sul web e l'evoluzione verso QUIC

Oggi, HTTP e HTTPS si basano quasi sempre su TCPIl protocollo HTTP classico utilizza normalmente la porta 80/TCP, mentre HTTPS utilizza la porta 443/TCP, aggiungendo TLS per crittografare le comunicazioni.

Fino a HTTP/2 il quadro era chiaro: L'intero sito web è stato eseguito tramite TCP, con i suoi vantaggi in termini di affidabilità ma che comporta alcuni problemi di latenza e blocco dell'intestazione nelle connessioni ad alta perdita.

HTTP/3 entra in scena QUIC, un protocollo di trasporto basato su UDP Integra le funzionalità di TCP (controllo della congestione, correzione degli errori, ordinamento del flusso) e TLS (richiesto criptaggio). QUIC consente il multiplexing di più flussi indipendenti sulla stessa connessione, riducendo l'impatto della perdita di pacchetti su qualsiasi parte della comunicazione.

Grazie a questo HTTP/3 su QUIC offre in genere tempi di caricamento più rapidisoprattutto in reti mobili o connessioni ad alto jitter. Inoltre, utilizzando UDP, è possibile superare meglio alcuni colli di bottiglia nelle infrastrutture legacy progettate esclusivamente per TCP.

Porte TCP e UDP nei servizi del mondo reale: esempi e tabella

La combinazione del tipo di trasporto e del numero di porta definisce quale protocollo del livello applicativo viene utilizzatoAlcuni esempi molto comuni:

• 80 / TCPHTTP (web non crittografato).
• 443 / TCP: HTTPS (web crittografato con TLS).
• 21/TCP e 20/TCPFTP (controllo e dati).
• 22 / TCP: SSH e SFTP.
• 25/TCP, 587/TCPSMTP per l'invio di e-mail.
• 110/TCP, 995/TCP: POP3 e POP3S.
• 143/TCP, 993/TCP: IMAP e IMAPS.
• 53/UDP e 53/TCP: DNS (query veloci tramite UDP, trasferimenti di zona tramite TCP).
• 67/UDP e 68/UDPClient/server DHCP.
• 123/UDPNTP, sincronizzazione temporale.
• 161/UDP: SNMP.
• 445 / TCPMicrosoft SMB/CIFS per la condivisione dei file.
• 554/TCP/UDP: RTSP per il controllo dello streaming.
• 631/TCP/UDP: IPP (stampa in rete).

L'elenco completo dei porti noti e registrati è molto ampio, ma serve a dimostrare che TCP solitamente domina nelle applicazioni critiche e orientate alle transazionimentre Regole UDP nei protocolli di scoperta, streaming o controllo leggero..

RDP: TCP, UDP o entrambi?

El Protocollo desktop remoto (RDP) Il servizio di Microsoft consente di connettersi a un altro computer come se si fosse seduti davanti al suo schermo. Internamente, invia un'immagine desktop compressa dall'host remoto al client e riceve input da tastiera e mouse nella direzione opposta.

Tradizionalmente, RDP ha utilizzato il porta 3389/TCP come trasporto primario, sfruttando l'affidabilità del TCP per garantire che ogni aggiornamento dello schermo, clic e pacchetto di controllo arrivi correttamente e in ordine.

A partire da RDP 8.0, il protocollo può anche utilizzare 3389/UDP per ottimizzare le prestazioniNormalmente, il client tenterà prima di stabilire un canale UDP (grazie alla sua minore latenza e alla maggiore larghezza di banda) e, se ciò non è possibile a causa di restrizioni di rete, ricorrerà al classico canale TCP.

Questo approccio ibrido consente RDP inviare la maggior parte dei dati grafici tramite UDPdove la perdita di alcuni frame è appena percettibile e il TCP può essere riservato alle informazioni strettamente critiche, se necessario. Nelle reti con elevata latenza o perdita di segnale, il miglioramento delle prestazioni può essere molto significativo.

Come aprire le porte TCP e UDP per RDP su Windows

Per far funzionare una sessione RDP dall'esterno, il firewall dell'host deve consentire il traffico in entrata sulla porta 3389Sia TCP che UDP sono necessari se vogliamo sfruttare le ottimizzazioni moderne; se ci sono problemi, è consigliabile rivedere il policy di rete che bloccano RDP.

En Windows, il configurazione di base dal Firewall di Windows Defender composto da:

1. Entrare Pannello di controllo > Sistema e sicurezza > Firewall di Windows Defender e apri le impostazioni avanzate.
2. Creare nuova regola in entrata di tipo "Porta", selezionare TCP e specificare 3389 come porta locale specifica.
3. Selezionare "Consenti connessione", applicare ai profili necessari (dominio, privato, pubblico) e assegnare un nome descrittivo, ad esempio "RDP TCP 3389".
4. Ripetere il processo per UDP sulla stessa porta 3389, con un altro nome come "RDP UDP 3389".
5. Verificare che entrambe le regole siano abilitate e testare la connessione da un client remoto.

In termini di sicurezza, oltre all'apertura delle porte, è fondamentale Utilizzare password complesse, Attiva Autenticazione a livello di rete (NLA) per garantire che solo gli utenti convalidati possano accedere alla sessione grafica, limitare gli account con autorizzazione di accesso remoto e mantenere il sistema sempre aggiornato per prevenire vulnerabilità nel servizio RDP.

Porte TCP: sicurezza, rischi e best practice

Qualsiasi porta TCP esposta a Internet diventa un possibile vettore di attaccoGli aggressori automatizzano le scansioni di interi intervalli IP alla ricerca di porte aperte (utilizzando strumenti come Nmap) e, una volta rilevate, testano le vulnerabilità note o gli attacchi brute-force.

Servizi altamente sensibili come SSH (22/TCP), RDP (3389/TCP), SMB (445/TCP) o database Si tratta di obiettivi prioritari, poiché un guasto in questi punti potrebbe consentire l'accesso diretto alla rete interna o a dati critici.

Per ridurre la superficie di attacco, è consigliabile applicare il principio di privilegio minimo nei porti: aprire solo quelli strettamente necessari, limitare l'accesso tramite IP o VPN quando possibile e chiudere o filtrare tutto ciò che non viene utilizzato.

È anche una buona idea segmentare la rete in zone (LAN utente, DMZ del server, rete di gestione, ecc.) e utilizzare regole firewall interne per isolare i servizi critici. In questo modo, anche se un aggressore compromette una macchina, sarà più difficile per lui spostarsi lateralmente su altri sistemi sensibili.

L'uso di strumenti di monitoraggio e registrazione Consente di rilevare modelli anomali nei porti (scansioni, tentativi falliti su larga scala, connessioni da paesi insoliti), attivando avvisi prima che l'incidente degeneri.

Infine, è consigliabile effettuare controlli periodici dei porti Utilizza scanner esterni e interni e documenta quale servizio è in ascolto su ciascuno di essi. Questo aiuta a identificare applicazioni obsolete, servizi dimenticati o impostazioni predefinite pericolose che dovrebbero essere disattivate.

Differenze di prestazioni tra le porte TCP e UDP

Quando confrontiamo il traffico che viaggia sulle porte TCP rispetto a UDP, ciò che stiamo realmente misurando è il comportamento di entrambi i protocolli di trasporto in condizioni diverse condizioni di rete.

TCP, con il suo controllo degli errori e della congestione, tende a rallenta quando rileva perdita o saturazionedando priorità al fatto che tutto arrivi correttamente piuttosto che rapidamente. Nelle reti congestionate o con elevata latenza, questo può tradursi in tempi di caricamento più lunghi o Download meno agile.

UDP non si lascia fermare dalla congestione: Se il percorso è congestionato, i router semplicemente eliminano i pacchettiPoiché non esiste un relay automatico, la comunicazione rimane fluida, ma con lacune informative che l'applicazione dovrà gestire (ad esempio, con il buffering o la propria correzione degli errori).

Nei test con VPN e grandi distanze geografiche, si osserva che OpenVPN su UDP è solitamente significativamente più veloce che su TCPLa differenza diventa più pronunciata con il peggiorare delle condizioni della rete. Ciò è dovuto sia all'intestazione più piccola sia all'assenza di ACK e ritrasmissioni continui.

C'è anche un impatto sulla consumo di datiTra intestazioni più pesanti e messaggi di controllo aggiuntivi, TCP utilizza più larghezza di banda per ogni MB utile trasferito. Sulle connessioni mobili con limiti di gigabyte, questo può fare la differenza a fine mese.

Altri protocolli di trasporto oltre a TCP e UDP

Sebbene in pratica quasi tutta Internet funzioni con TCP e UDP come baseEsistono altri protocolli di trasporto progettati per casi d'uso specifici.

Uno di questi è SCTP (protocollo di trasmissione del controllo del flusso)Combina le caratteristiche di TCP e UDP: offre una trasmissione affidabile e ordinata, ma consente più flussi indipendenti all'interno della stessa connessione. È ampiamente utilizzato in telecomunicazioni avanzate e segnalazione VoIP, dove riduce la latenza rispetto al TCP tradizionale.

Un altro è DCCP (protocollo di controllo della congestione dei datagrammi), che mantiene lo stile offline di UDP ma incorpora controllo integrato della congestioneprogettato per contenuti multimediali in tempo reale, in cui è preferibile perdere pacchetti piuttosto che introdurre troppa latenza.

È anche RDP (protocollo dati affidabile), con particolare attenzione agli ambienti militari e scientifici e, come già accennato, QUIC, che si basa su UDP ma implementa affidabilità, multiplexing e crittografia in un unico livello, costituendo la base di HTTP/3.

Nonostante i vantaggi tecnici, la realtà è che L'adozione di massa di nuovi protocolli è complicata: l'intero ecosistema di router, firewall, OS Le applicazioni sono ottimizzate per TCP e UDP, e modificare questa base comporta impegno, costi e rischi. Inoltre, molti firewall bloccano di default i protocolli rari, mentre il traffico TCP 80/443 e una quantità significativa di UDP sono quasi sempre consentiti.

Capire bene Come funzionano le porte TCP e UDP, quali servizi si basano su ciascuna e quali implicazioni hanno per prestazioni e sicurezza. Questo è ciò che ci consente di prendere decisioni sensate: quando vale la pena sacrificare un po' di velocità per guadagnare affidabilità, quando è vantaggioso usare UDP per ridurre la latenza, quali porte aprire o chiudere in un firewall o quali parametri regolare in una VPN o in un server per garantire che la nostra rete funzioni senza intoppi e sia il più possibile libera dagli attacchi.