|
|||||||||||||
|
|||||||||||||
Возможное количество сетей
126,16382,2097150 Возможное количество узлов 16777214,65534,254,268435456,134217728 Адреса класса a - предназначены для использования в больших сетях общего пользования. Они допускают большое количество номеров узлов. Адреса класса b - используются в сетях среднего размера, например, сетях университетов и крупных компаний. |
Новости
20 бoлeзнeй oт кoта
Опасность вейпинга
Вpeднa ли coя жeнщинaм
Вcя пpавда o яйцаx
Вpaчи нaпoмнили o pискe зapaзиться гeпaтитoм в сaлoнaх кpaсoты
В кaкoе время сyтoк лyчше не лечиться
Tиxий чаc дважды в нeдeлю cнижаeт pиcк инфаpкта и инcульта в два pаза
Слaдкaя гaзиpoвкa вoздействyет нa opгaнизм
Почeмy витaминныe добaвки нe пpиноcят пользы
|
Адреса класса c - используются в сетях с небольшим числом компьютеров.
Адреса класса d - используются при обращениях к группам машин.
Адреса класса e - зарезервированы на будущее.
Стоит сразу отметить, что свой ip в интеренете имеет каждый компьютер. Будь то какой либо сайт или пользователь. Но есть и одно отличие: Каждый сайт имеет свой ip адрес. Т.е. по ip адресу находят сервер где находится сайт и сам сайт. Пользователи же обычно имеют динамически выделяемые ip адреса. То есть при дозвоне провайдеру, человеку выделяется один из свободных ip адресов, который принадлежат провайдеру. Провайдер же их берет в аренду и платит за это деньги, поэтому информацию о том, кому принадлежит какой либо диапазон ip адресов можно узнать вплоть до телефона владельца этого диапазона.
Иногда пользователь может иметь статический ip адрес по которому его всегда можно найти, но это редко, и за такую услугу провайдер обычно берет плату.
Как узнать свой собственный ip адрес.
В wnndows входит специальная программы winipcfg, c ее помощью можно узнать некоторую интересную информацию, в том числе и свой ip адрес. Просто наберите в командной строке winipcfg и перед вами появится окошко с вашим ip адресом
Надо еще отметить, что изначально (т.е. пока вы не подключены ни к какой сети и вам не выдан ip адрес) ваш компьютер имеет адрес - 127.0.0.1
Что можно узнать по ip
Сперва объясню зачем это нужно и для чего может пригодиться:
Например Вы администратор какого-либо сайта, чата, форума,: Допустим такую ситуацию: к вам приходит продвинутый юзер или чем хуже "хакер" и начинает издеваться над вашим ресурсом (имеется ввиду: получать доступ через открытые вами дыры, это и не мудрено, ведь не каждый из нас специалист по безопасности). Как в этом случае поступить? Попытаться закрыть этому пользователю доступ к ресурсу, хм: - это наверняка не получится, постоянно восстанавливать данные, которые мог попортить атакующий, тоже не выход. Единственно, что можно посоветовать - службы определения по ip или hostname имя провайдера, его географическое расположение и т.д.
Что это нам даст?
В идеальном случае - местонахождение нашего "хакера", его телефон, ну и соответственно фамилии людей проживающих по этому адресу.
Для начала поговорим о том, как узнать сам ip человека.
Способов может быть множество.
Например вам нужно узнать ip адрес человека, побывавшего на вашем сайте. Начнем с того, что при обращении к какому либо серверу (в нашем случае - серверу предоставляющему хостинг этому сайту), в логах сервера всегда фиксируется с какого ip адреса поступил запрос. Ниже приведу часть лога программы small http server:
!->18/09 13:19:40 [194.29.16.182:>80] (t1 23) дата, время, ip адрес и порт, номер запроса
head /images/pic.gif http/1.1 Что запрашивается, протокол
connection: close
from: [email protected] Е-mail адрес для связи
host: 195.232.27.17 кому был послан запрос
referer: /index. htm откуда поступил запрос
accept-language: ru язык сделавшего запрос
accept-encoding: gzip, deflate кодирование
user-agent: mozilla/4.0 (compatible; msie 5.01; windows 98; myie2 0.3) информация о программе сделавшей запрос
connection: keep-alive связь: проложить соединение
Из этого видно , что при запросе любого документа сервер фиксирует обращение даже к каждой картинке входящей в этот документ, иначе как бы он узнал, что и куда отправлять. Поэтому можно составить полную картину обмена информацией между пользователем и сервером, и узнать ip адрес не составляет труда. Труда может стоить получение этой информации с сервера, но такой метод возможен.
Конечно иногда бывает все гораздо проще. Часто сервер, предоставляющий хостинг сам ведет статистику, и вы как пользователь их услуг, получить эту информацию можете. Но многие пользуются услугами сервисов бесплатного хостинга, порой таких услуг не предоставляющих. Тогда, если на сайте установлен какой-нибудь счетчик посетителей (ramblertop100, hotlog и т.д.) вы легко можете узнать ip адрес посетителя и время визита из его отчета.
Также, почти всегда при создании сообщений в гостевых книгах и форумах фиксируется и ip адрес отправителя, который обычно доступен только администраторам этого форума. Если администратор - вы, вам не составит труда его узнать. Если нет, вы можете обратиться за помощью к администратору.
Иногда бывает необходимо узнать ip адрес отправителя письма. Узнать его можно из его служебного заголовка.
Существуют также программы и методы чтобы узнать ip адрес человека в чате или по icq. Например, есть множество программ, с помощью которых можно зная uin icq человека узнать его ip адрес.
Перейдём к самому интересному, а именно как
получить данные о "владельце" ip:
Итак, если вам известен ip адрес, вы можете узнать много полезной информации о его владельце. Для этих целей нужно воспользоваться специальным сервисом - whois . Начало формы
Подобных сервисов в интеренете много
С помощью такого сервиса можно узнать имя человека на которого зарегистрирован данный ip адрес, его e-mail, телефон и даже адрес. Также можно узнать когда был арендован данный диапазон, на какой срок. и для какой организации.
Если владелец ip адреса в данный момент находится в on-line, то можно посмотреть, какие порты открыты на этом компьютере. Это тоже может дать некоторую информацию о компьютере. Сделать это можно любым сканером. Некоторые из таких сканеров сами могут вам сообщить и о назначении каждого открытого порта. К примеру на компьютере оказались открыты следующие порты: 139 (netbios ), 11476 (icq).
Есть вероятность, что на компьютере обнаружатся открытые порты известных троянов (т.е. можно взять клиента и подключиться к удаленному компьютеру), хотя во многих троянах появилась возможность устанавливать пароль на подключение к серверу и произвольный порт (что затрудняет определение "троянского коня"). В таком случае можно просканировать все порты определенного ip. Могие порты открыты стандартными сервисами, а к подозрительным портам можно попробовать подключиться например с помощью утилиты rawtcp входящей в состав essential net tools 3.0 885kb . Тогда при определении подключения к порту троян на другом конце просто может "представиться" как это делает например netbus (посылает сообщение вида netbus v1.7)
А еще, раз уж речь зашла о работе троянских программ, хочу предупредить тех кто использует такие программы в благих целях (например для контроля своей локальной сети и.т.п.) Даже установка пароля на подключение к серверу наверняка не сможет защитить от несанкционированного подключения. Например в internet'e без труда можно найти программу rat cracker с помощью которой легко обойти парольную защиту самых распространенных троянов.
cейчас много домашних компьютеров объединены в локальные сети и некоторые на своем компьютере открывают папки или диски для совместного доступа. При подключении этого человека к интернету в эти папки можно заглянуть, если они не запаролены Для этого надо воспользоваться любой программой для поиска расшаренных данных (legion, ess nettools, shared resource scanner 6.2) И в этом случае установленный пароль не даст надежной защиты вашему компьютеру. Для взлома паролей к таким ресурсам существует множество эффективных программ. Например xintruder
Анонимность электронной почты
Для того, чтобы узнать ip, надо получить письмо любым почтовым клиентом: ms outlook, the bat!....Как настроить ms outlook читай ниже. Когда получили письмо надо просто посмотреть код письма. Там в заголовке письма указан ip отправителя. В outlook открываем письмо и жмем Файл, затем Свойства и выбираем закладку Подробности. В the bat! делается так: Открываем письмо, жмём Просмотр и выбираем Служебная информация после этого вверху прибавляется заголовок письма. Во многих почтовых системах с web-интерфейсом тоже есть возможность посмотреть заголовок письма.
Пример (заголовок)
from [email protected] sat mar 27 12:16:35 2000...................от кого и дата
envelope-to: [email protected].
delivery-date: sat, 27 mar 2000 12:16:35 +0300.....................дата и время
received: from mail by f8.mail.ru with local (exim 3.14 #43)
id Рк4eК5е-0554нq7-00
for [email protected]; sat, 27 mar 2000 12:16:35 +0300............это наш адрес
received: from [208.46.44.12] by koi.mail.port.ru with http;
sat, 27 mar 2000 09:16:35 +0000 (gmt)
from: "vasya pupkin" ..
to: [email protected]..............................................кому
subject: hi beavis...............................................................Тема письма
mime-version: 1.0
x-mailer: the but!...............................................................прога которой посылали
x-originating-ip: unknown via proxy [xxx.yyy.zzz.xxx].......ip отправителя
reply-to: "vasya pupkin" ......................кому ответить(от кого)
content-type: text/plain; charset=koi8-r...............................кодировка письма
content-transfer-encoding: 8bit
message-id:
date: sat, 27 mar 2000 12:16:35 +0300
Важно
В письме может быть несколько ip, самый нижний и есть ip, отправителя
Скрытие своего ip-адреса
О том как скрыть свой ip отправляя письмо, читайте в статье "Отправка анонимной почты"
Настрройка ms outlook
Отправлять письма можно не только при помощи броузеров (ie , nn), но и любой почтовой программой, просто надо указать ваше имя (например pupkin) и адрес pop сервера (в нашем случае www.mail.ru). Это можно делать программой outlook express, чтобы получить почту достаточно нажать "получить". Настраивается она следующим образом: Запускаете outlook express заходите в сервис / учетные записи нажимаете кнопку добавить, выбираете почту вводите ваш электронный адрес [email protected] , нажимаете далее, в поле сервер входящей почты пишите www.mail.ru или другой а во втором поле адрес smtp сервера (отправка сообщений) далее надо вроде ввести ваше имя и пароль. Теперь просто нажмите получить почту или что-то в этом роде...(Про адреса pop и smtp серверов почитайте на сайте где у вас почта)
Aктуальная задача обеспечения мобильности устройств в глобальной сети Internet возлагается на протокол сетевого уровня. По сравнению с предыдущей версией новый протокол Internet — IPv6 — предоставляет множество расширенных возможностей, в том числе и для мобильной связи (MIPv6), так что их было бы интересно сопоставить с прежними средствами MIPv4.
Одним из основных принципов глобальной сети Internet является уникальность IP-адреса, посредством которого сеть однозначно идентифицирует место подключения. В случае IPv6 этот принцип дополняется жестким требованием иерархичности адреса IPv6 и привязкой его к топологии сети. Большая часть привычного нам оборудования для доступа в Internet, например персональных компьютеров, находится на фиксированном месте, так что точка подключения меняется довольно редко. Однако все чаще доступ к сети необходимо обеспечить с мобильных устройств, а это требует введения в протокол IP специальных механизмов Mobile IP. При их отсутствии продолжение работы с устройством после его перемещения может быть обеспечено двумя способами:
Ни один из этих способов не может предложить полноценного решения. Так, при изменении IP-адреса все соединения транспортного уровня окажутся разорванными, после чего их потребуется устанавливать заново, а распространение маршрутов молниеносно приведет к перегрузке системы маршрутизации. Поэтому поддержка мобильности требует при перемещениях устройства сохранять неизменным его IPv6- или IPv4-адрес и обеспечивать доставку адресованных ему пакетов прозрачными для системы маршрутизации средствами. Именно эту задачу и решает Mobile IP. При дальнейшем обсуждении MIPv6 мы будем специально отмечать те моменты, в которых он имеет существенные отличия от MIPv4.
Принципы обеспечения мобильности IPV6
В Mobile IP вводится понятие домашнего и внешнего адресов мобильного устройства. В домашнем адресе префикс совпадает с префиксом домашней сети, т. е. сети, в которой устройство не пользуется механизмами Mobile IP, а работает как любой стационарный узел. Пакеты мобильному устройству всегда могут быть адресованы на домашний адрес вне зависимости от его текущего местоположения в топологии сети. Внешний адрес мобильный узел получает на время пребывания его во внешней (т. е. всякой отличной от домашней) сети. Как домашний, так и внешний адреса могут назначаться любым разрешенным способом: вручную, с помощью протокола DHCP и средствами автоматической конфигурации. Последний способ не имеет аналогов в IPv4 и наиболее прост и удобен, поскольку вообще не требует настройки конечных систем.
В качестве адреса получателя в пакетах, отправляемых мобильному устройству, всегда содержится его домашний адрес, префикс которого совпадает с префиксом домашней сети мобильного устройства. Если отправитель не имеет информации о текущем внешнем адресе мобильного устройства, он отправляет пакеты на адрес его домашней сети. Если мобильное устройство находится «дома», то оно получает эти пакеты в обычном порядке. Если же мобильное устройство оказывается в «чужой», внешней, сети, то пакеты нужно переправить на его текущий внешний адрес.
Данную задачу выполняет домашний агент мобильного устройства. Для этого у него должна быть информация о соответствии текущего внешнего адреса мобильного устройства и его домашнего адреса, а кроме того, ему необходимо перехватывать пакеты, приходящие на домашний адрес мобильного узла. Каждый агент способен обслуживать неограниченное количество мобильных устройств, и при этом в домашней сети могут одновременно функционировать несколько домашних агентов. Для того чтобы мобильное устройство обслуживал только один из них, оно должно связаться с агентом, сообщить ему о своем внешнем адресе и запросить у него услуги домашнего агента. После этого домашний агент мобильного узла будет перехватывать и туннелировать на внешний адрес мобильного устройства все пакеты, приходящие на его домашний адрес.
В этой концептуальной схеме уже есть существенное отличие от MIPv4, а именно: MIPv6 не предусматривает наличие в каждой внешней сети внешнего агента для обслуживания мобильных устройств в этой сети. В задачу внешнего агента входила пересылка запросов на обслуживание от мобильного устройства его домашнему агенту, а кроме того, он служил конечной точкой туннеля между домашним агентом мобильного устройства и внешней сетью, а иногда еще и отправной точкой туннеля в обратном направлении.
Новые опции
Управление передачей информации о соответствии домашнего и внешнего адресов между мобильным устройством и домашним агентом (или другим узлом) осуществляется с помощью четырех новых опций получателя. Они помещаются в дополнительный заголовок опций для принимающей стороны (Destination Options Header) и могут быть отправлены как в пакете, несущем полезную нагрузку, так и в отдельном контрольном пакете. Эти опции таковы:
Следует заметить, что в IPv4 вообще отсутствует понятие дополнительного заголовка, а информация, необходимая для манипулирования соответствием адресов, передается в дополнительных пакетах с сообщениями UDP.
Новые структуры данных
Для взаимодействия компонентов системы MIPv6 проектом спецификации определены новые структуры данных.
Регистрация мобильного устройства
Прежде чем мобильное устройство сможет отправить своему домашнему агенту обновление информации о соответствии адресов, оно должно определить адрес своего домашнего агента. Вообще говоря, оно может быть заранее настроено на обращение к определенному домашнему агенту. В таком случае процедура его динамического обнаружения окажется излишней. Если же адрес домашнего агента неизвестен, то мобильное устройство посылает запрос ICMPv6 на ближайший (anycast) MIPv6-адрес домашних агентов с префиксом своей домашней сети. Система маршрутизации IPv6 доставляет этот запрос ICMPv6 ближайшему с топологической точки зрения домашнему агенту в домашней сети. Последний отвечает мобильному устройству сообщением ICMPv6, включающим его IPv6-адрес и список известных ему домашних агентов.
Получив этот список, мобильное устройство может зарегистрироваться на любом из домашних агентов, отправив ему пакет с обновлением информации о соответствии и запрос на обслуживание. Если выбранный агент отказывает в обслуживании, мобильный узел делает новую попытку зарегистрироваться, обратившись к следующему по списку агенту. В том случае, когда мобильное устройство уже пользуется услугами определенного домашнего агента, оно должно в первую очередь попытаться возобновить регистрацию с ним.
Получив обновление информации о соответствии, домашний агент должен убедиться в ее корректности (данный список неполон, в нем приведены наиболее важные условия проверки):
Если информация о соответствии удовлетворяет требованиям проверки на корректность, то домашний агент создает или обновляет запись в таблице известных ему соответствий и отмечает ее как домашнюю регистрацию, что исключает возможность удаления записи из этой таблицы в случае ее переполнения. Домашний агент должен подтвердить мобильному устройству прием и успешную обработку информации о соответствии. Впрочем, при неудачной попытке регистрации мобильное устройство все равно уведомляется об отказе и его причине.
Мобильное устройство может отправлять обновление информации о соответствии любому узлу IPv6, с которым оно обменивается пакетами. Получив это сообщение, узел IPv6 должен проверить его аутентичность и обновить или создать запись в таблице информации об известных ему соответствиях между домашними и внешними адресами мобильных устройств. Перед отправкой каждого пакета любой узел IPv6 должен проверить эту таблицу и при нахождении соответствующей записи использовать дополнительный заголовок маршрутизации IPv6 для отправки пакета. В результате пакет, адресованный на домашний адрес мобильного устройства, будет доставлен на его внешний адрес стандартными средствами маршрутизации IPv6. В спецификации MIPv6 предполагается, что все обменивающиеся с мобильным устройством узлы должны иметь запись в таблице соответствий с домашним адресом мобильного устройства. Сигналом к тому, что удаленному узлу следует отправить обновление информации о соответствии, служит получение через туннель от домашнего агента пакетов, отправителем которых является этот узел. Таким образом, домашний агент в общем случае не принимает активного участия в передаче пакетов мобильному узлу, большая их часть поступает на указанный в заголовке маршрутизации внешний адрес данного узла. Благодаря этому система MIPv6 хорошо масштабируется и более надежна, чем MIPv4, поскольку позволяет снизить нагрузку на узкое, в смысле производительности и надежности, место — домашнего агента. Кроме того, на сеть нагрузка также снижается, поскольку с помощью заголовка маршрутизации пакеты следуют по наиболее оптимальному с точки зрения алгоритмов маршрутизации пути через сеть.
Однако следует заметить, что в MIPv4 имеется дополнение (механизм оптимизации маршрутизации), благодаря которому он обеспечивает сходную с MIPv6 функциональность, решая проблему «треугольной маршрутизации», когда пакеты от мобильного устройства идут напрямую, а к нему — только через домашнего агента по неоптимальному маршруту. Несмотря на внешнее сходство, MIPv6 и механизм оптимизации маршрутизации в MIPv4 отличаются множеством как мелких, так и существенных деталей. В частности, для MIPv4 домашний и внешний агенты мобильного узла играют более активную роль, контрольная информация передается в виде сообщений UDP и т. д.
Важно отметить, что мобильное устройство должно само пользоваться таблицей информации о соответствии, поскольку его собеседником может оказаться такое же мобильное устройство. Данный случай будет весьма типичным для Internet недалекого будущего.
Распознавание перемещения
Для установления факта своего перемещения в другую сеть мобильное устройство IPv6 должно использовать стандартные для IPv6 механизмы обнаружения соседей (Neighbor Discovery/ Unrechability Detection) и обнаружения маршрутизаторов (Router Discovery). Кроме того, оно может воспользоваться данными нижележащих протоколов канального уровня. Именно с помощью механизмов автоматической конфигурации находящееся во внешней сети мобильное устройство выясняет свой внешний адрес и адрес маршрутизатора.
В случае беспроводной связи возможна ситуация, когда мобильное устройство «слышит» одновременно несколько внешних сетей. При постоянном перемещении важно вовремя распознать ситуацию, когда связь с маршрутизатором внешней сети нарушается, чтобы своевременно переключиться на другой внешний адрес и, соответственно, другой маршрутизатор. Поэтому мобильное устройство не только кэширует все объявления о маршрутизаторах (Router Advertisement), но и пытается определить, по-прежнему ли доступен его маршрутизатор. Для этого спецификация MIPv6 предусматривает несколько механизмов. Информация о наличии связи как от мобильного устройства к маршрутизатору, так и в обратном направлении может быть подтверждена:
Кроме того, мобильное устройство вправе пользоваться данными, получаемыми от драйвера канального уровня, например об уровне или качестве сигнала, для принятия решения о переходе на другой внешний адрес.
До того как устройство MIPv6 получило новый внешний адрес, оно может отправлять и получать пакеты по этому каналу, пользуясь локальным для среды канального уровня адресом IPv6. Это может понадобиться, например, для реализации специфических механизмов регистрации мобильного узла во внешней сети или нестандартных способов конфигурации его глобального внешнего IPv6-адреса.
После получения нового внешнего адреса в качестве основного мобильное устройство должно отправить своему домашнему агенту обновление информации о соответствии, в запросе на регистрацию домашним агентом с указанием домашнего адреса. Кроме того, необходимо запросить подтверждение приема этого сообщения.
Возвращение домой
О возвращении в свою домашнюю сеть мобильное устройство узнает, когда снова начинает получать объявления от маршрутизаторов, содержащие ее префикс. Теперь прежде всего надо проинструктировать своего домашнего агента об окончании предоставления сервиса и объявить другим узлам о своем присутствии в домашней сети. Для отмены обслуживания домашним агентом мобильное устройство отправляет ему обновление информации о соответствии, где в качестве внешнего используется домашний адрес устройства. После этого агент перестает перехватывать пакеты в сети, если они адресованы на домашний адрес мобильного устройства, и прекращает отвечать на запросы обнаружения соседей, если запрашиваемый адрес принадлежит мобильному устройству, т. е. перестает функционировать в домашней сети как узел с домашним адресом мобильного устройства. Теперь, при получении подтверждения обновления информации о соответствии, мобильное устройство может беспрепятственно сконфигурировать домашний IPv6-адрес на своем интерфейсе в домашней сети. Для того чтобы все узлы в домашней сети узнали о соответствии адреса канального уровня мобильного устройства и его домашнего IPv6-адреса, мобильное устройство должно несколько раз отправить на групповой адрес всех узлов своей домашней сети объявление о соседе (Neighbor Advertisement), т. е. о себе. Отличие шестой версии мобильного IP от четвертой состоит в универсальности применения механизма обнаружения соседей.
Перехват пакетов
Сразу после того, как узел делает запись о регистрации принадлежащего к домашней сети мобильного устройства в своей таблице соответствий, т. е. становится домашним агентом этого устройства, он должен принять меры к перехвату всех пакетов в домашней сети, отправляемых на домашний адрес мобильного устройства. Для этого он незамедлительно рассылает сообщение о соседе от лица мобильного устройства, в результате чего домашнему IPv6-адресу мобильного устройства будет теперь соответствовать адрес канального уровня его домашнего агента. Это сообщение рассылается несколько раз, чтобы увеличить вероятность обновления данных на всех узлах в домашней сети.
В дальнейшем, пока узел остается домашним агентом, он представляет мобильное устройство при обработке сообщений протокола обнаружения соседей. На все запросы от других узлов, пытающихся определить, какой адрес канального уровня соответствует домашнему IPv6-адресу мобильного устройства, домашний агент должен отвечать объявлением о соседе, подставляя свой адрес канального уровня вместо адреса мобильного устройства.
В результате все пакеты, адресованные на домашний IPv6-адрес мобильного устройства, будут попадать на один из интерфейсов его домашнего агента и переправляться мобильному устройству посредством туннелирования. В отличие от MIPv4, где перехват пакетов домашним агентом реализуется с помощью механизма Proxy ARP, использование механизма обнаружения соседей более универсально и функционально богаче, а кроме того, в меньшей степени зависит от конкретной среды канального уровня.
Туннелирование
Перехватив пакет IPv6, адресованный мобильному устройству, домашний агент должен переслать его на внешний адрес мобильного устройства. Для этого применяется метод туннелирования, когда исходный пакет с домашним адресом в качестве адреса назначения помещается целиком в поле данных другого пакета IPv6. Адресом отправителя этого внешнего пакета является адрес домашнего агента, а адресом получателя — внешний адрес мобильного узла. Для системы маршрутизации передача внутреннего пакета происходит прозрачно, т. е. его содержимое не влияет на выбор маршрута. Получив пакет и обнаружив по значению типа следующего заголовка, что он содержит другой пакет, мобильное устройство извлекает вложенный и обрабатывает его так, как если бы он был получен напрямую. Применение туннелирования для передачи перехваченных домашним агентом пакетов вместо добавления заголовка маршрутизации вызвано тем, что если между мобильным устройством и отправителем установлена безопасная ассоциация (в пакетах содержится заголовок ESP или AH), то включение в пакет заголовка маршрутизации приведет к ее нарушению. Модификация такого пакета промежуточным узлом сделает невозможным его дешифровку или аутентификацию.
Вместе с тем, все пакеты, адресованные мобильному устройству непосредственно домашним агентом, передаются с использованием заголовка маршрутизации, поскольку в этом случае домашний агент может произвести шифрование или вычисление контрольной суммы пакета после включения в него заголовка маршрутизации. В этой ситуации домашний агент общается с мобильным устройством как любой другой узел.
Домашний агент должен уметь принимать и отправлять дальше инкапсулированные пакеты, поступающие от мобильного устройства через обратный туннель. В спецификации MIPv6 рекомендуется, чтобы он попросту отбрасывал пакеты, туннелируемые от имени мобильного устройства, если они не защищены заголовками AH или ESP, поскольку в противном случае злоумышленник может без труда сымитировать запрос от легитимного мобильного устройства с домашним адресом той сети, в которую планируется проникновение.
Технологии туннелирования MIPv6 и MIPv4 мало чем различаются. В общем случае туннелирование пакетов менее приемлемо для IPv6, поскольку размер заголовка IPv6 превосходит размер заголовка IPv4, и передача большего объема служебной информации приводит к увеличению накладных расходов. Именно поэтому туннелирование в MIPv6 допускается лишь в редких случаях — когда узел, отправляющий пакеты мобильному устройству, не имеет сведений о внешнем адресе последнего. Как правило, эта ситуация длится не дольше, чем нужно времени для того, чтобы узел IPv6 мог получить от мобильного устройства один-единственный пакет с обновлением информации о соответствии домашнего и внешнего адресов.
Новое в IPV6
Итак, попытаемся подытожить, чем же различаются технологии MIPv6 и MIPv4. Даже на первый взгляд существенных отличий довольно много. Хотя протокол MIPv6 основан на наиболее удачных идеях, использованных для MIPv4, и наследует многие черты своего предшественника, концептуальные различия между ними, а также факт использования в MIPv6 уникальных механизмов и решений привели к тому, что они отличаются в той же мере, что и протоколы IP соответствующих версий. Наиболее важные преимущества MIPv6 заключаются в следующем.
Механизм определения перемещения MIPv6 позволяет определить наличие двусторонней связи с маршрутизатором во внешней сети и активнее реагировать на ее потерю. Это также повышает надежность связи, уменьшая вероятность ее одностороннего разрыва.
Anycast. Общий тип адреса IPv6 для нескольких однотипных серверов. Система маршрутизации IPv6 доставляет направленный на этот адрес пакет ближайшему зарегистрировавшему его устройству.
Authentication Header (AH). Опция в заголовке IPv4 или дополнительный заголовок в IPv6, подтверждающий, что защищаемый пакет или его данные не были модифицированы при передаче в сети.
DHCP. Протокол динамической конфигурации узлов служит для назначения узлу адреса, указания длины префикса, задания маршрутизатора по умолчанию и сервера DNS.
Neighbor Advertisement. Данное сообщение отправляется узлом IPv6 в рамках протокола обнаружения соседей для оповещения соседей о соответствии между адресом IPv6 и адресом канального уровня.
Neighbor Discovery. Данный протокол используется в IPv6 для обнаружения соседей узла в среде канального уровня и отображения IPv6-адреса узла на его адрес канального уровня и наоборот. Он представляет собой частичный аналог протоколов ARP, RARP и, в определенной степени, ICMP.
Proxy ARP. Режим работы протокола ARP, когда устройство отвечает не только на запросы о своем адресе канального уровня, но и на запросы о других устройствах, для которых оно выступает посредником.
Router Advertisement. Данное сообщение используется маршрутизаторами IPv6 в рамках протокола обнаружения маршрутизаторов для объявления своего присутствия в сети и для передачи узлам IPv6 конфигурационной информации (сетевого префикса).
Router Discovery. Протокол обнаружения маршрутизаторов в IPv6 применяется узлами для обнаружения маршрутизаторов в своей сети, а маршрутизаторами — для объявления о своем присутствии. Он ведет свое происхождение от ICMP.
UDP. Данный транспортный протокол не использует подтверждений и порядковых номеров при доставке пользовательских данных. В отличие от ТСР он считается ненадежным протоколом и не создает больших накладных расходов.
Encapsulating Security Payload (ESP). Опция в заголовке IPv4 или дополнительный заголовок в IPv6, позволяющий передать в зашифрованном виде другой защищаемый пакет или его данные.
Статическая IP-маршрутизация(пособие для начинающего администратора)
Сеть Internet с ее протоколами изначально задумывалась как протяженная (WAN - Wide Area Network), состоящая из большого количества машин, соединенных с помощью разных сред обмена данными (как локальных сетей, так и глобальных соединений). Теоретически в Internet могут напрямую работать друг с другом около четырех миллиардов машин (2^32 за вычетом некоторых специальных номеров), а через proxy и того больше.
В силу этих причин Internet - сегментированная сеть. Сегментом является либо прозрачный участок широковещательной (Ethernet) или маркерной (TokenRing) сети, либо соединение точка-точка (модемное).
Теперь - обозначения. IP-номер - четырехбайтное число, записываемое либо в шестнадцатеричном виде типа 0xC0A80E05, либо в десятичном виде, где байты разделены точками типа 192.168.14.5 (в качестве примера в обоих случаях использовался один и тот же номер).
Маска - тоже четырехбайтное число, но все старшие биты, начиная с некоторого, всегда установлены в единицу, а все младшие - в ноль. Примеры: 255.255.255.0 - маска сети класса C на 256 номеров; 255.255.255.192 - маска маленькой сети на 64 номера (192=256-64). Если мне надо указать сочетание номера и маски, я буду использовать запись номер/число_установленных_битов_в_маске - так сочетание номера 192.168.14.5 и маски 255.255.255.0 будет записано в виде 192.168.14.5/24.
Номером сети называют число, получаемое из номера интерфейса применением побитовой операции AND с маской, т.е. в номере интерфейса обнуляются биты на тех местах, на которых стоят нулевые биты в маске.
Следует помнить, что IP-номер присваивается не компьютеру, а интерфейсу (сетевому выходу либо последовательному порту). В принципе можно дать нескольким интерфейсам один номер, но это может вызвать сложности. Можно также присвоить несколько адресов одному интерфейсу.
В сегменте сети все машины имеют IP-номера с одинаковым номером сети и одинаковой маской. В одной локальной сети можно совместить две и больше разных IP-сетей, они даже могут знать друг о друге и нормально общаться, но это все-таки будут две разные сети.
Принято следующее деление в зависимости от значения старшего байта IP-адреса:
Многие программы по адресу автоматически определяют класс сети, хотя это можно поправить вручную. В принципе никто не мешает разбить сеть на две или больше подсетей с любыми масками, но организациям как правило выделяют адреса блоками, соответствующими классам A, B и C - это связано с системой DNS , позволяющей узнать доменное имя машины по ее IP-адресу.
Сеть класса A с номером 127 - loopback, т.е. предназначена для общения компьютера с собой. В любой сети номер (IP-номер AND маска) является номером всей сети и не может быть присвоен никому конкретно. Номер (IP-номер OR NOT маска), являющийся последним номером в сети, предназначен для broadcasting (широковещательных) сообщений, которые доставляются всем машинам сегмента сети. Соответственно, при выделении группы адресов в сеть два адреса становятся недоступны.
Рассмотрим маршрутизацию в терминах FreeBSD (будет также дан перевод в нотацию System V (Linux, SCO) и Windows3.11 ). В Unix команды настройки сети, как правило, заюпускаются из файла /etc/rc или запускаемых из него файлах, а в MS Windows - загрузчиком операционной системы в соответствие с system.ini или registry.
Главному шлюзу я всегда присваиваю первый (наименьший) номер в сети (нулевой, как я уже говорил, недоступен). Если в сети присутствует второй шлюз, через который подсоединен другой сегмент, то этому шлюзу (промежуточному маршрутизатору) будет присваиваться последний (наибольший) номер в сети. Для этого нет никаких разумных причин - так мне хочется.
Построим первый сегмент сети:
ifconfig ep0 inet 192.168.1.5 netmask 255.255.255.0
ifconfig lo0 inet 127.0.0.1 netmask 255.0.0.0
route add default 192.168.1.1
ifconfig ep0 inet 192.168.1.5 netmask 255.255.255.0
присвоила интерфейсу ep0 номер 192.168.1.5, а также создала в таблице маршрутизации запись о том, что все пакеты с номером сети 192.168.1.0/24 будут направляться прямо через этот интерфейс с использованием протокола ARP .
ifconfig lo0 localhost
конфигурирует интерфейс loopback, т.е. "петлю". Этот интерфейс должен иметь адрес 127.0.0.1 и маску 255.0.0.0 на любой машине, имеющей IP, поэтому некоторые системы (например, MS Windows) делают это автоматически, не требуя от администратора (или пользователя, если он сам настраивает систему) задавать параметры loopback. Так как этот интерфейс настраивается на каждой машине одинаково, я не буду писать эту строчку каждый раз. localhost определяется по файлу /etc/hosts, в котором содержится
127.0.0.1localhost.домен localhost
а маска берется по умолчанию - 255.0.0.0.
route add default 192.168.1.1
замечу, что маршрутизация "default" на самом деле есть "inet 0x0 netmask 0x0" и это надо прописывать, если старая версия команды route не понимает слова "default". создала запись, в соответствии с которой все пакеты (все, потому что любой пакет подходит под 0.0.0.0/0) будут отправляться на машину, имеющую интерфейс 192.168.1.1. Информация о том, как можно добраться до интерфейса 192.168.1.1 содержится в предыдущей команде, которая определила способ доступа ко всем машинам 192.168.1.* через интерфейс ep0.
Интерфейс шлюза надо сконфигурировать так:
ifconfig ed1 inet 192.168.1.1 netmask 255.255.255.0
На самом деле у нашего шлюза много интерфейсов и они будут конфигурироваться по мере надобности. Еще раз обращаю внимание на то, что номер и маска сети совпадают для всех машин этого сегмента.
slattach -S 0 [...]
ifconfig sl0 192.168.1.82 192.168.1.81 up
route add default 192.168.1.81
ifconfig ed2 inet 192.168.2.1 netmask 255.255.255.0
route add host 192.168.2.81 192.168.2.7
route add host 192.168.2.82 192.168.2.7
ifconfig ed3 inet 192.168.3.1 netmask 255.255.255.0
ifconfig ed3 inet 172.16.0.1 netmask 255.255.0.0 alias...
ifconfig ep0 inet 192.168.3.7 netmask 255.255.255.0
route add default 192.168.3.1
В такой конфигурации ws.3.1 отлично сможет общаться с машинами из сети 192.168.3.0/24 и с машинами вне сегмента локальной сети. При попытке же обратиться к машине того же сегмента, но другой IP-сети, пакет будет послан на шлюз. Шлюз знает, что пакеты с этим адресом надо послать в ту локальную сеть; но некоторые операционные системы работают по алгоритму маршрутизации, в котором запрещено посылать пакет туда, откуда он пришел - это делается для того, чтобы избежать зацикливания пакетов.
ifconfig ep0 inet 172.16.8.14 netmask 255.255.0.0
route add -net 192.168.3.0 -netmask 255.255.255.0 172.16.8.14
route add default 172.16.0.1
Здесь мы присвоили интерфейсу номер из сети 172.16.*.*, а затем обьявили, что пакеты для сети 192.168.3.* надо отправлять в ту же локальную сеть.
Следующую сеть класса C сегментируем маршрутизатором, который отделит подсеть на 16 IP-номеров (14 машин, включая маршрутизатор).
ifconfig ed3 inet 192.168.4.1 netmask 255.255.255.0
route add -net 192.168.4.128 -netmask 255.255.255.240 192.168.4.254
ifconfig ep0 inet 192.168.4.7 netmask 255.255.255.0
route add default 192.168.4.1
Я не указал маршрутизацию
route add -net 192.168.4.128 -netmask 255.255.255.240 192.168.4.254
Ее можно не указывать и для маршрутизатора. Но! Если какая-нибудь из машин сегмента 192.168.4.128/28, например, 192.168.4.137, обратится к машине из основного (примыкающего к шлюзу) сегмента (в том числе к шлюзу), то протокол ARP зафиксирует приход пакета с сетевой карты, маршрутизатора, выходящей в основной сегмент (IP-номер192.168.4.127) и далее будет посылать пакеты на эту сетевую карту, и это будет правильно.
Отдельную проблему представляет обращение машины из основного сегмента в 192.168.4.128/28. В отсутствие у ARP сведений об этом номере будет разослан широковещательный запрос и тут все зависит от сообразительности промежуточного маршрутизатора router.4 - если он догадается, что пакет предназначен в подсеть и протранслирует его туда, то ответ приведет к появлению записи в таблицах ARP, не догадается - придется прописывать маршрутизацию.
ifconfig ep0 inet 192.168.4.127 netmask 255.255.255.0
ifconfig ep1 inet 192.168.4.129 netmask 255.255.255.240
route add default 192.168.4.1
ifconfig ep0 inet 192.168.4.137 netmask 255.255.255.240
route add default 192.168.4.129
ifconfig ed3 inet 192.168.5.1 netmask 255.255.255.128
route add -net 192.168.5.128 -netmask 255.255.255.128 192.168.5.127
ifconfig ep0 inet 192.168.5.7 netmask 255.255.255.128
route add -net 192.168.5.128 -netmask 255.255.255.128 192.168.5.127
route add default 192.168.5.1
ifconfig ep0 inet 192.168.5.127 netmask 255.255.255.128
ifconfig ep1 inet 192.168.5.129 netmask 255.255.255.128
route add default 192.168.5.1
ifconfig ep0 inet 192.168.5.137 netmask 255.255.255.128
route add default 192.168.5.129
Разница с предыдущим случаем в том, что сеть разделена на сегменты, содержащие только "куглое" число IP-номеров (два в целой степени). Это особый случай, когда логичнее оформить каждую сеть отдельно.
Теперь сделаем две сети, соединенные через последовательную линию по протоколу PPP.
ifconfig ed3 inet 192.168.6.1 netmask 255.255.255.0
route add -net 172.17.14.192 -netmask 255.255.255.252 192.168.6.127
route add -net 192.168.6.128 -netmask 255.255.255.240 192.168.6.127
ifconfig ep0 inet 192.168.6.127 netmask 255.255.255.128
pppd 172.17.14.193:172.17.14.194 netmask 255.255.255.252 [...]
route add -net 192.168.6.128 -netmask 255.255.255.240 172.17.14.194
route add default 192.168.6.1
pppd требует при запуске указать интерфейс, через который происходит соединение, и его параметры, но это не относится к теме и обозначено [...].
ifconfig ep0 inet 192.168.6.129 netmask 255.255.255.240
pppd 172.17.14.194:172.17.14.193 netmask 255.255.255.252 [...]
route add default 172.17.14.193
ifconfig ep0 inet 192.168.6.137 netmask 255.255.255.240
route add default 192.168.6.129
Подсеть на 16 машин выделена аналогично примеру 4. Я надеюсь, разбиение сети на подсети "круглого" размера, соединенные по ppp, после усвоение прочитанного окажется под силу любому.
Как видите, самая простая конфигурация - у машин в сегменте с единственной IP-сетью и с единственным шлюзом (он же шлюз по умолчанию). Чем больше шлюзов в сегменте сети и чем сложнее их конфигурация, тем сложнее корректно настроить рабочие станции, а настраивать надо каждую. Немного выручает протокол DHCP , но:
Примечания:
Прозрачный - Сегмент Internet сам может быть сегментирован на уровне MAC, например, коммутатором. Прозрачность проявляется в том, что маршрутизатор, работающий на уровне IP, не должен заботиться об этом; в частности, IP-маршрутизатор никогда не пропускает broadcast сообщения (в отличие от multicast), но broadcast сообщения должны свободно распространяться по всей локальной сети сети - это нужно, в частности, для протокола ARP .
Последовательнымпортом в данном случае называется любой порт, выдающий данные побайтно (асинхронный COM, синхронный RS-232, принтерный LPT) в отличие от сетевого интерфейса, выдающего данные пакетами. Отличается от сетевого тем, что с поиощью последовательных интерфейсов можно связывать напрямую ровно два компьютера, а значит, такой способ не нуждается в адресации пакетов на MAC-уровне.
DNS - Domain Name Service, позволяющий узнать IP-номер и некоторую другую информацию о машине по доменному имени, а также доменное имя по IP-номеру. В частности, зона определения имени по номеру может быть делегирована только на сеть класса A, B или C и никак иначе.
|
||||
|
||||
|
ifconfig интерфейс inet адрес netmask маска прописывается в "Свойствах TCP/IP" данного интерфейса.
ifconfig интерфейс inet адрес netmask маска alias прописывается в "Дополнительных свойствах".
route add default шлюз задается как "Default Gateway".
route add -net номер -netmask маска шлюз вводится с командной строки
route add номер MASK маска шлюз
Эти команды реально выполняются, однако, как правило, они задаются иначе. В файле /etc/sysconfig пишется
network_interfaces="ep0 lo0"
ifconfig_ep0="inet 192.168.1.5 netmask 255.255.255.0"
ifconfig_lo0="inet localhost"
Эти строки обрабатываются файлом /etc/netstart
# Set up all the network interfaces, calling startup scripts if needed
for ifn in ${network_interfaces}; do
eval ifconfig_args=\$ifconfig_${ifn}
ifconfig ${ifn} ${ifconfig_args}
ifconfig ${ifn}
done
if [ -n "$defaultrouter" -a "x$defaultrouter" != "xNO" ] ; then
static_routes="default ${static_routes}"
route_default="default ${defaultrouter}"
fi
# Set up any static routes. This should be done before router discovery.
if [ "x${static_routes}" != "x" ]; then
for i in ${static_routes}; do
eval route_args=\$route_${i}
route add ${route_args}
done
fi
а localhost определяется по файлу /etc/hosts, в котором содержится 127.0.0.1localhost.домен localhost и некоторые другие адреса/имена, которые машина должна знать даже в случае недоступности DNS-сервера ; как минимум, там кроме loopback содержатся адреса остальных интерфейсов данной машины, ассоциированные с ее доменным именем в полной и короткой формe.
Протокол ARP используется в сетях, имеющих свою собственную нумерацию (Ethernet, TokenRing, X.25) и нужен для того, чтобы не прописывать вручную соответствие IP-адресов номерам сетевых адаптеров. После старта системы таблицы ARP пусты; если приходит IP-пакет от какой-либо станции, фиксируется соответствие ее IP-номера номеру ее сетевой карты. Если надо послать пакет по IP-номеру, для которого неизвестен номер сетевой карты, посылается широковещательное (в понимании локальной сети) сообщение.
Зацикливание пакета в некоторых алгоритмах рассматривается как результат неправильной маршрутизации. Каждый пакет имеет конечное время жизни, задаваемое отправителем и не превышающее 255 секунд, причем каждый маршрутизатор, через который проходил пакет, уменьшает это число как минимум на единицу, а значит пакет не может бесконечно метаться между маршрутизаторами - он умрет и о его смерти известят отправителя отдельным пакетом (на этом основана работа traceroute). Тем не менее некоторые маршрутизаторы во избежание засорения полосы пропускания сами убивают пакеты, которые, судя по их таблицам маршрутизации, следует отправлять через тот интерфейс, через который они пришли.
Протокол DHCP (Dynamic Host Configure Protocol) по запросу машины выдает ей IP-адрес, маску, номер DNS-сервера и т.д. вплоть до загружаемой через сеть операционной системы. Как правило, применяется в варианте, когда запрашивающая машина не знает ни своего адреса, ни адреса DHCP-сервера; в этом случае она находит сервер, посылая широковещательный запрос, а значит, они должны быть в одном сегменте локальной сети.
13/09/2004 PTP/IP (Picture Transfer Protocol over Internet Protocol)
Nikon анонсировала новый протокол, предназначенный для передачи изображений и получивший название PTP/IP (Picture Transfer Protocol over Internet Protocol). По своей организации PTP/IP очень похож на PTP (используемый в операционных системах для обнаружения подключенных устройств, работающих с изображениями, и собственно для передачи изображений), но работает «поверх» протокола IP. Разработка нового протокола велась совместно с компаниями FotoNation и Microsoft.
Разрабатывая PTP/IP, Nikon ставила основной целью упрощение обмена изображениями между своими цифровыми фотоаппаратами и компьютерами по беспроводной сети. Предыдущие беспроводные модули WT-1 для зеркальных цифровых камер Nikon обеспечивали обмен данными, используя протокол FTP, требующий дополнительных настроек со стороны и камеры, и компьютера, а потому не совсем удобный. Беспроводные модули Nikon, поддерживающие PTP/IP, должны появиться в ближайшее время.
18.12.2003 секреты IP-протокола
Пожалуй, в последние годы ни о чем так много не писали в области сетевых технологий, как о протоколе IP. Однако, несмотря на такое внимание к данной теме, до сих пор почти ничего не сказано о базовых функциях IP, а именно о том, как маршрутизаторы и коммутаторы третьего уровня работают с IP-информацией и перемещают пакеты данных по сетям.
Напомним, что IP относится к группе протоколов TCP/IP. Протокол TCP реализует транспортные функции модели OSI (Open Systems Interconnection), ее четвертого уровня. Его основная обязанность - обеспечение надежной связи между начальной и конечной точками пересылки данных. IP располагается в OSI на сетевом, или третьем, уровне; он должен поддерживать передачу маршрутизаторам адресов отправителя и получателя каждого пакета на всем пути его следования. Маршрутизаторы и коммутаторы третьего уровня считывают записанную в пакетах по правилам IP и других протоколов третьего уровня информацию и используют ее совместно с таблицами маршрутизации и некоторыми другими интеллектуальными средствами поддержки работы сети, пересылая данные по сетям TCP/IP любого масштаба - от "комнатной" до глобальной, охватывающей всю планету.
Процесс маршрутизации начинается с определения IP-адреса, уникального для станции-отправителя (адреса источника), который может быть постоянным или динамическим. Каждый пакет содержит такой адрес, длина которого, в соответствии с современной спецификацией IPv4, составляет 32 бита.
Кроме того, в заголовке пакета записан IP-адрес его места назначения. Если отправляющая станция определяет, что адрес доставки не локальный, пакет направляется маршрутизатору первого сетевого сегмента. Этот маршрутизатор определяет IP-адрес пакета и проверяет по своей таблице, не расположена ли станция получателя в локальной физически подключенной к нему сети, которая называется IP-подсетью (обычно она назначается для всех сетевых интерфейсов маршрутизатора). Если же выясняется, что IP-адрес получателя локальный, маршрутизатор начинает искать внутреннее хранилище IP- и MAC-адресов локальных устройств - ARP-кэш (Adress Resolution Protocol), позволяющий сопоставлять IP- и MAC-адреса.
При обнаружении нужного MAC-адреса маршрутизатор помещает его в заголовок пакета (удаляя собственный MAC-адрес, который больше не нужен) и направляет пакет по месту назначения. Если MAC-адрес получателя не найден в ARP-кэше, маршрутизатор пересылает ARP-запрос в подсеть, соответствующую IP-адресу получателя пакета, где конечная станция с этим IP-адресом передает ответ на запрос, содержащий необходимый MAC-адрес. Затем маршрутизатор обновляет содержимое кэша, устанавливает новый MAC-адрес в заголовке пакета и отправляет его. Если пакет не предназначен для локальной подсети, маршрутизатор направляет его на маршрутизатор следующего сегмента по MAC-адресу последнего.
Процесс построения и обновления таблиц маршрутизации практически непрерывен. Он осуществляется средствами, использующими интеллектуальные протоколы обнаружения, например RIP или OSPF. В таблице каждого маршрутизатора указан оптимальный маршрут до адреса назначения или до маршрутизатора следующего сегмента (если адрес не принадлежит локальной подсети). Последовательно просматривая собственные таблицы маршрутизации, соответствующие устройства передают пакет "по этапу", запрашивая, при необходимости, MAC-адрес конечной станции. Этот процесс продолжается до тех пор, пока пакет не доберется до пункта назначения.
Однако при пересылке пакета через множество сетевых сегментов существует опасность образования "петель": неправильно сконфигурированный маршрутизатор постоянно возвращает пакет тому маршрутизатору, через который данный пакет уже проходил. Во избежание этого в IP предусмотрена TTL-функция (time-to-live), позволяющая задать предел времени путешествия пакета по сети. Значение TTL устанавливается заранее и уменьшается на единицу при каждом прохождении любого сегмента. Если величина TTL становится равной нулю, пакет удаляется, а маршрутизатор отсылает отправителю сообщение ICMP.
Механизм IP- маршрутизации
Маршрутизатор проверяет IP-адрес входящего пакета и просматривает таблицу, определяя, не является ли пунктом назначения локальная сеть.
Если IP-адрес назначения локальный, то маршрутизатор находит во внутреннем хранилище IP- и MAC-адресов локальных устройств MAC-адрес места назначения, помещает его в заголовок пакета и направляет пакет получателю.
Если MAC-адрес получателя не обнаруживается, маршрутизатор должен послать запрос о нем по IP-адресу получателя. Если после просмотра таблицы выясняется, что пакет не предназначен для локальной сети, маршрутизатор переправляет его маршрутизатору следующего сетевого сегмента, используя MAC-адрес последнего.
31.03.04 Новая система управления IP-адресами в локальной сети
Речь не о простом DHCP (Dynamic Host Protocol) сервере, а о немного более функциональной программе.
В локальных сетях часто возникает проблема распределения адресов. Многие люди пытаются получить неправильные или просто понравившиеся адреса. Если эти адреса в данное время не заняты (компьютеры-владельцы выключены), то им это удается, и настоящий владелец не может получить свой адрес. Таким образом, могут пострадать многие сетевые сервисы, так как адресация происходит именно по IP. Большинство брандмауэров также работает на уровне IP адресов, то есть произойдет подмена компьютеров, и защитные правила не будут работать для конкретной машины.
Справочная информация:
МАС (Media Access Control) адрес, 48-битное число,- физический сетевой адрес, заданный аппаратным образом. IP (Internet Protocol) адрес, 32-битное число,- логический сетевой адрес, заданный администратором сети или самим пользователем. |
Справочная информация:
Протокол ARP (Address Resolution Protocol) RFC-826-Протокол ARP Протокол преобразования адреса Недостаток: невозможность централизованного контроля выделения адресов. |
Отправитель пакета определяет МАС адрес получателя, посылая широковещательный запрос по протоколу ARP. Давайте рассмотрим ARP запрос.
Типичный пакет ARP запроса
Адрес получателя: FF:FF:FF:FF:FF:FF (широковещательный)
Адрес отправителя: 00:01:02:75:93:33 Тип содержимого пакета: ARP 08-06 Тип оборудования: Тип протокола: IP 00-08, Ethernet 00-01 Длина МАС и IP адресов в битах: 06 и 04 Код операции: ARP запрос 01 Аппаратный адрес отправителя: 00:01:02:75:93:33 Адрес протокола отправителя: 192.168.200.1 (IP-адрес) Аппаратный адрес цели: 00:00:00:00:00:00 (неизвестен) Адрес протокола цели: 192.168.200.4 (искомый IP) Обрамление пакета: 18 байт (Windows) |
И что же мы видим? Пакет рассылается широковещательно! Компьютер как будто спрашивает всю сеть, кто имеет нужный IP (логический) адрес, вышлите свой MAC (аппаратный) адрес. Машина в сети, которая считает, что она имеет соответствующий IP адрес, посылает ARP отклик со своим МАС адресом. Рассмотрим ARP ответ.
Типичный пакет ARP ответа
Адрес получателя: 00:60:97:8F:93:5D
Адрес отправителя: 00:01:02:75:93:33 Тип содержимого пакета: ARP 08-06 Тип оборудования: Тип протокола: IP 00-08, Ethernet 00-01 Длина МАС и IP адресов в битах: 06 и 04 Код операции: ARP ответ 02 Аппаратный адрес отправителя: 00:01:02:75:93:33 Адрес протокола отправителя: 192.168.200.1 (IP-адрес) Аппаратный адрес цели: 00:60:97:8F:93:5D Адрес протокола цели: 192.168.200.60 Обрамление пакета: 18 байт (Windows) |
ARP ответ сообщает запрашивающему МАС адрес, соответствующий IP адресу запроса.
Примерно такой же ARP запрос посылается, когда компьютер включает сетевой адаптер. Посылается "беспричинный" ARP, который настраивает коммутаторы для пропуска нужных отправителю пакетов, а также проверяет уникальность запрашиваемого IP адреса в сегменте сети.
Справочная информация:
Коммутаторы используют аппаратные (МАС) адреса получателей для отправки пакетов в нужные порты. |
|
Концентраторы просто передают весь трафик по всем портам. |
В пакете совпадают IP адреса отправителя и получателя, он также широковещательный. Если в сети уже есть компьютер, настроенный на использование запрашиваемого адреса, то он воспринимает "беспричинный" ARP как обычный ARP запрос и посылает ARP ответ, в котором указывает свой МАС адрес. Включившийся компьютер не ожидает получения ответа, а если получает, то мы видим:
На самом деле, у нас есть возможность программно генерировать подобные ARP ответы и не пускать компьютер в сеть, то есть якобы присвоить себе все адреса сети. По каким критериям мы можем не давать или давать получить адрес? Посмотрим на ARP запрос. Ага, нам предоставляется только МАС адрес, а поскольку его можно легко подделать этот параметр является недостаточным.
На помощь нам приходит протокол DHCP. Он позволяет получить большее количество параметров конфигурации от клиента и уже по ним сделать выбор: пускать или не пускать в сеть.
Справочная информация:
DHCP (Dynamic Host Configuration Protocol) протокол динамической настройки сети системы, клиент для этого протокола существует во всех современных ОС. RFC-2131- Стандарт DHCP RFC-2132- Опции и расширения DHCP Недостаток: невозможность проверки подлинности сообщений DHCP сервера. |
DHCP действует так: сначала клиент посылает широковещательное сообщение DHCP Discover, в котором определяет желаемые параметры инициализации сети. Сервер (или несколько) отвечает DHCP Offer, где предлагает параметры инициализации, затем клиент принимает параметры и отвечает сообщением DHCP Request. Процесс завершается сообщением сервера DHCP Ack. Существуют еще другие типы сообщений, но подробное описание протокола DHCP выходит за рамки данной статьи.
Рассмотрим поле опций сообщения DHCP Discover, какие параметры мы можем получить из него?
Поле опций DHCP Discover
Magic Cookie: 63-82-53-63 (идентификатор опций)
Тип сообщения(35): DHCPDISCOVER(01)(1 байт) Windows расширение(74):DHCPDISCOVER(01)(1 байт) Идентификатор клиента(3D):01-00-0С-6E-CD-B7-DF(7 байт)(MAC) Имя компьютера(0С):Sophia(6 байт) Имя производителя(3C): MSFT 5.07 -> Windows XP without SP1 Запрос параметров у сервера(37): Параметры(11 байт) Код окончания посылки(FF):1 байт Обрамление пакета: 13 байт (Windows) |
Ну вот, уже намного больше параметров. Здесь мы можем использовать не только МАС адрес, а имя компьютера и тип операционной системы, также возможны манипуляции с идентификатором клиента.
По этому принципу я и решил сделать программу, так как не нашел подобных разработок. Рабочее название системы - SecureDHCP.
Это DHCP сервер с возможностью контроля выделения статических адресов по МАС адресу и времени входа в сеть.
Динамические адреса выделяются по МАС адресу, имени компьютера, типу операционной системы, идентификатору клиента и времени.
Сервер поддерживает перехват клиентов других конкурирующих DHCP серверов.
Постоянное ARP ping сканирование(посылаются ARP запросы и ожидаются ответы) своих клиентов позволяет собирать точные данные о времени проведенном в сети каждым из них. По этим данным можно строить графики.
Также блокируется хакерская смена МАС и IP адреса на адреса компьютера, уже вошедшего в сеть, так как его статус постоянно проверяется ARP ping.
Реализован web-интерфейс с поддержкой SSL(при помощи OpenSSL).
В качестве обработчика веб-страниц используется PHP.
Сейчас в системе используется база данных Microsoft Jet, а раньше настройки и данные находились в файлах
Система находится в стадии альфа-тестирования, разрабатывается сайт.
Дальнейшее развитие системы подразумевает доработку сервера и написание клиентских программ для различных ОС, чтобы точно и однозначно идентифицировать систему в момент входа в сеть на низком уровне. Будут использованы цифровые сертификаты и пароль входа. Появится возможность не допускать смену МАС адреса и имени компьютера без ведома администрации сети.
seo & website usability | html | os faq | hardware faq | memory | video | cpu | hdd | mainboard faq | printer & scaner | modem | mobiles | hackzone |
На главную | Cookie policy | Sitemap