Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs TCP/IP Литература по данной лекции: Н.Олифер, В.Олифер. Введение в IP сети (TCP/IP крупным планом) (Д.Комер. Протоколы TCP/IP) (Брежнев А.Ф., Смелянский Р.Л. Семейство протоколов TCP/IP) Rev /

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs История развития TCP/IP Интернет, базирующийся на стеке протоколов TCP/IP, развился из сети ARPANET (Advanced Research Projects Agency Network), построение которой началось в 1969 году в США на базе университетов под надзором министерства обороны год декабрь 1969 года

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs История развития TCP/IP 1977 год

OSI/RM и TCP/IP Стек TCP/IP (Transmission Control Protocol / Internet Protocol, протокол управления передачей/межсетевой протокол) в отличие от OSI/RM содержит всего 4 уровня: I – прикладной, II – транспортный, III – межсетевой, IV – физический (физического интерфейса). Все они в той или степени соответствуют уровням идеальной модели, т. е. выполняют похожие функции. Петрозаводский гос. университет, Алексей Мощевикин, 2006Net Security

Системы адресации Адресации: 1. Прикладной уровень (служба DNS, имя компьютеров в рабочих группах Windows, др. системы символьной адресации), адресация в глобальных и локальных сетях 2. сетевой уровень (IP, IPX адреса), адресация в глобальных сетях 3. канальный уровень (МАС адрес), адресация в локальных сетях Службы: ARP/RARP (Address Resolution Protocol) – 2-3 DNS (Domain Name Service) – 1-2 Возможны службы для связи систем адресации 1-3 Петрозаводский гос. университет, Алексей Мощевикин, 2006Net Security

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs Типы адресов физический (например, MAC-адрес 00-0b-6a-85-b6-41, АТМ адрес NSAP, глобальный адрес X.25, логический адрес канального уровня) сетевой (например, IP-адрес, две части: номер сети и номер интерфейса в этой сети). Узел может иметь несколько IP адресов по количеству сетей, к которым подключен. Одному физическому интерфейсу может быть приписано несколько IP адресов, или, наоборот, одному адресу сетевого уровня соответствует несколько адресов канального уровня, но чаще всего бывает соответствие MAC адрес - IP адрес (службы ARP и RARP), например, маршрутизатор обычно имеет несколько сетевых интерфейсов с парами МАС-адрес - IP адрес. логический символьный (например, DNS-имя). Данная адресация соответствует прикладному уровню модели OSI/RM. Символьные логические адреса введены для удобства пользования глобальными адресами. Одному символьному имени может соответствовать несколько адресов сетевого уровня (например, распределенная структура серверов altavista.com) или одному IP адресу может соответствовать несколько символьных (для создания виртуальных серверов, названий веб-сайтов).

Мультиплексирование Петрозаводский гос. университет, Алексей Мощевикин, 2006Net Security

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs Классы IP адресов IP адреса записываются в десятично-точечной нотации, каждый байт (значения в диапазоне 0-255) отделяется от соседнего точкой. Всего в Интернете возможно существование менее 2 32 хостов (сетевых интерфейсов). Выделение хоста в сети позволяет придерживаться четкой двухуровневой иерархической структуры. На данный момент существует бесклассовая система адресации (Classless Internet Domain Routing), характеризуемая любой длиной номера сети и хоста в пределах 32 бит. КлассСтруктура 32-битного IP адресаДиапазон сетей Класс А0 сети хоста Класс В10 сети хоста Класс С110 сети хоста Класс D1110 групповой адрес Класс Е11110 зарезервирован

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs Соглашение о спец. IP адресах Весь адрес состоит из 0 ( ) - адрес данного узла, разрешается только при загрузке системы, не может быть адресом назначения. Поле адреса сети = 0 (например, ) - узел 134 принадлежит данной сети. Весь адрес состоит из 1 ( ) - ограниченное в пределах локальной сети (на канальном уровне, до первого маршрутизатора) широковещание (не может быть адресом отправителя). В поле хоста все 1 (например, для сети класса В) - то широковещание в конкретной сети (не может быть адресом отправителя). 127.хх.хх.хх (например, ) - localhost, loopback, обратная связь (никогда не передается в сеть, используется для тестирования стека TCP/IP на данном компьютере). Закрытые сети (синонимы: частная сеть, сеть интранет, нереальные IP адреса, серые IP адреса, нетранслируемые в Интернет IP адреса) - для соответствующих классов сетей IP адреса в следующих диапазонах:

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs Маска IP адреса Назначение маски IP адреса - отделять часть, отвечающую за номер сети от части, идентифицирующей номер хоста в данной сети. Использование: маршрутизация и ограниченное широковещание. Маска IP - это неразрывный последовательный бинарный ряд логических 1, оканчивающийся неразрывным рядом 0 общей длиной 32 бита. Например, маска IP адреса класса А: маска IP адреса класса В: маска IP адреса класса С: маска длиной в 22 бита: Иногда значение маски пишется справа после IP адреса через слеш и обозначает битовую длину части адреса, отвечающего за IP сеть, иногда в виде IP адреса, например: /25 или – маска в 25 бит. Выделением IP адресов в глобальном адресном пространстве ведает InterNIC (Network Information Center), в России - РосНИИРОС (Российский научно-исследовательский институт развития общественных сетей).

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs Использование маски Как определить номер узла в сети, номер сети, а также адрес ограниченного в пределах данной сети широковещания? Для этого необходимо наложить побитно маску сети на заданный IP адрес и проделать некоторые арифметические действия. Пример 1. Дано: IP адрес , сеть класса С (маска в 24 бита). Найти: номер сети, номер узла в сети, а также адрес ограниченного в пределах данной сети широковещания. IP адрес маска ( ) номер сети ( ) номер хоста ( ) адрес широковещ ( )

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs Использование маски Пример 2. IP адрес , сеть с маской в 23 бита. IP адрес маска ( ) номер сети ( ) номер хоста ( ) адрес широковещ ( ) Пример 3. IP адрес , сеть с маской в 29 бит. IP адрес маска ( ) номер сети ( ) номер хоста ( ) адрес широковещ ( )

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs ARP, RARP Отображение физических адресов на IP-адреса осуществляется при помощи протоколов ARP (Address Resolution Protocol) и RARP (Reversed ARP). Сетевой IP адрес не связан с МАС адресом, как это сделано в IPX. ARP: широковещательный запрос требуемого МАС адреса по известному IP адресу. ARP таблица (arp -a). RARP используется при старте бездисковых станций. Формат ARP/RARP пакета (инкапсулируется в кадр канального уровня) Тип сети (1 для Eth)Тип протокола (0080h) Длина лок. адресаДлина сетев. адресаОперация (ARP=1, RARP=2) Локальный адрес отправителя (байты 0-3) Локальный адрес отправителя (4-5)IP адрес отправителя (0-1) IP адрес отправителя (2-3)Искомый локальный адрес (0-1) Искомый локальный адрес (байты 2-5) Искомый IP адрес (байты 0-3) При ARP запросе поле "искомый MAC адрес" оставляют незаполненным. Значение этого поля заполняется узлом, опознавшим свой IP.

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs DNS Распределенная база данных доменных имен поддерживается службой Domain Name Service. DNS обеспечивает иерархическую систему имен для идентификации узлов в сети Internet. Два вида запросов в DNS сервера: прямой (по доменному имени ищется IP адрес) и обратный (доменное имя по IP адресу). Прямой поиск необходим при обычном Интернет-серфинге, когда браузер должен организовывать http сеансы связи с веб-серверами, IP адреса которых изначально неизвестны. Поиск в обратной зоне востребован некоторыми службами, например в ходе smtp связи (чаще всего с целью идентификации и примитивной защиты от взлома). Если DNServer не знает ответа на вопрос, он пересылает запрос в домен верхнего уровня (увеличивая собственный кэш возвратившимся корректным ответом). Корень базы данных управляется центром Internet Network Information Center, в котором определены домены верхних уровней (com, gov, net, edu, mil, org, biz, info, географические домены). Выделение доменного адреса и разделение на поддомены обеспечивается текущими владельцами доменных имен. Выделение доменного имени может быть бесплатной процедурой, если у обладателя доменного имени нет права коммерческого использования. NSLOOKUP - программа общения с сервером DNS.

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs DHCP С помощью протокола DHCP (Dynamic Host Configuration Protocol) автоматизирован процесс назначения IP-адресов узлам сети. Различают статические (заранее выделенные) и динамические IP адреса. В ходе DHCP сеанса связи проходит договор не только о присвоении IP адреса данному сетевому интерфейсу, но и посылка дополнительной информации о конфигурации сети (например, адреса шлюза, маски сети, адресов прокси- серверов). Применяется в мобильных сетях и сетях с нехваткой "реальных" (транслируемых в Интернет) адресов, при осуществлении модемного доступа к провайдеру интернет услуг. DHCP общение происходит по архитектуре "клиент-сервер". Клиент посылает широковещательный запрос и все DHCP сервера (у каждого свой диапазон IP адресов) посылают в ответ свои конфигурационные предложения об IP адресе. После выбора хост отсылает подтверждение приема только конкретному серверу. Существует проблема в сотрудничестве DNS и DHCP в случае динамической раздачи "реальных" IP адресов - надо постоянно обновлять DNS таблицы. Поэтому на статические сервисы, видимые из Интернет, стараются назначать "реальные" IP адреса.

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs Формат IP пакета IP (Internet Protocol) пакет инкапсулируется в кадр канального уровня, чаще всего его заголовки являются вложенными в кадр IEEE версиядлинатип сервисаобщая длина пакета в байтах идентификация (для всех фрагментов одинаковое) флаги (3 бита) смещение фрагмента время жизнипротоколFCS заголовка IP адрес отправителя IP адрес получателя опции IP (если есть)поле заполнения до 32 бит данные верхних уровней Версия (IPv4) длина заголовка в 32 бит. словах тип сервиса (для интеллектуальных маршрутизаторов, PPPDTRхх, P - приоритет (для будущего), D,T,R - запрашиваются мин. задержки, макс. пропускная способность, макс. надежность)

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs Поля IP пакета Флаги Do not Fragment - DF, More Fragments - MF - еще фрагменты. (Использование - для определения MTU - Maximal Transfer Unit). Time to live – время жизни пакета в секундах. Это время уменьшается на количество секунд задержки на каждом маршрутизаторе или на 1 при любом переходе через маршрутизатор. Поле TTL введено для устранения бесконечного блуждания пакетов по Сети (например, в случае неправильной конфигурации маршрутизаторов и возникновения логических колец). Опции IP (если есть) - для тестирования или отладки сети (например, запись маршрута или обязательное прохождение по маршруту). Минимальный размер заголовков IP уровня - 20 байт.

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs UDP Заголовки и данные UDP (User Datagram Protocol) уровня инкапсулируются в поле данных IP уровня. UDP - протокол негарантированной доставки данных (транспортный и сеансовый уровни модели OSI/RM). UDP используется для отсылки данных некритичных к потере информации приложений (DNS запросы-ответы, ICQ, TFTP, игровые сервисы типа Quake). Также UDP почти всегда используется для рассылки групповых IP датаграмм. Некоторые IP адреса класса D статически закреплены за разными сервисами, например означает "все системы в этой подсети", а "все маршрутизаторы в этой подсети". Групповой адрес предназначен для сетевого протокола времени (NTP - Network Time Protocol), а для RIP- 2. В случае групповой рассылки датаграмм с использованием адресации класса D три младшие байта IP адреса также записываются в три младшие байта адреса назначения кадра групповой рассылки канального уровня (для Ethernet). Заголовок IP ( 20 байт) Заголовок UDP (8 байт)Данные UDP

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs Формат UDP заголовка Количество портов источника и назначения ограничены 16-ю битами (всего портов). Порты разделяют на именованные (закрепленные соответствующими RFC за определенными сервисами) и неименованные. Т.к. контрольная сумма в заголовках IP уровня охватывает только заголовок, на TCP и UDP уровнях необходимо контролировать качество самих переданных данных. Номер порта источника (16 бит)Номер порта назначения (16 бит) Длина UDP пакета (16 бит)Контрольная сумма UDP (16 бит)

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs IP фрагментация Приложениям, которые пользуются UDP для отправки данных, нет необходимости заботиться о размере получившейся в результате IP датаграммы (лишь бы она не выходила за пределы 64кб, максимального размера). Если она по размеру больше, чем MTU для данной сети, IP датаграмма будет фрагментирована. На рисунке приведен пример фрагментации поверх Ethernet. Заголовок IP Заголовок UDP Данные UDP (1473 байта) Заголовок IP Заголовок UDP Данные UDP (1472 байта)Заголовок IP UDP 1 байт пакет 1пакет 2

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs TCP Заголовки и данные TCP (Transmission Control Protocol) уровня инкапсулируются в поле данных IP уровня, т.е. в IP датаграмму. TCP - протокол гарантированной доставки данных по предустановленному виртуальному соединению (транспортный и сеансовый уровни модели OSI/RM). Единицей данных протокола TCP является сегмент. Оба участника соединения должны договориться о максимальном размере сегмента, который они будут использовать. Этот размер выбирается таким образом, чтобы при упаковке сегмента в IP-пакет он помещался туда целиком, то есть максимальный размер сегмента не должен превосходить максимального размера поля данных IP- пакета. Максимальный размер сегмента не должен превышать минимальное значение на множестве всех MTU промежуточных IP сетей. TCP строит пакеты, упаковывая их в сегменты, устанавливает тайм-ауты в момент отправки, подтверждает принятые данные, меняет их порядок в случае хаотического прибытия (вследствие различных путей датаграмм), отбрасывает дублированные данные, осуществляет контроль потока данных, рассчитывает и проверяет контрольную сумму. Заголовок IP ( 20 байт)Заголовок TCP ( 20 байт) Данные TCP

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs Формат TCP заголовков номер порта источника (16 бит)номер порта назначения (16 бит) номер последовательности (32 бита) номер подтверждения (32 бита) 4 бита длина заголовка резерв 6 бит URGURG ACKACK PSHPSH RSTRST SYNSYN FINFIN размер окна (16 бит) контрольная сумма (16 бит)указатель срочности (16 бит) опции (если есть) данные (если есть) Номер последовательности (sequence number) идентифицирует количество байт в переданном потоке в одном направлении. При установлении нового соединения значения этого поля содержит исходный номер последовательности (выбирается псевдослучайным образом). Поле номер подтверждения содержит номер последнего успешно принятого байта +1.

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs Формат TCP заголовков Длина заголовка выражается в 4х байтовых словах (максимальная длина TCP заголовка - 60 байт). Битовые флаги: URG - флаг срочности (запрет ожидания заполнения исходящего буфера при передаче), используется совместно с указателем срочности (смещением, складываемым с номером последовательности). Флаг используется, например, при нажатии CTRL+C в режиме telnet. ACK - указатель подтверждения приема PSH - получатель должен передать данные приложению как можно быстрее (используется очень часто для уменьшения времени передачи информации). RST - сброс соединения. SYN - сигнал установления соединения. FIN - отправитель заканчивает отсылку данных. Контроль потока данных на каждой стороне TCP соединения производится с использованием окна ( байт). Это количество байт, начинающееся с указанного в поле номера подтверждения, которое приложение собирается принять.

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs Установление TCP соединения svr > bsdi.discard: S : (0) win (0.0024) bsdi.discard > svr4.1037: S : (0) ack win (0.0048) svr > bsdi.discard:. ack win (4.1482) svr > bsdi.discard: F : (0) ack win (0.0013) bsdi.discard > svr4.1037:. ack win (0.0014) bsdi.discard > svr4.1037: F : (0) ack win (0.0225) svr > bsdi.discard:. ack win 4096 Выше представлен дамп трафика (7 пакетов), сгенеренный программой tcpdump. Первые три пакета передаются для установления соединения с битом SYN, размер окна 4096 байт, значение максимальной длины сегмента (связана с MTU) передается в поле опций (только в первых пакетах). Для последовательного двустороннего разрыва TCP соединения необходимо переслать по сети 4 пакета с битами FIN и ответом на них ACK. Т.к. TCP соединение носит полнодуплексный характер (данные могут передвигаться в каждом направлении независимо от другого), каждое направление может быть закрыто независимо от другого. (Точка на месте флагов указывает на отсутствие флагов SYN, FIN, RST, PSH).

Датаграммы Если у компьютера 1 возникает необходимость отправить датаграмму сетевого уровня компьютеру 2, то ему необходимо ее подготовить, инкапсулировать в кадр канального уровня и отправить его в среду передачи через свой единственный физический интерфейс. Петрозаводский гос. университет, Алексей Мощевикин, 2006Net Security

Режим promiscuous В обычном режиме функционирования сетевого интерфейса при получении кадра данные (46–1500 байтов) будут переданы обработчику верхнего уровня только в случаях, если адрес назначения, установленный в поле DA, широковещательный, либо он совпадет с уникальным МАС- адресом принимающей станции. Однако каждый адаптер Ethernet может быть переведен в режим, в котором будут обрабатываться все кадры, поступающие из среды передачи. На английском языке такой режим носит название "promiscuous", что переводится как "безразличный" или "неразборчивый". Этим свойством сетевых адаптеров можно пользоваться, например, для создания программных анализаторов сетевого трафика (tcpdump). Петрозаводский гос. университет, Алексей Мощевикин, 2006Net Security

Перехват трафика Для того, чтобы иметь возможность перехватить сетевой трафик, необходимо иметь устройство, функционирующее на физическом уровне. Благодаря переключению сетевого адаптера в режим promiscuous возможно создать программный анализатор трафика (или, например, программу перехвата паролей). Hub Switch Router Hub – репитер Switch – коммутатор Router - маршрутизатор Hub Switch Возможный контроль трафика при его передаче между двумя выделенными цветом станциями Петрозаводский гос. университет, Алексей Мощевикин, 2006Net Security

Контроль трафика Router / Firewall / Proxy / Logger – устройство, отвечающее за безопасность внутренних сетей предприятия (Intranet). Hub Switch Router Hub Switch Router/ Firewall/ Proxy/ Logger Internet Сетевой уровень OSI/RM Канальный уровень OSI/RM Физический уровень OSI/RM Петрозаводский гос. университет, Алексей Мощевикин, 2006Net Security

Видеофильм Петрозаводский гос. университет, Алексей Мощевикин, 2006Net Security Warriors of the Net

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs Популярно о протоколах 1 Сжатие: У тебя отрезают левую руку на входе, а на выходе - пришивают клонированную правую (и зеркально повернутую, разумеется). То же с ногами и вообще со всем, что имеет регулярную структуру. Коррекция ошибок: К спине пришивают твою же фотографию. Если на выходе ты не похож - корректируют лицо. Время жизни пакета: Все перемещения по коридору - пока горит спичка. Не успел - умри героем. DNS: Чтобы узнать, где колодец в деревне Гадюкино, ты сначала идешь к президенту, потом к губернатору и т. д. Динамический IP: Каждое утро все меняются паспортами. Текст-ориентированный протокол: Вместо тебя отправляют твой словесный портрет.

Petrozavodsk State University, Alex Moschevikin, 2004NETS and OSs Популярно о протоколах 2 MIME-код: Справка, что ты не верблюд. Уровни протоколов: Чистое поле. Нужно перейти от одного края к другому. Строится огромная арка, внутри арки мостовая, посреди мостовой кладут ж/д полотно, к рельсам приваривают сваи и на них ставят огромную гранитную глыбу с туннелем внутри, в туннеле прокладывают трубу диаметром полметра, по которой ты и ползешь пока горит спичка к президенту (сжатый и с коррекцией ошибок). Пинги: Иди посмотри, Иван Петрович не ушел еще?. Маскарадинг: Один паспорт на всю семью. IPv6: Китайский паспорт. Источник: