Краткиесведенияокомпьютерныхсетях

Международная распределенная сеть Интернет использует стек про-токолов TCP/IP для объединения компьютерных ресурсов всей планеты.Достаточно часто эти протоколы используются также в частных и коммер-ческих сетях.СтекTCP/IP включаетмножествопротоколов.

Ниже описаны только наиболее значимые для настоящего пособия, помнению авторов, протоколы: IP, TCP, UDP, ICMP, — и технология транс-ляции сетевых адресов. Место указанных протоколов в различных моде-лях, включая модель взаимодействия открытых систем OSI (Open SystemsInterconnection),показанонарис.1.1.

Рисунок1.1.СтекTCP/IPвэталонноймоделиOSI

NAT (Network Address Translation) — это технология трансляции сете-вых адресов, в которой продвижение пакета во внешней сети происходит спомощью адресов, отличающихся от используемых во внутренней сети.Это требуется, например, в случае недостатка IP-адресов или используетсяизсоображенийбезопасностидляскрытия узловвнутреннейсети.

Технология NAT существует в нескольких вариантах, наиболее рас-пространенной является традиционная технология. Она позволяет при ор-ганизации сеансов связи, исходящих из частной сети, получать доступ кузлам внешних сетей. При этом на маршрутизаторе, который обеспечиваетсвязьсетей,должнобытьустановленопрограммноеобеспечениеNAT.Оновыполняетдинамическоеотображениенаборачастныхадресовнанабор глобальных адресов, получаемых от поставщика услуг Интернета.Можно настроить NAT таким образом, что для внешнего мира будет суще-ствовать только один IP-адрес внутренней сети. NAT можно использоватьдляперенаправлениятрафика,атакжедляобъединениядвухлокальных

сетейибалансировкинагрузкимеждуодинаковымисерверамисразнымиIP-адресами.

ICMP (InternetControlMessageProtocol)—этовспомогательныймежсетевой протокол управляющих сообщений, реализующий мониторинги диагностику сети. С его помощью передаются сообщения об ошибках инештатныхситуациях, которые возникают в процессе передачи данных(недоступность запрашиваемой услуги, отсутствие ответа маршрутизато-ра).

ПротоколICMPвнекоторомсмыслекомпенсируетненадежностьпротокола IP, оповещая отправителя о возникших с пакетами проблемах.Протокол ICMP генерирует диагностические сообщения перед уничтоже-нием пакета, если его дальнейшая передача невозможна. ICMP-сообщенияинкапсулируются в поле данных IP-пактов. Протокол ICMP формирует со-общения единого формата, но различного типа в зависимости от решаемыхзадач.

TCP (Transmission Control Protocol) — это протокол транспортногоуровня, обеспечивающий передачу потока данных с обязательным предва-рительным соединением, которое гарантирует, что передаваемые с помо-щью протокола байты потока данных будут доставлены получателю в це-лостности.

Особенностью протокола TCP является то, что он работает с неструк-турированным потоком байтов, получаемых от протоколов высшего уров-ня. На нижний (сетевой) уровень отправляется часть (сегмент) потока бай-тов размером не более 64 Кбайт. Некоторые особенности этого протоколавызываютопределенные проблемыприпередаче:

- из-зафрагментациичастьсегментаможетоказатьсяутраченной;

- порядокпоступлениясегментоввузелназначенияможетбытьпроизвольным;

- возможна задержка сегментов, превышающая интервал ожидания уотправителя, который может передать их повторно, что может потребоватьсложнойпроцедурыобработкидлявосстановления сегмента.

Если тот или иной пакет данных в процессе передачи будет потерянили искажен, происходит его повторная передача. Это обеспечивается тем,что со стороны получателя отправляется подтверждение полного и кор-ректного получения байтов. До получения отправителем такого подтвер-ждения следующий пакет не будет отправлен. Кроме того, протокол TCPпредотвращаетдублированиепакетов.

При организации связи между парой прикладных процессов протоколTCPобеспечиваетнадежнуюпередачуиуправлениепотокомданных.

UDP (User Datagram Protocol) — это протокол транспортного уровня,которыйобеспечиваетпередачуданныхбезустановлениясоединенийи

без гарантии доставки пакетов (дейтаграмм). В результате скорость пере-дачи повышается, так как всеми узлами тратится меньше времени и ресур-сов на работу механизмов обеспечения гарантированной доставки пакетов,однако надежностьдоставки снижается.

ЧащевсегопротоколUDPприменяетсяпривыполненииприложений

«запрос-ответ». При этом UDP не обеспечивает контроль потока и ошибок,атакжеповторнуюпередачудейтаграмм.

Часто этот протокол используется для передачи потоковых данных(видео- и аудиоданных), поскольку в этом случае проще сбросить не при-шедшие вовремя пакеты, чем дожидаться их получения (например, в сис-темах реального времени) и потеря части пакетов является допустимой дляданных такоготипа.

 

КраткиесведенияобОСLinux

ОС Linux является Unix-подобной операционной системой на базе яд-ра Linux (kernel.org). ОС Linux работает на множестве аппаратных архи-тектур, включая x86/x86_64, ARM, PowerPC и MIPS. ОС Linux доступнапользователям в форме дистрибутивов, которые представляют собой набо-ры ядра, системных программ и прикладных программных пакетов. Дис-трибутивы отличаются друг от друга составом этих наборов, необходимо-стью сборки из исходных кодов, региональной спецификой. Наиболее по-пулярныедистрибутивывнастоящиймомент:LinuxMint,Ubuntu,Debian,ArchLinux.

Ядро Linux монолитное, с возможностью загрузки дополнительныхмодулей. Начиная с версии ядра 2.3 поддерживается МЭ Netfilter. Большаячасть административной работы в ОС Linux выполняется в терминале —интерфейсекомандной строки (рис.1.2).

Рисунок1.2.ТерминалвОСLinux

Для установки модулей системы Netfilter в конкретном дистрибутивеОС Linux необходимо воспользоваться пакетным менеджером. В разныхдистрибутивахпакетные менеджеры разные:

- вдистрибутивах,основанныхнаDebian:dpkgиapt(aptitude);

- вдистрибутивахRedHat—rpm;

- вGentoo—Portage;

- вArchLinux—Pacmanит.д.

Справочная система в ОС Linux состоит из множества компонентов, втерминале доступна справка с помощью команд man и info. Например,man iptables позволит вывести краткую справку по утилите iptables(для выходанужнонажать<q>).

Некоторые команды для выполнения требуют прав суперпользователя(root):

$iptables-L

iptablesv1.6.1:can'tinitializeiptablestable`filter':Permissiondenied (youmustberoot)

Вбольшинстведистрибутивовможнозапуститьихспомощьюsudo:

$sudoiptables-L

Если требуется вводить большое количество команд, требующих ад-министративныхпривилегий,можнозапуститькомандныйинтерпретаторсправами root:

$sudobash

Для просмотра сетевых интерфейсов и сетевых настроек можно вос-пользоватьсялибо командойifconfig,либокомандойipaddr:

#ipaddr

1:lo:<LOOPBACK,UP,LOWER_UP>mtu65536qdiscnoqueuestateUN-

KNOWNgroupdefaultqlen1000

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00inet127.0.0.1/8scopehostlo

valid_lftforeverpreferred_lftforever

Для просмотра соединений можно воспользоваться командой

netstat:

#netstat-4plunt

ActiveInternetconnections(onlyservers)

ProtoRecv-QSend-QLocalAddressForeignAddressStatePID/Programname

tcp000.0.0.0:873 0.0.0.0:*LISTEN4520/rsync

tcp000.0.0.0:26050.0.0.0:*LISTEN4279/bgpd

tcp000.0.0.0:127830.0.0.0:*LISTEN4661/sshd

tcp000.0.0.0:80800.0.0.0:*LISTEN4395/nginx:master

tcp000.0.0.0:100500.0.0.0:*LISTEN1578/zabbix_agentd

udp00109.239.132.98:1230.0.0.0:*4431/ntpd

Для проверки работы МЭ часто бывает необходимо сымитировать об-ращение на заданный IP-адрес и порт. Для этого проще всего использоватьутилиту telnet. Для того, чтобы установить соединение с приложением,слушающимнапорту 8080,на хосте садресом 10.12.0.1:

$telnet10.12.0.18080

Также для этой цели можно использовать утилиту netcat (nc). Го-раздо больше возможностей предоставляет утилита hping3 (в том числевозможностьимитироватьпростыеDoS-атаки).

Для просмотра и изменения некоторых настроек ОС можно использо-вать утилиту sysctl. Например, для того чтобы разрешить на локальномхосте осуществлять транзит пакетов между интерфейсами (что необходимодляработыхоставкачествемаршрутизатора),следуетвыполнитькоманду

#sysctl-wnet.ipv4.ip_forward=1

Дляпросмотразагруженныхмодулейядраможновоспользоватьсякомандойlsmod.Например,длятогочтобыубедиться,чтомодульipt_NETFLOWзагружен,можно выполнитьследующуюкоманду:

# lsmod | grep ipt_ipt_NETFLOW537721

 

 

Вопросыкразделу1

1. Перечислитеосновныевозможностимежсетевыхэкранов.

2. ЧемстекTCP/IPотличается отстекаOSI?

3. ДлячегонужныIP-адреса?Какихтиповонибывают?

4. Длячего нужныMAC-адреса?

5. Чтотакое порт?

6. Длячегонужнатрансляциясетевыхадресов(NAT)?

7. ЧемпротоколUDPотличаетсяотпротоколаTCP?

8. ДлячегонеобходимпротоколICMP?

9. СпомощьюкакойкомандывОСLinuxможноузнать,какиеIP-адресаприсвоены сетевым интерфейсам?

10. КаквОСLinuxразрешитьпропусктранзитноготрафика?

Раздел2.

АрхитектурасистемыNetfilter