Компьютерные сети и сетевые технологии

Общие понятия компьютерных сетей. Протоколы и их взаимодействие. Базовые технологии канального уровня. Сетевые устройства физического и канального уровня. Характеристика уровней модели OSI. Глобальные компьютерные сети. Использование масок в IP-адресации.

Рубрика Программирование, компьютеры и кибернетика
Вид курс лекций
Язык русский
Дата добавления 16.12.2010
Размер файла 177,8 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Как видно из рисунка 1 протокол TCP занимает транспортный и сеансовый уровень, а на сетевом уровне используется протокол IP. Отметим, что в модели TCP/IP программные модули, соответствующие транспортному и сеансовому уровню, устанавливаются только на конечных компьютерах.

Программный модуль протокола ТСР/ IP реализуется в операционной системе компьютера в виде отдельного системного модуля (драйвера). Интерфейс между прикладным уровнем и TCP представляет собой библиотеку вызовов, такую же, как, например, библиотека системных вызовов для работы с файлами. Пользователь может самостоятельно настраивать протокол TCP/ IP для каждого конкретного случая (количество пользователей сети, пропускная способность физических линий связи и т.д.).

3. Адресация в IP - сетях

IP- адресация компьютеров в сети Интернет построена на концепции сети, состоящей из хостов. Хост представляет собой объект сети, который может передавать и принимать IP- пакеты, например, компьютер, рабочая станция или маршрутизатор. Хосты соединяются между собой через одну или несколько сетей. IP - адрес любого из хостов состоит из адреса (номера) сети и адреса хоста в этой сети.

В соответствии принятым в момент разработки IP - протокола соглашением, адрес представляется четырьмя десятичными числами, разделенными точками. Каждое из этих чисел не может превышать 255 и представляет один байт 4- байтного IP- адреса. Выделение всего лишь четырех байт для адресации всей сети Интернет связано с тем, что в то время массового распространения локальных сетей пока не предвиделось. О персональных компьютерах и рабочих станциях вообще не было речи. В результате под IP-адрес было отведено 32 бита, из которых первые 8 бит обозначали сеть, а оставшиеся 24 бита -- компьютер в сети. IP - адрес назначается администратором сети во время конфигурирования компьютеров и маршрутизаторов. Номер сети может быть выбран администратором произвольным образом, или назначен по рекомендации специального подразделения Интернет - InterNIC. Обычно поставщики услуг Интернет получают диапазоны адресов у подразделений InterNIC, а затем распределяют их среди своих абонентов. Отметим, что маршрутизатор может входить сразу в несколько сетей, поэтому каждый порт маршрутизатора имеет свой IP - адрес. Таким же образом и конечный компьютер так же может входить в несколько сетей, а значит иметь несколько IP- адресов. Таким образом IP- адрес характеризует не отдельный компьютер или маршрутизатор, а одно сетевое соединение. Как уже отмечалось выше, адрес состоит из двух частей - номера сети и номера узла в сети. Для того, чтобы определить, какая часть адреса относится к номеру сети, а какая к номеру узла, в начале адреса несколько бит отводится для определения класса сети.

IP- адресация определяет пять классов сетей.

Сети класса А предназначены главным образом для использования крупными организациями, их адрес начинается с 0 в двоичной записи, или с 1 в десятичной записи, они имеют номера от 1 до 126 (если все семь бит равны «1» = 1111111= 127, номер сети 0 не используется, а номер 127 используется для специальных целей ). В сетях класса А предусмотрено большое количество узлов - 2 24 = 16 777 216 узлов.

Пример.

Узел имеет минимально возможный номер в сети класса А с минимально возможным номером сети

00000001. 00000000. 00000000. 00000001 = 1.0.0.1

Узел имеет максимально возможный номер в сети класса А с максимально возможным номером сети

01111110. 11111111. 11111111. 11111110 = 126.255.255.254

Класс В.

В сетях класса В выделяют 14 бит для номера сети и 16 бит для номеров хостов, их адрес начинается с 10 в двоичной записи, или со 128 в десятичной записи, они имеют номера от 128.0 до 191.255 (10000000.00000000= 128.0, 10111111.11111111= 191.255.Сети В представляют хороший компромисс между адресным пространством номера сети и номерами хостов. Сеть класса В является сетью среднего размера с максимальным числом узлов 216 = 65 536.

Узел имеет минимально возможный номер в сети класса В с минимально возможным номером сети

10000000. 00000000. 00000000. 00000001 = 128.0.0.1

Узел имеет максимально возможный номер в сети класса В с максимально возможным номером сети

10111111. 11111111. 11111111. 11111110 = 191.255.255.254

Класс С.

Сети класса С выделяют 22 бита для номера сети и 8 бит для номеров хостов, их адрес начинается с 110 в двоичной записи, или со 192 в десятичной записи, они имеют номера от 192.0.0 до 223.255.255 (11000000.00000000.00000000= 192.0.0, 11011111.11111111.11111111= 223.255.255. Сети класса С являются наиболее распространенными сетями, число узлов в одной сети равно 28 = 256.

Пример.

Узел имеет минимально возможный номер в сети класса С с минимально возможным номером сети

11000000. 00000000. 00000000. 00000001 = 192.0.0.1

Узел имеет максимально возможный номер в сети класса С с максимально возможным номером сети

11011111. 1111111. 1111111. 11111110 = 223.255.255.254

Класс D

Адреса сетей класса D начинаются с 1110 в двоичной записи, или с 224 в десятичной записи, они имеют номера от 224.0.0.0 до 239.255.255.255 (11100000.00000000.00000000.00000000.=224.0.0.0, 111011111.11111111.11111111.1111111= 223.255.255.255)

Если в пакете указан адрес сети класса D, то его получат все узлы этой сети. Поэтому сети класса D называются сетями multicast - широковещательными сетями и используются для обращения к группам узлов. Основное назначение multicast - распространение информации по схеме «один- ко- многим». Групповая адресация предназначена для экономичного распространения в Интернет или большой корпоративной сети аудио- или видеопрограмм, предназначенных сразу большой аудитории слушателей или зрителей.

Класс E

Адреса сетей класса E начинаются с 11110 в двоичной записи, или с 240 в десятичной записи, они имеют номера от 240.0.0.0 до 247.255.255.255 (11110000.00000000.00000000.00000000.=240.0.0.0, 111101111.11111111.11111111.1111111= 247.255.255.255). Сети класса Е зарезервированы для будущих использований.

Некоторые IP - адреса являются выделенными и трактуются по- особому:

· Все нули - 0.0.0.0 - обозначает адрес данного узла

· Номер сети. Все нули (194.28.0.0) - данная IP- сеть

· Все нули. Номер узла (0.0.0.15) - узел в данной IP- сети

· Все единицы (255.255.255.255) - все узлы в данной IP- сети

· Номер сети. Все единицы (194.28.255.255) - все узлы в указанной IP- сети

· Число 127. единица (127.0.0.1) - «петля». Петля используется при тестировании компьютера, и данные не пересылаются по сети, а направляются на модули верхнего уровня, как будто принятые из сети. Поэтому в сетях запрещается использовать IP- адреса, начинающиеся с 127.

Лекция 11. Глобальная компьютерная сеть интернет

1. Использование масок в IP- адресации

Основной недостаток использования классов IP- адресов напрямую состоит в том, что если организация имеет несколько сетевых номеров, то все компьютеры вне сети имеют доступ к этим адресам и сеть организации становится прозрачной.

Для устранения указанного недостатка адресное пространство сети разбивается на более мелкие непересекающиеся пространства - подсети (subnet). С каждой из подсетей можно работать как с обычной TCP/IP - сетью.

Разбивка адресного пространства на подсети осуществляется с помощью масок.

Маска- это число, которое используется в паре с IP- адресом; двоичная запись маски содержит единицы в тех разрядах, которые должны в IP- адресах интерпретироваться как номер сети. Единицы в маске должны представлять непрерывную последовательность.

Для стандартных классов маски имеют следующие значения:

· Класс А - 11111111.00000000.00000000.00000000 (255.0.0.0)

· Класс В - 11111111.11111111.00000000.00000000 (255.255.0.0)

· Класс С - 11111111.11111111.11111111.00000000 (255.255.255.0)

Рассмотрим, каким образом маска преобразует IP- адреса.

Пусть организация получила один IP- адрес класса B. Как известно, для сетей класса B первые два байта являются номером сети, а два остальные байта определяют номер узла. Для организации подсетей и их нумерации используются разряды байтов номеров узлов. В самом простом случае для нумерации подсетей используется первый байт номера узла.

Адрес до преобразования выглядел следующим образом:

После организации подсети IP- адрес стал выглядеть:

Задавая в третьем байте номера подсети, можно разбивать сеть на отдельные подсети и присваивать номера узлов внутри подсети. В этом случае нумерация узлов внутри подсетей является локальным для организации и не видна во внешней сети. Все компьютеры вне организации видят одну большую IP- сеть и они должны поддерживать только маршруты доступа к шлюзам, соединяющим сеть организации с внешним миром.

Пример

IP- адрес сети класса B задан в виде:

10000010. 00100000. 10000101. 00000001 = 130.32.133.1

а) Маска не используется. В этом случае номером сети являются первые два байта и определяют сеть 130.32.0.0, а номер узла равен 0.0.132.1

б) Используется маска: 11111111.11111111.10000000.00000000 = 255.255.128.0

В этом случае наложение маски на IP- адрес дает новое число, интерпретируемое как номер сети: 10000010. 00100000. 10000000. 00000000 = 130.32.128.0

Номер узла в этой сети становится 0.0.5.1

Как видно из примера, снабжая IP-адреса маской, можно отказаться от понятий классов адресов и сделать более гибкой систему адресации сетей.

Пример

Пусть в сети работают два компьютера, имеющие два соответствующие IP- адреса: 210.20.30.193 и 210.20.30.70. Для разделения указанных компьютеров в две разные подсети используем маску 255.255.255.192

В двоичной форме маска имеет вид:

11111111. 11111111. 1111111. 11000000

Двоичный адрес первого компьютера:

11010010. 00010100. 00011110. 11000001

Двоичный адрес второго компьютера:

11010010. 00010100. 00011110. 01000110

Накладывая маску на адрес первого компьютера, получим его новый адрес:

11010010. 00010100. 00011110. 11 000001

Накладывая маску на адрес второго компьютера, получим его новый адрес:

11010010. 00010100. 00011110. 01 000110

Таким образом, сеть с помощью маски разбилась на две подсети, номер второго компьютера в подсети стал равным шести.

Следует отметить, что в настоящее время наблюдается дефицит IP- адресов, выделяемых организацией InterNIC. Очень трудно получить адрес класса В и практически невозможно стать обладателем адреса класса А. Если же IP- сеть создана для работы в автономном режиме, без связи с Интернет, то администратор сети сам произвольно назначает номер. Но даже в этой ситуации в стандартах Интернет определены несколько диапазонов адресов, не рекомендуемых для использования в локальных сетях. Эти адреса не обрабатываются маршрутизаторами Интернет ни при каких условиях. Для сетей класса А - это сеть 10.0.0.0, в классе В- это диапазон из 16 номеров сетей 172.16.0.0 - 172.31.0.0, в классе С - это диапазон из 255 сетей - 192.168.0.0 - 192.168.255.0.

Для разрешения проблемы дефицита адресов осуществляется переход на новую версию IP- протокола- протокол IPv6, в котором резко расширяется адресное пространство за счет 16- байтных адресов.

2. Протокол IPv6, как развитие транспортных средств IP- протокола

Указанный протокол решает принципиальную проблему нехватки IP-адресов посредством использования 128- разрядных адресов вместо 32 - разрядных адресов, благодаря чему адресное пространство расширяется в 296 раз. Результатом этого будет то, что любой житель Земли может получить в сове распоряжение несколько IP- адресов, новое количество адресов позволит подключить к сети свыше 1 квадрильона компьютеров в 1 триллионе сетей.

Адреса в IPv6 - протоколе разделяются на три типа: обычные, групповые и нечеткие.

Пакет с обычным адресом передается конкретному адресату, в то время как пакет с групповым адресом доставляется всем членам группы. Пакет с нечетким адресом доставляется только ближайшему члену данной группы.

В IPv6 128 разрядные адреса записываются в виде восьми 16- разрядных целых чисел, разделенных двоеточие. Каждое число представлено шестнадцатеричными цифрами, разделенными двоеточиями. Другими словами, необходимо вводить 32 шестнадцатеричные цифры для задания IP- адреса. IPv6 - адрес может выглядеть так: 501А:0000:0000:0000:00FC:ABCD:3F1F:3D5A.

Переход от традиционных IP- адресов к IPv6 - адресам займет ни один год и старая адресация будет постепенно замещаться новыми программными продуктами и оборудованием, использующим IPv6- протокол.

Среди других новых свойств IPv6 - протокола можно отметить также более рациональную структуру формата заголовка пакета, увеличение производительности маршрутизаторов, работающих с этим протоколом, возможность маркировки потока данных, если их необходимо обрабатывать особым образом, аутентификацию дейтаграмм и д.р.

3. Система доменов DNS

Выше было установлено, что для обращения к хостам используются 32- разрядные IP- адреса. Поскольку при работе в сети Интернет использовать цифровую адресацию сетей крайне неудобно, то вместо цифр используются символьные имена, называемыми доменными именами. Доменом называется группа компьютеров, объединенных одним именем. Символьные имена дают пользователю возможность лучше ориентироваться в Интернет, поскольку запомнить имя всегда проще, чем цифровой адрес.

На заре создания Интернет соответствия между именами хостов и их IP- адресами были размещены в единственном файле, который назывался Hosts.txt, который размещался на компьютере в центре InterNIC. Этот файл передавался по всем хостам еще совсем тогда крохотной сети. Стремительный рост Интернет заставил выработать новую концепцию механизма разрешения имен. С этой целью была разработана специальная система DNS (Domain Name System), для реализации которой был создан специальный сетевой протокол DNS. Начальные попытки создать единую копию целой базы данных имен и адресов оказались тщетными из-за громадного объема информации. Было принято решение строить распределенную базу данных, а для увеличения производительности использовать механизм локального кэширования (сохранения в локальной базе данных). Доступ к распределенной базе данных не зависит ни от аппаратной платформы хоста, ни от коммутационной системы. Доступ к базе данных должны иметь все пользователи Интернет. Администрирование базы данных DNS возлагается на каждую организацию, которая подключается к Интернет. Организация должна инсталлировать свой собственный компьютер -сервер разрешения имен и ту часть распределенной базы данных, содержащей информацию о домене хостов данной организации. Сервер должен обслуживать хосты внутри организации и предоставлять доступ к базе данных этой организации извне.

Структура баз данных в системе DNS имеет иерархический вид, аналогичный иерархии файлов, принятой во многих файловых системах. Дерево имен начинается с корня, затем следует старшая символьная часть имени, вторая часть имени и т.д. Младшая часть имени соответствует конечному узлу сети. Все имена разделяются точками, причем иерархия задается справа налево, например, www.bseu.minsk.by

По имени можно получить информацию о профиле организации или ее местоположении. Шесть доменов высшего уровня определены следующим образом:

· gov - правительственные организации;

· mil - военные организации;

· edu - образовательные организации;

· com - коммерческие организации;

· org- общественные организации;

· net - организации, предоставляющие сетевые услуги, как правило, региональные сетевые организации.

Кроме того, все страны мира имеют свое собственное символьное имя, обозначающий домен верхнего уровня этой страны. Например, de - Германия, us - США, ru- Россия, by - Беларусь и т.д. Таким образом, адрес www.cdo.bseu.minsk.by означает, что компьютер дистанционного образования cdo находится в группе компьютеров (в домене) Белорусского государственного экономического университета bseu, в домене minsk в Республике Беларусь. Графически DNS можно представить в виде дерева, как на рисунке 1.

DNS имеет три основные компоненты:

· Пространство имен домена (domain name space) и записи базы данных DNS (resource records).Они определяют структуру имен «дерева» и данных, связанных с этими именами. Запрос по данному имени возвратит IP- адрес хоста.

· Сервера имен (name servers). Сервера имен - это специальные компьютеры со специальными серверными программами, обрабатывающие информацию имен и данных имен. Сервер управляет всей информацией подчиненной ему области имен и данных домена. При обращении за информацией, который данный сервер не обслуживает, он должен или переправить запрос серверу, обслуживающему эту информацию, или стоящему на следующей ступени иерархии. Сервер, в распоряжении которого находится определенная часть информации об именах, является владельцем (authority) имен домена, а граница владения называется зоной (zone). Зоны строятся не на основе принадлежности какой-либо части данных к определенной организации, а распределяются автоматически серверами имен и должны обеспечить полную адресацию хостов.

· Программы разрешения имен (resolves). Эти программы возвращают информацию, хранящуюся в базе данных имен домена по запросу пользователя. Пользователь взаимодействует с пространством имен через указанные программы. Как правило эти программы реализуются в виде системного модуля, напрямую связанного с пользовательской программой, поэтому не требуется ни какого дополнительного протокола обмена.

Основным предназначением системы имен доменов является обеспечение механизма именования ресурсов. Этот механизм должен эффективно работать с различными хостами, сетями, семействами протоколов и типами организаций. Описанная выше структура DNS позволяет решать проблему адресации отдельных модулей изолировано, и, тем самым, создает универсальную модульную архитектуру.

Пользователь взаимодействует с пространством имен через программы разрешения. Для работы программ разрешения необходимо обращаться к серверам имен на других хостах, что может давать задержки от миллисекунд до нескольких секунд. Поэтому одной из важнейших свойств программ разрешения имен является возможность устранения сетевых задержек ответов. При этом используется механизм кэширования результатов запросов имен. Этот механизм ускоряет процесс определения имен, так в КЭШ-памяти накапливается информация о всех предыдущих именах , к которым обращалась программа.

Наиболее упрощенный и распространенный принцип работы такой программы с серверами имен показан на рисунке 2.

Программа пользователя запрашивает имя хоста и передает этот запрос программе разрешения имен. В первую очередь программа разрешения имен обращается за необходимым IP- адресом в собственную КЭШ- память. Если требуемого имени а КЭШ - памяти не находится, программа разрешения имен обращается к удаленному серверу имен, В случае нахождения необходимого имени, программа возвращает пользователю требуемый IP- адрес, одновременно записывая его в КЭШ- память.

Система DNS требует, чтобы доступ к информации определенной зоны мог быть осуществлен с нескольких серверов доменов. Существует механизм предоставления пользователям различных доменов совместного использования информации путем установления доверительных отношений между доменами. При этом доверительные отношения могут быть как двухсторонними, так и односторонними.

При двухсторонних доверительных отношениях пользователь любого из двух доменов имеет доступ к информации, находящихся на соседнем домене.

При односторонних доверительных отношениях пользователь, находящийся в доверяемом домене, имеет доступ к серверам домена- доверителя, но не наоборот.

Лекция 12. Глобальная компьютерная сеть интернет. Протоколы прикладного уровня

1. Протоколы электронной почты

Электронная почта (E- mail) - позволяет обмениваться сообщениями с пользователями на других компьютерах. Для обеспечения этого сервиса созданы специальные почтовые серверы, которые хранят сообщения для своих пользователей. Чтобы прочитать полученные сообщения, пользователю необходимо присоединится к такому серверу и работать со своими сообщениями как с отдельными файлами. Скорость, эффективность и простота использования сделали этот сервис наиболее распространенным в Интернет. Работу с электронной почтой осуществляют разные протоколы, наиболее популярными из которых являются SMTP, POP3 и IMAP4.

Протокол SMTP

Основным протоколом работы с электронной почты является SMTP (Simple Mail Transfer Protocol- простой протокол передачи почты). Протокол SMTP поддерживает передачу сообщений электронной почты между произвольными узлами Интернет. Он служит для достоверной и надежной передачи сообщений между хостами. Существует большое множество почтовых программ, использующих этот протокол: Outlook Express, Microsoft Mail, Lotus и т.д.

Протокол SMTP представляет собой независимый от транспортной подсистемы протокол для работы которого необходим только транспортный канал передачи потока данных. SMTP может работать по любому транспортному каналу, удовлетворяющему требованиям передачи данных через сети или группы сетей, например, TCP, X.25 и д.р.

Протокол SMTP обеспечивает как передачу сообщений в адрес одного получателя, так и тиражирование нескольких копий сообщений для передачи в разные адреса. Протокол SMTP может передавать не только текстовые сообщения, но и рисунки, исполняемые файлы и т.д. Основными составляющими заголовка протокола являются From, To, Date, Subject, Message - ID. При передаче сообщения через промежуточные почтовые сервера к заголовку прибавляются записи Received, содержащие поля с адресами и временем обработки сообщений промежуточными серверами. Для более удобной работы с составными и нестандартными сообщениями (графика, видео) был разработан новый формат упаковки почтовых сообщений - MIME (Multipurpose Internet Mail Extension, многоцелевое расширение электронной почты), в котором в заголовок протокола добавляются дополнительные поля

Схема работы SMTP выглядит следующим образом:

1. Отправитель посылает команду (MAIL), идентифицирующую атрибуты отправителя почты, например, его адрес. Если получатель может принять почтовое сообщение, он отправляет в ответ команду ОК.

2. После этого отправитель отправляет команду (RCTP), идентифицирующую атрибуты получателя почты, например, адрес почтового ящика. Если получатель готов принять почту в данный ящик, он отвечает командой ОК, если нет, он отвечает отказом принять почту в указанный почтовый ящик.

3. Отправитель отправляет данные получателю. Если получатель успешно принял данные, отправляет команду ОК.

Протокол SMTP поддерживает несколько механизмов передачи почты, основными из которых являются: напрямую от хоста отправителя к хосту пользователя, когда два хоста соединены между собой напрямую; через серверы SMTP - хосты посредники, когда отправитель и получатель не могут соединиться напрямую.

Отметим, что очень редко удается отправить почтовое сообщение адресату напрямую. Как правило, используются SMTP- серверы, которые исполняют роль промежуточных пунктов пересылки сообщений. SMTP - серверы принимают всю поступившую почту и затем, самостоятельно, переправляют ее адресату. Этот процесс называется ретрансляцией сообщений . SMTP- серверы выбирают путь сообщения по своему усмотрению в зависимости от параметров настройки, скорости доступа и т.д. Протокол SMTP также позволяет отправителю самостоятельно указывать путь передачи сообщения, устанавливая в качестве параметров команды отправки промежуточные SMTP - серверы.

SMTP - протокол использует TCP как транспортный протокол, который обеспечивает достоверность и надежность доставки сообщения. По умолчанию TCP- протокол подключен к протоколу SMTP через порт 25. SMTP - команды инкапсулируются в поле данных TCP в соответствии с обычными механизмами инкапсуляции стека протоколов TCP/ IP.

Протокол POP 3

Для небольших организаций невыгодно держать у себя систему для передачи сообщений. Это связано с тем, что в небольших организациях рабочие станции клиентов не имеют достаточных вычислительных ресурсов для обеспечения работы полного SMTP- протокола. Кроме того, таким пользователям электронной почты невыгодно держать персональный компьютер постоянно подключенным к Интернет.

Для решения этой проблемы был разработан почтовый протокол для работы в офисе - POP (Post Office Protocol). Его наиболее распространенный вариант- POP3.

POP3 - это простейший протокол для работы пользователя для работы со своим почтовым ящиком. Он позволяет только забрать почту из почтового ящика сервера на компьютер клиента и удалить ее из почтового ящика на сервере.

POP3- сервер не отвечает за отправку почты, он работает только как универсальный почтовый ящик для группы пользователей. Когда править туда необходимо отправить сообщение, он должен установить соединение с каким - либо SMTP- сервером и отправит туда свое сообщение. Этот SMTP - сервер может располагаться на том же хосте, где работает POP3 - сервер, а может располагаться в другом месте Интернет. Как правило, при работе с электронной почтой для получения корреспонденции используют POP3- сервер, а отправляют почту по SMTP- протоколу на один из хорошо доступных SMTP- серверов.

POP3- протокол подключается к транспортному уровню TCP через 110-й протокол, который будет находится в режиме ожидания входящего соединения. После установления соединения клиент и сервер начинают обмениваться командами и данными. После окончания обмена POP3- канал закрывается.

Простота протокола, которая послужила росту его популярности вначале, обернулась затем отсутствием гибкости и невозможности выполнять другие операции управления почтовыми ящиками. На смену протоколу POP3 пришло новое поколение протоколов работы с электронной почтой - протоколы IMAP.

Протокол IMAP4

Протокол IMAP4 (Internet Message Access Protocol, Version4, протокол доступа к электронной почте Интернет, версия 4) позволяет клиентам получать доступ и манипулировать сообщениями электронной почты на сервере. Существенным отличием протокола IMAP4 от протокола POP3 является то, что IMAP4 поддерживает работу с системой каталогов (или папок) сообщений. IMAP4 позволяет управлять каталогами (папками) удаленных сообщений так же, как если бы они располагались на локальном компьютере. IMAP4 позволяет клиенту создавать, удалять и переименовывать почтовые ящики, проверять наличие новых сообщений и удалять старые. Благодаря тому, что IMAP4 поддерживает механизм уникальной идентификации каждого сообщения в почтовой папке клиента, он позволяет читать из почтового ящика только сообщения, удовлетворяющие определенным условиям или их части, менять атрибуты сообщений и перемещать отдельные сообщения.

При работе с протоколом TCP, IMAP4 использует 143- й порт. Принцип работы протокола IMAP4 такой же как и у других подобных протоколов. Сначала клиент и сервер обмениваются приветствиями. Затем клиент отправляет на сервер команды и данные. Сервер, соответственно, передает клиенту ответы на обработку команд и данные.После завершения обмена канал закрывается.

2. Протокол работы с WWW - HTTP

HTTP (Hypertext Transfer Protocol, протокол передачи гипертекста) обеспечивает высокопроизводительный механизм передачи мультимедийной информации независимо от типа представленных данных. Протокол построен по объектно- ориентированной технологии и может использоваться для решения различных задач, например, для управления распределенными информационными системами.

WWW (World Wide Wed, всемирная паутина) состоит из компьютеров, которые предоставляют графический доступ к хранящейся на них информации. Способность хранить мультимедийную информацию, такую как видео, аудио, картинки и звуки, делает WWW уникальным средством распространения информации. WWW - сервер представляет собой компьютер, на котором работает соответствующее программное обеспечение, позволяющее пользователям Интернет подсоединяться и пользоваться WWW - ресурсами этого компьютера для поиска и выбора информации. С 1999 года протокол HTTP используется системой WWW в качестве основного протокола работы.

Сервисы WWW

Протокол HTTP позволяет получать доступ к ресурсам и сервисам WWW - серверов. Для унификации доступа WWW- серверы поддерживают комплекс интерфейсов, позволяющих структурировать уровни и методы работы с различными ресурсами сети. Для работы с WWW - серверами используются следующие основные сервисы:

· URL (Uniform Resource Locator, местонахождение ресурса) - предназначен для идентификации типов, методов и компьютеров, на которых находятся определенные ресурсы, доступные через Интернет. Этот сервис может иметь имена URI (Uniform Resource Identifier), URN (Uniform Resource Name).

· Hyper Text Markup Language (HTML) - это язык описания содержащейся на WWW - сервере информации. HTML - файл представляет собой обычный двоичный текст (ASCII- текст), содержащий специальные коды, которые обозначают присоединенную к файлу графику, видео, аудио информацию или исполняемые коды среды для просмотра информации - коды Web browser, Java Script. Когда Web browser получает доступ к этому файлу, он предоставляет для пользователя всю информацию в графическом или текстовом виде Web- страницы. Основная концепция размещения информации на Web - странице - это использование гиперссылки (Hyper Text ). Гиперссылки имеют связи внутри документа и позволяют быстро переходить от одной части документа к другой или к другому документу. Гиперссылки позволяют перемещаться также на другие WWW - серверы. Это открывает возможности навигации по сети Интернет. Совокупность взаимосвязанных друг с другом гипертекстовыми ссылками и объединенных единой темой страниц называется Web- сайтом

· IDC (Internet Database Connector) и ASP (Active Server Page) - сервисы, используемые для выборки информации из баз данных и размещения их на Web - страницах.

Принципы работы HTTP - протокола

Протокол HTTP построен по модели «запрос- ответ». В запросе клиентом указываются тип запроса, URL и содержание запроса, например, параметры клиента. Сервер HTTP отвечает строкой статуса обработки запроса, которая содержит: версию поддерживаемого протокола, код обработки запроса или код ошибки и возвращаемую по запросу информацию. В простейшем случае, соединение представляет собой дейтаграммный поток данных между клиентом и сервером. В более сложной ситуации, в процессе передачи данных принимают участие несколько промежуточных объектов: (промежуточный агент), gateway (шлюз), tunnel (туннель).

· Proxy представляет собой промежуточный агент, который принимает запрос клиента и передает запрос далее по цепочке другим серверам. В момент принятия запроса proxy может работать как сервер, а при передаче запроса - как клиент. На proxy могут создаваться копии наиболее часто запрашиваемых Web- страниц. В этом случае клиент получает информацию с proxy, что ускоряет работу Интернет. Как правило, proxy представляет «главные ворота » выхода пользователей из внутренней сети в Интернет. В зависимости от настроек proxy может изменять часть или все сообщение запроса .

· Gateway представляет собой промежуточный сервер. В отличие от proxy шлюз принимает запросы клиента и без изменения передает их далее, т.е. работа шлюза прозрачна для клиента. В обратном направлении, от сервера к клиенту, шлюз наоборот, в зависимости от настроек, может пропускать или не пропускать определенную информацию. Шлюз является «главными» воротами для входа пользователей внешней сети во внутреннюю сеть.

· Tunnel представляет собой программу- посредник между клиентом и сервером. Туннели используются в тех случаях, когда необходимо организовать поток данных через какой- нибудь промежуточный объект (например proxy), который не может интерпретировать структуру потока данных.

Отметим, что ответы серверов могут храниться в КЭШе - локальной базе данных, которая возвращает их клиенту, не передавая запрос следующему серверу.

При работе по протоколу TCP сервер HTTP, как правило, использует порт 80, хотя возможно использование и других портов.

Тенденции развития протокола HTTP:

1. Увеличение производительности за счет более эффективной работы с КЭШем, промежуточными агентами.

2. Происходит расширение возможностей передачи распределенных ресурсов

3. Развиваются дополнительные механизмы защиты передаваемых данных.

3. Протокол передачи файлов FTP

FTP (File Transfer Protocol, протокол передачи файлов)- один из первых протоколов Интернет.

FTP предназначен для разделенного доступа к файлам на удаленных хостах, прямого или косвенного использования ресурсов удаленных компьютеров, обеспечения независимости клиента от файловых систем удаленных хостов эффективной и надежной передачи данных, находящихся в файлах.

Протокол FTP поддерживает сразу два канала соединения - канал передачи команд и канал передачи данных.

Для хранения файлов используются специальные FTP - серверы.

При работе по протоколу TCP сервер HTTP, как правило, использует порт 21.

4. Протокол передачи новостей NNTP

NNTP (Network News Transport Protocol, протокол передачи новостей) предназначен для тиражирования статей в распределенной системе ведения дискуссий UseNet. UseNet состоит из нескольких групп, называемыми группами новостей. Группы новостей организованы в определенном порядке, основанном на распределении дискуссий по темам, например, отдых, спорт, новости, информация, религия и др. Внутри каждой из этих групп может быть от нескольких до тысяч групп, которые обладают своей структурой.

Группы новостей позволяют пользователям с общими интересами обмениваться интересными сообщениями, отправлять свои статьи и отвечать на заметки других пользователей. После того как статья отправлена в группу новостей UseNet, она рассылается через сервис на другие компьютеры Интернет, где установлен сервис UseNet. Этот сервис позволяет вести дискуссии по выбранной теме, осуществлять фильтрацию статей по ключевым словам и т.д.

5. Протокол удаленного терминала TELNET

Протокол удаленного терминала TELNET предоставляет возможность работать на удаленном компьютере сети, поддерживающим сервис TELNET. Принцип работы этого сервиса заключается в том, что пользователь работает с удаленным компьютером, не замечая свой собственный. Хотя физически все данные вводятся пользователем в свой компьютер, но попадают они в удаленный компьютер, т.е. собственный компьютер пользователя является только средством, обеспечивающим сеанс связи. Этот сервис составлял в прошлом основу работы Интернет. В настоящее время TELNET используется, в основном, для удаленного администрирования сети.

Кроме указанных выше наиболее популярных протоколов в Интернет используются и другие протоколы, такие как сетевая файловая система (NSF), мониторинг и управление сетью (SNMP), удаленное выполнение процедур (RPC), сетевая печать и д.р.

6. Структурные компоненты сети Интернет

Кроме рассмотренных выше важнейших структурных компонент глобальной сети Интернет, таких как маршрутизаторы, DNS - серверы, а также серверы соответствующих протоколов прикладного уровня в Интернет широко используются понятия файрволл (firewall), брандмауэр и провайедер (provider)

Файрволл

Файрволлом называется программмно-аппаратный комплекс защищающий локальную сеть от несанкционированного доступа, например, от атак хакеров или проникновения вирусов. У пожарных так именуется стена из огнеупорного материала, предотвращающая распространение огня. В сети файерволл обеспечивает фильтрацию прохождения информации в обе стороны и блокирует несанкционированный доступ к компьютеру или локальной сети извне. Как уже указывалось выше, любое соединение в Интернет инициируется какой-либо протоколом прикладного уровня, использующим работы свой порт, идентифицируемый номером. Файрволл позволяет контролировать использование портов и протоколов, "прятать" неиспользуемые порты для исключения атаки через них, а также запрещать/разрешать доступ конкретных приложений к конкретным IP- адресам.

Другими словами, контролировать все, что может стать орудием хакера и недобросовестных фирм.

Файрволл должен сам быть неприступным для внешних атак.

В основном файрволлы работают на сетевом уровне и осуществляют фильтрацию пакетов, хотя можно организовать защиту и на прикладном или канальном уровне. Технология фильтрации пакетов является самым дешевым способом реализации файрволла, т.к. в этом случае можно проверять пакеты различных протоколов с большой скоростью. Фильтр анализирует пакеты на сетевом уровне и не зависит от используемого приложения.

Брандмауэр

Брэндмауэр -- это своего рода программный файрволл. Но если быть более точным, то файрволл -- это непосредственно компьютер, стоящая между локальной и внешней сетью, брэндмауэр- это программное средство контроля за входящей и исходящей информацией. Программы- брандмайэры встраиваются в стандартные операционные системы, например, в Windows 2000, Windows XP или могут устанавливаться на proxi сервере.

Провайдер

Провайдер -это поставщик доступа к Интернет. Другими словами - это любая организация, предоставляющая частным лицам или организациям выход в Интернет. Провайдеры вообще разделяются на два класса:

· поставщики доступа Интернет (Internet access providers - ISP)

· поставщики интерактивных услуг (online service providers - OSP).

ISP может быть предприятием, которое оплачивает быстродействующее соединение с одной из компаний являющихся частью Интернет (такие, как AT$T, Sprint или MCI в США). Это могут быть также национальные или международные компании, которые имеют их собственные сети (типа WorldNetЮ Белпак, ЮНИБЕЛ и д.р.)

OSP, иногда называемые просто "интерактивные услуги", также имеют собственные сети, но обеспечивают дополнительные информационные службы, не доступные для клиентов, которые не подписались на данные услуги. Например, OSP Microsoft предлагают пользователям доступ к Интернета-сервису фирмы Microsoft, также как к America Online, IBM и нескольким другим.

ISP- провайдеры являются наиболее распространенными.

Обычно крупный провайдер имеет собственную "точку присутствия" POP (point-of-presence) и городах, где происходит подключение локальных пользователей.

Различные провайдеры для взаимодействия друг с другом договариваются о подключения к так называемым точкам доступа NAP (Network Access Points), посредством которых происходит объединение информационных потоков сетей, принадлежащих отдельному провайдеру.

В Интернете действуют сотни крупных провайдеров, их магистральные сети связаны через NAP, что обеспечивает единое информационное пространство глобальной компьютерной сети Интернет.

Лекция 13. Безопасность компьютерных сетей

1. Угрозы компьютерным сетям

Основным из принципов построения и функционирования глобальной сети Интернет является принцип ее доступности и открытости. Это обуславливает, с одной стороны, невероятные темпы развития сети, а с другой стороны, существенно обостряет процессы обеспечения безопасности. По самым скромным оценкам потери фирм и банком от несанкционированного доступа ежегодно составляют сотни миллионов долларов. Поэтому вопросы обеспечения безопасности компьютерных сетей является крайне актуальной задачей.

Отметим некоторые основные приемы нарушения безопасности компьютерной сети и противодействия этому.

Физический несанкционированный доступ

Подключение дополнительного компьютерного терминала к каналам связи путем использования шнура в момент кратковременного выхода из помещения пользователя.

Противодействие

Покидая рабочее место не оставлять персональный компьютер в активном режиме или надежно закрывать помещение.

Компьютерный абордаж (взлом системы)

Подбор пароля к системе вручную или с использование специальной программы.

Противодействие

Ограничение количества попыток неправильного ввода пароля с последующей блокировкой компьютера.

Маскарад (Мистификация)

Проникновение в сеть, выдавая себя за законного пользователя, с применением его паролей и других идентифицирующих шифров. Создание условий, когда законный пользователь осуществляет связь с нелегальным пользователем, будучи абсолютно уверенным, что он работает с необходимым ему абонентом.

Противодействие

Необходимо использовать надежные средства идентификации и аутентификации, блокирование попыток взлома системы, контроль входа в нее. Необходимо фиксировать все события в системном журнале для последующего анализа.

Сборка мусора

После окончания работы обрабатываемая информация не всегда полностью удаляется. Часть данных, оставшаяся на дисках и оперативной памяти, собирается и обрабатывается.

Противодействие

Заполнение памяти нулями или единицами, перезапись информации в другое место.

Люки

Недокументированная производителем программного обеспечения точка входа в программный модуль используется для активного воздействия на эту программу.

Противодействие

При приемке программного обеспечения необходимо производить анализ программ с целью обнаружения люка.

Троянский конь

Программа, выполняющая невидимые для пользователя действия в дополнение к выполняемым программам. В основном «ворует» и запоминает коды всех нажатых клавиш клавиатуры пользователя.

Противодействие

Создание закрытой среды использования программного обеспечения.

Вирус

Программа, которая заражает другие программы путем включения в них своих кодов, при этом зараженная программа имеет способность дальнейшего размножения. Вирусы в основном разрушают программное обеспечение.

Противодействие

Использование антивирусного программного обеспечения и специальных программ.

Червь

Распространяющееся через сеть программа, не оставляющаяся своей копии на винчестере пользователя.

Противодействие

Использование антивирусного программного обеспечения и специальных программ.

«Жадные» программы

Программы, монопольно захватывающие ресурсы системы, не давая другим программам его использования.

Противодействие

Ограничение времени исполнения программ

Кроме указанных вышеуказанных приемов используется ряд других, таких как бухинг (электронное блокирование), наблюдение, скрытые каналы и др.

Отметим, что приемы нарушения безопасности компьютерной сети делятся на так называемые конструктивные и деструктивные. При конструктивном воздействии основной целью несанкционированного доступа является получение копии конфиденциальной информации, т.е. можно говорить о разведывательном характере воздействия. При деструктивном воздействии конечной целью является разрушение информационного ресурса.

2. Где может нарушаться безопасность сети

Использование протокола TCP/ IP

В протоколе TCP/ IP используется принцип ожидания получения квитанции о правильности получения сегмента информации. В случае неполучения подтверждения сервер удаленного доступа фиксирует незавершенное соединение. Программное обеспечение современных серверов может обрабатывать ограниченное количество незавершенных соединений, что приводит к фактическому блокированию доступа к серверным ресурсам при большом количестве незавершенных соединений.

Кроме этого, большинство реализаций протокола TCP/ IP имеет ограничение на количество соединений, которые могут быть установлены в единицу времени. Все соединения, превышающие это количество, не будут временно обрабатываться, и ждать своей очереди. Если посылать, например, сорок запросов на соединение в одну минуту, то сервер будет блокировать любой доступ приблизительно на десять минут. Периодическое повторение этой операции может привести к полному отключению сервера от сети.

Подмена URL - адресов для перенаправления запросов

Такая подмена становится возможной за счет перехвата и анализа «на лету» пакетов. В общем случае меняется заголовок IP- пакета и пакет перенаправляется на специальный сервер. Вся информация, проходящая через маршрутизатор, перенаправляется на этот сервер.

Электронная почта в основном взламывается путем на внесения искажений в конфигурационные файлы SMTP- и POP - серверы или банальным взломом паролей доступа.

Ресурсы рассылки новостей USENET можно изменять путем несанкционированного получения привилегированного доступа к потоку новостей.. В случае взлома сервер один из пользователей получает возможность отправки запросов класса slave (ведомый сервер) и тем самым заблокировать доступ пользователей системы к каналу распространения новостей, а также создать для себя лично эффективный канал снятия новостей.

Методы несанкционированного доступа к ресурсам WWW ориентированы в основном на нештатное использование программ- браузеров HTML - страниц, а также на применение программ, расширяющих функциональные возможности браузеров для решения несвойственных им задач.

Одним из наиболее эффективных путей снижения эффективности работы сети состоит в увеличении бесполезного или даже вредного, с точки зрения решаемых задач, сетевого трафика. Этот метод основан на особенности психологии людей безоговорочно доверять информации, полученной из сети. Это особенность можно использовать для распространения дезинформации за счет ее размещения на тех серверах, ссылки на которые являются для клиента подтверждением достоверности информации. Иногда создаются бесконечные циклы для автоматической загрузки других HTML- файлов. Несложная комбинация указателей в двух или более файлах позволяет создать замкнутый круг, когда браузер будет постоянно загружать файлы, не отображая при этом никакой полезной информации.

Большие возможности для несанкционированного доступа к Web - страницам предоставляет язык создания Web - приложений Java. Средства поддержки приложений, написанных на Java, называются апплетами (applets). Поскольку в Web- документе никак не сообщается, что за той или иной кнопкой скрывается Java- апплет, то пользователь заранее не может определить, что произойдет дальше при выборе необходимого документа или операции.

Существуют также методы несанкционированного доступа на WWW - серверы. Среди них можно отметить такие как переполнение буфера входных/выходных данных сервера, что приводит к повреждению данных или фрагментов кода, полное выведение Web- сервера из строя путем помещения в оперативную память сервера недопустимых команд, считывание файла паролей сервера, уничтожение журнала регистрации работы пользователей в сети и т.д.

3. Методы и средства защиты информации в компьютерных сетях

Накопленный опыт технологий защиты информации в компьютерных сетях показывает, что только комплексный подход к защите информации может обеспечить современные требования безопасности.

Комплексный подход подразумевает комплексное развитие всех методов и средств защиты.

Рассмотрим кратко основные методы и средства обеспечения безопасности информации в компьютерных сетях.

Методы защиты информации делятся:

· препятствия

· управление доступом

· маскировка

· регламентация

· принуждение

· побуждение

Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (компьютеру, сетевому оборудованию)

Управление доступом - метод защиты информации регулированием использования всех ресурсов системы. Управление доступом включает следующие функции защиты:

-идентификация пользователей, персонала и ресурсов системы, путем присвоения каждому объекту персонального идентификатора;

- опознавание объекта или субъекта по предъявляемому им идентификатору;

- проверка полномочий на запрашиваемые ресурсы;

- регистрация обращений к защищаемым ресурсам;

- реагирование при попытках несанкционированных действий

Маскировка - метод защиты информации с помощью ее криптографического закрытия (шифрования). В настоящее время этот метод является наиболее надежным.

Известны три основных алгоритма: алгоритм DES, современный алгоритм Clipper (Capston) и так называемая общественная инициатива - алгоритм PGP.

Алгоритм шифрования DES (Data Encryption Standard) был разработан в начале 70- х годов. Алгоритм шифрования был реализован в виде интегральной схемы с длиной ключа в 64 символа (56 символов используются непосредственно для алгоритма шифрования и 8 для обнаружения ошибок).

Расчет алгоритмов в то время показывал, что ключ шифрования может иметь 72 квадриллиона комбинаций. Алгоритм DES был принят в США в качестве федерального стандарта обработки информации в 1977 году, а в середине 80- х был утвержден как международный стандарт, который каждые пять лет проходит процедуру подтверждения. Для оценки уровня защиты информации аналитики приводят такие факт: современный компьютер стоимостью 1 млн долларов раскроет шифр за 7 часов, стоимостью 10 млн долларов - за 20 минут, 100 млн долларов - за 2 минуты. Агенство национальной безопасности США имеет такой компьютер.

Новый метод шифрования информации - технология Clipper - разработан агентсвом национальной безопасности США для защиты от прослушивания телефонных разговоров.

Для защиты данных этот метод носит название Capston. В основе метода положен принцип двух ключей- микросхем, обеспечивающие шифрование информации со скоростью до 1 гигабита в секунду. Пользователи получают ключи в двух пунктах, управляемых правительственными органами или частными концернами. Система ключей состоит из двух интегральных схем "Clipper chip" и "Capston chip" и алгоритма шифрования SKIPJACK. Алгоритм шифрования шифрует символьные блоки данных с помощью 80 - символьного ключа в 32 прохода. Он в 16 миллионов раз мощнее алгоритма DES и считается, только через несколько десятков лет компьютеры стоимостью 100 млн долларов смогут расшифровывать информацию за 2 минуты. Для сети Интренет разработан специальный протокол шифрования SKIP (Simple Key management for Internet Protocol ), управляющий шифрованием потоков информации.


Подобные документы

  • Компьютерные сети и их классификация. Аппаратные средства компьютерных сетей и топологии локальных сетей. Технологии и протоколы вычислительных сетей. Адресация компьютеров в сети и основные сетевые протоколы. Достоинства использования сетевых технологий.

    курсовая работа [108,9 K], добавлен 22.04.2012

  • Достоинства компьютерных сетей. Основы построения и функционирования компьютерных сетей. Подбор сетевого оборудования. Уровни модели OSI. Базовые сетевые технологии. Осуществление интерактивной связи. Протоколы сеансового уровня. Среда передачи данных.

    курсовая работа [2,7 M], добавлен 20.11.2012

  • Всемирная тенденция к объединению компьютеров в сети. Компьютерные сети: основные типы и устройство. Глобальная сеть Интернет. Современные сетевые технологи в компьютерных сетях. Особенности технологии Wi-Fi, IP-телефония. Виртуальные частные сети.

    презентация [648,3 K], добавлен 14.02.2016

  • Понятие сети ЭВМ и программного обеспечения компьютерных сетей. Локальные, корпоративные и глобальные вычислительные сети. Технологии сетевых многопользовательских приложений. Сетевые ОС NetWare фирмы Novell. Назначение службы доменных имен DNS.

    учебное пособие [292,6 K], добавлен 20.01.2012

  • Классификация компьютерных сетей. Взаимодействие компьютеров в сети. Сетевые модели и архитектуры. Мосты и коммутаторы, сетевые протоколы. Правила назначения IP-адресов сетей и узлов. Сетевые службы, клиенты, серверы, ресурсы. Способы доступа в Интернет.

    курсовая работа [1,5 M], добавлен 11.05.2014

  • Основные концепции, определяющие современное состояние и тенденции развития компьютерных сетей. Аспекты и уровни оргаизации сетей, от физического до уровня прикладных программ. Назначение и роли локальных сетей. Сетевые структуры. Бескабельные каналы.

    курс лекций [885,8 K], добавлен 15.01.2010

  • Топологии и концепции построения компьютерных сетей. Услуги, предоставляемые сетью Интернет. Преподавание курса "Компьютерные сети" Вятского государственного политехнического университета. Методические рекомендации по созданию курса "Сетевые технологии".

    дипломная работа [5,5 M], добавлен 19.08.2011

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.